Management Server で証明書を管理する

Management Serverの証明書のすべての管理タスクを表示あるいは完了するには、WatchGuard WebCenter ツールである CA Manager を使用します。Management Serverの証明書を表示あるいは消去するのみの場合は、WatchGuard System Manager 証明書メンテナンス ツールを使用します。

CA Manager に接続する

CA Manager を起動するには、WatchGuard System Managerを使用するか、もしくはCA Manager を直接 Web ブラウザに接続します。

WSMから CA Manager に直接接続するには:

  1. WatchGuard System Manager を起動して、Management Server に接続します。
    接続するには、構成パスフレーズを入力する必要があります。
  2. デバイス管理 タブを選択します。
  3. CA Manager アイコン をクリックします。
    または、ツール > CA Manager の順に選択します。

CA Manager を Web ブラウザから接続するには:

  1. Web ブラウザを起動して、https://<Management Server の IP アドレス>:4130 へ移動します。
    WatchGuard WebCenter のログインページが表示されます。
  2. ID とパスワードを入力して ログイン をクリックします。
    WatchGuard WebCenter が表示されます。
  3. 左側のナビゲーションメニューで、CA Manager セクションからオプションを選択します。

CA Manager に接続した後、Management Serverと管理されたデバイスについて証明書の表示、生成、取消、元に戻す、破棄、アップロード、発行ができるようになります。

現在の証明書を管理する

CA Manager から、シリアル番号、一般名、部門ユニットで Management Server の証明書を検索できます。リストの証明書はいずれも取消、元に戻す、破棄することができます。証明書を取り消した場合、その証明書は証明書失効リスト (CRL) に追加され、認証に使用できません。証明書を再び有効にすると、その証明書は CRL から削除され、再び使用できるようになります。証明書を削除または破棄した場合、CRL には追加されませんが、証明書が認証に使用できなくなります。Firebox が Management Server に接続する時、CRL は各 Firebox に公開されています。

Firebox と Management Server の最新の証明書を管理するには、以下の手順を実行します。

  1. CA Manager > 管理 の順に選択します。
    管理ページが開き、Management Server が証明書を保存しているすべてのデバイスのリストが表示されます。

CA Manager 管理 ページのスクリーンショット

  1. 次のセクションの指示に従い、証明書を管理します。

証明書リストのフィルタリング

管理 ページに表示される 証明書のリストで、特定の証明書をフィルタリングすることができます。

証明書のリストをフィルタリングするには次の手順を実行します:

  1. ドロップダウン リスト から オプション を選択して次の項目でフィルタリングできます。
    • シリアル番号
    • 一般名
    • 部門名
  2. フィルタ テキスト ボックスで、選択したフィルタ オプションに対応するテキストを入力します。
    たとえば、シリアル番号 を選択した場合、シリアル の列に、検索する証明書のシリアル番号を入力します。
  3. フィルタ ドロップダウン リストからオプションを 1 つ選択します。
    • すべて
    • 有効のみ
    • 取り消しのみ
    • 期限切れのみ
  4. 検索 をクリックします。
    証明書リストが更新され、特定のパラメータに合致するものが表示されます。

証明書のステータスの変更

証明書のリストは、Management Server CA の管理下にある各証明書のステータスを含んでいます。管理 ページから、リスト内の証明書の取り消し、元に戻す、破棄を行うことができます。たとえば、いくつかの証明書で、いったん取り消したものを元に戻す場合は、それぞれの証明書を選択してから、選択された証明書のステータスを一括で変更できます。

1 つまたは複数の証明書ステータスの変更:

  1. 各証明書の横にある各チェックボックスで選択します。
  2. アクション ドロップダウン リストから、アクションを 1 つ選択します。
    • 取り消す
    • 元に戻す
    • 破棄

完了すると、新しい証明書のステータスが ステータス の列に表示されます。

また、証明書のステータスは、すべての証明書のデータをみるときにも変更することができます。

証明書リストからの変更:

  1. シリアル の列の証明書の番号をダブルクリックします。
    証明書データを表示 のダイアログ ボックスが表示されます。
  2. ボタンをクリックして、アクションを完了します:
    • 取り消す
    • 元に戻す
    • 破棄

証明書を表示する

CA Manager から、認証機関と Management Server の CA 証明書の証明書詳細を表示できます。Management Server が管理するその他のすべての証明書は、証明書の署名アルゴリズム、発行者、パブリック キー情報を含め、詳細情報を表示することができます。

認証機関(ルート)証明書と Management Server の CA 証明書を見るには:

  1. CA Manager セクションで、表示 を選択します。
    CA 証明書のテキストと Management Server CA 証明書とともに表示ページが表示されます。

CA Manager 表示 ページのスクリーンショット

  1. これらの証明書の内容を保存するには、証明書のテキストを選択して、コンピュータ上のファイルにコピーします。

証明書の全データを表示するには:

  1. CA Manager セクションで、管理 を選択します。
    管理 ページが表示されます。
  2. 証明書の シリアル の列で、シリアル番号をダブルクリックします。
    証明書データを表示 のダイアログ ボックスが表示されます。

Screen shot of the View Certificate Data dialog box

新しい証明書要求を作成する

証明書署名要求 (CSR) を作成するには:

  1. CA Manager セクションから、生成 を選択します。
    新しい証明書ページを生成が表示されます。

新しい証明書ページを生成のスクリーンショット

  1. サブジェクトの一般名、パスワードおよび証明書の有効期限を入力します。
    • Firebox 認証ユーザーの場合、一般名は Firebox (通常、Firebox の IP アドレス) の識別情報と一致する必要があります。
    • 汎用的な証明書の場合、一般名はユーザー名です。
  2. 証明書が生成された後に、証明書をダウンロードするには、証明書のダウンロードチェックボックスをオンにします。
  3. 生成 をクリックします。

証明書署名要求を作成するために Firebox System Manager を使用すると、Firebox ではプライベート キーが作成されます。デバイスからこのプライベート キーをエクスポートすることはできません。別のデバイスにサーバー証明書を使用したい場合、証明書をインポートするためにこのプライベート キーが必要になります。証明書署名要求とプライベート キーを作成するための別の方法については、次を参照してください:OpenSSL で CSR を作成する

証明書を作成する方法の詳細については、次を参照してください:証明書 CSR を作成する

証明書要求に署名する

また CA Manager を使って、異なったデバイスからの証明書要求に署名することもできます。あらかじめ証明書の一般名と部門ユニットを控えておいてください。

証明書要求に署名するには:

  1. CA Manager セクションで アップロード を選択します。
    アップロードページが表示されます。

WatchGuard Reporting WebCenter アップロードページ のスクリーンショット

  1. 証明書の 一般名部門ユニット を入力します。
  2. ブラウズ を クリックして、CSR(証明書署名要求)ファイルを検索します。
  3. アップロード をクリックします。

証明書失効リストを発行する

CA Manager から、Management Server に接続されている各 Firebox に CRL (証明書失効リスト)を利用可能にすることができます。

  1. CA Manager セクションで 発行 を選択します。
    発行 ページが表示されます。
  2. 発行 を選択します。

管理対象 Firebox が証明書の検証を次回試行するときには、証明書は無効になっています。取り消された証明書が VPN 認証に使用された場合、 VPN トンネルが無効になります。

WatchGuard System Manager から証明書を管理する

Management Server が使用している証明書を表示し、不要になった証明書を削除するには:

  1. WatchGuard System Manager を起動して、Management Server に接続します。
    接続するには、構成パスフレーズを入力する必要があります。
  2. ファイル > 証明書 の順に選択します。
    Management Server で使用される証明書のリストと、証明書のメンテナンス ダイアログ ボックスが表示されます。

証明書のメンテナンス ダイアログ ボックスのスクリーンショット

  1. 証明書を削除するには、証明書を選択し、削除 をクリックします。
    証明書が Management Server によって現在使用されている場合、証明書を削除する前にサーバーから切断する必要があります。
  2. OK をクリックします。

Management Server 証明書を削除した場合、Microsoft Internet Explorer の証明書は削除されません。

関連情報:

証明書について

デバイス証明書を管理する (WSM)

WebCenter でログ メッセージとレポートを参照する

WatchGuard WebCenter に接続する