この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Cisco 適応型セキュリティ アプライアンス(ASA)を認証局(CA)サーバおよび Cisco AnyConnect セキュア モビリティ クライアント用のセキュア ソケット レイヤ(SSL)ゲートウェイとしてセットアップする方法説明します。
次の項目に関する知識があることが推奨されます。
ASDM 7.3 以降
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
互換性チャートに従って、サポートされている OS を稼働する PC
注:Cisco ソフトウェアダウンロード(登録ユーザ専用)から、AnyConnect VPN Clientパッケージ(anyconnect-win*.pkg)をダウンロードします。AnyConnect VPN クライアントを ASA のフラッシュ メモリにコピーします。これは、ASA との SSL VPN 接続を確立するためにリモート ユーザ コンピュータにダウンロードされます。詳細については、ASA コンフィギュレーション ガイドの「AnyConnect クライアントのインストール」を参照してください。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ASA の認証局は次の機能を提供します。
ガイドラインと制限事項
このセクションでは、Cisco ASA をローカル CA サーバとして設定する方法について説明します。
注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。
CLI の同等の設定:
ASA(config)# crypto ca server ASA(config-ca-server)# issuer-name CN=ASA.local ASA(config-ca-server)# subject-name-default CN=ASA.local ASA(config-ca-server)# lifetime certificate 365 ASA(config-ca-server)# lifetime ca-certificate 1095 ASA(config-ca-server)# passphrase cisco123 ASA(config-ca-server)# no shutdown % Some server settings cannot be changed after CA certificate generation. Keypair generation process begin. Please wait... Completed generation of the certificate and keypair... Archiving certificate and keypair to storage... Complete
これらは、ローカル CA サーバの設定で構成できる追加のフィールドです。
CRL Distribution point URL | これは ASA での CRL の場所です。 デフォルトの場所は、http://hostname.domain/+CSCOCA+/asa_ca.crl ですが、URL は変更できます。 |
Publish-CRL Interface and Port | 特定のインターフェイスおよびポートで、CRL に HTTP ダウンロードできるようにするには、ドロップダウン リストから publish-CRL インターフェイスを選択します。次に、1 ~ 65535 の任意のポート番号を入力します。デフォルトのポート番号は TCP ポート 80 です。 |
CRL のライフタイム | ローカル CA は、ユーザ証明書が無効化または無効化解除されるたびに、CRL を更新および再発行します。ただし、無効化に変更がない場合、CRL ライフタイム 1 回ごとに、CRL が自動的に再発行されます。ライフタイムとは、ローカル CA 設定時に lifetime crl コマンドで指定した期間です。CRL のライフタイムを指定しない場合、デフォルトの期間は 6 時間になります。 |
データベース ストレージの場所 | ASA では、ユーザ情報、発行済み証明書、および失効リストへのアクセスと実装にローカル CA データベースが使用されます。このデータベースは、デフォルトでローカル フラッシュ メモリに存在するか、または、マウントされて ASA にアクセス可能な外部のファイル システム上に設定することもできます。 |
Default Subject Name | 発行された証明書のユーザ名に追加されるデフォルト サブジェクト(DN 文字列)を入力します。次のリストに示す DN 属性を指定できます。 •CN(共通名)SN(姓) •O(組織名) •L(地名) •C(国) •OU(組織ユニット) •EA(電子メール アドレス) •ST(州/都道府県) •T(タイトル) |
Enrollment Period | ユーザが ASA から PKCS12 ファイルを取得できる登録制限時間を設定します(時間単位)。 デフォルト値は 24 時間です。 注:ユーザ証明書を含むPKCS12ファイルを取得する前に登録期間が切れると、登録は許可されません。 |
One Time Password Expiration | OTP のユーザ登録有効期間を定義します(時間単位)。この期間は、ユーザが登録を許可されたときに開始します。デフォルト値は 72 時間です。 |
Certificate Expiration Reminder | 証明書の有効期限までの日数を指定します。この日数が経過すると、再登録に関する最初の通知が証明書所有者に送信されます。 |
ユーザの詳細を指定します。次の画像に示すように、ユーザ名、電子メール ID、件名を指定します。
CLI の同等の設定:
ASA(config)# crypto ca server user-db add user1 dn CN=user1,OU=TAC email user1@cisco.com
ユーザのステータスを確認するための CLI:
ASA# show crypto ca server user-db username: user1 email: user1@cisco.com dn: CN=user1,OU=TAC allowed: 19:03:11 UTC Thu Jan 14 2016 notified: 1 times enrollment status: Allowed to Enroll
OTP に電子メールを送信する(CA サーバ設定で [SMTP server and Email Settings] が必要)。
または
OTP を直接表示し、[View/Re-generate OTP] をクリックしてユーザと共有する。これは、OTP の再生成にも使用できます。
CLI の同等の設定:
!! Email the OTP to the user
ASA# crypto ca server user-db allow user1 email-otp
!! Display the OTP on terminal
ASA# crypto ca server user-db allow user1 display-otp
Username: user1
OTP: 18D14F39C8F3DD84
Enrollment Allowed Until: 14:18:34 UTC Tue Jan 12 2016
!! Enable web-access on the "Internet" interface of the ASA
ASA(config)# webvpn ASA(config-webvpn)#enable Internet
https://IP/FQDN>/+CSCOCA+/enroll.html
クライアント証明書をインストールするパスフレーズは、前に受け取った OTP と同じです。
AnyConnect 構成ウィザード/CLI は、AnyConnect セキュア モビリティ クライアントを設定するために使用できます。先に進む前に、AnyConnect クライアント パッケージが ASA ファイアウォールのフラッシュまたはディスクにアップロードされていることを確認します。
構成ウィザードを使用して AnyConnect セキュア モビリティ クライアントを設定するために、次の手順を実行します。
2. Connection Profile Nameを入力し、VPN Access InterfaceドロップダウンメニューからVPNを終端するインターフェイスを選択して、Nextをクリックします。
3. SSLチェックボックスにチェックマークを入れて、Secure Sockets Layer(SSL)をイネーブルにします。デバイス証明書は、信頼できるサードパーティの認証局(CA)によって発行された証明書(Verisign、Entrust など)や自己署名証明書にすることができます。証明書がすでに ASA にインストールされている場合、ドロップダウン メニューから選択できます。
注:この証明書は、ASAからSSLクライアントに提示されるサーバ側の証明書です。ASA に現在インストールされているサーバ証明書がない場合、自己署名証明書を生成する必要があります。その後、[Manage] をクリックします。
サードパーティの証明書をインストールするために、シスコの ASA 8.x WebVPN で使用するサードパーティ ベンダーの証明書を手動でインストールする設定例の資料で説明されている手順を実行します。
4. Addをクリックして、ローカルドライブまたはASAのフラッシュ/ディスクからAnyConnectクライアントパッケージ(.pkgファイル)を追加します。
フラッシュ ドライブから画像を追加するには、[Browse Flash] をクリックし、ホスト マシンのローカル ドライブから画像を追加するには、[Upload] をクリックします。
5. ユーザ認証は、認証、許可、およびアカウンティング(AAA)サーバグループを介して実行できます。ユーザがすでに設定されている場合は、[ローカル(LOCAL)] を選択し、[次へ(Next)] をクリックします。その他に、ユーザをローカル ユーザ データベースに追加して、[Next] をクリックします。
注:この例では、LOCAL認証が設定されています。つまり、ASAのローカルユーザデータベースが認証に使用されます。
6. VPNクライアントのアドレスプールが設定されていることを確認します。ip プールがすでに設定されている場合、ドロップダウン メニューから選択します。設定されていない場合、[New] をクリックして設定します。完了したら [next] をクリックします。
7. オプションで、ドメインネームシステム(DNS)サーバとDNをDNSおよびドメイン名フィールドに設定し、Nextをクリックします。
8. クライアントと内部サブネットの間のトラフィックがダイナミックNetwork Address Translation(NAT;ネットワークアドレス変換)を免除されている必要があります。[Exempt VPN traffic from network address translation] チェック ボックスを有効にし、適用の除外に使用される LAN インターフェイスを設定します。また、適用が除外されるローカル ネットワークを指定して、[Next] をクリックします。
9. Nextをクリックします。
10. 最後のステップは要約を表示し、Finishをクリックして設定を完了します。
これで、AnyConnect クライアントの設定が完了しました。ただし、構成ウィザードで AnyConnect を設定すると、認証方式が AAA にデフォルトで設定されます。証明書およびユーザ名とパスワードでクライアントを認証するには、認証方式として証明書と AAA を使用するようにトンネル グループ(接続プロファイル)を設定する必要があります。
!! *****Configure the VPN Pool*****
ip local pool VPN_Pool 10.10.10.1-10.10.10.200 mask 255.255.255.0 !! *****Configure Address Objects for VPN Pool and Local Network*****
object network NETWORK_OBJ_10.10.10.0_24 subnet 10.10.10.0 255.255.255.0
object network NETWORK_OBJ_192.168.10.0_24 subnet 192.168.10.0 255.255.255.0 exit !! *****Configure WebVPN*****
webvpn enable Internet anyconnect image disk0:/anyconnect-win-4.2.00096-k9.pkg 1 anyconnect enable tunnel-group-list enable exit !! *****Configure User*****
username user1 password mbO2jYs13AXlIAGa encrypted privilege 2 !! *****Configure Group-Policy*****
group-policy GroupPolicy_SSL_GRP internal group-policy GroupPolicy_SSL_GRP attributes vpn-tunnel-protocol ssl-client dns-server none wins-server none default-domain none exit !! *****Configure Tunnel-Group*****
tunnel-group SSL_GRP type remote-access tunnel-group SSL_GRP general-attributes authentication-server-group LOCAL default-group-policy GroupPolicy_SSL_GRP address-pool VPN_Pool tunnel-group SSL_GRP webvpn-attributes authentication aaa certificate group-alias SSL_GRP enable exit !! *****Configure NAT-Exempt Policy*****
nat (Inside,Internet) 1 source static NETWORK_OBJ_192.168.10.0_24 NETWORK_OBJ_192.168.10.0_24 destination static NETWORK_OBJ_10.10.10.0_24 NETWORK_OBJ_10.10.10.0_24 no-proxy-arp route-lookup
ここでは、設定が正常に機能しているかどうかを確認します。
注:特定のshowコマンドが、アウトプットインタープリタツール(登録ユーザ専用)でサポートされています。show コマンドの出力の分析を表示するには、Output Interpreter Tool を使用します。
CA サーバが有効であることを確認します。
show crypto ca server
ASA(config)# show crypto ca server Certificate Server LOCAL-CA-SERVER:
Status: enabled
State: enabled
Server's configuration is locked (enter "shutdown" to unlock it)
Issuer name: CN=ASA.local
CA certificate fingerprint/thumbprint: (MD5)
32e868b9 351a1b07 4b59cce5 704d6615
CA certificate fingerprint/thumbprint: (SHA1)
6136511b 14aa1bbe 334c2659 ae7015a9 170a7c4d
Last certificate issued serial number: 0x1
CA certificate expiration timer: 19:25:42 UTC Jan 8 2019
CRL NextUpdate timer: 01:25:42 UTC Jan 10 2016
Current primary storage dir: flash:/LOCAL-CA-SERVER/
Auto-Rollover configured, overlap period 30 days
Autorollover timer: 19:25:42 UTC Dec 9 2018
WARNING: Configuration has been modified and needs to be saved!!
追加後に、ユーザが登録を許可されていることを確認します。
*****Before Enrollment***** ASA# show crypto ca server user-db username: user1 email: user1@cisco.com dn: CN=user1,OU=TAC allowed: 19:03:11 UTC Thu Jan 14 2016 notified: 1 times enrollment status: Allowed to Enroll >>> Shows the status "Allowed to Enroll" *****After Enrollment***** username: user1 email: user1@cisco.com dn: CN=user1,OU=TAC allowed: 19:05:14 UTC Thu Jan 14 2016 notified: 1 times enrollment status: Enrolled, Certificate valid until 19:18:30 UTC Tue Jan 10 2017, Renewal: Allowed
CLI または ASDM のいずれかを介して AnyConnect 接続の詳細を確認できます。
CLI の場合
show vpn-sessiondb detail anyconnect
ASA# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : user1 Index : 1 Assigned IP : 10.10.10.1 Public IP : 10.142.189.181 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Essentials Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1 Bytes Tx : 13822 Bytes Rx : 13299 Pkts Tx : 10 Pkts Rx : 137 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : GroupPolicy_SSL_GRP Tunnel Group : SSL_GRP Login Time : 19:19:10 UTC Mon Jan 11 2016 Duration : 0h:00m:47s Inactivity : 0h:00m:00s NAC Result : Unknown VLAN Mapping : N/A VLAN : none AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 1.1 Public IP : 10.142.189.181 Encryption : none Hashing : none TCP Src Port : 52442 TCP Dst Port : 443 Auth Mode : Certificate and userPassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.2.00096 Bytes Tx : 6911 Bytes Rx : 768 Pkts Tx : 5 Pkts Rx : 1 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 1.2 Assigned IP : 10.10.10.1 Public IP : 10.142.189.181 Encryption : RC4 Hashing : SHA1 Encapsulation: TLSv1.0 TCP Src Port : 52443 TCP Dst Port : 443 Auth Mode : Certificate and userPassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.2.00096 Bytes Tx : 6911 Bytes Rx : 152 Pkts Tx : 5 Pkts Rx : 2 Pkts Tx Drop : 0 Pkts Rx Drop : 0 DTLS-Tunnel: Tunnel ID : 1.3 Assigned IP : 10.10.10.1 Public IP : 10.142.189.181 Encryption : AES128 Hashing : SHA1 Encapsulation: DTLSv1.0 UDP Src Port : 59167 UDP Dst Port : 443 Auth Mode : Certificate and userPassword Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.2.00096 Bytes Tx : 0 Bytes Rx : 12907 Pkts Tx : 0 Pkts Rx : 142 Pkts Tx Drop : 0 Pkts Rx Drop : 0 NAC: Reval Int (T): 0 Seconds Reval Left(T): 0 Seconds SQ Int (T) : 0 Seconds EoU Age(T) : 51 Seconds Hold Left (T): 0 Seconds Posture Token: Redirect URL :
ASDM の場合
Details:セッションに関する詳細情報が表示されます。
Logout:ヘッドエンドからユーザを手動でログアウトします。
Ping:ヘッドエンドから AnyConnect クライアントを ping します。
ここでは、設定のトラブルシューティングに使用できる情報を示します。
注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。
注意:ASAでは、さまざまなデバッグレベルを設定できます。デフォルトでは、レベル1が使用されます。デバッグ レベルを変更すると、デバッグの冗長性が高くなる場合があります。特に実稼働環境では、注意して実行してください。
次のデバッグ出力は、CA サーバが no shut コマンドを使用して有効にされている場合に示されます。
ASA# debug crypto ca 255 ASA# debug crypto ca server 255 ASA# debug crypto ca message 255 ASA# debug crypto ca transaction 255 CRYPTO_CS: input signal enqueued: no shut >>>>> Command issued to Enable the CA server Crypto CS thread wakes up! CRYPTO_CS: enter FSM: input state disabled, input signal no shut CRYPTO_CS: starting enabling checks CRYPTO_CS: found existing serial file. CRYPTO_CS: started CA cert timer, expiration time is 17:53:33 UTC Jan 13 2019 CRYPTO_CS: Using existing trustpoint 'LOCAL-CA-SERVER' and CA certificate CRYPTO_CS: file opened: flash:/LOCAL-CA-SERVER/LOCAL-CA-SERVER.ser CRYPTO_CS: DB version 1 CRYPTO_CS: last issued serial number is 0x4 CRYPTO_CS: closed ser file CRYPTO_CS: file opened: flash:/LOCAL-CA-SERVER/LOCAL-CA-SERVER.crl CRYPTO_CS: CRL file LOCAL-CA-SERVER.crl exists. CRYPTO_CS: Read 220 bytes from crl file. CRYPTO_CS: closed crl file CRYPTO_PKI: Storage context locked by thread Crypto CA Server CRYPTO_PKI: inserting CRL CRYPTO_PKI: set CRL update timer with delay: 20250 CRYPTO_PKI: the current device time: 18:05:17 UTC Jan 16 2016 CRYPTO_PKI: the last CRL update time: 17:42:47 UTC Jan 16 2016 CRYPTO_PKI: the next CRL update time: 23:42:47 UTC Jan 16 2016 CRYPTO_PKI: CRL cache delay being set to: 20250000 CRYPTO_PKI: Storage context released by thread Crypto CA Server CRYPTO_CS: Inserted Local CA CRL into cache! CRYPTO_CS: shadow not configured; look for shadow cert CRYPTO_CS: failed to find shadow cert in the db CRYPTO_CS: set shadow generation timer CRYPTO_CS: shadow generation timer has been set CRYPTO_CS: Enabled CS. CRYPTO_CS: exit FSM: new state enabled CRYPTO_CS: cs config has been locked. Crypto CS thread sleeps!
次のデバッグ出力はクライアントの登録を示します。
ASA# debug crypto ca 255 ASA# debug crypto ca server 255 ASA# debug crypto ca message 255 ASA# debug crypto ca transaction 255 CRYPTO_CS: writing serial number 0x2. CRYPTO_CS: file opened: flash:/LOCAL-CA-SERVER/LOCAL-CA-SERVER.ser CRYPTO_CS: Writing 32 bytes to ser file CRYPTO_CS: Generated and saving a PKCS12 file for user user1 at flash:/LOCAL-CA-SERVER/user1.p12
次の条件が発生している場合、クライアントの登録が失敗する場合があります。
シナリオ 1.
CLI の同等の設定:
ASA(config)# show crypto ca server user-db username: user1 email: user1@cisco.com dn: CN=user1,OU=TAC allowed: <not allowed> notified: 0 times enrollment status: Not Allowed to Enroll
シナリオ 2.
次のような場合、クライアントは ASA の登録ポータルにアクセスできないことがあります。
ASA(config)# show run webvpn webvpn port 4433 enable Internet no anyconnect-essentials anyconnect image disk0:/anyconnect-win-4.2.00096-k9.pkg 1
anyconnect enable
tunnel-group-list enable
シナリオ 3.
ASA(config)# debug crypto ca 255 ASA(config)# debug crypto ca server 255 ASA(config)# debug crypto ca message 255 ASA(config)# debug crypto ca transaction 255 ASA(config)# debug crypto ca trustpool 255 CRYPTO_CS: writing serial number 0x2. CRYPTO_CS: file opened: flash:/LOCAL-CA-SERVER/LOCAL-CA-SERVER.ser CRYPTO_CS: Writing 32 bytes to ser file CRYPTO_CS: Generated and saving a PKCS12 file for user user1 at flash:/LOCAL-CA-SERVER/user1.p12 CRYPTO_CS: Failed to write to opened PKCS12 file for user user1, fd: 0, status: -1. CRYPTO_CS: Failed to generate pkcs12 file for user user1 status: -1. CRYPTO_CS: Failed to process enrollment in-line for user user1. status: -1
改定 | 発行日 | コメント |
---|---|---|
1.0 |
03-Aug-2016 |
初版 |