Citrix Secure Web Gateway

SSLインターセプション証明書ストア

SSL 証明書は、SSL トランザクションの不可欠な部分であり、会社 (ドメイン) または個人を識別するデジタルデータフォーム (X509) です。SSL 証明書は、認証局 (CA) によって発行されます。CA は、プライベートまたはパブリックにできます。Verisign などのパブリック CA によって発行された証明書は、SSL トランザクションを実行するアプリケーションによって信頼されます。これらのアプリケーションは、信頼する CA の一覧を維持します。

Citrix Secure Web Gateway(SWG)アプライアンスは、フォワードプロキシとして、クライアントとサーバー間のトラフィックの暗号化と復号化を実行します。これは、クライアント(ユーザー)のサーバーとして、およびサーバーのクライアントとして機能します。アプライアンスは HTTPS トラフィックを処理する前に、不正なトランザクションを防ぐために、サーバーの ID を検証する必要があります。したがって、オリジンサーバーのクライアントとして、アプライアンスはオリジンサーバー証明書を受け入れる前にオリジンサーバー証明書を確認する必要があります。サーバーの証明書を確認するには、サーバー証明書の署名と発行に使用されるすべての証明書(ルート証明書と中間証明書など)がアプライアンスに存在している必要があります。デフォルトの CA 証明書セットは、アプライアンス上にプレインストールされています。Citrix SWGは、これらの証明書を使用して、ほぼすべての共通オリジンサーバー証明書を検証できます。この既定のセットは変更できません。ただし、展開でさらに多くの CA 証明書が必要な場合は、そのような証明書のバンドルを作成し、そのバンドルをアプライアンスにインポートできます。バンドルには、単一の証明書を含めることもできます。

証明書バンドルをアプライアンスにインポートすると、アプライアンスはリモートの場所からバンドルをダウンロードし、バンドルに証明書のみが含まれていることを確認した後、アプライアンスにインストールします。証明書バンドルを使用してサーバ証明書を検証するには、事前に証明書バンドルを適用する必要があります。また、証明書バンドルをエクスポートして編集したり、オフラインの場所にバックアップとして保存したりすることもできます。

Citrix SWG CLIを使用してアプライアンスにCA証明書バンドルをインポートして適用する

コマンドプロンプトで、次のように入力します。

import ssl certBundle <name> <src>
apply ssl certBundle <name>
show ssl certBundle

ARGUMENTS

名前:

インポートした証明書バンドルに割り当てる名前。ASCII 英数字またはアンダースコア (_) 文字で始まり、ASCII 英数字、アンダースコア、ハッシュ (#)、ピリオド (.)、スペース、コロン (:)、アットマーク (@)、等しい (=)、およびハイフン (-) 文字のみを含める必要があります。次の要件は、CLI だけに適用されます。

名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます (「my file」や「my file」など)。

最大長さ:31

src:

インポートまたはエクスポートする証明書バンドルへのプロトコル、ホスト、およびパス(ファイル名を含む)を指定する URL。たとえば、http://www.example.com/cert\_bundle\_fileのようになります。

: インポートするオブジェクトがアクセスにクライアント証明書認証を必要とする HTTPS サーバー上にある場合、インポートは失敗します。

最大の長さ:2047

:

import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
apply ssl certBundle swg-certbundle
show ssl certbundle

            Name : swg-certbundle(Inuse)

            URL : http://www.example.com/cert_bundle

    Done

Citrix SWG GUIを使用して、アプライアンスにCA証明書バンドルをインポートして適用する

  1. Secure Web Gateway ] > はじめに ] > 証明書バンドル ] に移動します。
  2. 次のいずれかを行います:
    • リストから証明書バンドルを選択します。
    • 新しい証明書バンドルを追加するには、[+] をクリックし、名前とソース URL を指定します。[OK] をクリックします。
  3. [OK] をクリックします。

CLI を使用して CA 証明書バンドルをアプライアンスから削除する

コマンドプロンプトで、次のように入力します。

remove certBundle <cert bundle name>

:

remove certBundle mytest-cacert

Citrix SWG CLIを使用してアプライアンスからCA証明書バンドルをエクスポートする

コマンドプロンプトで、次のように入力します。

export certBundle <cert bundle name> <Path to export>

ARGUMENTS

名前:

インポートした証明書バンドルに割り当てる名前。ASCII 英数字またはアンダースコア (_) 文字で始まり、ASCII 英数字、アンダースコア、ハッシュ (#)、ピリオド (.)、スペース、コロン (:)、アットマーク (@)、等しい (=)、およびハイフン (-) 文字のみを含める必要があります。次の要件は、CLI だけに適用されます。

名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます (「my file」や「my file」など)。

最大長さ:31

src:

インポートまたはエクスポートする証明書バンドルへのプロトコル、ホスト、およびパス(ファイル名を含む)を指定する URL。たとえば、http://www.example.com/cert\_bundle\_fileのようになります。

: インポートするオブジェクトがアクセスにクライアント証明書認証を必要とする HTTPS サーバー上にある場合、インポートは失敗します。

最大の長さ:2047

:

export certBundle mytest-cacert http://192.0.2.20/

Mozilla CA 証明書ストアから CA 証明書バンドルをインポート、適用、検証する

コマンドプロンプトで、次のように入力します。

> import certbundle mozilla_public_ca https://curl.haxx.se/ca/cacert.pem
Done

バンドルを適用するには、次のように入力します。

> apply certbundle mozilla_public_ca
Done

使用中の証明書バンドルを確認するには、次のように入力します。

> sh certbundle | grep mozilla
    Name : mozilla_public_ca (Inuse)

制限事項

証明書バンドルは、クラスタ設定またはパーティション化されたアプライアンスではサポートされません。