1.はじめに
企業ネットワークで Zscaler を利用している環境では、
Linux サーバーが外部通信を行う際に Zscaler Root CA を信頼ストアへ登録する必要があります。
登録されていない場合、curl / yum / dnf / python / Java などの TLS 通信が失敗します。
この記事では、Windows Server 2022 から Zscaler Root CA をエクスポートし、RHEL 9.4 にインポートするまでの手順をまとめます。
2. Zscaler Root CA(Zscaler ルート証明書)とは
Zscaler Root CA(Zscaler ルート証明書)とは、Zscaler が SSL/TLS 通信を復号・再暗号化(SSL Inspection)するために使用する “信頼の起点となる証明書” のことです。
企業ネットワークで Zscaler を利用している場合、Windows・Linux・ブラウザ・アプリケーションがこの証明書を信頼ストアに登録していないと、TLS 通信がすべて「証明書エラー」で失敗します。
3. Windows Server 2022 から Zscaler Root CA をエクスポートする
Windows は Zscaler Client Connector や GPO により
Zscaler Root CA が「信頼されたルート証明機関」に登録されています。
① 証明書管理コンソールを開く
Win + R
certlm.msc を入力して Enter
→ ローカルコンピュータの証明書ストアが開く
② Zscaler Root CA を探す
左ペイン → 信頼されたルート証明機関(Trusted Root Certification Authorities)
→ 証明書(Certificates)
以下のような名前の証明書が存在します:
Zscaler Root CA
③ 証明書をエクスポート
対象の Zscaler Root CA を右クリック
すべてのタスク → エクスポート
証明書エクスポートウィザードが起動
Base 64 encoded X.509(.CER) を選択
任意の場所に保存(例:C:\temp\zscaler-root.cer)
④sakuraエディタで開いて、Unixの改行コードで上書き保存する
4. RHEL 9.4 に Zscaler Root CA をインポートする
SCP などで Linux に転送します:
scp C:\temp\zscaler-root.cer ec2-user@<linux-host>:/tmp/
RHEL 9.4 に Zscaler Root CA をインポートする
RHEL 9 系は update-ca-trust を使って CA を登録します。
① 証明書を trust anchors に配置
sudo cp /tmp/zscaler-root.cer /etc/pki/ca-trust/source/anchors/
② CA を更新
sudo update-ca-trust
③ 正しく登録されたか確認
sudo trust list | grep -i zscaler
④TLS 通信の動作確認
curl の確認
curl https://www.google.com
Zscaler 経由でも TLS エラーが出なければ成功。
5. まとめ
-
Zscaler Root CA は Zscaler の SSL/TLS インスペクションのためのルート証明書
-
クライアント OS がこの証明書を信頼しないと HTTPS がすべて失敗する
-
Windows は自動登録されることが多いが、Linux は手動登録が必要
-
RHEL9 / Ubuntu / Java などは個別に trust store へ追加する必要がある


