ログイン用の Nessus SSL 証明書を作成する

ポート 8834 で Tenable Nessus にアクセスする際に、SSL クライアント証明書認証を使用してユーザーが Tenable Nessus にログインできるよう、Tenable Nessus を設定することができます。証明書認証を有効にすると、ユーザー名とパスワードを使用したログインはできなくなります。

警告: SSL クライアント証明書認証を有効にすると、Tenable Nessus でエージェント、リモートスキャナー、または管理スキャナーの接続がサポートされなくなります。リモートエージェントおよびスキャナーのサポートを有効化するには、詳細設定の remote_listen_port を使用して代替ポートを設定してください。詳細は、詳細設定を参照してください。

SSL クライアント証明書認証を設定した場合、Tenable Nessus は以下もサポートします。

  • スマートカード
  • 本人確認 (PIV) カード
  • 共通アクセスカード (CAC)

Tenable Nessus ユーザーアカウントの SSL クライアント証明書認証を設定する方法

  1. Tenable Nessus の CLI に管理者ユーザーまたは同等の権限を持つユーザーとしてアクセスします。

  2. Tenable Nessus に SSL 認証を介してログインする必要のある各ユーザーについて、クライアント証明書を作成します。

    1. Tenable Nessus サーバーで、nessuscli mkcert-client コマンドを実行します。

      # /opt/nessus/sbin/nessuscli mkcert-client

      # /Library/Nessus/run/sbin/nessuscli mkcert-client

      C:\Program Files\Tenable\Nessus\nessuscli.exe mkcert-client

    2. プロンプトに従ってフィールドに入力します。

      注意: 同セッション中に、初回プロンプトに入力した回答がその後のクライアント証明書を作成するときのデフォルトとして残ります。作成したそれぞれのクライアント証明書の値は変更が可能です。

      Tenable Nessus は、クライアント証明書を作成し、Tenable Nessus の一時ディレクトリに配置します。

      • Linux: /opt/nessus/var/nessus/tmp/
      • macOS: /Library/Nessus/run/var/nessus/tmp/
      • Windows: C:\ProgramData\Tenable\Nessus\tmp

    3. 2 つのファイル (証明書およびキー) を統合し、ブラウザにインポートできる形式 (.pfx など) でエクスポートします。

      前の例では、2 つのファイルは key_sylvester.pem および cert_sylvester.pem でした。

      たとえば 2 つのファイルは、openssl プログラムや、次のコマンドを使用して統合することができます。

      # openssl pkcs12 -export -out combined_sylvester.pfx -inkey key_sylvester.pem -in cert_sylvester.pem -chain -CAfile /opt/nessus/com/nessus/CA/cacert.pem -passout 'pass:password' -name 'Nessus User Certificate for: sylvester'

      Tenable Nessus は、コマンドを起動したディレクトリに、結果の combined_sylvester.pfx ファイルを作成します。

  3. 証明書をブラウザの個人用証明書ストアにアップロードします。

    お使いのブラウザのドキュメントを参照してください。

  4. Tenable Nessus で SSL クライアント証明書認証を許可するよう設定します。

    # /opt/nessus/sbin/nessuscli fix --set force_pubkey_auth=yes

    C:\Program Files\Tenable\Nessus\nessuscli.exe fix --set force_pubkey_auth=yes

    # /Library/Nessus/run/sbin/nessuscli fix --set force_pubkey_auth=yes

  5. https://<Tenable Nessus の IP アドレスまたはホスト名>:8834Tenable Nessus にログインし、作成したユーザー名を選択します。

次の手順

  • カスタム CA を使用している場合、カスタム CA を信頼するの説明に従って、Tenable Nessus プラグインでお客様の CA が発行する証明書を信頼するよう設定します。