プロジェクト

全般

プロフィール

Wiki »

Sophos SafeGuard Enterprise 7.0 SSL設定

クライアント to SGN Server間の管理通信のSSL暗号化を解説します。

趣旨

管理通信の暗号化方式は製品独自方式(SOPHOS)とSSLの2種類存在します。SSL通信は暗号化の標準であり、
製品独自方式に比べて効率に優れるためデフォルト値およびメーカ推奨はSSLとなっています。

ただし、SSLに対応売るためにはサーバ側にいくつかの設定を追加で行う必要があります。また、この暗号
化の対象範囲はクライアントサーバ間であるため、データベースサーバとのSSL通信は対象外となります。

IISへのSSL自己証明書の設定

  • SafeGuard Enterprise を用いて以下の手順で証明書を作成します。
    1. スタートメニューから「Sophos」→「SafeGuard Enterprise」→「Certificate Manager」を実行します。
    2. 右から3つめのアイコン「新しい証明書を作成する」ボタンを押します。
    3. 以下の設定を行い証明書を作成します。
      1. 「新しい証明書のコモンネーム」に「SGNサーバのホスト名」を入力します。
        1. 構成パッケージツールで確認出来る名前にする必要があります。場合によってはIPアドレスの場合があります。
      2. 「鍵長」は「2048」を選択します。
      3. 必要な署名アルゴリズムは「SHA-256」を選択します。
        ただし、クライアントバージョンが混在している場合やWindows7SP1未満を管理する場合は「SHA-1」にする必要があります。
      4. パスワードを設定します。
      5. 有効期限を設定します。デフォルトでは5年先ですが、自己署名なので可能な限り長くしても良いでしょう。
      6. 「OK」ボタンを押して、保存先を設定して証明書ファイルを作成します。
  • IISマネージャの設定
    1. スタートメニューから「管理ツール」→「IISマネージャ」を起動します。
    2. 左側ツリーから「スタートページ」の次にある「ホスト名」を選択します。
    3. 「IIS」グループの「サーバー証明書」をダブルクリックします。
    4. 右側の「インポート」を実行し、証明書のインポートを行います。
      1. 証明書ファイルの「…」ボタンを押し、選択ウィンドウを開きます。
      2. 拡張子のプルダウンメニューを「.pfx」から「*.*」に変更します。
      3. 先ほど作詞した「サーバのホスト名.p12」ファイルを選択します。
      4. パスワードを入力してインポートを実行します。完了後、リストアップされることを確認します。
    5. 左側のツリーから「Default Web Site」を選択します。
    6. 右側のメニューから「バインド」を選択し、「サイト バインド」ウィンドウを起動します。
      1. 「追加」ボタンを押します。
      2. 「種類」に「https」を選択します。
      3. 「IPアドレス」に「未使用のIPアドレスすべて」を選択します。
      4. 「ポート」に「443」を選択します。
      5. 「SSL証明書」のプルダウンから「サーバのホスト名」を選択します。
      6. OKボタンを押し、一覧にhttps設定が追加されていることを確認して閉じます。
    7. 右側のメニューから「Webサイトの管理」にある「再起動」を実行します。
  • サーバ証明書のインポート
    1. エンドポイント上でMMCコンソールを起動し、「スナップインの追加と削除」で「証明書(ローカルコンピュータ)」を追加します。
    2. 「信頼されたルート証明機関」を右クリックし、「すべてのタスク」→「インポート」を実行します。
    3. 前項で作成した「SGNサーバのホスト名.cer」ファイルを参照し、追加を行います。
    4. 証明書が追加されたことを確認し、MMCを終了します。

上記の設定を行い、構成パッケージツールで「構成パッケージの作成(管理型)」において「転送データ
の暗号化」を「SSL」に設定します。「構成パッケージの作成」を実行するとSSL接続の通信確認を行い
ますのでパス出来ればサーバの設定は完了です。

クライアント側での設定

自己署名証明書を利用するため、前項で作成した証明書をクライアント側のWindowsでインポートし、
「信頼されたルート証明機関」として登録する必要があります。通常はADのGPOでインポートする
タスクを組む方が現実的ですが、ここではスタンドアロンな方法で説明します。

  • サーバ証明書のインポート
    1. エンドポイント上でMMCコンソールを起動し、「スナップインの追加と削除」で「証明書(ローカルコンピュータ)」を追加します。
    2. 「信頼されたルート証明機関」を右クリックし、「すべてのタスク」→「インポート」を実行します。
    3. 前項で作成した「SGNサーバのホスト名.cer」ファイルを参照し、追加を行います。
    4. 証明書が追加されたことを確認し、MMCを終了します。
  • 注意事項
    MMCを使わずに証明書ファイルを右クリックしてインポートを行うと、「ログオンユーザ限定」で証明書が
    追加されてしまい、「システムユーザ」として動作しているSGNのクライアントに証明書認証が適用されません。
    必ずMMC経由でローカルコンピュータの証明書としてインポートする必要があります。

あとは通常通り構成パッケージやインストーラを使用してSGNクライアントのインストールを行います。