ウェブブラウザは、社会保障情報やクレジットカード情報などの機密データを保護するために、クライアントシステムとサーバーコンピュータ間のトラフィックを暗号化するためにSecure Sockets Layer(SSL)を使用します。SSL証明書が適切に機能するには、証明書を発行した機関(証明機関とも呼ばれます)がウェブブラウザによって信頼されている必要があります。そのためには、発行者の証明書をインストールし、ブラウザが発行者が有効で信頼できることを認識できるようにする必要があります。
Verisign、DigiCert、Entrust などの一般的な証明機関は、ほとんどのブラウザで自動的に信頼されます。ただし、信頼されていない内部証明機関を使用して内部リソース用の SSL 証明書を生成すると、接続時にブラウザから警告が表示されます。
Chrome ウェブブラウザには、図 Aのようなものが表示されます。
図A
この場合、「詳細設定」(図B)をクリックする必要があります。その後、「[ホスト名]へ進む」をクリックして続行してください。
図B
Firefoxブラウザに図Cのような内容が表示されます。「詳細設定」をクリックし、「例外を追加」(図D)をクリックします。「セキュリティ例外を確認」をクリックするとアクセスが許可されます。
図C
図D
ただし、両方のブラウザ向けのこれらのヒントでサイトにアクセスできるようになりますが、内部 CA が SSL 証明書を発行したすべてのサイトに対してこれを実行する必要があります。
幸いなことに、もっと良い方法があります。システムのSSL証明書を信頼できるルート証明機関としてインストールすることで、特定の証明機関からのすべての証明書を信頼するようにシステムを設定できます。こうすることで、ChromeとFirefoxは、その証明機関の証明書を持つサイトにアクセスする際に、このメッセージを表示しなくなります。
注:この記事では、これら2つのサードパーティ製ブラウザに焦点を当てています。Internet Explorer/Microsoft Edgeについては、今後の記事で取り上げます。ここで紹介する手順は執筆時点のものですが、これらのブラウザの将来のバージョンではメニューオプションが異なる場合があります。
参照: 採用キット: IT 監査ディレクター (Tech Pro Research)
CA証明書を取得する
まず、CAからDER形式のSSL証明書のコピーを取得する必要があります。CAがWindowsで動作している場合は、以下の手順に従ってください。(そうでない場合は、お使いのOSの詳細をご確認ください。)
コントロール パネルに移動し、管理ツール フォルダーを開きます。
[証明機関]をダブルクリックします (図 E )。
図E
サーバーを右クリックし、[プロパティ] を選択します (図 F )。
図F
[証明書の表示] (図 G ) をクリックします。
図G
[詳細]タブをクリックします(図H )。
図H
[ファイルにコピー] をクリックし、[次へ] をクリックします (図 I )。
図I
DER エンコード バイナリ X.509 (.CER) をオンのままにして、[次へ] をクリックします。
ファイル名 (たとえば、c:\CA_certificate.cer) を指定して [次へ] をクリックし、[完了] をクリックします。
証明書は指定した場所に保存されます。
CA証明書を信頼できるルート証明機関としてChromeに追加する
Active Directory を使用している場合は、組織内のすべてのシステムが CA からの証明書を信頼するようにグループポリシーを使用するのが最適です。この方法で導入された場合、Chrome は証明書を信頼します。
グループポリシーを利用してWindowsシステムをCAを信頼するように構成する
証明書をドメイン コントローラーにコピーします。
コントロールパネルに移動し、管理ツールを開きます。
グループ ポリシー管理を開きます (図 J )。
図J
ドメインを右クリックし、「このドメインに GPO を作成し、ここにリンクする」を選択します。
グループ ポリシー オブジェクトの名前 ( CA 証明書など) を入力し、[OK] をクリックします (図 K )。
図K
新しい GPO を右クリックし、[編集] をクリックします。
ポリシーを展開します。
Windows 設定を展開します。
セキュリティ設定を展開します。
公開キーポリシーを展開します(図L)。
図L
[信頼されたルート証明機関] を右クリックし、[インポート] を選択します。
「次へ」をクリックします。
[参照] をクリックし、このコンピューターにコピーした CA 証明書を参照して選択します。
「次へ」をクリックし、「完了」をクリックして、「OK」をクリックします。
右側のフィールドに証明書が表示されます (図 M )。
図M
組織内で Active Directory を実行していない場合は、グループ ポリシーを活用することはできませんが、ホストに CA 証明書を手動で追加して、関連する SSL 証明書を信頼することができます。
Chrome で証明書を追加することもできますが、Web サイトに接続する可能性のある他のアプリもカバーされるため、Windows 自体に追加することをお勧めします。
参照: IT プロフェッショナルによる効果的なパッチ管理ガイド (TechRepublic の無料 PDF)
Windows システムを手動で構成して CA を信頼する
まず、作業するホスト マシンに CA 証明書をコピーします。
コマンド プロンプトを開き、次のコマンドで証明書マネージャーを実行します (図 N )。
certmgr.msc
図N
左側のフレームで、[信頼されたルート証明書] を展開し、[証明書] を右クリックして、[すべてのタスク] > [インポート] を選択します (図 O )。
図O
証明書のインポート ウィザードで、[次へ] をクリックします (図 P )。
図P
[次へ] をクリックし、[参照] をクリックして、このコンピューターにコピーした CA 証明書を参照して選択します (図 Q )。
図Q
[証明書をすべて次のストアに配置する] で、[信頼されたルート証明機関] を選択します。
「次へ」をクリックし、「完了」をクリックします。
最後のプロンプトに対して「はい」をクリックします。
Firefoxに信頼されたルート証明機関としてCA証明書を追加する
残念ながら、Firefox は Windows がデフォルトで信頼する CA 証明書を信頼しないため、上記のセクションの手順は Firefox で次の設定変更を実行した場合にのみ機能します。
Firefox では、アドレスバーにabout:configと入力します。
プロンプトが表示されたら、警告を受け入れます。
security.enterprise_roots.enabled エントリまで下にスクロールします。これは False に設定されている必要があります。
値をダブルクリックして True に変更します。
Firefox は設定をすぐに有効にするはずです。
Active Directory/グループ ポリシーを使用していない場合でも、CA を信頼するように Firefox を設定できます。
Firefox を手動で設定して CA を信頼する
作業するホスト マシンに CA 証明書をコピーします。
[ツール]をクリックします(図R)。
図R
[オプション] を選択し、[詳細設定] をクリックして、[証明書] タブを選択します (図 S )。
図S
[証明書の表示] をクリックし、[認証局] を選択します (図 T )。
図T
[インポート] をクリックし、CA ファイルを参照して選択します (図 U )。
図U
上記のように「この CA を信頼する」オプションをすべてチェックし、「OK」をクリックします。
Firefox は証明機関を信頼し、セキュリティ警告の表示を停止するはずです。
また読んでください…
- 企業がDNSセキュリティ拡張機能の実装を検討すべき理由(TechRepublic)
- Let's Encrypt が無料のワイルドカード証明書を Web に導入 (ZDNet)
- スパムの蔓延と登録数の減少は、新しい gTLD のビジネス価値が限られていることを示している (TechRepublic)
あなたの考え
Chrome と Firefox に信頼できる CA を追加するために、これらのテクニックを試したことがありますか?TechRepublic の他のメンバーとアドバイスや経験を共有してください。
