• SonicOS 7
• DPI-SSL について
  • DPI-SSL の使用
    • サポートされる機能
    • ローカル CRL のサポート
    • TLS 証明書状況要求拡張機能
    • SSH X11 転送の遮断
    • ECDSA 関連暗号のサポート
    • 独立して動作する DPI-SSL および CFS HTTPS コンテンツ フィルタ
    • 復号化されたパケットに保持される元のポート番号
    • セキュリティ サービス
  • 配備方針
  • プロキシ配備
  • DPI SSL のカスタマイズ
  • 装置モデル別の接続
• DPI-SSL/TLS クライアントの設定
  • 復号化サービス > DPI-SSL/TLS クライアント
  • DPI-SSL 状況の表示
  • DPI-SSL/TLS クライアントの配備
    • 一般設定の構成
      • SSL クライアント検査を有効にする
      • ゾーンの DPI-SSL クライアントを有効にする
      • ゾーンの DPI-SSL サーバを有効にする
    • 再署名認証局の選択
      • ブラウザへの信頼の追加
    • 除外と包含の設定
      • オブジェクト/グループの除外/包含
      • コモンネームによる除外/包含
        • DPI SSL 既定の除外の状況の表示
        • コモンネームの除外/包含
        • 個別コモンネームの削除
        • 接続エラーの表示
        • 既定の除外を手動で更新する
      • CFS 種別基準の除外/包含の指定
      • クライアント DPI-SSL の例
        • コンテンツ フィルタ
        • アプリケーション ルール
• DPI-SSL/TLS サーバの設定
  • 復号化サービス > DPI-SSL/TLS サーバ
  • DPI-SSL/TLS サーバ設定について
    • DPI-SSL/TLS サーバの一般設定
    • 除外と包含の設定
    • サーバと証明書のペアリングの設定

コモンネームの除外/包含

コモンネームによってエンティティを除外/包含するには、以下の手順に従います。

1. 「ポリシー | DPI-SSL > クライアント SSL」ページに移動します。
2. 「コモンネーム」を選択します。

3. 「コモン ネーム:」までスクロールします。除外/包含。

   

4. 以下のオプションを選択することで、コモンネームの表示を制御できます。

   • 表示 オプション:
     • すべて – すべてのコモンネームを表示します。
     • 既定 – 既定のコモンネーム (「ユーザ定義」のものを除く) を表示します。
     • ユーザ定義 – 管理者が追加したコモンネームのみを表示します。

5. 既定では、すべての組み込みコモンネームが承認されています。組み込みコモンネームの承認は、以下の操作によって拒否できます。

   1. コモンネームの「構成」列にある「このビルトイン名を拒否する」アイコンをクリックします。確認メッセージが表示されます。

      

   2. 「OK」をクリックします。

「拒否」アイコンが「承認」アイコンになり、「ビルトイン」列の「承認」が「拒否」になります。

組み込みのコモンネームは変更も削除もできませんが、拒否したり許可したりすることはできます。

拒否されたビルトイン コモンネームを許可するには、以下の手順に従います。

1. 該当する「このビルトイン名を受け入れる」アイコンをクリックします。確認メッセージが表示されます。

   

2. 「OK」をクリックします。

6. 個別コモンネームを追加するには、「+ 追加」をクリックします。「コモンネームの追加」ダイアログが表示されます。

   

   1. フィールドに 1 つ以上のコモンネームを追加します。複数のエントリがある場合は、カンマまたは改行文字で区切ります。

   2. 「動作」の種別を指定します。

      • 除外 (既定)
      • CFS 種別基準の除外をスキップする

      • サーバを認証することによって接続が遮断される場合にこのドメインのサーバの認証を見合わせるには、「サーバの認証をスキップする」を選択します。このオプションは、サーバが信頼されたドメインである場合にのみ有効にします。

   3. DPI-SSL は、ある接続がインターセプト (包含) されるか除外されるかを、ポリシーまたは設定に基づいて動的に決定します。DPI-SSL によって接続のドメイン名が抽出されると、同じサーバ/ドメインに対する以降の接続で除外情報が使用できるようになります。

      動的な除外キャッシュ (サーバ IP 基準とコモンネーム基準の両方) の使用を有効または無効にするには、「除外ポリシーの適用前にサーバを常に認証する」ドロップダウン メニューからオプションを選択します。既定では「グローバル設定を使用する」が選択されています。

   4. 「適用」をクリックします。

      「コモンネーム除外/包含」テーブルが更新され、「ビルトイン」列が「個別」になります。「除外ポリシーの適用前にサーバを常に認証する」オプションが選択されている場合は、「ビルトイン」列の「ユーザ定義」の隣に情報アイコンが表示されます。

      情報アイコンをマウスでポイントすると、どの個別属性が選択されていたかがわかります。「接続エラー リスト」を使用して追加されたコモンネームの場合、情報アイコンによって以下のエラーの種別が示されます。:

      • CFS 種別による除外をスキップ
      • サーバ認証をスキップ
      • サーバの認証に失敗
      • クライアント ハンドシェイクに失敗
      • サーバ ハンドシェイクに失敗

      エントリを削除するには、「設定」列の削除アイコンを選択します。

7. フィルタを指定してコモンネームを検索できます。

   1. 「フィルタ」フィールドに、名前を name:mycommonname という構文で指定して入力します。
   2. 「フィルタ」をクリックします。

8. 「適用」をクリックします。