4.4. SSL復号化機能の設定をする¶

SSL復号化機能の利用手順について説明します。

SSL復号化機能を利用する場合はSSL復号化用のプロファイルを作成し、作成したプロファイルをSSL復号用のポリシーに適用します。

4.4.1. 注意事項、前提条件¶

設定は必ず0系/1系（東西冗長を利用している場合は各エリアの0系/1系）で同じ設定にしてください。
設定変更後、0系/1系で必ずコミットを実施してください。
クライアント端末へSSL復号化・FRAポータルアクセス(FIC経由)共通証明書のインストールが必要になります。
ポリシーの変更はFRA-Dec-UserPortal以外のポリシーが可能です。作成する場合は、FRA-Dec-UserPortalより下に設定してください。
FRAポータルで主に使用するゾーンの概要について以下に記載します。

【ゾーン】

VPN:VPN接続ユーザーに払い出されるIPアドレスが所属するインターフェイス

VPNINET:VPN接続後FRAから直接インターネットに通信する際に利用するインターフェイス

VPNFIC:VPN接続後FIC-Connection向けに通信する際に利用するインターフェイス
Fsecコンソールに表示されるSSL復号化・FRAポータルアクセス(FIC経由)共通証明書の有効期限が過ぎてしまうとSSL復号化機能が利用できなくなりますのでご注意ください。

有効期限が切れる前に以下の手順を実施してください。

① SSL復号化・FRAポータルアクセス(FIC経由)共通証明書を作成する

② SSL復号化・FRAポータルアクセス(FIC経由)共通証明書をダウンロードする

➂ SSL復号化利用時のWindows端末へのSSL復号化・FRAポータルアクセス(FIC経由)共通証明書へインストールする

➃ SSL復号化・FRAポータルアクセス(FIC経由)共通証明書を有効化する

4.4.2. 事前に準備いただくもの¶

4.4.3. お申し込みの流れ、全体説明¶

図4.4.3.1. 設定変更の流れ

4.4.4. SSL復号化機能を利用する¶

4.4.4.1. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書のダウンロード手順¶

SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
➀左メニューの「サービスグループ情報」から作成したサービスグループを選択します。

➁[Flexible Remote Access詳細設定]をクリックします。

➂[SSL復号化・FRAポータルアクセス(FIC経由)]をクリックします。

図4.4.4.1.1. サービスグループ選択

ダウンロード対象のSSL復号化・FRAポータルアクセス(FIC経由)共通証明書の[操作]プルダウンメニューより、[証明書のダウンロード]をクリックします。

図4.4.4.1.2. [証明書のダウンロード]をクリック

対象のSSL復号化・FRAポータルアクセス(FIC経由)共通証明書がダウンロードされたことを確認します。

図4.4.4.1.3. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書のダウンロード

4.4.4.2. SSL復号化利用時のWindows端末へのSSL復号化・FRAポータルアクセス(FIC経由)共通証明書インストール手順【利用者向け】¶

端末に保存したSSL復号化・FRAポータルアクセス(FIC経由)共通証明書をダブルクリックし、[証明書のインストール]ボタンを押下します。

図4.4.4.2.1. 証明書のインストール

証明書ストアページですべての証明書を次のストアに配置にチェックします。[参照]ボタンを押下し、信頼されたルート証明機関を選択します。

図4.4.4.2.2. 証明書ストアページ画面

次へをクリックします。警告メッセージが表示される場合は、[はい]ボタンを押下します。

図4.4.4.2.3. 警告メッセージ画面

インポート成功メッセージが表示されます。[OK]ボタンを押下し証明書のインストールが完了となります。

図4.4.4.2.4. インポート成功メッセージ画面

4.4.4.3. 復号プロファイルの作成手順¶

FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
➀[Objects]をクリックします。

➁[復号プロファイル]をクリックします。

➂[追加]をクリックします。

図4.4.4.3.1. 復号プロファイル画面

SSL復号化を詳細に設定したい場合は必要な設定を[SSLフォワードプロキシ]、[SSLプロトコル設定]の各項目にチェックを入れます。

図4.4.4.3.2. 復号プロファイル（SSLフォワードプロキシ）

図4.4.4.3.3. 復号プロファイル（SSLプロトコル設定）

➀SSHプロキシを詳細に設定したい場合は[SSHプロキシ]をクリックし各項目にチェックを入れます。

➁入力が完了したら[OK]ボタンを押下します。

図4.4.4.3.4. 復号プロファイル（SSHプロキシ）

4.4.4.4. SSL復号化用ポリシーの作成手順¶

➀[Policies]をクリックします。

➁[復号]をクリックします。

➂[追加]をクリックします。

図4.4.4.4.1. Policies画面

[全般]の以下の項目を入力します。

図4.4.4.4.2. 復号ポリシールール（全般）

表 4.4.4.4.1. [全般]で設定可能な項目¶
項番	項目	設定値
1	名前	任意の名前を入力します。名前は必須項目です。
2	内容	作成した復号ポリシーの説明を記載します。省略可能です。
3	監査コメント	ポリシーの設定変更時に変更内容の履歴を残したい場合に入力します。省略可能です。

[送信元]の以下の項目を選択します。

図4.4.4.4.3. 復号ポリシールール（送信元）

表 4.4.4.4.2. [送信元]で設定可能な項目¶
項番	項目	設定値
1	送信元ゾーン	VPNを指定します。
2	送信元アドレス	通信の送信元アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを送信元に指定したい場合は[追加]をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。・IPアドレス(Ex 192.168.1.1/32) ・ネットワークアドレス(Ex 192.168.0.0/16) ・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)
3	送信元ユーザー	通信の送信元ユーザーを指定します。すべてのユーザーを対象にする場合はanyを選択します。特定のユーザーを送信元に指定したい場合は[追加]をクリックし対象のユーザーを選択します。

[宛先]の以下の項目を選択します。

図4.4.4.4.4. 復号ポリシールール（宛先）

表 4.4.4.4.3. [宛先]で設定可能な項目¶
項番	項目	設定値
1	宛先ゾーン	通信の宛先ゾーンを指定します。すべてのゾーンを対象にする場合はanyを選択します。特定のゾーンを宛先に指定したい場合は[追加]をクリックし対象のゾーンを選択します。
2	宛先アドレス	通信の宛先アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを宛先に指定したい場合は[追加]をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。・IPアドレス(Ex 192.168.1.1/32) ・ネットワークアドレス(Ex 192.168.0.0/16) ・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)

[サービス/URLカテゴリ]の以下の項目を選択します。

図4.4.4.4.5. 復号ポリシールール（サービス/URLカテゴリ）

表 4.4.4.4.4. [サービス/URLカテゴリ]で設定可能な項目¶
項番	項目	設定値
1	サービス	通信で使用するサービスを指定します。すべてのサービスを許可したい場合はapplication-defaultを選択します。特定のサービスを対象に指定したい場合は[追加]をクリックし対象のサービスを選択します。
2	URLカテゴリ	「8.5.13. URLカテゴリを追加する」を参照してください。

➀[オプション]の以下の項目を選択します。

➁入力が完了したら[OK]ボタンを押下します。

図4.4.4.6.6. 復号ポリシールール（オプション）

表 4.4.4.4.5. [オプション]で設定可能な項目¶
項番	項目	設定値
1	アクション	復号なし/復号のいずれかにチェックします。復号しない場合は復号なしにチェックし、復号する場合は復号にチェックします。
2	タイプ	SSLフォワードプロキシを選択します。SSLフォワードプロキシ以外は選択しないでください。
3	復号プロファイル	復号プロファイルを設定している場合は設定した復号プロファイルを選択します。復号プロファイルの設定は「8.5.22. 復号プロファイルを追加する」を参照してください。

設定内容をコミットし、正常に反映されたことを確認します。コミット手順は「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」を参照してください。

4.4.4.5. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の有効期限の確認手順¶

SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
➀左メニューの「サービスグループ情報」から作成したサービスグループを選択します。

➁[Flexible Remote Access詳細設定]をクリックします。

➂[SSL復号化・FRAポータルアクセス(FIC経由)]をクリックします。

図4.4.4.5.1. サービスグループ選択

「SSL復号化・FRAポータルアクセス(FIC経由)」画面でSSL復号化・FRAポータルアクセス(FIC経由)共通証明書の有効期限を確認します。

図4.4.4.5.2. 有効期限の確認

4.4.4.6. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の作成手順¶

SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
➀左メニューの「サービスグループ情報」から作成したサービスグループを選択します。

➁[Flexible Remote Access詳細設定]をクリックします。

➂[SSL復号化・FRAポータルアクセス(FIC経由)]をクリックします。

図4.4.4.6.1. サービスグループ選択

[新規追加]ボタンを押下します。

図4.4.4.6.2. [新規追加]ボタン

名前、説明の箇所を入力します。

図4.4.4.6.3. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の作成

表 4.4.4.6.1. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書作成で記入可能な項目¶
項番	項目	説明
1	証明書名	任意の証明書名を入力してください。半角英数記号(-_) のみ使用可能です。
2	説明	任意の説明文を入力してください。半角英数記号(-_) のみ使用可能です。

入力が完了したら[確認]ボタンを押下します。

図4.4.4.6.4. [確認]ボタン

入力内容を確認し[実行]ボタンを押下します。

図4.4.4.6.5. 入力内容の確認

[OK]ボタンを押下します。

図4.4.4.6.6. 申し込み完了

「SSL復号化・FRAポータルアクセス(FIC経由)」画面でSSL復号化・FRAポータルアクセス(FIC経由)共通証明書が追加されたことを確認します。

図4.4.4.6.7. 申し込み完了後のSSL復号化・FRAポータルアクセス(FIC経由)画面

左メニューの[操作履歴]をクリックし、「操作履歴」画面でステータスが「COMPLETE」になっていることを確認します。

4.4.4.7. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の有効化手順¶

SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
➀左メニューの「サービスグループ情報」から作成したサービスグループを選択します。

➁[Flexible Remote Access詳細設定]をクリックします。

➂[SSL復号化・FRAポータルアクセス(FIC経由)]をクリックします。

図4.4.4.7.1. サービスグループ選択

有効化対象のSSL復号化・FRAポータルアクセス(FIC経由)共通証明書の[操作]プルダウンメニューより、[有効化]をクリックします。

図4.4.4.7.2. [有効化]をクリック

内容を確認し、[実行]ボタンを押下します。

図4.4.4.7.3. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の有効化の確認

[OK]ボタンを押下します。

図4.4.4.7.4. 有効化申し込み完了

「SSL復号化・FRAポータルアクセス(FIC経由)」画面で対象のSSL復号化・FRAポータルアクセス(FIC経由)共通証明書が有効化されたことを確認します。

図4.4.4.7.5. 申し込み完了後のSSL復号化・FRAポータルアクセス(FIC経由)画面

左メニューの[操作履歴]をクリックし、「操作履歴」画面でステータスが「COMPLETE」になっていることを確認します。

4.4.4.8. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の削除手順¶

SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
➀左メニューの「サービスグループ情報」から作成したサービスグループを選択します。

➁[Flexible Remote Access詳細設定]をクリックします。

➂[SSL復号化・FRAポータルアクセス(FIC経由)]をクリックします。

図4.4.4.8.1. サービスグループ選択