はじめに
このドキュメントでは、Cisco Umbrellaプロキシからの証明書の有効期限が現在の日付から数日以内である理由について説明します。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、Cisco Umbrellaセキュアインターネットゲートウェイ(SIG)に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
概要
Cisco Umbrella WebプロキシがHTTPS通信の復号用に設定されている場合、プロキシから受信した証明書の有効期限の日時は通常、現在の日時から10日以内になります。これはセキュリティ機能であり、エンドユーザによる操作は必要ありません。更新は自動的に行われます。
プロキシ復号化を使用した証明書の有効期間
WebクライアントがUmbrella Secure Web Gateway(SWG)プロキシまたはインテリジェントプロキシ(IP)を介してHTTPS通信(TLSで暗号化されたHTTP要求)を送信し、プロキシがHTTPS通信を復号化するように設定されている場合、プロキシはサーバに属するリーフ証明書を書き換え、サーバから送信された中間証明書をシスコの中間証明書で置き換えます。この証明書チェーン置換は、WebプロキシがTLSで暗号化された要求と応答の復号化を実行する標準的な手法です。
新しいリーフ証明書と中間証明書は動的に作成されます。証明書のNot BeforeおよびNot Afterの日付を表示する場合、通常、証明書は強化されたセキュリティ対策として10日以内の短いライフタイムで発行できます。更新は自動的に行われるため、エンドユーザの操作は必要ありません。
たとえば、2023年4月8日に取得されたこれらの画像では、example.comからのリーフ証明書の有効期限が2023年4月11日(有効期間は3日間)未経過となっています。
14723937288724
同様に、チェーンの最初の中間証明書であるCisco UmbrellaセカンダリSubCA証明書の有効期間は、2023年4月17日Not After(有効期限)です。
14724083385492
作成時間はプロキシインスタンスのすべてのユーザ間での各証明書の取得によって異なるため、チェーン内の証明書のNot BeforeとNot Afterの日付は通常、同じではありません。
短期の証明書の発行は、次のいずれにも適用されません。
- Cisco UmbrellaルートCAルート証明書(デフォルト設定を使用している場合に表示されます)
- Cisco UmbrellaカスタマーCA中間証明書(カスタマーCA署名付き証明書を使用する場合に表示されます)
どちらの設定でも、前述の証明書の有効期間は長くなる可能性があります。