ビジネスサポートポータルアカウントでログイン
Trend Micro Web Security As a Service クラウドプロキシ環境のHTTPSインスペクション機能用CA証明書の移行について  

Trend Micro Web Security As a Service クラウドプロキシ環境のHTTPSインスペクション機能用CA証明書の移行について

    • 更新日:
    • 19 Apr 2021
    • 製品/バージョン:
    • Trend Micro Web Security as a Service All
    • OS:
    • SaaS
概要
Trend Micro Web Security As a Service(以下、TMWS)では、セキュリティ強化のため、HTTPSインスペクション機能で使用しているCA証明書の置き換えを順次実施しております。
2021年4月現在、クラウドプロキシ環境向けに新CA証明書の提供を行っております。

クラウドプロキシ環境をご利用のお客様におかれましては、以下に記載の内容をご参照のうえ、新CA証明書("Trend Micro Web Security Cloud Root CA"の証明書)への移行をお願いいたします。
従来のCA証明書("TREND.IWS.2"の証明書)も引き続き使用可能ですが、将来的に、お客様の新CA証明書への移行が十分なされたタイミングでの廃止を予定しております。
お手数ですが、計画的な新CA証明書への移行をお願いいたします。
 
詳細
Public

目次

 

  1. はじめに
  2. クライアント端末へのインストールが必要なCA証明書
  3. クライアント端末で必要な作業
  4. TMWS管理コンソールで必要な作業
  5. よくあるご質問
 

1.はじめに

TMWSのHTTPSインスペクション機能を有効にすると、アクセス先のHTTPSサイトが管理画面の[ポリシー] > [HTTPSインスペクション] > [復号ルール]のいずれかのルールに合致する場合、HTTPS通信の復号が行われます。TMWSで復号が行われると、TMWSのCA証明書で署名されたHTTPSサーバ証明書がクライアント端末に表示されます。クライアント端末にTMWSのCA証明書をインストールしていない場合、ご利用のブラウザの警告画面が表示されます。
また、HTTPSインスペクション機能を有効にしていない場合でも、こちらに記載のケースにおいて、自動的にHTTPS通信の復号が行われます。
HTTPS通信の復号に伴うブラウザの警告画面表示への対応のため、クライアント端末にはTMWSのCA証明書をインストールいただく必要があります。

TMWSでは、セキュリティ強化のため、クラウドプロキシ環境向けに新CA証明書への移行を行っております。
従来のCA証明書も現在使用可能ですが、将来的に、お客様の新CA証明書への移行が十分なされたタイミングでの廃止を予定しております。計画的に以下を1) ⇒ 2)の順番()にて実施お願いいたします。

1)クライアント端末へ、必要なCA証明書をインストール(3.クライアント端末で必要な作業)
2)TMWS管理コンソールから、新CA証明書を設定(4.TMWS管理コンソールで必要な作業)

1)の前に2)を実施してしまうと、必要なCA証明書がクライアント端末にインストールされていない影響でブラウザの警告画面が表示される可能性があります。
 

2.クライアント端末へのインストールが必要なCA証明書

2021年4月現在、クライアント端末に以下のインストールが必要となります。

(1)クラウドプロキシ環境、オンプレミスゲートウェイで従来より使用しているCA証明書("TREND.IWS.2"の証明書)

管理コンソールの[ポリシー] > [グローバル設定] > [HTTPSインスペクション]で"有効化"を"オン"にした際に表示される、以下のリンクからダウンロード可能なCA証明書です。

 "クライアントデバイス用のSSL証明書(オンプレミス用)をダウンロードしてインストールします。"

[ポリシー] > [HTTPSインスペクション] > [復号ルール]で、クラウド用/オンプレミスゲートウェイ用共にデフォルトで設定されているCA証明書です。こちらに記載の通り、利用ユーザが特定できない場合の認証処理で、当該CA証明書を使用してHTTPS通信の復号が行われることがあります。

 

(2)クラウドプロキシ環境用の新CA証明書("Trend Micro Web Security Cloud Root CA"の証明書)

管理コンソールの[ポリシー] > [グローバル設定] > [HTTPSインスペクション]で"有効化"を"オン"にした際に表示される、以下のリンクからダウンロード可能なCA証明書です。

 "クライアントデバイス用のSSL証明書(クラウド用)をダウンロードしてインストールします。"

後述の移行作業が完了しますと、[ポリシー] > [HTTPSインスペクション] > [復号ルール]では当該新CA証明書を使用してHTTPS通信の復号が行われます。
こちらに記載の通り、利用ユーザが特定できない場合の認証処理では、現在上述の(1)のCA証明書を使用してHTTPS通信の復号が行われますが、将来的に新CA証明書が使用される予定となります。

 

(3)お客様環境の独自のCA証明書(クロス署名したCA証明書をご利用の場合のみ)

[ポリシー] > [HTTPSインスペクション] > [復号ルール]で使用するCA証明書として、以下の手順で
「お客様環境の独自のCA証明書でクロス署名したTMWSのCA証明書」を設定した場合、お客様環境の独自のCA証明書のインストールが必要です。

クラウドプロキシ用のCA証明書のクロス署名
オンプレミス用のCA証明書のクロス署名

"クラウドプロキシ環境用の新CA証明書"に対してクロス署名を行っていない場合は、後述(4.TMWS管理コンソールで必要な作業)で「新CA証明書に対するクロス署名」が必要となります。 
 

3.クライアント端末で必要な作業

2.クライアント端末へのインストールが必要なCA証明書でご案内しました3つのCA証明書のインストールが必要となります。インストール未実施の端末がありましたら、インストールをお願いいたします。

CA証明書のインストール方法につきましては、こちらのオンラインヘルプをご参照いただくか、ご利用のOSまたはブラウザのサポートドキュメント等をご確認ください。
適用エージェントまたはモバイルVPNをご利用のクライアント端末につきましては、以下をご参照ください。

適用エージェントをご利用の場合

・Windows版の適用エージェントをご利用の場合
2020年12月公開のバージョン3.4.0.3158以降の適用エージェントをインストールした場合、自動的に従来のCA証明書("TREND.IWS.2"の証明書)と新CA証明書("Trend Micro Web Security Cloud Root CA"の証明書)がインストールされます。
一方、3.4.0.3158より前のバージョンの適用エージェントをインストールした場合は、自動的に従来のCA証明書("TREND.IWS.2"の証明書)のみがインストールされます。この場合は、新CA証明書("Trend Micro Web Security Cloud Root CA"の証明書)の手動インストールを実施いただくか、適用エージェントの最新版へのアップグレードをお願いいたします。
なお、適用エージェントのバージョンは、[コントロールパネル] - [プログラム] - [プログラムのアンインストール] にて"Trend Micro IWSaaS Enforcement Agent" を選択し、コントロールパネル画面最下部に表示されるバージョン情報から確認可能です。

お客様組織の独自CA証明書でクロス署名したCA証明書をご利用の場合、適用エージェントのインストールでは自動インストールされません。お客様組織の独自CA証明書の手動インストールもお願いいたします。

・Mac OS版の適用エージェントをご利用の場合
適用エージェントのインストールによって、自動的に従来のCA証明書("TREND.IWS.2"の証明書)のみがインストールされます。新CA証明書("Trend Micro Web Security Cloud Root CA"の証明書)の手動インストールをお願いいたします。
お客様組織の独自CA証明書でクロス署名したCA証明書をご利用の場合は、お客様組織の独自CA証明書の手動インストールもお願いいたします。

・iOS/iPad版の適用エージェントをご利用の場合
モバイルデバイス管理機能(MDM)を使用して適用エージェントをインストールした場合、自動的に従来のCA証明書("TREND.IWS.2"の証明書)と新CA証明書("Trend Micro Web Security Cloud Root CA"の証明書)がインストールされます。

一方、モバイルデバイス管理機能(MDM)を使用せずに適用エージェントを手動インストールした場合、CA証明書は自動インストールされません。従来のCA証明書("TREND.IWS.2"の証明書)と新CA証明書("Trend Micro Web Security Cloud Root CA"の証明書)の手動インストールをお願いいたします。

お客様組織の独自CA証明書でクロス署名したCA証明書をご利用の場合、モバイルデバイス管理機能(MDM)の使用有無を問わず、適用エージェントのインストールでは自動インストールされません。お客様組織の独自CA証明書の手動インストールもお願いいたします。
 

モバイルVPNをご利用の場合

こちらのApple iOS用/Android用のモバイルVPNでは、HTTPSインスペクション機能をサポートしておりません。そのため、今回の新CA証明書への移行に伴う作業は不要です。

 

4.TMWS管理コンソールで必要な作業

以下の手順4.1にて、クラウドプロキシ環境に対する移行作業が必要となるかをご確認いただきます。
必要な場合には、手順4.2以降にて、「新CA証明書」または「お客様組織のCA証明書でクロス署名された新CA証明書」をTMWSへ設定いただくことになります。

4.1. 既存の復号ルールで使用しているCA証明書の確認

管理コンソールの[ポリシー] > [HTTPSインスペクション] > [復号ル―ル](※)へ移動し、各復号ルールをクリックします。
(※)HTTPSインスペクションが有効でないと、当該画面に移動できません。無効の場合は一時的に[ポリシー] > [グローバル設定] > [HTTPSインスペクション]で"有効化”をオンにしてください。

復号ルールの「クラウド用のクロス署名された証明書」の"発行元"と"発行先"を確認します。

3.jpg

値が以下となっている場合、従来のCA証明書を使用しております。
そのため、当該復号ルールに対して新CA証明書への移行が必要です。次の手順へ進んでください。
情報TMWSのデフォルトのCA証明書を使用している場合お客様組織の独自CA証明書を使用している場合
発行先TREND.IWS.2TREND.IWS.2
発行元TREND.IWS.2お客様組織の独自CA証明書の値

「初期設定」も含めたすべての復号ルールで値が以下となっている場合は、既に新CA証明書への移行が完了しております。以降の手順は不要です。
情報TMWSのデフォルトのCA証明書を使用している場合お客様組織の独自CA証明書を使用している場合
発行先Trend Micro Web Security Cloud Root CATrend Micro Web Security Cloud Root CA
発行元Trend Micro Web Security Cloud Root CAお客様組織の独自CA証明書の値
 

4.2. 新CA証明書の準備

・TMWSのデフォルトの新CA証明書をご利用の場合
管理コンソールの[ポリシー] > [グローバル設定] > [HTTPSインスペクション]の以下のリンクからファイル"current_cloud_ca_cert.cer"をダウンロードし、ファイル名を"current_cloud_ca_cert.pem"に変更します。

 "クライアントデバイス用のSSL証明書(クラウド用)をダウンロードしてインストールします。"

・お客様組織の独自CA証明書でクロス署名した新CA証明書をご利用の場合
以下のオンラインヘルプの手順で、お客様組織の独自CA証明書でクロス署名した新CA証明書を作成できます。こちらの手順で作成された"0A.pem"を用意します。

クラウドプロキシ用のCA証明書のクロス署名

 

4.3. 新CA証明書の各復号ルールへの設定

管理コンソールの[ポリシー] > [HTTPSインスペクション] > [復号ル―ル]へ移動し、新CA証明書の設定が完了していない復号ルールをクリックします。
「クラウド用のクロス署名された証明書」の”ファイルの選択..."をクリックし、3.2で用意した新CA証明書を選択してアップロードし、"保存"をクリックします。

4.jpg

以降、「初期設定」も含めたすべての復号ルールで「クラウド用のクロス署名された証明書」の"発行先"と"発行元"の値が以下となるまで新CA証明書のアップロードを行います。
なお、HTTPSインスペクション機能そのものを引き続き無効にする場合は、作業完了後、[ポリシー] > [グローバル設定] > [HTTPSインスペクション]で"有効化”をオフにしてください。

情報TMWSのデフォルトのCA証明書を使用している場合お客様組織の独自CA証明書を使用している場合
発行先Trend Micro Web Security Cloud Root CATrend Micro Web Security Cloud Root CA
発行元Trend Micro Web Security Cloud Root CAお客様組織の独自CA証明書の値
  

5.よくあるご質問

Q1.本ページに記載の作業が必要となる対象者を教えていただけないでしょうか

TMWSのクラウドプロキシ環境をご利用のお客様すべてが対象となります。1.はじめにをご確認のうえ、計画的な移行作業の実施をお願いいたします。

オンプレミスゲートウェイのみをご利用の場合は、本ページの作業は不要です。

 

Q2.オンプレミスゲートウェイのみを利用しています。本ページに記載の作業は必要でしょうか。

いいえ。
オンプレミスゲートウェイでは2021年4月現在も従来のCA証明書("TREND.IWS.2"の証明書)を使用しているためです。なお、オンプレミスゲートウェイをご利用の場合は、クライアント端末に以下のCA証明書のインストールが必要となります。

・管理コンソールの[ポリシー] > [グローバル設定] > [HTTPSインスペクション]で"有効化"を"オン"にした際に表示される、以下のリンクからダウンロード可能なCA証明書。

  "クライアントデバイス用のSSL証明書(オンプレミス用)をダウンロードしてインストールします。"

・お客様環境の独自のCA証明書(クロス署名したCA証明書をご利用の場合のみ)

 

Q3.オンプレミスゲートウェイとクラウドプロキシ環境の両方を使用しています。この場合は本ページに記載の作業は必要でしょうか。

はい。クラウドプロキシ環境で使用するCA証明書の移行が必要であるため、本ページに記載の作業が必要です。
 

Q4.HTTPSインスペクションは使用していません。この場合に本ページに記載の作業は必要でしょうか。

はい、必要です。こちらに記載の通り、HTTPSインスペクションが無効でも、自動的にHTTPSインスペクションが動作するケースがございます。

 

Q5.本ページに記載の新CA証明書への移行作業を実施しない場合、どのような影響がありますでしょうか。

従来のCA証明書("TREND.IWS.2"の証明書)は現在も使用可能であるため、影響はありません。
ただし、将来的に当該CA証明書は廃止されてTMWSでは使用されなくなります。
その場合、本ページに記載の作業を実施いただかないと、HTTPSサイトへのアクセスの際にブラウザ
の証明書警告画面が表示されることになります。

 

Q6.従来のCA証明書("TREND.IWS.2"の証明書)は将来的に廃止予定とのことですが、予定は分かりますでしょうか。

2021年4月現在では未定です。予定が決まり次第、弊社サポートニュースや有償サポート告知メール等でアナウンスいたします。
 

 

Q7.オンプレミスゲートウェイ用のCA証明書も移行の予定はありますでしょうか。

はい。オンプレミスゲートウェイ用のCA証明書も将来的に移行の予定がございます。
ただし、2021年4月現在では未定です。予定が決まり次第、弊社サポートニュースや有償サポート告知メール等でアナウンスいたします。
 

Premium
Internal
Partner
評価:
カテゴリ:
SPEC
Solution Id:
000286179
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド