証明書の確認

所有する証明書が数十であるか数千であるかにかかわらず、証明書の管理を容易にする必要があります。この管理を容易にするために、簡単に検索できるインベントリを使用することで、使用環境内のホストにインストールされている証明書を表示できます。「VM/VMDR」->「Assets」->「Certificates」を選択します。

「Vulnerability Management」に保存されている証明書は、QID 86002 から見つかったすべての証明書のインベントリ用です。アクティブでなくなったり関連付けがなくなったりした場合は、インベントリから手動で削除できます。QID 86002 を使用して、脆弱性レポートによって、現在検出されている証明書のみを取得できます。すべての証明書のアクティブなリストを取得するには、CertView スキャンを実行します。有効化されている CertView モジュールが表示されない場合は、テクニカルアカウントマネージャにお問い合わせください。

 

以下の条件に従って、ホストで新しい脆弱性スキャンを実行する必要があります。

- バージョン 7.12 以降を使用してスキャンを実行する必要があります。バージョン 7.12 には、アカウントの証明書情報を収集して保存することで、証明書の特定と確認を可能にする機能が追加されています。SSL のグレードを参照するには、バージョン 8.5 以降を使用してスキャンを実行する必要があります。

- スキャンに SSL 証明書の QID を含める必要があります。完全な脆弱性スキャンを実行すると、これらの QID は自動的に含まれます。一部の QID のみを選択してカスタムスキャンを実行する場合は、SSL 証明書の QID を含む検索リストをオプションプロファイルに追加します。証明書の QID を検索するには、検索条件でタイトルを「SSL Certificate」、カテゴリを「General remote services」にして KnowledgeBase を検索します。

-(オプション)ポートだけでなく、ホストのさまざまな場所で証明書を検索するようにするには、オプションプロファイルで「Additional Certificate Detection」オプションを有効にします。例えば、Apache、Tomcat、Java KeyStore、Windows IIS などで証明書を検索します。

VM/VMDR」->「Assets」->「Certificates」を選択します。アカウントの新しいスキャン結果が使用できるようになると、新たに検出された証明書がインベントリに自動で追加されます。ページの上部にあるダッシュボードのオプションを使用して、証明書を有効期限、キーサイズ、認証局、自己署名された証明書ごとに分類します。

 

ホストの証明書を表示するには、サブスクリプションで新しいデータセキュリティモデルを有効にする必要があります。マネージャが、「Users」->「Setup」->「Security」を選択して、新しいデータセキュリティモデルを有効にできます。

証明書が表示されない場合、次のような理由が考えられます。1)バージョン 7.12 以降を使用して脆弱性スキャンを実行していない。2)スキャンは実行したが、SSL 証明書の QID を含めなかった。3)スキャン結果がまだ処理されていない。4)スキャン済みホストで証明書が見つからなかった。

(サブスクリプションで SSL Labs Grade 機能が有効になっている場合にのみ利用できます。)SSL Labs が Qualys VM に統合されたため、証明書のグレードが表示されるようになりました。これを有効にすると、証明書リストで各証明書のグレード(A+、A、A-、B、C、D、E、F、T、M、NA)が表示されます。このグレードは、SSL 設定に問題のある証明書を特定し順位付けするのに役立つように提供されています。詳細

「Heartbleed」フィルタを使用して、ハートブリードバグの影響を受けるホストを特定します。「Heartbleed-All」を選択すると、影響を受けるすべてのホスト(アクティブおよび修正済み)が表示されます。「Heartbleed-Active」を選択すると、現在脆弱であるホストのみが表示されます。詳細

「Certificates」リストの「Heartbleed」フィルタ

証明書のフィンガープリントを証明書リストに追加します。右側のリストの上部にある「Tools」メニューをクリックして、「Columns」を選択し、「Certificate Fingerprint」を選択します。

 

コミュニティ情報

SSL Security Labs

証明書情報の表示

ヒント: 証明書レポートをダウンロードできます。「New」->「Download」を選択して、ファイル形式(CSV、ZIP、MHT、XML)を選択します。

ヒント: オプションプロファイルで「Additional Certificate Detection」オプションを有効にして認証スキャンを実行すると、より多くの証明書を検索できます。

ヒント: 証明書が無効になるのは、1)証明書の有効期限が切れている場合、2)証明書のソースが不明な場合です。

ヒント: 証明書を無視または削除すると、対象の証明書があるすべてのホストにその操作が適用されます。