Cisco Secure Firewall Device Manager バージョン 7.4 コンフィギュレーション ガイド

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Secure Firewall Device Manager バージョン 7.4 コンフィギュレーション ガイド

Chapter Title

証明書

検索結果

Updated:
2024年5月24日金曜日

章のタイトル: 証明書

証明書

デジタル証明書は、認証に使用されるデジタル ID を提供します。証明書は、SSL(セキュア ソケット レイヤ)、TLS(Transport Layer Security)、および DTLS(データグラム TLS)接続(HTTPS や LDAPS など)に使用されます。次のトピックでは、証明書の作成と管理の方法について説明します。

証明書について

デジタル証明書は、認証に使用されるデジタル ID を提供します。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなど、ユーザーまたはデバイスを識別する情報が含まれます。デジタル証明書には、ユーザまたはデバイスの公開キーのコピーも含まれています。証明書は、SSL(セキュア ソケット レイヤ)、TLS(Transport Layer Security)、および DTLS(データグラム TLS)接続(HTTPS や LDAPS など)に使用されます。

次のタイプの証明書を作成できます。

  • 内部証明書:内部アイデンティティ証明書は、特定のシステムまたはホストの証明書です。これらは OpenSSL ツールキットを使用して自分で生成することも、認証局から取得することもできます。自己署名証明書を生成することもできます。何らかの理由で内部証明書が期限切れになるか無効になった場合は、次の CLISH CLI コマンドを使用して再生成できます。
    > system support regenerate-security-keyring 
  String  Certificate to be regenerated, default or fdm

  • 内部証明書認証局(CA)証明書:内部 CA 証明書は、他の証明書の署名にシステムが使用できる証明書です。これらの証明書は、基本制約拡張と CA フラグに関して内部アイデンティティ証明書と異なります。これらは CA 証明書では有効ですが、アイデンティティ証明書では無効です。これらは OpenSSL ツールキットを使用して自分で生成することも、認証局から取得することもできます。自己署名内部 CA 証明書を生成することもできます。自己署名内部 CA 証明書を設定する場合は、CA はデバイス自体で稼働します。

  • 信頼できる認証局(CA)証明書:信頼できる CA 証明書は、他の証明書に署名するために使用されます。これは自己署名され、ルート証明書と呼ばれます。別の CA 証明書により発行される証明書は、下位証明書と呼ばれます。

認証局(CA) は、証明書に「署名」してその認証を確認することで、デバイスまたはユーザーのアイデンティティを保証する、信頼できる機関です。CA は、公開キーまたは秘密キーの暗号化を使用してセキュリティを保証する PKI コンテキストで、デジタル証明書を発行します。CA は、信頼できるサード パーティ(VeriSign など)の場合もあれば、組織内に設置したプライベート CA(インハウス CA)の場合もあります。CA は、証明書要求の管理とデジタル証明書の発行を行います。詳細については、公開キー暗号化を参照してください。

公開キー暗号化

RSA 暗号化システムなどの Public Key Cryptography では、各ユーザーは、公開キーと秘密キーの両方を含むキー ペアを使用します。これらのキーは、補足として機能し、一方で暗号化されたものは、もう一方で復号できます。

簡単に言えば、データが秘密キーで暗号化されたとき、署名が形成されます。署名はデータに付加されて受信者に送信されます。受信者は送信者の公開キーをデータに適用します。データとともに送信された署名が、公開キーをデータに適用した結果と一致した場合、メッセージの有効性が確立されます。

このプロセスは、受信者が送信者の公開キーのコピーを持っていること、およびその公開キーが送信者になりすました別人のものではなく、送信者本人のものであることを受信者が強く確信していることに依存しています。

通常、送信者の公開キーは外部で取得するか、インストール時の操作によって取得します。たとえば、ほとんどの Web ブラウザでは、いくつかの CA のルート証明書がデフォルトで設定されています。

デジタル証明書および公開キー暗号化の詳細については、openssl.org、Wikipedia、またはその他のソースを参照してください。SSL/TLS 暗号化をしっかりと理解することで、デバイスへのセキュアな接続を確立できます。

各機能で使用される証明書タイプ

各機能に適したタイプの証明書を作成する必要があります。次の機能は、証明書が必要です。

アイデンティティ ポリシー(キャプティブ ポータル):内部証明書

(オプション)キャプティブ ポータルはアイデンティティ ポリシーで使用されます。この証明書は、ユーザが自身を特定し、自分のユーザ名にデバイスの IP アドレスを関連付けることを目的としてデバイスを認証するときに承認する必要があります。証明書を提示しないと、デバイスは自動生成された証明書を使用します。

アイデンティティ レルム(アイデンティティ ポリシーおよびリモート アクセス VPN):信頼できる CA 証明書

(オプション)ディレクトリ サーバに暗号化接続を使用する場合、ディレクトリ サーバの認証を行うためにこの証明書を承認する必要があります。ユーザは、アイデンティティ ポリシーおよびリモート アクセス VPN ポリシーから求められたときに認証する必要があります。ディレクトリ サーバに暗号化を使用しない場合、証明書は必要ありません。

管理 Web サーバ(管理アクセス システム設定):内部証明書

(オプション)Device Manager は Web ベースのアプリケーションであり、Web サーバーで動作します。お使いのブラウザで有効として受け入れられる証明書をアップロードすると、Untrusted Authority の警告を受けるのを回避できます。

リモート アクセス VPN:内部証明書

(必須)内部証明書は、セキュアクライアント がデバイスへの接続を行うときにデバイス ID を確立する外部インターフェイスに使用します。クライアントはこの証明書を承認する必要があります。

サイト間 VPN:内部および信頼できる CA 証明書

サイト間 VPN 接続に証明書認証を使用する場合は、接続内のローカルピアの認証に使用される内部アイデンティティ証明書を選択する必要があります。これは VPN 接続の定義の一部ではありませんが、システムがピアを認証できるように、ローカルおよびリモートピアのアイデンティティ証明書に署名するために使用した信頼できる CA 証明書をアップロードする必要があります。

SSL 復号ポリシー:内部、内部証明書、および信頼できる CA 証明書および証明書グループ

(必須)SSL 復号ポリシーは、以下の目的のため証明書を使用します。

  • 内部証明書は既知のキー復号ルールに使用されます。

  • 内部 CA 証明書は、クライアントと 脅威に対する防御 デバイス間にセッションを作成するときに、再署名の復号ルールに使用されます。

  • 信頼できる CA 証明書は、脅威に対する防御 デバイスとサーバ間にセッションを作成するときに、再署名の復号ルールに間接的に使用されます。信頼できる CA 証明書は、サーバの証明書の署名機関を検証するために使用されます。 これらの証明書は、直接設定するか、ポリシー設定において証明書グループで設定できます。システムには、Cisco-Trusted-Authorities グループで収集された多数の信頼できる CA 証明書が含まれるため、追加の証明書をアップロードする必要はないことがあります。

例:OpenSSL を使用した内部証明書の生成

次の例では、OpenSSL コマンドを使用して内部サーバーの証明書を生成します。OpenSSL は openssl.org から取得できます。具体的な情報については、OpenSSL のマニュアルを参照してください。この例で使用するコマンドは変更される場合があり、この他にも利用できるオプションがある可能性もあります。

この手順は、脅威に対する防御 にアップロードする証明書の取得方法について、1 つの考え方を示すものです。


(注)  

次に示す OpenSSL コマンドは一例にすぎません。セキュリティ要件に合わせてパラメータを調整してください。

手順

ステップ 1

キーを生成します。 


openssl genrsa -out server.key 4096

ステップ 2

証明書署名要求(CSR)を生成します。 


openssl req -new -key server.key -out server.csr

ステップ 3

キーと CSR を持つ自己署名証明書を生成します。 


openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Device Manager は暗号化キーをサポートしないため、自己署名証明書を生成するときはリターンキーを押してチャレンジパスワードをスキップしてください。

ステップ 4

内部証明書のオブジェクトを Device Manager で作成するときは、正しいフィールドにファイルをアップロードします。

ファイルの内容をコピーして貼り付けることもできます。サンプル コマンドは、次のファイルを作成します。

  • server.crt:[サーバー証明書(Server Certificate)] フィールドにコンテンツをアップロードするか、貼り付けます。

  • server.key:[証明書キー(Certificate Key)] フィールドにコンテンツをアップロードするか、貼り付けます。キーの生成時にパスワードを入力すると、次のコマンドを使用してそれを復号できます。出力は stdout に送信され、コピーできます。 

    
openssl rsa –in server.key –check

証明書の設定

Threat Defense PEM または DER 形式の X509 証明書をサポートします。OpenSSL を使用して必要に応じて証明書を生成、信頼できる認証局から取得、または自己署名証明書を作成します。

証明書の詳細については、証明書についてを参照してください。

各機能にどのタイプが使用されているかについては、各機能で使用される証明書タイプを参照してください。

次に、[オブジェクト(Objects)] ページで直接オブジェクトを作成および編集する方法について説明します。オブジェクト リストに表示されている [新規証明書の作成(Create New Certificate)] リンクをクリックし、証明書プロパティを編集しながら、証明書オブジェクトを作成することもできます。

手順

ステップ 1

[オブジェクト(Objects)] を選択し、目次から [証明書(Certificates)] を選択します。

システムには、そのまま、または置き換えて使用できる次の事前定義された証明書が付属します。

  • DefaultInternalCertificate

  • DefaultWebserverCertificate

  • NGFW-Default-InternalCA

システムには、サード パーティ証明機関からの多数の信頼された CA の証明書も含まれています。これらは再署名の復号アクションのために SSL 復号化ポリシーが使用します。Cisco-Trusted-Authorities グループにはこれらの証明書がすべて含まれており、このグループが SSL 復号ポリシーで使用されるデフォルトグループです。

定義済みの検索フィルタをクリックすると、リストを [システム定義(System-defined)] の証明書または [ユーザー定義(User-defined)] の証明書のみに制限できます。また、[脆弱キー(Weak Key)] フィルタを使用して、推奨される最小長よりも短いキーを持つ証明書を検索できます。それらの証明書を、より長いキーを持つ証明書に置き換えることをお勧めします。

ステップ 2

次のいずれかを実行します。

  • 新しい証明書オブジェクトを作成するには、[+] メニューから証明書のタイプに適したコマンドを使用します。

  • 新しい証明書グループを作成するには、Add group button. をクリックし、[証明書グループの追加(Add Certificate Group)] を選択します。

  • 証明書やグループを表示または編集するには、証明書の編集アイコン(edit icon)または表示アイコン(View or info icon button.)をクリックします。

  • 参照されていない証明書やグループを削除するには、証明書のごみ箱アイコン(delete icon)をクリックします。

証明書の作成と編集の詳細については、次のトピックを参照してください。

内部および内部 CA 証明書のアップロード

内部アイデンティティ証明書は、特定のシステムまたはホストの証明書です。

内部 CA 証明書は、他の証明書の署名に使用できる証明書です。これらの証明書は、基本制約拡張と CA フラグに関して内部アイデンティティ証明書と異なります。これらは CA 証明書では有効ですが、アイデンティティ証明書では無効です。

この証明書は、OpenSSL ツールキットを使用して自分で生成するか、認証局から取得できます。その後、次の手順を使用してアップロードします。キー生成の例については、例:OpenSSL を使用した内部証明書の生成を参照してください。

自己署名内部アイデンティティ証明書および内部 CA 証明書を生成することもできます。自己署名内部 CA 証明書を設定する場合は、CA はデバイス自体で稼働します。自己署名証明書の作成の詳細については、自己署名内部および内部 CA 証明書の生成を参照してください。

これらの証明書を使用する機能の詳細については、各機能で使用される証明書タイプを参照してください。

手順

ステップ 1

[オブジェクト(Objects)] を選択し、目次から [証明書(Certificates)] を選択します。

ステップ 2

次のいずれかを実行します。

  • [+] > [内部証明書の追加(Add Internal Certificate)] をクリックし、次に [証明書とキーのアップロード(Upload Certificate and Key)] をクリックします。

  • [+] > [内部CA証明書の追加(Add Internal CA Certificate)] をクリックし、次に [証明書とキーのアップロード(Upload Certificate and Key)] をクリックします。

  • 証明書を編集または表示するには、情報アイコン(View or info icon button.)をクリックします。ダイアログ ボックスには、証明書の件名、発行者、および有効な時間範囲が表示されます。[証明書の置換(Replace Certificate)] をクリックして、新しい証明書とキーをアップロードします。ダイアログ ボックスで証明書とキーを貼り付けることもできます。

ステップ 3

[Name] に証明書の名前を入力します。

名前は、設定時にオブジェクト名としてのみ使用され、証明書自体には含まれません。

ステップ 4

[証明書のアップロード(Upload Certificate)](編集する場合は、[証明書の置換(Replace Certificate)])をクリックし、証明書ファイル(例:*.crt)を選択します。許可されるファイル拡張子は、.pem、.cert、.cer、.crt、および .der です。または、証明書に貼り付けます。

証明書は PEM または DER 形式の X509 証明書である必要があります。

貼り付ける証明書は、BEGIN CERTIFICATE と END CERTIFICATE の行を含める必要があります。次に例を示します。 


-----BEGIN CERTIFICATE-----
MIICMTCCAZoCCQDdUV3NGK/cUjANBgkqhkiG9w0BAQsFADBdMQswCQYDVQQGEwJV
UzETMBEGA1UECAwKU29tZS1TdGF0ZTEhMB8GA1UECgwYSW50ZXJuZXQgV2lkZ2l0
(...5 lines removed...)
shGJDReRYJQqilhHZrYTWZAYTrD7NQPHutK+ZiJng67cPgnNDuXEn55UwMOQoHBp
HMUwmhiGZlzJM8BpX2Js2yQ3ms30pr8rO+gPCPMCAwEAATANBgkqhkiG9w0BAQsF
AAOBgQCB02CebA6YjJCGr2CJZrQSeUwSveRBpmOuoqm98o2Z+5gJM5CkqgfxwCUn
RV7LRfQGFYd76V/5uor4Wx2ZCjqy6+zuQEm4ZxWNSZpA9UBixFXJCs9MBO4qkG5D
vlk3WYJfcgyJ10h4E4b0W2xiixBU+xoOTLRATnbKY36EWAG5cw==
-----END CERTIFICATE-----

ステップ 5

[キーのアップロード(Upload Key)](または編集時に、[キーの交換(Replace Key)])をクリックし、証明書ファイル(例:*.key)を選択します。ファイル拡張子は .key である必要があります。または、証明書のキーに貼り付けます。

キーは暗号化できず、RSA キーである必要があります。

次に例を示します。 


-----BEGIN RSA PRIVATE KEY-----
MIICXQIBAAKBgQClSu1BknrMjzw/5FZ9YgdMLDUGJlbYgkjN7mVrkjyLQx2TYsem
r8iTiKB6iyTKbuS4iPeyEYkNF5FglCqKWEdmthNZkBhOsPs1A8e60r5mImeDrtw+
Cc0O5cSfnlTAw5CgcGkcxTCaGIZmXMkzwGlfYmzbJDeazfSmvys76A8I8wIDAQAB
AoGAUVDgEX8vXE0m9cOubPZ54pZo64KW/OJzUKP0TwxdLqGw/h39XFpkEXiIgmDL
(...5 lines removed...)
DSWvzekRDH83dmP66+MIbWePhbhty+D1OxbiuVuHV0/ZhxOhCG8tig3R8QJBAJmj
fId05+1dNI4tGbWv6hHh/H/dTP2STlZ3jERMZd29fjIRuJ9jpFC2lIDjvs8YGeAe
0YHkfSOULJn8/jOCf6kCQQDIJiHfGF/31Dk/8/5MGrg+3zau6oKXiuv6db8Rh+7l
MUOx09tvbBUy9REJq1YJWTKpeKD+E0QL+FX0bqvz4tHA
-----END RSA PRIVATE KEY-----

ステップ 6

[OK] をクリックします。

キーサイズが、生成された自己署名証明書で許可されている最小サイズよりも小さい場合、証明書が推奨の最小要件を満たしていないことを示す警告が表示されます。いずれにしても [続行(Proceed)] をクリックして証明書をアップロードしますが、新しい強力な証明書を作成することをお勧めします。

自己署名内部および内部 CA 証明書の生成

内部アイデンティティ証明書は、特定のシステムまたはホストの証明書です。

内部 CA 証明書は、他の証明書の署名に使用できる証明書です。これらの証明書は、基本制約拡張と CA フラグに関して内部アイデンティティ証明書と異なります。これらは CA 証明書では有効ですが、アイデンティティ証明書では無効です。

ユーザは、自己署名内部アイデンティティと内部 CA 証明書を生成できます。つまり、証明書はデバイス自体によって署名されます。自己署名内部 CA 証明書を設定すると、CA がデバイス上で有効になります。システムは、証明書とキーの両方を生成します。

また、これらの証明書は、OpenSSL を使用して作成することも、信頼できる CA から取得してアップロードすることもできます。詳細については、内部および内部 CA 証明書のアップロードを参照してください。

これらの証明書を使用する機能の詳細については、各機能で使用される証明書タイプを参照してください。

手順

ステップ 1

[オブジェクト(Objects)] を選択し、目次から [証明書(Certificates)] を選択します。

ステップ 2

次のいずれかを実行します。

  • [+] > [内部証明書の追加(Add Internal Certificate)] をクリックし、次に [自己署名証明書(Self-Signed Certificate)] をクリックする。

  • [+] > [内部CA証明書の追加(Add Internal CA Certificate)] をクリックし、次に [自己署名証明書(Self-Signed Certificate)] をクリックする。

(注)  

 

証明書を編集または表示するには、情報アイコン(View or info icon button.)をクリックします。ダイアログ ボックスには、証明書の件名、発行者、および有効な時間範囲が表示されます。[証明書の置換(Replace Certificate)] をクリックして、新しい証明書とキーをアップロードします。証明書を交換する際は、次の手順で説明されている自己署名の特性を設定し直すことはできません。代わりに、内部および内部 CA 証明書のアップロードの説明に従って、新しい証明書を貼り付けるかアップロードする必要があります。残りの手順は、新しい自己署名証明書のみに適用されます。

ステップ 3

[Name] に証明書の名前を入力します。

名前は、設定時にオブジェクト名としてのみ使用され、証明書自体には含まれません。

ステップ 4

証明書の件名および発行者の情報については、次の少なくとも 1 つを設定します。

  • Country(C):証明書に含める 2 文字の ISO 3166 国コード。たとえば、米国の国コードは US です。ドロップダウン リストから国コードを選択します。

  • State or Province(ST):証明書に含める都道府県または州。

  • Locality or City(L):都市の名前など、証明書に含める地域。

  • Organization(O):証明書に含める組織または会社の名前。

  • Organizational Unit (Department)(OU):証明書に含める組織単位の名前(部門名など)。

  • Common Name(CN):証明書に含める X.500 共通名。これは、デバイスの名前、Web サイト、または他の文字列にできます。この要素は、通常は正常な接続のために必要です。たとえば、リモート アクセス VPN で使用する内部証明書に CN を含める必要があります。

  • [キータイプ(Key Type)]:この証明書用に生成するキーのタイプ:RSA、ECDSA(楕円曲線デジタル署名アルゴリズム(楕円曲線 DSA))、または EdDSA(エドワード曲線デジタル署名アルゴリズム)。

  • [キーサイズ(Key Size)]:生成するキーのサイズ。一般に、キーが長いほど、安全性が高くなります。ただし、係数のサイズが大きいキーほど、生成に時間がかかり、交換処理にも時間がかかります。許可されるサイズはキータイプによって異なります。

    • RSA キーは 2048、3072、または 4096 ビットです。

    • ECDSA キーは 256、384、または 521 ビットです。

      EdDSA キーは 256 ビットです。

  • [有効期間(Validity Period)]:証明書が有効と見なされる期間。有効期限の設定に関係なく、デフォルトは本日から 825 日です。デフォルトに戻すには、[デフォルトの設定(Set default)] をクリックします。次のいずれかの方法を使用して、期間を設定できます。期限が切れる前に必ず証明書を交換してください。

    • [日付別(By Date)]:[期限日(Expiration Date)] をクリックして、証明書が有効と見なされる最終日を選択します。

    • [日数別(By Number of Days)]:証明書が有効と見なされる本日からの日数を入力します。数字を入力したら、[日付別(By Date)] をクリックして、計算された期限日を確認できます。

ステップ 5

[保存(Save)] をクリックします。

信頼できる CA 証明書のアップロード

信頼できる認証局(CA)の証明書は、他の証明書に署名するために使用されます。これは自己署名され、ルート証明書と呼ばれます。別の CA 証明書により発行される証明書は、下位証明書と呼ばれます。

これらの証明書を使用する機能の詳細については、各機能で使用される証明書タイプを参照してください。

外部の認証局から信頼できる CA 証明書を取得するか、自身の内部 CA を使用して(OpenSSL ツールを使用するなど)CA 証明書を作成します。その後、次の手順を使用して証明書をアップロードします。

始める前に

システムは 1 日に 1 回シスコに連絡して、新しいまたは更新された信頼できる CA 証明書があるかどうかを判断し、更新された証明書があればダウンロードします。毎日このジョブを実行することで、プレインストールされた証明書が最新の状態に保たれます。show cert-update コマンドを使用して、CLI でこの自動チェックを監視できます。configure cert-update auto-update disable コマンドを使用して毎日のジョブを無効にし、configure cert-update run-now コマンドを使用して更新を手動でダウンロードできます。

手順

ステップ 1

[オブジェクト(Objects)] を選択し、目次から [証明書(Certificates)] を選択します。

ステップ 2

次のいずれかを実行します。

  • [+] > [信頼済みCAの証明書の追加(Add Trusted CA Certificate)] をクリックします。

  • 証明書を編集するには、その証明書の編集アイコン(edit icon)をクリックします。

ステップ 3

[Name] に証明書の名前を入力します。

名前は、設定時にオブジェクト名としてのみ使用され、証明書自体には含まれません。

ステップ 4

[証明書のアップロード(Upload Certificate)](または、編集時は [証明書の置換(Replace Certificate)])をクリックして、信頼できる CA 証明書ファイル(*.pem など)を選択します。許可されるファイル拡張子は、.pem、.cert、.cer、.crt、および .der です。または、信頼できる CA 証明書に貼り付けます。

証明書内のサーバ名は、サーバのホスト名または IP アドレスと一致している必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用しているのに、証明書で ad.example.com を使用すると接続が失敗します。

証明書は PEM または DER 形式の X509 証明書である必要があります。

貼り付ける証明書は、BEGIN CERTIFICATE と END CERTIFICATE の行を含める必要があります。次に例を示します。 


-----BEGIN CERTIFICATE-----
MIIFgTCCA2mgAwIBAgIJANvdcLnabFGYMA0GCSqGSIb3DQEBCwUAMFcxCzAJBgNV
BAYTAlVTMQswCQYDVQQIDAJUWDEPMA0GA1UEBwwGYXVzdGluMRQwEgYDVQQKDAsx
OTIuMTY4LjEuMTEUMBIGA1UEAwwLMTkyLjE2OC4xLjEwHhcNMTYxMDI3MjIzNDE3
WhcNMTcxMDI3MjIzNDE3WjBXMQswCQYDVQQGEwJVUzELMAkGA1UECAwCVFgxDzAN
BgNVBAcMBmF1c3RpbjEUMBIGA1UECgwLMTkyLjE2OC4xLjExFDASBgNVBAMMCzE5
Mi4xNjguMS4xMIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA5NceYwtP
ES6Ve+S9z7WLKGX5JlF58AvH82GPkOQdrixn3FZeWLQapTpJZt/vgtAI2FZIK31h
(...20 lines removed...)
hbr6HOgKlOwXbRvOdksTzTEzVUqbgxt5Lwupg3b2ebQhWJz4BZvMsZX9etveEXDh
PY184V3yeSeYjbSCF5rP71fObG9Iu6+u4EfHp/NQv9s9dN5PMffXKieqpuN20Ojv
2b1sfOydf4GMUKLBUMkhQnip6+3W
-----END CERTIFICATE-----

ステップ 5

この証明書が認証局によって発行されていない場合は、[CA証明書のチェックをスキップする(Skip CA Certificate Check)] を選択します。

信頼できる CA 証明書としてローカル CA 証明書をインストールする必要がある場合は、チェックをスキップしてください。

ステップ 6

[検証の使用(Validation Usage)] を設定して、証明書の使用を制限します。

一部の機能では、特定の証明書に対して接続を検証できるかどうかを選択できます。それらの機能が証明書を有効に使用できることを証明書で示す必要があります。そうしないと、接続が拒否されます。

これらのオプションに含まれていない機能は、明示的な使用許可なしでこの証明書に対して検証できます。たとえば、SSL 復号ポリシー、および Device Manager をホストする Web サーバーは、[検証の使用(Validation Usage)] オプションを無視します。このフィールドでオプションを選択すると、show running-config コマンドを使用して表示される実行コンフィギュレーションに証明書がダウンロードされます。

これらのオプションの主な目的は、特定の証明書に対して検証できるため、VPN 接続が確立されないようにすることです。

  • [SSL サーバー(SSL Server)]:リモート SSL サーバーで証明書を検証します。ダイナミック DNS に使用されます。

  • [SSL クライアント(SSL Client)]:着信リモートアクセス VPN 接続の証明書を検証します。

  • [IPsec クライアント(IPsec Client)]:着信 IPsec サイト間 VPN 接続の証明書を検証します。

  • [その他(Other)]:Snort 検査エンジンで管理されない機能(LDAPS など)を検証します。このオプションは、特定の機能に問題がある場合にのみ選択します。[その他(Other)] は他のすべてのオプションと相互に排他的です。他のオプションを選択する前に [その他(Other)] を選択解除し、[その他(Other)] を選択する前にすべてのオプションを選択解除する必要があります。

ステップ 7

[OK] をクリックします。

信頼できる CA 証明書グループの設定

SSL 復号ポリシー設定で外部の信頼できる CA 証明書グループを使用して、SSL 復号ポリシーが信頼する必要がある証明書を指定します。エンドユーザーが、証明書の発行者の証明書が信頼できる証明書に含まれていないサイトに接続しようとすると、証明書を信頼することを求めるメッセージが表示されます。そのため、信頼できるリストに証明書がないと、エンドユーザーの利便性は低下しますが、それ自体が接続を妨げることはありません(アクセス制御ルールを使用して実現することは可能)。

デフォルトグループは Cisco-Trusted-Authorities です。次の場合にのみ、独自のグループを作成する必要があります。

  • デフォルトグループにない証明書を信頼する必要がある場合。作成後、SSL 復号ポリシー設定でデフォルトグループと新しいグループの両方を選択します。

  • デフォルトグループよりも限定された証明書リストを信頼する必要がある場合。作成後、信頼できる証明書の完全なリスト(差分だけでなく)を持つグループを作成し、SSL 復号ポリシー設定で唯一のグループとして選択します。

始める前に

グループに追加するすべての信頼できる CA 証明書をアップロードします(システムにまだない場合)。

手順

ステップ 1

[オブジェクト(Objects)] を選択し、目次から [証明書(Certificates)] を選択します。

ステップ 2

次のいずれかを実行します。

  • 新しい証明書グループを作成するには、Add group button. をクリックし、[証明書グループの追加(Add Certificate Group)] を選択します。

  • 証明書グループを編集するには、そのグループの編集アイコン(edit icon)をクリックします。

ステップ 3

証明書グループの [名前(Name)] を入力し、任意で説明を入力します。

ステップ 4

[+] をクリックし、証明書をグループに追加します。

グループに必要なすべての証明書を追加します。グループの作成時に [新規信頼CA証明書の作成(Create New Trusted CA Certificate)] をクリックして新しい証明書をアップロードできます。

グループ内の証明書が不要になった場合は、証明書の [X] アイコン(右横)をクリックします。

ステップ 5

[OK] をクリックします。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ