このドキュメントでは、証明書を使用した Cisco VPN 3000 シリーズ コンセントレータと VPN クライアントの設定方法の段階的な手順について説明します。
このドキュメントに関する固有の要件はありません。
このドキュメントの情報は、Cisco VPN 3000コンセントレータソフトウェアバージョン4.0.4Aに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
VPN Client用にVPN 3000コンセントレータの証明書を設定するには、次の手順を実行します。
IKEポリシーは、VPN 3000コンセントレータシリーズマネージャで証明書を使用するように設定する必要があります。IKEポリシーを設定するには、Configuration > System > Tunneling Protocols > IPsec > IKE Proposalsの順に選択し、CiscoVPNClient-3DES-MD5-RSAをActive Proposalsに移動します。
証明書を使用するようにIPSecポリシーを設定する必要もあります。IPSecポリシーを設定するには、Configuration > Policy Management > Traffic Management > Security Associationsの順に選択し、ESP-3DES-MD5を強調表示してから、Modifyをクリックします。
ModifyウィンドウのDigital Certificatesの下で、インストールされているID証明書を選択します。IKE ProposalでCiscoVPNClient-3DES-MD5-RSAを選択し、Applyをクリックします。
IPSecグループを設定するには、Configuration > User Management > Groups > Addの順に選択し、IPSECCERTというグループを追加し(IPSECCERTグループ名がID証明書の組織単位(OU)と一致している)、パスワードを選択します。
証明書を使用する場合、このパスワードはどこにも使用されません。この例では、「cisco123」がパスワードです。
同じページでGeneralタブをクリックし、Tunneling ProtocolとしてIPsecを選択していることを確認します。
IPsecタブをクリックし、IPsec SAで設定したIPsec Security Association(SA)が選択されていることを確認して、Applyをクリックします。
VPN 3000コンセントレータでIPsecグループを設定するには、Configuration > User Management > Users > Addの順に選択し、ユーザ名、パスワード、およびグループ名を指定して、Addをクリックします。
この例では、次のフィールドが使用されます。
ユーザ名= cert_user
パスワード:cisco123
確認= cisco123
グループ= IPSECCERT
VPN 3000コンセントレータでデバッグを有効にするには、Configuration > System > Events > Classesの順に選択し、次のクラスを追加します。
証明書1-13
IKE 1-6
IKEDBG 1-10
IPSEC 1-6
IPSECDBG 1-10
デバッグを表示するには、Monitoring > Filterable Event Logの順に選択します。
注:IPアドレスを変更する場合は、新しいIPアドレスを登録し、発行済みの証明書をそれらの新しいアドレスで後からインストールできます。
現在、この設定に使用できる確認手順はありません。
トラブルシューティングの詳細については、『VPN 3000コンセントレータの接続の問題のトラブルシューティング』を参照してください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
06-Sep-2001 |
初版 |