サーバー証明書とチェーン証明書のSonicWALL SSL Offloaderへのインポート

チェーン証明書

どのSonicWALL SSL Offloaderもチェーン証明書をサポートします。SonicWALL SSL Offloaderにインポートする前に1つの証明書を解凍して複数の証明書にしたら、チェーン証明書コマンドを使ってインポートする必要があります。証明書は、サーバー/ドメイン証明書に加えてルート証明書、中間CA証明書からなります。

例 - OpenSSLの使用手順

お客さまは証明書を受け取ったら、ルート証明書、中間CA証明書、サーバー証明書に解凍してSonicWALL SSL Offloaderにインポートできるようにしなければなりません。

最初に解凍によって3種類の証明書を取得しますが、必要なのは中間CA証明書とサイト/ドメイン証明書だけです。

openssl.exeを起動します。このアプリケーションはSonicWALL構成マネージャーと同じ時期、同じ場所にインストールされました。インストールを実行することも、[Custom Installation]オプションを選んでOpenSSLのインストールだけを実行することもできます。

openssl起動後、テキストエディターで中間CA証明書ファイルとサイト/ドメイン証明書ファイルを開きます。

下記を含む全テキストをコピーして貼り付ける必要があります。
-----BEGIN CERTIFICATE-----
と
-----END CERTIFICATE-----

サイト/ドメイン証明書はサーバー証明書です。
中間CA証明書ファイルは中間証明書です。

この2つのファイルを保存します(C:\server.pemとC:\inter.pemなど)。

opensslで証明書の情報を確認します。
x509 -in C:\server.pem -text
(と)
x509 -in :C\inter.pem -text

例 - チェーン証明書のセットアップ

適切な証明書をすべて取得したら、まず最初にそれらの証明書をそれぞれ証明書オブジェクトにロードします。それら個別の証明書オブジェクトを1つの証明書グループにロードします。この例では、2つの証明書を個別の証明書オブジェクトにロードし、1つの証明書グループを作成し、証明書チェーンとしてその証明書グループの使用を有効にする方法を示しています。Transaction Securityデバイスの名前はmyDeviceです。セキュアな論理サーバーの名前はserver1です。PEMエンコードCA生成証明書の名前はserver.pemで、PEMエンコード証明書の名前はinter.pemです。認められている証明書オブジェクトおよびローカル証明書オブジェクトの名前はそれぞれ、trustedCertとmyCertです。証明書グループの名前はCACertGroupです。

SonicWALL構成マネージャーをマニュアルの記述どおりに開始します。

SonicWall構成マネージャーをアタッチし、Configurationモードに入ります(アタッチまたはconfigurationlevelのパスワードがTransaction Securityデバイスに割り当てられている場合、パスワードを入力するよう求められます)。
inxcfg> attach myDevice
inxcfg> configure myDevice
(config[myDevice])>

SSL Configurationモードに入り、"CACert" という中間証明書を作成し、Certificate Configurationモードに入ります。PEMエンコードファイルを証明書オブジェクトにロードし、SSL Configurationモードに戻ります。 (config[myDevice])> ssl
(config-ssl[myDevice])> cert myCert create
(config-ssl-cert[CACert])> pem inter.pem
(config-ssl-cert[CACert])> end
(config-ssl[myDevice])>

Key Association Configurationモードに入り、PEMエンコードCA証明書ファイルと秘密鍵ファイルをロードし、SSL Configurationモードに戻ります。
(config-ssl[myDevice])> keyassoc localKeyAssoc create
(config-ssl-keyassoc[localKeyAssoc])> pem server.pem key.pem
(config-ssl-keyassoc[localKeyAssoc])> end
(config-ssl[myDevice])>

Certificate Group Configurationモードに入り、証明書グループCACertGroupを作成します。証明書オブジェクトCACertをロードし、SSL Configurationモードに戻ります。
(config-ssl[myDevice])> certgroup CACertGroup create
(config-ssl-certgroup[CACertGroup])> cert myCert
(config-ssl-certgroup[CACertGroup])> end
(config-ssl[myDevice])>

Server Configurationモードに入り、論理セキュアサーバーserver1を作成し、IPアドレスを割り当てます。次に、テキストポート、セキュリティーポリシーmyPol、証明書グループCACertGroup、キーアソシエーションlocalKeyAssocをクリアし、トップレベルモードに戻ります。 (config-ssl[myDevice])> server server1 create
(config-ssl-server[server1])> ip address 10.1.2.4 netmask 255.255.0.0
(config-ssl-server[server1])> sslport 443
(config-ssl-server[server1])> remoteport 81
(config-ssl-server[server1])> secpolicy myPol
(config-ssl-server[server1])> certgroup chain CACertGroup
(config-ssl-server[server1])> keyassoc localKeyAssoc
(config-ssl-server[server1])> end
(config-ssl[myDevice])> end
(config[myDevice])> end
inxcfg>

構成内容をフラッシュメモリーに保存します。保存しないと、パワーサイクル(電源を切ってすぐ入れる操作)中またはリロードコマンド使用時に構成内容が失われます。
inxcfg> write flash myDevice
inxcfg>

資料

SonicWALL SSLに関する追加文書とテクニカルノートは、SonicWALL, Inc. - SSL Offloadersで参照できます。