FortiGateのルート証明書について

FortiGateのルート証明書について、専門的かつ体系的に解説します。

ルート証明書はセキュリティと信頼性を担保する要素として非常に重要で、FortiGateの機能、特にSSLインスペクションやプロキシ機能、Webフィルタリングなどと密接に関係しています。

FortiGateにおけるルート証明書とは？

ルート証明書（Root Certificate）は、PKI（公開鍵基盤）における「信頼の最上位」の証明書です。

FortiGateでは主に以下の用途でルート証明書が利用されます。

• SSL復号（Deep SSL Inspection）
• HTTPSアクセス時のWebフィルタリング
• 中間者プロキシ（MITM）としての動作
• VPN通信における認証
• 内部Web UI（管理画面）のHTTPS証明書

FortiGateにインポート・生成されるルート証明書の種類

FortiGateでは、以下の2つのタイプの証明書を扱うことができます。

信頼されたCA（Trusted CA）証明書

• ブラウザや端末が既に信頼しているグローバルな認証局（DigiCert、GlobalSign、Let's Encryptなど）の証明書。
• FortiGateにインポートして、SSLインスペクション時のサーバー証明書の検証に利用。
• 例：外部WebサイトへのHTTPSアクセスの検証

ローカルCA（自署）証明書

• FortiGate上で自分で生成したCA証明書（自己署名証明書）。
• FortiGateがHTTPS通信の復号を行う際に、中間者として新たにHTTPS証明書を発行するために使用。
• Deep SSL Inspectionを行う際に必要不可欠

Deep SSL Inspectionでのルート証明書の使われ方

動作の概要

1. クライアントが https://example.com にアクセス。
2. FortiGateが通信を傍受し、example.com のサーバー証明書を受信。
3. FortiGateがこの証明書の検証を行い、同時に「偽装された」証明書を生成。
4. FortiGateのCAで署名されたその証明書をクライアントに送信。
5. クライアントはFortiGateのCAを信頼していれば、警告なしで通信を続行。

注意点
この場合、FortiGateで使用されるルートCA証明書を、クライアント（PC・スマートフォン・ブラウザ）側に信頼済みとしてインストールしておく必要があります。そうでないと証明書エラー（"この接続ではプライバシーが保護されません"など）が発生します。

FortiGateでのルート証明書の管理方法

管理GUIでの手順

1. [System] > [Certificates] にアクセス
2. [Create/Import] をクリックして新規作成またはインポート
   • Generate: FortiGateで新しい自己署名CAを作成
   • Import: 既存のCA証明書（.crtや.pem）をアップロード

CLIでの例

config vpn certificate local
edit "MyCA"
set password ENC
set comments "This is my local CA"
next
end

FortiGate証明書の利用パターンと実務ポイント

クライアントへのCA証明書の配布方法

ルート証明書を配布・信頼させるには以下の方法があります。

• グループポリシー（Windows AD環境）
• MDMツール（Intune, JAMF等）
• 手動インストール（Windows, macOS, iOS, Android）
• Webポータル経由でのダウンロード

例：Windowsで手動インストールする手順（.crtファイル）

1. ダブルクリック → 「証明書のインストール」
2. 「ローカルコンピュータ」 or 「現在のユーザー」を選択
3. 「信頼されたルート証明機関」にインストール

セキュリティ上の留意点

• FortiGateの自己署名CA証明書が盗まれた場合、中間者攻撃に悪用されるリスクがある。
• CA証明書はエクスポート可能な状態にしないか、非常に厳重なアクセス制限をかける。
• 証明書の有効期限切れに注意。自動更新されないため、事前に更新計画が必要。

まとめ

以上、FortiGateのルート証明書についてでした。

最後までお読みいただき、ありがとうございました。