よくあるご質問
キーワードから探す
- FAQ検索
- ID検索
カテゴリから探す
- よくあるご質問
- 詳細
セキュリティ証明書警告画面が表示される
HTTPSデコード利用時、特定のHTTPSサイトでInterSafe WebFilterの警告画面が表示されます。
この警告画面が表示しないようにするにはどのような設定をすればよいですか?
*本FAQは、InterSafe WebFilterのHTTPSデコード機能を有効化されていることが前提です。
通常、HTTPS通信はクライアントが直接Webサーバと暗号化通信を行ないます。
InterSafeでHTTPS解析機能(HTTPSデコード機能)が有効の場合、自己認証方式により
この事象を回避するには、以下いずれかの対策を行ってください。
【回避策】
[1].HTTPSデコード対象ホストから除外する
(※対象ホストに対してデコード処理を行なわなくなります。)
下記設定項目にて、HTTPSデコード対象ホストの登録をしてください。
●Ver8.0以降の場合
管理画面 [共通アクセス管理]-[HTTPS規制設定]
※Ver8.5以降では登録する除外ホストに「*」を使って登録することが可能です。
InterSafeでHTTPS解析機能(HTTPSデコード機能)が有効の場合、自己認証方式により
HTTPS通信のデコード処理を行ないます。
HTTPSデコード機能有効時、InterSafeがWebサーバと暗号化通信を行なう際に、Webサーバ
よりサーバ証明書を受け取ります。受け取ったサーバ証明書はInterSafeにて証明書チェックが
行なわれ、チェック対象に不備がある場合に下記の警告画面が表示されます。
この事象を回避するには、以下いずれかの対策を行ってください。
【回避策】
[1].HTTPSデコード対象ホストから除外する
(※対象ホストに対してデコード処理を行なわなくなります。)
下記設定項目にて、HTTPSデコード対象ホストの登録をしてください。
●Ver8.0以降の場合
※Ver8.5以降では登録する除外ホストに「*」を使って登録することが可能です。
※Ver8.0では完全一致での判定となります。また、正規表現は利用できません。
●Ver7.0の場合
管理画面 [システム管理]-[フィルタリング共通設定]-[HTTPS規制設定]
※登録する除外ホストは完全一致での判定となります。また、正規表現は利用できません。
[2].証明書チェックから除外する
(※証明書チェックをパスしますが、デコード処理は行なわれます。)
InterSafeの設定ファイルに「HTTPS_CERT_IGNORE_HOST」を追加します。
■設定ファイル
<インストールディレクトリ>/conf/proxy.inf
[BLOCK_CFG]セクションに「HTTPS_CERT_IGNORE_HOST」を
追記して、証明書チェックから除外するホストを登録します。
■設定項目
[BLOCK_CFG]
HTTPS_CERT_IGNORE_HOST=
管理画面 [システム管理]-[フィルタリング共通設定]-[HTTPS規制設定]
※登録する除外ホストは完全一致での判定となります。また、正規表現は利用できません。
[2].証明書チェックから除外する
(※証明書チェックをパスしますが、デコード処理は行なわれます。)
InterSafeの設定ファイルに「HTTPS_CERT_IGNORE_HOST」を追加します。
■設定ファイル
<インストールディレクトリ>/conf/proxy.inf
[BLOCK_CFG]セクションに「HTTPS_CERT_IGNORE_HOST」を
追記して、証明書チェックから除外するホストを登録します。
■設定項目
[BLOCK_CFG]
HTTPS_CERT_IGNORE_HOST=
(設定例)
HTTPS_CERT_IGNORE_HOST=www.alsi.co.jp
※登録ホストは完全一致となります。正規表現は利用できません。
※複数のホストを指定する場合は、カンマ(,)で区切ってください。
※登録ホストは完全一致となります。正規表現は利用できません。
※複数のホストを指定する場合は、カンマ(,)で区切ってください。
※設定後は設定の再読み込みが必要となります。
再読み込みのコマンド
<インストールディレクトリ>/bin/amsdata -reload
再読み込みのコマンド
<インストールディレクトリ>/bin/amsdata -reload
[3].証明書リストの更新
旧バージョン(ver.8.5以前)の設定ファイルを使用してアップデートを行った
InterSafe WebFilterをご利用の場合、証明書のチェック時に使用する証明書リストは
古いバージョンのものを引き継ぎます。証明書リストが古い場合は、更新することで
証明書警告画面を回避できる場合がございます。
更新手順については、以下をご参照ください。
参考FAQ「証明書リスト更新」
【Windows コマンド例】(コマンドは 1 行です)
※<インポートする証明書>には実際のファイル名を記述します。
※パスワードは「secret」です。
※登録後はISWF の全サービスを再起動します。
なお、WebFilterへ登録可能な証明書の形式は以下となっております。
[4].上位プロキシの証明書インストール
WebFilterとインターネットの間に上位プロキシを挟んだ構成において、
上位プロキシ側でもHTTPSデコードを行っている環境の場合、
上位プロキシ側でもHTTPSデコードを行っている環境の場合、
上位プロキシの証明書がWebFilter側に登録していないことが原因で
セキュリティ証明書警告画面が表示される可能性がございます。
下記設定項目にて、上位プロキシの証明書を登録してください。
●Ver9.1 SP2以降の場合
管理画面 [サーバ管理]-[信頼済み証明書設定]
●Ver9.1 SP2以前の場合
以下コマンドにて登録が可能です。
【Linux コマンド例】(コマンドは 1 行です)
<インストールディレクトリ>/jre/bin/keytool -keystore <インストールディレクトリ>/conf/cacerts -importcert -alias <任意の識別名> -file <インポートする証明書>
セキュリティ証明書警告画面が表示される可能性がございます。
下記設定項目にて、上位プロキシの証明書を登録してください。
●Ver9.1 SP2以降の場合
管理画面 [サーバ管理]-[信頼済み証明書設定]
●Ver9.1 SP2以前の場合
以下コマンドにて登録が可能です。
※必ず事前に証明書リスト(cacerts)のバックアップを行ってください。初期値では以下に保存されています。
/usr/local/intersafe/conf/cacerts
【Linux コマンド例】(コマンドは 1 行です)
<インストールディレクトリ>/jre/bin/keytool -keystore <インストールディレクトリ>/conf/cacerts -importcert -alias <任意の識別名> -file <インポートする証明書>
【Windows コマンド例】(コマンドは 1 行です)
<インストールディレクトリ>\jre\bin\keytool -keystore <インストールディレクトリ>\conf\cacerts -importcert -alias <任意の識別名> -file <インポートする証明書>
※<インポートする証明書>には実際のファイル名を記述します。
※パスワードは「secret」です。
※登録後はISWF の全サービスを再起動します。
なお、WebFilterへ登録可能な証明書の形式は以下となっております。
【登録可能証明書】
CA証明書
※以下の定義を満たしている必要があります。
basicConstraints=critical,CA:true
【ファイル形式】
DER または PEM形式
対象バージョン
All
対象ビルド
カテゴリ
一般情報
関連するご質問
- よくあるご質問
- 詳細