デジタル証明書および SSL 証明書を取得するための Cisco VPN 3000 コンセントレータ 4.7.x の設定

ダウンロード オプション

  • PDF     (877.4 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (786.7 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.1 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2008 年 4 月 21 日
Document ID:4123

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、デジタルまたは ID 証明書および SSL 証明書を使用して認証するために、Cisco VPN 3000 シリーズ コンセントレータを設定する方法について手順を追って説明します。

注:VPNコンセントレータでは、別のSSL証明書を生成する前にロードバランシングを無効にする必要があります。これは、証明書の生成を妨げるためです。

PIX/ASA 7.x での同じシナリオに関する詳細については、『ASDM を使用して Microsoft Windows CA から ASA のデジタル証明書を取得する方法』を参照してください。

Cisco IOS(R) プラットフォームを使用する場合の同様のシナリオについては、『拡張された登録コマンドを使用した Cisco IOS の証明書登録の設定例』を参照してください。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、バージョン4.7が稼働するCisco VPN 3000コンセントレータに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

VPNコンセントレータへのデジタル証明書のインストール

次のステップを実行します。

  1. Administration > Certificate Management > Enroll の順に選択し、デジタルまたはID証明書要求を選択します。

    installdigital-16.gif

  2. Administration > Certificate Management > Enrollment > Identity Certificateの順に選択し、Enroll via PKCS10 Request(Manual)をクリックします。

    installdigital-17.gif

  3. 要求されたフィールドに入力し、Enrollをクリックします。

    この例では、これらのフィールドに値が入力されています。

    • Common Name(一般名):altiga30

    • 組織単位:IPSECCERT(OUは設定済みのIPsecグループ名と一致する必要があります)

    • 組織:Cisco Systems

    • Locality:RTP

    • 都道府県:ノースカロライナ州

    • Country(国):US

    • 完全修飾ドメイン名:(ここでは使用されません)

    • キー サイズ:512

    注:Simple Certificate Enrollment Protocol(SCEP)を使用してSSL証明書またはID証明書を要求する場合、使用できるRSAオプションは次だけです。

    • RSA 512ビット

    • RSA 768ビット

    • RSA 1024ビット

    • RSA 2048ビット

    • DSA 512ビット

    • DSA 768ビット

    • DSA 1024ビット

    installdigital_01.gif

  4. Enrollをクリックすると、複数のウィンドウが表示されます。最初のウィンドウで、証明書を要求したことを確認します。

    installdigital_02.gif

    新しいブラウザウィンドウも開き、PKCS要求ファイルが表示されます。

    installdigital_02a.gif

  5. Certification Authority(CA;認証局)サーバで、要求を強調表示してCAサーバに貼り付け、要求を送信します。[Next] をクリックします。

    installdigital_03.gif

  6. Advanced requestを選択し、Nextをクリックします。

    installdigital_04.gif

  7. Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 fileを選択し、Nextをクリックします。

    installdigital_05.gif

  8. PKCSファイルをSaved Requestセクションの下のテキストフィールドにカットアンドペーストします。次に [Submit] をクリックします。

    installdigital_06.gif

  9. CAサーバでID証明書を発行します。

    installdigital_07.gif

  10. ルート証明書とID証明書をダウンロードします。CAサーバでCheck on a pending certificateを選択し、Nextをクリックします。

    installdigital_08.gif

  11. Base 64 encodedを選択し、CAサーバでDownload CA certificateをクリックします。

    installdigital_09.gif

  12. ローカルドライブにID証明書を保存します。

    installdigital_10.gif

  13. CAサーバでRetrieve the CA certificate or certificate revocation listを選択し、ルート証明書を取得します。次に [Next] をクリックします。

    installdigital_11.gif

  14. ローカルドライブにルート証明書を保存します。

    installdigital_12.gif

  15. VPN 3000コンセントレータにルート証明書とID証明書をインストールします。これを行うには、Administration > Certificate Manager > Installation > Install certificate obtained via enrollmentの順に選択します。Enrollment StatusでInstallをクリックします。

    installdigital_13.gif

  16. Upload File from Workstationをクリックします。

    installdigital_14.gif

  17. Browseをクリックし、ローカルドライブに保存したルート証明書ファイルを選択します。

    Installを選択して、VPNコンセントレータにID証明書をインストールします。行政 | 「証明書管理」ウィンドウが確認として表示され、新しいID証明書が「ID証明書」テーブルに表示されます。

    installdigital_15.gif

    注:証明書が失敗した場合に新しい証明書を生成するには、次の手順を実行します。

    1. Administration > Certificate Managementの順に選択します。

    2. SSL証明書リストのActionsボックスでDeleteをクリックします。

    3. Administration > System Rebootの順に選択します。

    4. Save the active configuration at time of rebootを選択し、Nowを選択して、Applyをクリックします。リロードが完了すると、新しい証明書を生成できます。

VPNコンセントレータへのSSL証明書のインストール

ブラウザとVPNコンセントレータの間でセキュアな接続を使用する場合、VPNコンセントレータにはSSL証明書が必要です。また、VPNコンセントレータの管理に使用するインターフェイスとWebVPN用のSSL証明書、およびWebVPNトンネルを終端する各インターフェイスに対するSSL証明書も必要です。

インターフェイスSSL証明書がない場合、VPN 3000コンセントレータソフトウェアをアップグレードした後にVPN 3000コンセントレータがリブートすると、自動的に生成されます。自己署名証明書は自己生成されるため、この証明書は検証できません。IDを保証する証明機関はありません。ただし、この証明書を使用すると、ブラウザを使用してVPNコンセントレータとの最初の接続を確立できます。別の自己署名SSL証明書に置き換える場合は、次の手順を実行します。

  1. Administration > Certificate Managementの順に選択します。

    installdigital-18.gif

  2. Generateをクリックして、SSL Certificateテーブルに新しい証明書を表示し、既存の証明書を置き換えます。

    このウィンドウでは、VPNコンセントレータが自動的に生成するSSL証明書のフィールドを設定できます。これらのSSL証明書は、インターフェイスおよびロードバランシング用です。

    installdigital-19.gif

    検証可能なSSL証明書(認証局によって発行された証明書)を取得する場合は、このドキュメントの「VPNコンセントレータでのデジタル証明書のインストール」セクションを参照し、ID証明書の取得と同じ手順を使用します。ただし、今回はAdministration > Certificate Management > Enrollウィンドウで、SSL certificate(ID証明書の代わりに)をクリックします。

    注:「Administration」を参照してください | デジタル証明書とSSL証明書についての詳細は、『VPN 3000コンセントレータレファレンスボリュームII:管理とモニタリングリリース4.7』の「証明書管理」セクションを参照してください。

VPNコンセントレータでのSSL証明書の更新

このセクションでは、SSL証明書を更新する方法について説明します。

VPNコンセントレータによって生成されたSSL証明書の場合は、SSLセクションでAdministration > Certificate Managementの順に選択します。renewオプションをクリックすると、SSL証明書が更新されます。

外部CAサーバによって付与された証明書の場合は、次の手順を実行します。

  1. SSL CertificatesAdministration > Certificate Management >Deleteの順に選択し、期限切れの証明書をパブリックインターフェイスから削除します。

    installdigital-20.gif

    Yesをクリックして、SSL証明書の削除を確認します。

    installdigital-21.gif

  2. Administration > Certificate Management > Generateの順に選択し、新しいSSL証明書を生成します。

    installdigital-22.gif

    パブリックインターフェイスの新しいSSL証明書が表示されます。

    installdigital-23.gif

関連情報

更新履歴

改定 発行日 コメント
1.0
07-Sep-2001
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています