カスタム SSL サーバー証明書

デフォルトでは、Tenable NessusTenable Nessus の認証局 (CA) である Nessus Certification Authority によって署名された SSL 証明書を使用します。Tenable Nessus のインストール時に、証明書を構成する 2 つのファイル (servercert.pemserverkey.pem) が作成されます。この証明書によってポート 8834 を介して HTTPS 上から Tenable Nessus にアクセスすることが許可されます。

Nessus の認証局は信頼された有効な認証局ではないため、証明書は信頼されず、そのために以下が生じます。

  • ポート 8834 を通じて HTTPS を介して Tenable Nessus にアクセスしようとすると、お使いのブラウザで安全でない接続として警告される可能性があります。

  • Tenable Nessus スキャナーホストをスキャンする際に、プラグイン 51192 が脆弱性を報告する場合があります。

この問題を解決するには、企業または信頼できる CA より生成されたカスタム SSL 証明書を使用することができます。 

カスタム SSL 証明書を使用するように Tenable Nessus を設定する手順については、以下を参照してください。

トラブルシューティング

Tenable Nessus でデフォルトの CA 証明書を使用する際の一般的な問題のトラブルシューティングについては、次の表を参照してください。

問題 解決策
ブラウザで Tenable Nessus サーバー証明書が信頼できないと表示される。

次のいずれかを行います。

  • 信頼できるルート CA によって署名された Tenable Nessus 自己署名付きの証明書を入手し、その信頼できる CA をブラウザにアップロードします。

  • /getcert パスを使用してルート CA をお使いのブラウザにインストールします。お使いのブラウザで次のアドレスにアクセスします : https://[IP address]:8834/getcert

  • お客様のカスタム証明書とカスタム CA をブラウザにアップロードします。

    1. 新規サーバー証明書と CA 証明書をアップロードします。.

    2. その証明書の CA が Tenable Nessus で信頼されていない場合は、Tenable Nessusカスタム CA を信頼する に設定します。

    注意: これらの回避策は、一部のブラウザでは機能しません。Tenable は間もなく Tenable Nessus のアップデートを計画しており、すべてのブラウザが Tenable Nessus サーバー証明書を信頼するようにします。それまでの間、Tenable はサードパーティのカスタムサーバー証明書を使用することを推奨しています。

Plugin 51192 で Tenable Nessus サーバー証明書が信頼できないと表示される。

例:

  • 証明書の期限が切れている

  • 証明書が自己署名されているため信頼されない

次のいずれかを行います。

プラグイン 51192 から証明書チェーンの先頭に不明な CA が見つかったと報告される。 カスタム CA を信頼するで説明している手順に従って、Tenable Nessus が信頼する CA のリストにカスタムルート CA を追加します。