この数年、SASEであったりZero Trustといった新しいテクノロジーが新たに登場に、多くの企業にて導入の検討が進んでいると思います。
コロナウィルスによるリモートワークも進みVPNによる企業へのRemote Access VPNを行うことなくセキュアにWebアクセスを行うことがSASEにより実現が可能となります。
SASEを使うためにはそのサービスのルート証明書の配布が課題(理由は後述)になることもあり、今回はその電子証明書の配布をMerakiのSystems Managerを介して行う方法をまとめたいと思います。

なぜCisco UmbrellaにてルートCAの配布が必要なのか？

Cisco UmbrellaのDNS Security機能はPCからのDNSクエリーをUmbrellaに向けて、アクセスしようとしているサイトがその企業のポリシーに則っているのか？そのサイトは安全なのか？をクラウド上で判断し、その結果をクライアントに返信します。
安全なサイトの場合は、DNSクエリーに対する正しいIPアドレスを応答し、危険であると判断されたサイトもしくは企業のポリシーでブロックしているサイトはUmbrellaのIPアドレスを返信します。

暗号化されていないページへのアクセスであればこの仕組みで問題は無いのですが、実際のInternet Web通信のほとんどは暗号化されたサイトへのアクセスになると思います。
Umbrellaのブロックページへの通信も暗号化されている物となりますので、そのブロックサイトの表示にも電子証明書が必要となります。
Umbrella上のブロックサイトはUmbrellaにて都度自動生成され、クライアントにそのサーバー証明書を発行してクライアントに送信されます。
クライアントはUmbrellaで自動生成されたサーバー証明書は信用されないためブラウザで下のように表示されてしまいます。
今回はUmbrellaにて「タバコ」カテゴリーをBlockとして設定を行いました。

Umbrellaにて発行されたサーバー証明書を使ってのアクセスとなりますので、ただ危険であると表示されることになります。
この状態でも危険(もしくはセキュリティポリシーによりブロックしている)サイトへのアクセスを防止できているので問題は無いのですがBlockの理由等も表示されないので、少し不親切な感じとなってしまっています。

UmbrellaサイトからルートCAをダウンロードする

ここから設定を開始していきます。
まずはUmbrellaのサイトにアクセスし、ルートCAをダウンロードします。
「導入 > 設定 > ルート証明書」から証明書をダウンロードします。

Systmes ManagerでProfileの設定を行う

次にSystems Managerの設定を行います。
「システムマネージャ > 管理 > 設定」を選択します。
「＋プロファイルを追加」でプロファイルの作成を行います。

プロファイルの名前と、そのプロファイルの配布範囲を設定します。
今回はSystems Managerに登録されているすべての端末への配布と認め「すべてのデバイス」としてありますが、配布範囲を設定する場合はタグの設定を別途行ってください。

「＋設定を追加」をクリックします。
今回は電子証明書の配信を行うため「証明書」をクリックします。

Umbrellaからダウンロードしたルート証明書をアップロードします。

デバイスにプロファイルが適用されていることの確認

「システムマネージャ > 監視 > デバイス」を選択し、プロファイルが適用されているデバイスを選択します。
プロファイルから今回作成したプロファイルがインストール済みとなっている事を確認します。
インストール済みになっていない場合はしばらく待つか強制インストールを行います。
対象がiOSの場合は端末がアンロックの状態でないとプロファイルの更新がされませんので注意が必要です。

iPhoneでルートCAがインストールされている事を確認します。
「設定 > 一般 > VPNとデバイス管理」を選択します。
「Meraki Systems Manager > 詳細」を選択します。
「Cisco Umbrella Root CA」がダウンロードされていることが確認できます。

再度ブロックされるサイトへアクセスしてみます。

先程は危険なサイトとしてブラウザの注意表示に止まっていたのですが、ルートCAをあらかじめインストールしておくことによってUmbrellaのコンテントフィルタリングにてブロックされている旨の表示へと変わったことが分かります。
ユーザはIT部門によりブロックされていることも分かりますし誤ってブロックとなってしまった場合においてもUmbrella管理者に連絡するリンクも提供されます。