38
39
8-2. Zscaler の SSL 証明書の設定方法
Zscaler
の
SSL証明書の入手方法 8-2-1.
Zscalerサービスポータルの「ポリシー」→「Web」→「SSLインスペクション」をクリックし
ます。「SSLスキャンの中間ルート証明機関」項目の「Zscalerのルート証明書をダウンロード」
をクリックし、「ZscalerRootCerts.zip」ファイルをダウンロードします。
「ZscalerRootCerts.zip」ファイルを解凍し、ユーザのブラウザの認証ストアにインポートし ます。AD環境の場合、GPO機能を使用してユーザに自動的に展開することができます。
40
証明書のインポート方法(Internet Explorer) 8-2-2.
「インターネット オプション」→「コンテンツ」→「証明書」をクリックします。
「証明書」ウィンドウの「信頼されたルート証明機関」タブ→「インポート」から、証明書 のインポートを実施します。
41
証明書のインポート方法(Firefox)
8-2-3.
「オプション」→「詳細」→「証明書」タブ→「証明書を表示」をクリックします。
「証明書マネージャ」ウィンドウの「認証局証明書」タブ→「インポート」から、証明書の インポートを実施します。
42
証明書のインポート方法(Google Chrome) 8-2-4.
「設定」→「詳細設定を表示」→「証明書の管理」をクリックします。
「証明書」ウィンドウの「信頼されたルート証明期間」タブ→「インポート」から、証明書 のインポートを実施します。
43
8-3. SSL 通信ポート番号設定
ロケーション登録の有無により、以下の通りSSL通信先ポート番号を指定します。
- ロケーション登録有りの場合 -
SSL通信先ポートは80番/443番/9400番ポートを指定
ロケーション設定にてSSLスキャニングの有効化
- ロケーション登録無しの場合 -
宛先ポートは9443番ポートを指定
ただし、ポータルの SSLバイパス設定が適用できない点から、本番環境でのご利用は推奨 いたしません。
※ロケーション登録無しの場合は、「7-4.SSL検査バイパス設定方法」は不可です。
44
8-4. SSL 検査バイパス設定方法
Zscalerサービスポータルの「ポリシー」→「Web」→「SSLインスペクション」を選択します。
「SSL検査ポリシーの設定」ウィンドウで必要な項目を設定します。
Do Not Inspect Sessions to these URL Categories: SSL検査しないカテゴリを選択
Do Not Inspect Sessions to these Hosts: SSL検査しないホストを追加
Do Not Inspect these Applications: SSL検査しないアプリケーションを追加
「保存」をクリックします。
45
Zscalerサービスポータルトップ画面の左下の有効化から変更を有効化します。
46
8-5. SSL 検査ポリシーの設定方法
Zscalerサービスポータルの「ポリシー」→「Web」→「SSLインスペクション」を選択します。
「SSL検査ポリシーの設定」ウィンドウで必要な項目を設定します。
許可: 信頼されていない証明書を持つサイトへのアクセスを許可 証明書の警告はユーザに表示されません
パススルー: 証明書の警告がユーザに表示され、サイトに進むことを選択可能
ブロック: 信頼できない証明書を持つサイトへのアクセスをブロック
無効なサーバ証明書のサイトをブロックしました:
無効なサーバ証明書のサイトへのアクセスをブロック
47
8-6. モバイルトラフィックの SSL スキャニングの設定方法
Zscalerサービスポータルの「ポリシー」→「Web」→「SSLインスペクション」を選択します。
「SSL検査ポリシーの設定」ウィンドウで必要な項目を設定します。
モバイルトラフィックのSSLスキャニングを有効化 ご利用のOSの箇所を有効化
Zscaler Appから送信されたトラフィックに対してSSL検査を実行するには、この設定を有効化
48