ビジネスサポートポータルアカウントでログイン
キャプティブポータル利用時の証明書エラーを回避する方法  

キャプティブポータル利用時の証明書エラーを回避する方法

    • 更新日:
    • 11 Oct 2019
    • 製品/バージョン:
    • InterScan Web Security Suite 6.5
    • InterScan Web Security Virtual Appliance 6.5
    • OS:
    • Linux すべて
    • Virtual Appliance すべて
概要
InterScan Web Security Virtual Appliance のユーザ認証で LDAP サーバと連携しています。認証方法でキャプティブポータル (カスタム認証画面) を選択した場合、Web アクセスを行うと、ブラウザに証明書エラーが表示されます。この証明書エラーを回避する方法はありますか。
詳細
Public

概要

LDAP の認証方法でキャプティブポータル (カスタム認証画面) を選択した場合、Web アクセスを行うと、以下のようなブラウザの証明書エラーが表示されることがあります。

キャプティブポータル利用時に証明書エラーを表示させないようにするには、以下の手順で新たに秘密鍵と証明書を生成し、既存のものと置き換えてください。

証明書 (キーストア) の生成

証明書に Subject Alternative Name (SAN) が指定されていないと、ブラウザ側で証明書が不正と判断され、エラーとなる場合があります。たとえば Google Chrome では、Subject Alternative Name (SAN) が指定されていない証明書に対して、「NET::ERR_CERT_COMMON_NAME_INVALID」のエラーメッセージでアクセスを拒否します。
本動作を回避するには、証明書を作成する前に、以下の手順を追加で実施してください。

  1. openssl.cnf をバックアップした後に vi で開いて編集します。
    --------------------------------------------------
    # cp /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl.cnf.org
    # vi /etc/pki/tls/openssl.cnf
    --------------------------------------------------
  2. [alternate_names] セクションを追加して、以下のように IWSS/IWSVA のホスト名を追加します。
    --------------------------------------------------
    [alternate_names]
    DNS.1 = iwsva.example.com <--- IWSS/IWSVA のホスト名を指定します。
    DNS.2 = example.com <--- 他のホスト名が存在する場合は、DNS.2、DNS.3 と続けて指定します。
    --------------------------------------------------
  3. [v3_ca] セクションに「subjectAltName = @alternate_names」を追加します。
    --------------------------------------------------
    [v3_ca]
    subjectAltName = @alternate_names
    --------------------------------------------------
  1. 初期設定の秘密鍵と証明書をバックアップします。
# cd /var/iwss/https/captive_portal/
# mv captive_portal.cert captive_portal.cert.orginal
# mv captive_portal.pkey captive_portal.pkey.orginal
  1. 新たに秘密鍵と証明書を作成します。
# openssl req -x509 -newkey rsa:2048 -keyout captive_portal.pkey -out captive_portal.cert -sha256

例) 1年間 (365日) 有効な証明書を作成する
# openssl req -x509 -newkey rsa:2048 -keyout captive_portal.pkey -out captive_portal.cert -sha256 -days 365
Generating a 2048 bit RSA private key
.................................................................................................................................+++
...........................+++
writing new private key to 'captive_portal.pkey'
Enter PEM pass phrase:    ← パスワードを入力
Verifying - Enter PEM pass phrase:    ← パスワードを再入力
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:    ← 国名を入力
State or Province Name (full name) []:    ← 都道府県名を入力
Locality Name (eg, city) [Default City]:    ← 市町村区を入力
Organization Name (eg, company) [Default Company Ltd]:    ← 国名を入力
Organizational Unit Name (eg, section) []:    ← 組織名を入力
Common Name (eg, your name or your server's hostname) []: ← IWSS/IWSVAのホスト名を入力
Email Address []:    ← Eメールアドレス入力
#
  1. 作成された秘密鍵と証明書のパーミッションを変更し、所定のディレクトリに上書きします。
# chown iscan:iscan captive_portal.pkey
# chown iscan:iscan captive_portal.cert
# chmod 644 captive_portal.pkey
# chmod 644 captive_portal.cert
  1. 手順2で設定したパスワードに対し、暗号化したパスワードを生成します。
# /usr/iwss/bin/encpw {手順2のパスワード}

例) passwordという文字列を暗号化する場合
[root@iwsva65shup iscan]# /usr/iwss/bin/encpw password
!CRYPT!20BB1F54BB80FB01A1EF9E99DB195ED57244822396A
  1. /etc/iscan/intscan.iniをviエディタなどで開き、手順4で生成した暗号化したパスワードをcaptive_portal_certpwd列に設定します。
# vi /etc/iscan/intscan.ini
例) !CRYPT!20BB1F54BB80FB01A1EF9E99DB195ED57244822396Aを設定する場合

- 変更前:
captive_portal_certpwd=!CRYPT!2092C89A582D52C4223A9CBFB62280F1B0E4B6E7C3E

- 変更後:
captive_portal_certpwd=!CRYPT!20BB1F54BB80FB01A1EF9E99DB195ED57244822396A
  1. HTTP サービスを再起動します。
# /etc/iscan/S99ISproxy stop
# /etc/iscan/S99ISproxy start
  • HTTP サービス再起動中は Web アクセスが中断されます。

ブラウザへの証明書のインストール

以下は Internet Explorer 8 の場合の手順です。
 
  1. Internet Explorer を開いて Web アクセスを行います。証明書エラー画面が表示されたら、「このサイトの閲覧を続行する (推奨されません)。」をクリックします。
  2. キャプティブポータルが表示されたら、アドレスバーの横にある [証明書エラー] をクリックして、証明書を表示させます。
  3. 「発行先」が IWSS のホスト名 (FQDN) になっていることを確認し、[証明書のインストール] をクリックして、証明書をインストールします。
    証明書ストアは必ず「信頼されたルート証明機関」を指定してください。

ブラウザへの証明書のインストール後も証明書エラーが表示されてしまう場合の対処方法

IWSSまたはIWSVAでは、HTTPS サイトへアクセスした場合に一旦IWSSまたはIWSVA自身の CA 証明書で署名した証明書をクライアントへ送信し、最終的にキャプティブポータルの画面にリダイレクトさせます。
そのため、"https復号化"機能が有効/無効にかかわらず、IWSSまたはIWSVA の CA 証明書が"ブラウザの信頼する証明機関"にインポートされていない場合、証明書の警告メッセージが表示されます。

本問題を解決するためには、[CA公開鍵の取得]からIWSSまたはIWSVA の CA 証明書をクライアントのブラウザにインストール必要があります。
詳細な手順につきましては、こちらの製品Q&Aをご参照ください。
Premium
Internal
評価:
カテゴリ:
機能/仕様; 動作トラブル; 操作方法/設定
Solution Id:
1113181
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド