購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
3707
閲覧回数
1
いいね!
0
コメント

Umbrella: 組織が発行した CA 証明書の使用について

tkitahar
Cisco Employee
Cisco Employee

‎2023-02-02 02:47 PM ‎2025-08-24 10:36 PM 更新

 

2025 年 8 月 24 日現在の情報をもとに作成しています

 

1. はじめに

 

本記事では、Web ポリシー内の HTTPS 通信の復号のため、Umbrella のルート CA (Certificate Authorities) 証明書を使う代わりに、組織が発行した CA 証明書を使用する方法について紹介します。

 

※ どちらの方法においても、厳密には中間 CA 証明書が使われる形となりますが、本記事ではその点を簡略化して説明しています

※ Web ポリシーを使用するには、SIG またはそれ相当のサブスクリプション契約が必要です

 

2. Umbrella のルート CA 証明書について

 

本題に入る前に、まずは Umbrella が用意したルート CA 証明書について説明します。

 

Umbrella で使用されるクラウド型の Web プロキシ サーバーには、Intelligent Proxy (DNS ポリシーで使用) SWG (Web ポリシーで使用) がありますが、これらのプロキシ サーバーで HTTPS 暗号化通信の中身を検査する場合、Umbrella 自体がサーバー証明書を発行する CA の役割を果たす必要があります。

 

具体的には、プロキシ サーバーはユーザーから送られてきた HTTPS リクエストを復号するために、その場で対象のドメインの実在性を証明する自己署名付きのサーバー証明書を生成します。

 

このサーバー証明書は、通常誰からも信頼されませんが、ユーザー側に Umbrella のルート CA 証明書が配布されていれば、ユーザーはサーバー証明書の正当性を確認し、プロキシ サーバーとの HTTPS 通信を継続します。

 

その後、プロキシ サーバーは、ユーザーからの HTTPS リクエストの中身をそのまま使った HTTPS リクエストを目的の Web サーバーに対して送信します。

 

以上により、プロキシ サーバーはユーザーと Web サーバーの中間に入り込むこととなり、HTTPS 通信を完全に制御できるようになるわけです。

 

また、このルート CA 証明書は、上記のような HTTPS 通信の復号以外にも、ブロックページを正常に表示させるためにも使われます。

 

なお、この機能の一番の欠点は、プロキシ サーバーを利用するすべてのユーザーの端末に、前もって Umbrella のルート CA 証明書を配布しておく必要があることです。

 

その運用の手間を解消するための方法の一つとして、組織が発行した CA 証明書を代わりに使用する方法が用意されました。次項で詳しく説明します。

 

3. 組織が発行した CA 証明書について

 

最初に注意事項から述べますが、組織が発行した CA 証明書を使う方法は、DNS ポリシーでは利用できず、SWG (Web ポリシー) でのみ利用可能となります。

 

例えば、ユーザー側に Cisco Secure Client がインストールされており、ユーザーの Web 通信が DNS ポリシーによってブロックがされた場合は、ブロックページの表示のために Umbrella のルート CA 証明書が使われます (たとえ組織が発行した CA 証明書を設定していたとしても)。

 

まずは、組織が発行した CA 証明書の準備と使用時の流れについて説明します。

 

最初に、下準備として Umbrella 側で CA 証明書のもととなるキーペア (公開鍵/秘密鍵) を生成し、公開鍵などの情報を組織内の CA 局に渡します。次に、組織内の CA 局では、受け取った公開鍵に対して署名を行い、CA 証明書を発行します。最後に、発行された CA 証明書を Umbrella 側に登録します。以上により、Umbrella は組織の下位の CA の立場でサーバー証明書を発行できるようになります。

 

実際の使用時の流れを見てみます。SWG がユーザーからの HTTPS リクエストを受け取ると、その場で対象のドメインの実在性を証明するためのサーバー証明書を生成し、ユーザーに返します。AD ドメインに参加しているユーザーの端末などには、組織のルート CA 証明書が自動でインストールされるため、これを使ってサーバー証明書の正当性を確認し、SWG との HTTPS 通信を継続します。この方法であれば、ユーザー側に証明書をインストールする追加作業が必要ありません。

 

では、実際に組織が発行した CA 証明書を設定してみます。Umbrella Dashboard の導入 > 設定 > ルート証明書 (Root Certificate) を開きます。デフォルトでは、Cisco Root Certificate Authority という項目のみがあり、常に Umbrella のルート CA 証明書が使われます。

 

tkitahar_0-1675311605204.png

 

組織が発行した CA 証明書を使うには、まず右上の Add ボタンをクリックし、表示した Add a new Certificate Authority 画面の Certificate Identifier に任意の名前を入力して、SAVE ボタンをクリックします。

  

tkitahar_1-1675311621148.png

 

Download Umbrella’s CSR 画面が表示されますので、CA 証明書を発行する上で必要な情報が書かれた CSR (Certificate Signing Request) をダウンロードし、DONE ボタンをクリックします。

 

tkitahar_2-1675311638452.png

 

ダウンロードした CSR をもとに、組織の CA 側で新しい CA 証明書を作ります。なお、以下の公開文書に記載されている前提条件を必ず満たす必要があります。

 

Add Customer CA Signed Root Certificate

https://docs.umbrella.com/umbrella-user-guide/docs/add-customer-ca-signed-root-certificate

 

※ 具体的な CA 証明書の作り方については、各ベンダーのドキュメントを参照してください

 

Umbrella Dashboard に戻り、先ほど作成したエントリー内の UPLOAD CA ボタンをクリックします。

 

tkitahar_3-1675311665498.png

 

CSR を紛失した場合、Download CSR リンクから再度ダウンロードできます

 

Upload CA 画面が開くので、Certificate Authority に先ほど作成した CA 証明書をアップロードし、SAVE ボタンをクリックします。

 

tkitahar_4-1675311682923.png

 

Signing CA’s Public Root Certificate に組織のルート CA 証明書をアップロードすることで、CA 証明書の内容が正しいかチェックすることができます  (任意)

 

Status が「Pending Identity Selection」に変わりますので、SELECT IDENTITIES ボタンをクリックします。

 

tkitahar_5-1675311747488.png

 

組織が発行した CA 証明書を適用したいアイデンティティを選択し、SAVE ボタンをクリックします。

 

tkitahar_6-1675311769567.png

 

※ 他の CA 証明書のエントリーで既に設定したアイデンティティは選択できません

 

ステータスが Active となったら、設定完了です。

 

tkitahar_7-1675311783053.png

 

ユーザーの Web ブラウザで www.example.com にアクセスした際の実際のサーバー証明書の中身を見てみると、証明書の階層の最上位が組織のルート CA 証明書となっていることが分かります。

 

tkitahar_8-1675311796956.png
ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents