コロナ禍でテレワークが増えたことによるゼロトラスト環境構築で、検討対象として話題に上がることが多いZscalerについて、構築手順をご紹介したいと思います。
今回ご紹介していく環境は
Zscaler(ZIA/ZPA)+ADFS(Windows Server 2019)
となります。
いずれは
Zscaler(ZIA/ZPA)+Azure AD
もご紹介できればと思います。
前提
ADFSを構築するにあたってサーバー証明書(SSL証明書)の利用が必要になります。
公的証明書を準備してもよいですし、プライベート証明書でも問題ありません。
ただし以下の点を考慮の上で発行してください。
公的証明書を利用する場合は、398日以内の有効期限を持つ証明書。
プライベート証明書を利用する場合は、825日以内の有効期限を持つ証明書。
どちらも秘密キー付きで用意します。
有効期限についてはWindows、MacOSでのみ利用する場合は大きな問題はでないのですが、
iOSでZscalerを利用する場合に認証動作で一部問題が出てきます。
CSR(証明書の署名リクエスト)の作成と証明書発行
まずは以下のテキストファイル(ファイル名は任意)を用意します。
今回ご紹介するのは代替名も登録しています。
AD FS での証明書認証のための代替ホスト名バインドのサポート
代替名を利用する証明書が必須というわけではありません。
公的証明書の場合は費用にも影響しますので予算に合わせてどうぞ。
ブログで紹介する手順は代替名付き証明書の環境を前提としています。
[NewRequest] Subject = "C=JP;ST=Tokyo;L=hogehoge-ku;O=hogehoge Corp;CN=adfs.hogehoge.co.jp" → 実際の環境に合わせて変更
X500NameFlags = CERT_NAME_STR_SEMICOLON_FLAG
Exportable = TRUE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
HashAlgorithm = sha256
RequestType = PKCS10
ProviderType = 12
[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [Extensions] 2.5.29.17="{text}"
_continue_ = "dns=adfs.hogehoge.co.jp&"→ 実際の環境に合わせて変更
_continue_ = "dns=certauth.adfs.hogehoge.co.jp"→ certauth以降を実際の環境に合わせて変更(代替名)
OSインストール、初期設定済みのADFSサーバーでCSRファイルを生成します。
管理者モードのコマンドプロンプトを起動し、以下のコマンドを実行します。
CertReq△-New△-f△上記テキストファイル名△ 任意のcsrファイル名
生成したCSRファイルを使って公的証明機関またはプライベート証明機関でサーバー証明書を発行します。
証明書の発行手順については環境に操作が異なりますので割愛させていただきます。
次回はADFSサーバーの構築をご紹介したいと思います。
