カスタム SSL サーバー証明書

デフォルトでは、Tenable Nessus は Tenable Nessus の認証局 (CA) である Nessus Certification Authority によって署名された SSL 証明書を使用します。Tenable Nessus のインストール時に、証明書を構成する 2 つのファイル (servercert.pem と serverkey.pem) が作成されます。この証明書によってポート 8834 を介して HTTPS 上から Tenable Nessus にアクセスすることが許可されます。

Nessus の認証局は信頼された有効な認証局ではないため、証明書は信頼されず、そのために以下が生じます。

ポート 8834 を通じて HTTPS を介して Tenable Nessus にアクセスしようとすると、お使いのブラウザで安全でない接続として警告される可能性があります。
Tenable Nessus スキャナーホストをスキャンする際に、プラグイン 51192 が脆弱性を報告する場合があります。

この問題を解決するには、企業または信頼できる CA より生成されたカスタム SSL 証明書を使用することができます。　

カスタム SSL 証明書を使用するように Tenable Nessus を設定する手順については、以下を参照してください。

新規サーバー証明書と CA 証明書を作成する.— 企業より生成されたカスタム SSL 証明書がない場合、内蔵の Tenable Nessus mkcert ユティリティーを使用して作成します。
新規サーバー証明書と CA 証明書をアップロードします。 — Tenable Nessus に付属しているデフォルトの証明書を置き換えます。
カスタム CA を信頼する — Tenable Nessus が信頼する CA リストにカスタム CA を追加します。

トラブルシューティング

Tenable Nessus でデフォルトの CA 証明書を使用する際の一般的な問題のトラブルシューティングについては、次の表を参照してください。

問題ソリューション

問題	ソリューション
ブラウザで Tenable Nessus サーバー証明書が信頼できないと表示される。	次のいずれかを行います。信頼できるルート CA によって署名された Tenable Nessus 自己署名付きの証明書を入手し、その信頼できる CA をブラウザにアップロードします。 `/getcert` パスを使用してルート CA をお使いのブラウザにインストールします。お使いのブラウザで次のアドレスにアクセスします : https://[IP address]:8834/getcert お客様のカスタム証明書とカスタム CA をブラウザにアップロードします。新規サーバー証明書と CA 証明書をアップロードします。. その証明書の CA が Tenable Nessus で信頼されていない場合は、Tenable Nessus をカスタム CA を信頼するに設定します。注意: これらの回避策は、一部のブラウザでは機能しません。Tenable は間もなく Tenable Nessus のアップデートを計画しており、すべてのブラウザが Tenable Nessus サーバー証明書を信頼するようにします。それまでの間、Tenable はサードパーティのカスタムサーバー証明書を使用することを推奨しています。
Plugin 51192 で Tenable Nessus サーバー証明書が信頼できないと表示される。例: 証明書の期限が切れている証明書が自己署名されているため信頼されない	次のいずれかを行います。 Tenable Nessus のサーバー証明書を、既に Tenable Nessus によって信頼されている CA が署名した証明書に置き換えます。お客様のカスタム証明書とカスタム CA をブラウザにアップロードします。新規サーバー証明書と CA 証明書をアップロードします。. その証明書の CA が Tenable Nessus で信頼されていない場合は、Tenable Nessus をカスタム CA を信頼するに設定します。
プラグイン 51192 から証明書チェーンの先頭に不明な CA が見つかったと報告される。	カスタム CA を信頼するで説明している手順に従って、Tenable Nessus が信頼する CA のリストにカスタムルート CA を追加します。

ブラウザで Tenable Nessus サーバー証明書が信頼できないと表示される。

次のいずれかを行います。

信頼できるルート CA によって署名された Tenable Nessus 自己署名付きの証明書を入手し、その信頼できる CA をブラウザにアップロードします。
/getcert パスを使用してルート CA をお使いのブラウザにインストールします。お使いのブラウザで次のアドレスにアクセスします : https://[IP address]:8834/getcert
お客様のカスタム証明書とカスタム CA をブラウザにアップロードします。
1. 新規サーバー証明書と CA 証明書をアップロードします。.
2. その証明書の CA が Tenable Nessus で信頼されていない場合は、Tenable Nessus をカスタム CA を信頼するに設定します。
注意: これらの回避策は、一部のブラウザでは機能しません。Tenable は間もなく Tenable Nessus のアップデートを計画しており、すべてのブラウザが Tenable Nessus サーバー証明書を信頼するようにします。それまでの間、Tenable はサードパーティのカスタムサーバー証明書を使用することを推奨しています。

Plugin 51192 で Tenable Nessus サーバー証明書が信頼できないと表示される。

例:

証明書の期限が切れている
証明書が自己署名されているため信頼されない

次のいずれかを行います。

Tenable Nessus のサーバー証明書を、既に Tenable Nessus によって信頼されている CA が署名した証明書に置き換えます。
お客様のカスタム証明書とカスタム CA をブラウザにアップロードします。
1. 新規サーバー証明書と CA 証明書をアップロードします。.
2. その証明書の CA が Tenable Nessus で信頼されていない場合は、Tenable Nessus をカスタム CA を信頼するに設定します。

プラグイン 51192 から証明書チェーンの先頭に不明な CA が見つかったと報告される。カスタム CA を信頼するで説明している手順に従って、Tenable Nessus が信頼する CA のリストにカスタムルート CA を追加します。