Management Server で認証機関 (CA) を構成できます。ただし、管理者は通常 CA 証明書のプロパティを変更しません。
Management Server コンピュータの WatchGuard Server Center で、以下の手順を実行します:
- サーバー ツリーから Management Server を選択します。
[Management Server] ページが表示されます。 - 証明書 タブを選択します。
- 次のセクションの説明に従って、認証設定を構成します。
- 認証機関のすべてのログ メッセージの診断ログ レベルを デバッグ に設定するには、認証機関のログ メッセージのログ レベルを デバッグに設定する チェックボックスを選択します。
Management Server の追加のログ記録設定を構成するには、ログ記録 タブを選択します。詳細については、Management Server のログ記録の設定を構成する を参照してください。 - 変更内容を保存するには、適用 をクリックします。
認証機関のプロパティの設定
認証機関 セクションで:
- 一般名 テキスト ボックスに、CA 証明書に表示させたい名前を入力します。
- 組織 テキスト ボックスに、CA 証明書の組織名を入力します。
- 証明書の有効期限 テキスト ボックスに、CA 証明書の期限が切れるまでの日数を入力します。
証明書の有効期限を長くすると、攻撃者が攻撃を試みる時間も長くなります。 - キー ビット ドロップ ダウン リストから、証明書に適用する強度を選択します。キー ビット の数字が大きくなるほど、キーを保護する暗号法の強度が高くなります。
クライアント証明書のプロパティの設定
クライアント セクションにて:
- 証明書の有効期限 テキスト ボックスに、クライアント証明書の期限が切れるまでの日数を入力します。
証明書の有効期限を長くすると、攻撃者が攻撃を試みる時間も長くなります。 - キー ビット ドロップ ダウン リストから、証明書に適用する強度を選択します。
キー ビット の数字が大きくなるほど、キーを保護する暗号法の強度が高くなります。
証明書失効リスト (CRL) のプロパティの設定
証明書失効リストの配布 IP アドレスとして使用する IP アドレスを追加および削除することができます。
Firebox では、IP アドレスをリスト順に使用します。IP アドレスが応答しない場合、Firebox は要求に応答するアドレスが見つかるまで、リストの次のアドレスを試行します。リスト内の IP アドレスの表示順は、変更することができます。
既定では、配布先 IP アドレスは Gateway Firebox のアドレスです。このアドレスは、リモート管理されている Firebox が Management Server に接続するときに使用する IP アドレスでもあります。ゲートウェイ Firebox の外部 IP アドレスが変更された場合、この値を変更する必要があります。
サードパーティー NAT ゲートウェイ デバイスの背後にリモート Firebox があり、かつ SSL を介した管理トンネルを使ってそれらのデバイスに接続されている場合は、Management Server のプライベート IP アドレスが 配布 IP アドレス リストに含まれる最初の IP アドレスになるようにしてください。
管理トンネルの詳細については、次を参照してください: 管理トンネルについて。
CRL の発行回数を指定する発行間隔の設定も可能です。この期間が経過すると、CRL は自動的に発行されます。既定の設定はゼロ (0) で、この場合、CRL は 720 時間 (30 日) ごとに発行されます。CRL は、証明書の取り消し後にも更新されます。
ダイアログ ボックスの 証明書失効リスト セクションにて:
- 配布 IP アドレス リストに新しいアドレスを追加するには 追加 をクリックします。
CRL IP アドレス ダイアログ ボックスが表示されます。
- IP アドレス テキスト ボックスに、CRL 配布リストで使用する IP アドレスを入力します。
- OK をクリックします。
追加した IPアドレスが 配布先 IP アドレス リストに表示されます。 - 配布 IP アドレス リストにおける IP アドレスの表示順を変更するには、IP アドレスを選択し、上 または 下 をクリックします。
- 配布 IP アドレス リストから IP アドレスを削除するには、IP アドレスを選択し、削除 をクリックします。
- 発行間隔 テキスト ボックスに、CRL が自動的に発行されるまでの時間数を入力します。