TLS サポート

Metadata_end​

Glasswall ICAP は現在、相互トランスポート層セキュリティ（mTLS）を使用して、お使いのプロキシと ICAP サーバー間のトラフィックを暗号化します。この機能は secure ICAP（s-ICAP）とも呼ばれます。

サポートされている TLS バージョン:

• 1.2
• 1.3

TLS 証明書がインストールされている限り、Secure-ICAP は ICAP サーバーでデフォルトで有効になります。ポート 11344 が開かれ、サーバーはセキュア接続を受け入れる準備が整います。

セキュア接続を介して ICAP サーバーに接続する場合、ICAP クライアント要求で送信される URI スキームは icaps である必要があります。これは、セキュア接続が期待されていることを示します。

secure-ICAP URL の例:

icaps://gw-icap-server.net/resp-cdr-service

証明書チェーン検証フラグの設定​

ICAP サーバーは、証明書チェーン検証を実行する条件を規定する検証フラグで設定できます。

設定および検証フラグの変更方法については、Configuration changes の ICAP サーバーのセクションを参照してください。設定項目は certificate__vefificationflags です。

証明書のインストール​

TLS証明書は、外部シークレットからICAPサーバーにマウントされます。

初回セットアップ​

Glasswall ICAPのインストール時に初めてTLSを設定する場合は、関連するCreate secretsデプロイ手順に従い、証明書が外部シークレットのシークレットマネージャーに追加されていることを確認してください。たとえば、AKS環境ではステップ3 - Key Vault にシークレットを追加するです。

プロキシまたはICAPクライアントが、対応する証明書と、ICAPサーバーと同じ認証局（CA）によって署名されたルート証明書にアクセスできることを確認してください。

証明書の更新​

既存の証明書チェーンを更新するには、ご利用の環境のシークレットマネージャー内にあるシークレット（Create secretsデプロイ手順で作成）を見つけ、次のフィールドを更新してください。

• Tls-cafile - 認証局（CA）のルート証明書。その他の証明書はすべて、このCAルート証明書に対応している必要があります。
• Tls-server-cert - ICAPサーバーの署名済み証明書。
• Tls-server-key - ICAPサーバーの秘密鍵。

プロキシまたはICAPクライアントが、ICAPサーバーと同じ認証局（CA）によって署名された更新済み証明書にアクセスできることを確認してください。

注: ICAPサーバーは証明書設定の変更を即座に検出するはずですが、Kubernetesがサーバーのpodに接続されたボリュームを更新するまで、最大60秒の遅延が発生する場合があります。