AsyncOS では、証明書と秘密キーのペアを使用してアプライアンスと外部のマシン間の通信を暗号化することができます。既存の証明書およびキー ペアをアップロードしたり、自己署名証明書を生成したり、または Certificate Signing
Request(CSR; 証明書署名要求)を生成して認証局に送信し、公開証明書を取得したりできます。認証局は秘密キーによって署名された信頼できる公開証明書を戻し、それをアプライアンスにアップロードできます。
アプライアンスが FIPS モードの場合は、次に進むことができます。
アプライアンス側 FIPS モードは、アプライアンスが FIPS に準拠するためにアプライアンスが使用する証明書に一定の制限を追加します。証明書は、次のいずれかのシグニチャ アルゴリズムを使用する必要があります:SHA-1、SHA-224、SHA-256、SHA-384、および
SHA-512。
アプライアンスは、これらのアルゴリズムのいずれも使用しない証明書はインポートしません。また、リスナーで使用中の非準拠の証明書が存在する場合、FIPS モードにスイッチすることもできません。代わりにエラー メッセージ代わりが表示されます。
証明書の非 FIPS 状態はアプライアンスが FIPS モードであるときに CLI と GUI の両方に表示されます。リスナーまたは送信先コントロールなどの機能に対して使用する証明書を選択するときに、アプライアンスはオプションとして非準拠の証明書を表示しません。
アプライアンスにおける証明書の使用の詳細については、証明書の使用を参照してください。
次のいずれかのサービスで FIPS 準拠の証明書を使用できます。
- SMTP の受信および配信。TLS を使用して暗号化を必要とするすべてのリスナーに証明書を割り当てるには、[ネットワーク(Network)] > [リスナー(Listeners)] ページ(または listenerconfig - > edit - > certificate CLI コマンド)を使用します。インターネットに対するリスナーの TLS のみをイネーブルにするか(公開リスナー)、または内部システムを含むすべてのリスナーの暗号化をイネーブルにする(プライベート
リスナー)ことができます。
- 送信先コントロール。電子メール配信のすべての発信 TLS 接続にグローバル設定として証明書を割り当てるには、[メールポリシー(Mail Policies)] > [送信先コントロール(Destination Controls)] ページ(または destconfig CLI コマンド)を使用します。
- インターフェイス。管理インターフェイスが含まれるインターフェイスで HTTPS サービスの証明書をイネーブルにするには、[ネットワーク(Network)] > [IPインターフェイス(IP Interfaces)] ページ(または interfaceconfig CLI コマンド)を使用します。
- LDAP。TLS 接続が必要なすべての LDAP トラフィックに証明書を割り当てるには、[システム管理(System Administration)] > [LDAP] ページを使用します。このアプライアンスでは、ユーザの外部認証の LDAP を使用することもできます。