証明機関の証明書の作成

次の方法で、証明機関の証明書 (CA 証明書) を作成します。

「SSH アクセスの設定」での手順にしたがって、SSH アクセスを有効にします。
SSH で Web Gateway にアクセスして、root に入ります。
Openssl.cnf ファイルのコピーを作成します。
cp /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl.cnf.orig
次のコマンドを使用して Openssl.cnf ファイルを編集し、認定期間 (日数) を設定します。
vi /etc/pki/tls/openssl.cnf
default_days を検索して、値 (デフォルトは 365) を設定します。
セクション [ v3_ca ] を検索して、行 keyUsage = keyCertSign を追加します。
/etc/pki/tls/misc/CA -newca を実行します。
Enter キーを押して、デフォルトのファイル名を了解します。
パスフレーズを入力して、確認します。
必要なすべての詳細を入力します。たとえば、次のようになります。
Country code: GB, State or Province: Berkshire, Locality Name: Theale, Organization Name: Clearswift, Organizational Name: Engineering, Common Name: CA for Clearswift Web Gateway, Email Address: xxxx@Clearswift.Com
Extra (追加) の属性を入力することもできます。この属性を追加しない場合は、その都度キャリッジリターンで復帰します。
手順 8 で使用したのと同じパスフレーズを入力します。
FTP を使用して、Gateway から、ファイル cacert.pem と cakey.pem をコピーします。
CA 証明書 (cacert.pem) は、/etc/pki/CA に保存されています。プライベートキー (ca.key) は、/etc/pki/CA/private に保存されています。
Cacert.pem ファイルを編集して、 ----BEGIN CERTIFICATE---- で始まる行の前のすべての行を削除します。
これにより、ファイル cacert.pem (証明書) と cakey.pem (プライベートキー) とを Gawaway にインポートできるようになります。

証明書のキャッシュ

クライアントの接続の際、Web Gateway は動的に証明書を生成します。証明書は、閲覧した各サイトに対して生成されます。証明書を生成する前に、Web Gateway はキャッシュをチェックして、そのサイトに対して既に証明書が生成されていないかどうかを確認します。次の方法で、キャッシュに保存する証明書の最大数を設定することができます。

/opt/cs-gateway/websettings/certCache.properties.template 以下に保存されている、certCache.properties.template ファイルを開きます。
maxCacheSize プロパティを編集します。デフォルトは 100,000 です。

指定の最大数を超えた場合、閲覧した新しいサイトの証明書はキャッシュされません。また、Decryption Log に、証明書がキャッシュされていないことを通知するためのエントリが 1 日 1 回記録されます。

certCache.properties.template ファイルの設定を変更した場合、それらの変更をユーザーインターフェイスに適用し、プロキシを手動で再起動しなければなりません。

キャッシュのリセット

キャッシュのコンテンツは毎日午前 0 時にリセットされます。この処理が失敗すると、[ログおよびアラーム] ページにアラームが表示されます。生成された証明書は 7 日後には期限切れとなるため、キャッシュの定期的なリセットは大変重要です。