このドキュメントでは、デジタルまたは ID 証明書および SSL 証明書を使用して認証するために、Cisco VPN 3000 シリーズ コンセントレータを設定する方法について手順を追って説明します。
注:VPNコンセントレータでは、別のSSL証明書を生成する前にロードバランシングを無効にする必要があります。これは、証明書の生成を妨げるためです。
PIX/ASA 7.x での同じシナリオに関する詳細については、『ASDM を使用して Microsoft Windows CA から ASA のデジタル証明書を取得する方法』を参照してください。
Cisco IOS(R) プラットフォームを使用する場合の同様のシナリオについては、『拡張された登録コマンドを使用した Cisco IOS の証明書登録の設定例』を参照してください。
このドキュメントに関する固有の要件はありません。
このドキュメントの情報は、バージョン4.7が稼働するCisco VPN 3000コンセントレータに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
次のステップを実行します。
Administration > Certificate Management > Enroll の順に選択し、デジタルまたはID証明書要求を選択します。
Administration > Certificate Management > Enrollment > Identity Certificateの順に選択し、Enroll via PKCS10 Request(Manual)をクリックします。
要求されたフィールドに入力し、Enrollをクリックします。
この例では、これらのフィールドに値が入力されています。
Common Name(一般名):altiga30
組織単位:IPSECCERT(OUは設定済みのIPsecグループ名と一致する必要があります)
組織:Cisco Systems
Locality:RTP
都道府県:ノースカロライナ州
Country(国):US
完全修飾ドメイン名:(ここでは使用されません)
キー サイズ:512
注:Simple Certificate Enrollment Protocol(SCEP)を使用してSSL証明書またはID証明書を要求する場合、使用できるRSAオプションは次だけです。
RSA 512ビット
RSA 768ビット
RSA 1024ビット
RSA 2048ビット
DSA 512ビット
DSA 768ビット
DSA 1024ビット
Enrollをクリックすると、複数のウィンドウが表示されます。最初のウィンドウで、証明書を要求したことを確認します。
新しいブラウザウィンドウも開き、PKCS要求ファイルが表示されます。
Certification Authority(CA;認証局)サーバで、要求を強調表示してCAサーバに貼り付け、要求を送信します。[Next] をクリックします。
Advanced requestを選択し、Nextをクリックします。
Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 fileを選択し、Nextをクリックします。
PKCSファイルをSaved Requestセクションの下のテキストフィールドにカットアンドペーストします。次に [Submit] をクリックします。
CAサーバでID証明書を発行します。
ルート証明書とID証明書をダウンロードします。CAサーバでCheck on a pending certificateを選択し、Nextをクリックします。
Base 64 encodedを選択し、CAサーバでDownload CA certificateをクリックします。
ローカルドライブにID証明書を保存します。
CAサーバでRetrieve the CA certificate or certificate revocation listを選択し、ルート証明書を取得します。次に [Next] をクリックします。
ローカルドライブにルート証明書を保存します。
VPN 3000コンセントレータにルート証明書とID証明書をインストールします。これを行うには、Administration > Certificate Manager > Installation > Install certificate obtained via enrollmentの順に選択します。Enrollment StatusでInstallをクリックします。
Upload File from Workstationをクリックします。
Browseをクリックし、ローカルドライブに保存したルート証明書ファイルを選択します。
Installを選択して、VPNコンセントレータにID証明書をインストールします。行政 | 「証明書管理」ウィンドウが確認として表示され、新しいID証明書が「ID証明書」テーブルに表示されます。
注:証明書が失敗した場合に新しい証明書を生成するには、次の手順を実行します。
Administration > Certificate Managementの順に選択します。
SSL証明書リストのActionsボックスでDeleteをクリックします。
Administration > System Rebootの順に選択します。
Save the active configuration at time of rebootを選択し、Nowを選択して、Applyをクリックします。リロードが完了すると、新しい証明書を生成できます。
ブラウザとVPNコンセントレータの間でセキュアな接続を使用する場合、VPNコンセントレータにはSSL証明書が必要です。また、VPNコンセントレータの管理に使用するインターフェイスとWebVPN用のSSL証明書、およびWebVPNトンネルを終端する各インターフェイスに対するSSL証明書も必要です。
インターフェイスSSL証明書がない場合、VPN 3000コンセントレータソフトウェアをアップグレードした後にVPN 3000コンセントレータがリブートすると、自動的に生成されます。自己署名証明書は自己生成されるため、この証明書は検証できません。IDを保証する証明機関はありません。ただし、この証明書を使用すると、ブラウザを使用してVPNコンセントレータとの最初の接続を確立できます。別の自己署名SSL証明書に置き換える場合は、次の手順を実行します。
Administration > Certificate Managementの順に選択します。
Generateをクリックして、SSL Certificateテーブルに新しい証明書を表示し、既存の証明書を置き換えます。
このウィンドウでは、VPNコンセントレータが自動的に生成するSSL証明書のフィールドを設定できます。これらのSSL証明書は、インターフェイスおよびロードバランシング用です。
検証可能なSSL証明書(認証局によって発行された証明書)を取得する場合は、このドキュメントの「VPNコンセントレータでのデジタル証明書のインストール」セクションを参照し、ID証明書の取得と同じ手順を使用します。ただし、今回はAdministration > Certificate Management > Enrollウィンドウで、SSL certificate(ID証明書の代わりに)をクリックします。
注:「Administration」を参照してください | デジタル証明書とSSL証明書についての詳細は、『VPN 3000コンセントレータレファレンスボリュームII:管理とモニタリングリリース4.7』の「証明書管理」セクションを参照してください。
このセクションでは、SSL証明書を更新する方法について説明します。
VPNコンセントレータによって生成されたSSL証明書の場合は、SSLセクションでAdministration > Certificate Managementの順に選択します。renewオプションをクリックすると、SSL証明書が更新されます。
外部CAサーバによって付与された証明書の場合は、次の手順を実行します。
SSL CertificatesでAdministration > Certificate Management >Deleteの順に選択し、期限切れの証明書をパブリックインターフェイスから削除します。
Yesをクリックして、SSL証明書の削除を確認します。
Administration > Certificate Management > Generateの順に選択し、新しいSSL証明書を生成します。
パブリックインターフェイスの新しいSSL証明書が表示されます。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
07-Sep-2001 |
初版 |