ビジネスサポートポータルアカウントでログイン
HTTPS復号化で、HTTPSサイトのサーバ証明書に古いCA証明書の情報が表示される  

HTTPS復号化で、HTTPSサイトのサーバ証明書に古いCA証明書の情報が表示される

    • 更新日:
    • 22 Jul 2019
    • 製品/バージョン:
    • InterScan Web Security Suite Linux版 6.5
    • InterScan Web Security Virtual Appliance 6.5
    • OS:
    • Linux All
    • Virtual Appliance すべて
概要
InterScan Web Security Virtual Appliance 6.5(以降、IWSVA)またはInterScan Web Security Suite 6.5(以降、IWSS)を"設定の複製"機能を使用した複数台構成で運用しています。"設定の複製元"サーバの管理画面から新規にCA証明書と秘密鍵をインポートし、HTTPS復号化機能で復号化対象となったHTTPSサイトにアクセスしたところ、ブラウザに表示されるCA証明書が古いままとなっています。インポート方法に問題があるのでしょうか。
詳細
Public

原因

HTTPS復号化機能では、IWSVA/IWSSが持つCA情報を使用して、HTTPSサーバのサーバ証明書の再署名を行います。再署名が行われたサーバ証明書情報は/var/iwss/https/certstore/cache/resigned_cert に記録され、HTTPSサーバのサーバ証明書情報が同じ場合には当該ファイルに記録の情報がそのまま使用されます。
新しいCA証明書と秘密鍵は、管理画面の[HTTP] > [HTTPS復号化] > [設定] > [証明機関]からインポート可能です。インポートを行った場合、当該サーバの/var/iwss/https/certstore/cache/resigned_certは自動削除されます。

一方、"設定の複製"機能を使用している場合、"設定の複製元"サーバの管理画面の[HTTP] > [HTTPS復号化] > [設定] > [証明機関]から新しいCA証明書と秘密鍵をインポートした後に設定の複製処理が行われると、CA証明書と秘密鍵は各”設定の受信者"サーバに反映されるものの、/var/iwss/https/certstore/cache/resigned_certは自動削除されません。
そのため、「古いCA証明書がブラウザに表示されつづける」という状況が起こり得ます。

対策

"設定の複製"機能で新しいCA証明書と秘密鍵を各"設定の受信者"サーバへ反映させたあとは、各"設定の受信者"サーバで古い/var/iwss/https/certstore/cache/resigned_certを以下の手順で削除してください。
 
1.IWSVAにrootでログインします。
 
2.次のコマンドを実行してHTTPデーモンを停止します。
 
# /etc/iscan/S99ISproxy stop
 
3.resigned_certファイルを削除します。
 
# cd /etc/iscan/https/certstore/cache/
# rm -rf  resigned_cert
 
4.次のコマンドを実行してHTTPデーモンを開始します。
 
# /etc/iscan/S99ISproxy start
 
なお、IWSVAでは、Hotfix 1707で「"手動複製"実施時に、各”設定の受信者”サーバの/var/iwss/https/certstore/cache/resigned_certを自動削除する」ように改善が行われています。
Premium
Internal
評価:
カテゴリ:
動作トラブル; 操作方法/設定
Solution Id:
1121769
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド