証明書管理

ホスト証明書

デバイスのホスト名を変更する場合や、デバイスへの初回ログインの後には、新しいSSL証明書を生成することを強くお勧めします。セキュアなHTTPSプロトコルのための証明書を生成できます。証明書を生成するには、[生成]をクリックします。選択を確認するよう求められます。[保存]をクリックします。これにより、Flowmonによって自動的に署名され、デバイスの新しいホスト名に対して有効な証明書が新たに生成されます。最後に、新しい証明書をブラウザで許可します。

自分の証明書を生成した場合は、[アップロード]をクリックして適用できます。証明書ファイル(*.crt)とプライベートキーファイル(*.key)を選択し、[OK]をクリックします。

CA証明書

[CA証明書]では、ユーザが認証局(CA)証明書をシステムに追加できます。[Configuration Center] > [システム] > [システム設定] > [プロキシ]でプロキシを有効にすると、CA証明書が使用されます。プロキシサーバ使用時、プロキシサーバの証明書がシステムに保存されたCA証明書に適合しているかどうかをFlowmonアプライアンスが検証します。証明書の検証は、外部サーバとのセキュアな接続を確立するために必要です。検証に失敗すると、外部リソースへのアクセス(ソフトウェアアップデートなど)は拒否されます。構成済みのプロキシサーバが独自のCAを使用してユーザのリクエスト(SSL Bump)に基づくサーバ証明書を生成し、CAがシステムに追加されていない場合は、検証に失敗する可能性があります。

CA証明書をシステムに追加するには、[新しい証明書]をクリックします。証明書ファイルを選択します。サポートされる証明書ファイルは、.pem、.crt、.derのいずれかの拡張子のファイルです。CA証明書はテキストまたはバイナリ形式とします。[アップロード]をクリックして、CA証明書を確認のためにアップロードします。CA証明書が有効であれば、その詳細が表示されます。アップロードしたCA証明書を追加するには、[インポート]をクリックします。アップロードしたファイルに複数の証明書が含まれる場合は、最初の証明書だけが処理されるのでご注意ください。複数のCA証明書を含む信頼できるチェーンを追加する必要がある場合は、CA証明書を1つずつ追加してください。

新しいCA証明書を追加するときは、以下の要件を満たす必要があります。

• 有効期限開始日(開始日前ではない)が過去の日付であること

• 有効期限終了日(終了日後ではない)が将来の日付であること

• Basic Constraints拡張にCAビットが含まれること

サブジェクトまたは発行者が空白のCA証明書が追加されると、GUIでのコモンネームがEmpty Common Nameと表示されます。

既存のCA証明書の有効期限が切れると、システムメッセージに新しいメッセージが表示されます(ベルアイコンで通知)。24時間おきに有効期限のチェックが実行されます。

[再読み込み]をクリックし、システムに追加されたすべての証明書を再読み込みします。このとき、上記のCA証明書の有効期限もチェックされます。

それぞれのCA証明書の横にある[削除]をクリックするとCA証明書が削除され、[エクスポート]をクリックするとダウンロードされます。