4.4. SSL復号化機能の設定をする¶
4.4.1. 注意事項、前提条件¶
- 設定は必ず0系/1系(東西冗長を利用している場合は各エリアの0系/1系)で同じ設定にしてください。
- 設定変更後、0系/1系で必ずコミットを実施してください。
- クライアント端末へSSL復号化・FRAポータルアクセス(FIC経由)共通証明書のインストールが必要になります。VPN接続時にSSL復号化・FRAポータルアクセス(FIC経由)共通証明書を端末にインストールさせたい場合は こちら を参照ください。
- ポリシーの変更はFRA-Dec-UserPortal以外のポリシーが可能です。作成する場合は、FRA-Dec-UserPortalより下に設定してください。
- FRAポータルで主に使用するゾーンの概要について以下に記載します。【ゾーン】VPN:VPN接続ユーザーに払い出されるIPアドレスが所属するインターフェイスVPNINET:VPN接続後FRAから直接インターネットに通信する際に利用するインターフェイスVPNFIC:VPN接続後FIC-Connection向けに通信する際に利用するインターフェイス
- Fsecコンソールに表示されるSSL復号化・FRAポータルアクセス(FIC経由)共通証明書の有効期限が過ぎてしまうとSSL復号化機能が利用できなくなりますのでご注意ください。有効期限が切れる前に以下の手順を実施してください。
注釈
- 利用ブラウザの設定によりSSL復号化機能が動作しないことがある 既知の問題 があります。
4.4.2. 事前に準備いただくもの¶
4.4.4. SSL復号化機能を利用する¶
4.4.4.1. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書のダウンロード手順¶
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ➀左メニューの「サービスグループ情報」から作成したサービスグループを選択します。➁[Flexible Remote Access詳細設定]をクリックします。➂[SSL復号化・FRAポータルアクセス(FIC経由)]をクリックします。
図4.4.4.1.1. サービスグループ選択¶
ダウンロード対象のSSL復号化・FRAポータルアクセス(FIC経由)共通証明書の[操作]プルダウンメニューより、[証明書のダウンロード]をクリックします。
図4.4.4.1.2. [証明書のダウンロード]をクリック¶
対象のSSL復号化・FRAポータルアクセス(FIC経由)共通証明書がダウンロードされたことを確認します。
図4.4.4.1.3. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書のダウンロード¶
4.4.4.2. SSL復号化利用時のWindows端末へのSSL復号化・FRAポータルアクセス(FIC経由)共通証明書インストール手順【利用者向け】¶
端末に保存したSSL復号化・FRAポータルアクセス(FIC経由)共通証明書をダブルクリックし、[証明書のインストール]ボタンを押下します。
図4.4.4.2.1. 証明書のインストール¶
証明書ストアページですべての証明書を次のストアに配置にチェックします。[参照]ボタンを押下し、信頼されたルート証明機関を選択します。
図4.4.4.2.2. 証明書ストアページ画面¶
次へをクリックします。警告メッセージが表示される場合は、[はい]ボタンを押下します。
図4.4.4.2.3. 警告メッセージ画面¶
インポート成功メッセージが表示されます。[OK]ボタンを押下し証明書のインストールが完了となります。
図4.4.4.2.4. インポート成功メッセージ画面¶
4.4.4.3. SSL復号化用ポリシーの作成手順¶
- ➀[Policies]をクリックします。➁[復号]をクリックします。➂[追加]をクリックします。
図4.4.4.3.1. Policies画面¶
[全般]の以下の項目を入力します。
図4.4.4.3.2. 復号ポリシールール(全般)¶
項番 |
項目 |
設定値 |
1 |
名前 |
任意の名前を入力します。名前は必須項目です。 |
2 |
内容 |
作成した復号ポリシーの説明を記載します。省略可能です。 |
3 |
監査コメント |
ポリシーの設定変更時に変更内容の履歴を残したい場合に入力します。省略可能です。 |
[送信元]の以下の項目を選択します。
図4.4.4.3.3. 復号ポリシールール(送信元)¶
項番 |
項目 |
設定値 |
1 |
送信元ゾーン |
VPNを指定します。 |
2 |
送信元アドレス |
通信の送信元アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを送信元に指定したい場合は[追加]をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。
・IPアドレス(Ex 192.168.1.1/32)
・ネットワークアドレス(Ex 192.168.0.0/16)
・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)
|
3 |
送信元ユーザー |
通信の送信元ユーザーを指定します。すべてのユーザーを対象にする場合はanyを選択します。特定のユーザーを送信元に指定したい場合は[追加]をクリックし対象のユーザーを選択します。 |
[宛先]の以下の項目を選択します。
図4.4.4.3.4. 復号ポリシールール(宛先)¶
項番 |
項目 |
設定値 |
1 |
宛先ゾーン |
通信の宛先ゾーンを指定します。すべてのゾーンを対象にする場合はanyを選択します。特定のゾーンを宛先に指定したい場合は[追加]をクリックし対象のゾーンを選択します。 |
2 |
宛先アドレス |
通信の宛先アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを宛先に指定したい場合は[追加]をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。
・IPアドレス(Ex 192.168.1.1/32)
・ネットワークアドレス(Ex 192.168.0.0/16)
・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)
|
[サービス/URLカテゴリ]の以下の項目を選択します。
図4.4.4.3.5. 復号ポリシールール(サービス/URLカテゴリ)¶
項番 |
項目 |
設定値 |
1 |
サービス |
通信で使用するサービスを指定します。すべてのサービスを許可したい場合はapplication-defaultを選択します。特定のサービスを対象に指定したい場合は[追加]をクリックし対象のサービスを選択します。 |
2 |
URLカテゴリ |
「8.5.13. URLカテゴリを追加する」 を参照してください。 |
- ➀[オプション]の以下の項目を選択します。➁入力が完了したら[OK]ボタンを押下します。
図4.4.4.3.6. 復号ポリシールール(オプション)¶
項番 |
項目 |
設定値 |
1 |
アクション |
復号なし/復号のいずれかにチェックします。復号しない場合は復号なしにチェックし、復号する場合は復号にチェックします。 |
2 |
タイプ |
SSLフォワードプロキシを選択します。SSLフォワードプロキシ以外は選択しないでください。 |
3 |
復号プロファイル |
アクションで[復号]を選択した場合は復号プロファイルに[default]を選択します。 |
設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。
4.4.4.4. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の有効期限の確認手順¶
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ➀左メニューの「サービスグループ情報」から作成したサービスグループを選択します。➁[Flexible Remote Access詳細設定]をクリックします。➂[SSL復号化・FRAポータルアクセス(FIC経由)]をクリックします。
図4.4.4.4.1. サービスグループ選択¶
「SSL復号化・FRAポータルアクセス(FIC経由)」画面でSSL復号化・FRAポータルアクセス(FIC経由)共通証明書の有効期限を確認します。
図4.4.4.4.2. 有効期限の確認¶
4.4.4.5. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の作成手順¶
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ➀左メニューの「サービスグループ情報」から作成したサービスグループを選択します。➁[Flexible Remote Access詳細設定]をクリックします。➂[SSL復号化・FRAポータルアクセス(FIC経由)]をクリックします。
図4.4.4.5.1. サービスグループ選択¶
[新規追加]ボタンを押下します。
図4.4.4.5.2. [新規追加]ボタン¶
名前、説明の箇所を入力します。
図4.4.4.5.3. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の作成¶
項番 |
項目 |
説明 |
1 |
証明書名 |
任意の証明書名を入力してください。半角英数記号(-_) のみ使用可能です。 |
2 |
説明 |
任意の説明文を入力してください。半角英数記号(-_) のみ使用可能です。 |
入力が完了したら[確認]ボタンを押下します。
図4.4.4.5.4. [確認]ボタン¶
入力内容を確認し[実行]ボタンを押下します。
図4.4.4.5.5. 入力内容の確認¶
[OK]ボタンを押下します。
図4.4.4.5.6. 申し込み完了¶
「SSL復号化・FRAポータルアクセス(FIC経由)」画面でSSL復号化・FRAポータルアクセス(FIC経由)共通証明書が追加されたことを確認します。
図4.4.4.5.7. 申し込み完了後のSSL復号化・FRAポータルアクセス(FIC経由)画面¶
左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。
4.4.4.6. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の有効化手順¶
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ➀左メニューの「サービスグループ情報」から作成したサービスグループを選択します。➁[Flexible Remote Access詳細設定]をクリックします。➂[SSL復号化・FRAポータルアクセス(FIC経由)]をクリックします。
図4.4.4.6.1. サービスグループ選択¶
有効化対象のSSL復号化・FRAポータルアクセス(FIC経由)共通証明書の[操作]プルダウンメニューより、[有効化]をクリックします。
図4.4.4.6.2. [有効化]をクリック¶
内容を確認し、[実行]ボタンを押下します。
図4.4.4.6.3. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の有効化の確認¶
[OK]ボタンを押下します。
図4.4.4.6.4. 有効化申し込み完了¶
「SSL復号化・FRAポータルアクセス(FIC経由)」画面で対象のSSL復号化・FRAポータルアクセス(FIC経由)共通証明書が有効化されたことを確認します。
図4.4.4.6.5. 申し込み完了後のSSL復号化・FRAポータルアクセス(FIC経由)画面¶
左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。
4.4.4.7. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の削除手順¶
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ➀左メニューの「サービスグループ情報」から作成したサービスグループを選択します。➁[Flexible Remote Access詳細設定]をクリックします。➂[SSL復号化・FRAポータルアクセス(FIC経由)]をクリックします。
図4.4.4.7.1. サービスグループ選択¶
状態が「無効」となっているSSL復号化・FRAポータルアクセス(FIC経由)共通証明書の[操作]プルダウンメニューより、[削除]をクリックします。
図4.4.4.7.2. [削除]をクリック¶
- ➀内容を確認し、[上記について確認しました。]にチェックを入れます。➁[実行]ボタンを押下します。
図4.4.4.7.3. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の削除の確認¶
[OK]ボタンを押下します。
図4.4.4.7.4. 削除申し込み完了¶
「SSL復号化・FRAポータルアクセス(FIC経由)」画面で対象のSSL復号化・FRAポータルアクセス(FIC経由)共通証明書が削除されたことを確認します。
図4.4.4.7.5. 申し込み完了後のSSL復号化・FRAポータルアクセス(FIC経由)画面¶
左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。