Neat デバイスのSSL Inspection Proxy への対応方法
Neat デバイスをエンタープライズ環境に展開する際に、社外ネットワークとの通信要件でProxy サーバ設定が求められる場合があります。その際、Proxy サーバの設定が SSL Inspection を実施するものかどうかまずご確認ください。デバイスのパフォーマンスにSSL Inspection はできるだけNeat デバイスを除外することをお勧めします。SSL Inspection でCA証明書が必要なケースにも関わらず展開していない場合、単純に接続できないケースのほかにパフォーマンスが悪いなど様々な事象により障害の切り分けが難しくなるケースがあります。社内でのProxy 展開方法について必ず事前にご確認ください。
その他一般的な Proxy 設定は下記をご参照下さい。
SSL Inspection の動作
SSL Inspection はクライアントとサーバ通信の間に入り、通信の内容を解読するセキュリティ装置(ファイアウォール、UTM、Proxyなど)の機能です。実際の動作は各社実装に依存しますが、ここでは中間者として一旦終端する動作をする装置に対しての注意点を解説します。
各社の解説ページ例
https://www.zscaler.jp/resources/security-terms-glossary/what-is-ssl-inspection
https://www.checkpoint.com/jp/cyber-hub/network-security/what-is-ssl-inspection/
Neat デバイス の表示
プロキシ設定を実施し、インターネットへ接続を試みても証明書の検証ができないため、ネットワーク設定の状態が「未接続」と表示されます。
対処法1 : 除外を実施する
Proxy サーバ側で Neat デバイスを SSL Inspection の対象から外します。例えば、Neat デバイスの IP アドレスの範囲のポリシーを加え、SSL Inspection 対象ではないProxy動作にします。
Fortigate での設定例
Neat デバイスのIPアドレス範囲と宛先ドメイン(*.neat.no/*.zoom.us/*.microsoft.com などneat のネットワーク要件を参照)を Deep Inspectionの対象外
それ以外を Deep Inspectionの対象
Neat デバイスは *.neat.no と各プラットフォームへの通信を各プラットフォームから提供を受けたアプリケーションが実施し、専用機として不正なプログラムが動作しない設計になっているため SSL Inspection が必要となる通信を実施しません。そのため、除外申請は妥当な処置になります。
DHCPサーバによる Neat デバイスのアドレス範囲指定は DHCP Option 60やMac アドレスの指定で設定可能です。
対処法2 : CA証明書をインストールする(Zoom)
SSL Inspection を PC などのブラウザで実施する場合、Proxy が利用するCA証明書をPCに配布します。同じ方法を Neat デバイスに対しても実施可能です。
Zoom Rooms は ローカルストアに追加されたCA証明書の読み込みに対応しますが、Microsoft Teams Rooms は対応しません。そのため、本方法が使えるのは Zoom Rooms での展開のみとなります。
必要となるCA証明書をダウンロードしインストールします。CA証明書が CA証明局によるものを利用しているかどうかで必要な証明書の入手方法は異なります。
すべての Neat デバイスに リモートアクセスを通じて展開します。Neat Bar の場合、Neat Pad と Neat Bar 両方にアップロードし再起動が必要です。
リモートアクセス詳細
CA証明書アップロード
Microsoft Teams の場合のエラー例
Microsoft Teams 展開に CA証明書が必要だった場合は、接続が正しく行えずサインインに失敗するなど様々な症状になります。Proxy側のログをご確認ください。