FTD 証明書ベース認証の要件と前提条件
モデルのサポート
FTD
サポートされるドメイン
任意
ユーザの役割
管理者
ネットワーク管理者
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
FTD
任意
管理者
ネットワーク管理者
PKI 登録オブジェクトがデバイスに関連付けられ、デバイスにインストールされるとすぐに、証明書の登録プロセスが開始されます。プロセスは、自己署名および SCEP 登録タイプの場合は自動的に行われます。管理者による追加のアクションは必要ありません。手動証明書登録では、管理者によるアクションが必要になります。
証明書の登録が完了すると、証明書の登録オブジェクト と同じ名前のトラストポイントがデバイス上に生成されます。VPN 認証方式の設定でこのトラストポイントを使用します。
FTD デバイスは、Microsoft Certificate Authority(CA)サービスと、Cisco 適応型セキュリティアプライアンス(ASA)および Cisco IOS ルータで提供される CA サービスを使用した証明書の登録をサポートしています。
FTD デバイスは、認証局(CA)として設定することはできません。
証明書の登録は、子ドメインまたは親ドメインで行うことができます。
親ドメインからの登録が完了したら、証明書の登録オブジェクトも同じドメイン内に存在する必要があります。デバイスのトラストポイントが子ドメインで上書きされた場合、上書きされた値がデバイスに展開されます。
リーフドメインのデバイスで証明書の登録が行われる場合、その登録は親ドメインまたは他の子ドメインに表示されます。また、証明書を追加することもできます。
リーフドメインが削除されると、含まれているデバイス上の証明書の登録が自動的に削除されます。
あるドメインに登録されている証明書を持つデバイスは、他のドメインに登録できます。他のドメインに証明書を追加できます。
あるドメインから別のドメインにデバイスを移動すると、証明書もそれに応じて移動します。これらのデバイスの登録を削除するための警告が表示されます。
デジタル証明書の概要については、PKI インフラストラクチャとデジタル証明書を参照してください。
管理対象デバイスの証明書を登録および取得するために使用するオブジェクトの説明については、証明書の登録オブジェクトを参照してください。
ステップ 1 |
を選択します。 この画面には、リスト表示されるデバイスごとに次の列が表示されます。
|
||
ステップ 2 |
[(+)追加((+) Add)] を選択して、登録オブジェクトをデバイスに関連付けてインストールします。 証明書登録オブジェクトがデバイスに関連付けられ、デバイスにインストールされるとすぐに、証明書登録プロセスが開始されます。プロセスは、自己署名および SCEP 登録タイプの場合は自動的に行われます。つまり、管理者による追加のアクションは必要ありません。手動証明書登録では、さらに管理者の操作が必要になります。
|
ステップ 1 |
[デバイス(Devices)] > [証明書(Certificates)] 画面で [追加(Add)] を選択して、[新規証明書の追加(Add New Certificate)] ダイアログを開きます。 |
ステップ 2 |
[Device] ドロップダウン リストからデバイスを選択します。 |
ステップ 3 |
次のいずれかの方法で、証明書の登録オブジェクトとこのデバイスを関連付けます。
|
ステップ 4 |
[追加(Add)] をクリックして、自己署名の自動登録プロセスを開始します。 自己署名登録タイプのトラストポイントの場合は、[CA 証明書(CA Certificate)] ステータスが常に表示されます。これは、管理対象デバイス自体が独自の CA として機能し、独自のアイデンティティ証明書を生成するために CA 証明書を必要としないためです。 [ID 証明書(Identity Certificate)] は、デバイスが独自の自己署名アイデンティティ証明書を作成すると、InProgress から Available に変化します。 |
ステップ 5 |
虫めがねをクリックして、このデバイスの自己署名アイデンティティ証明書を表示します。 |
登録が完了すると、証明書登録オブジェクトと同じ名前のトラストポイントがデバイス上に生成されます。サイト間およびリモート アクセス VPN 認証方式の設定でこのトラストポイントを使用します。
(注) |
SCEP 登録を使用すると、管理対象デバイスと CA サーバーとの間に直接接続が確立されます。したがって、登録プロセスを開始する前に、デバイスが CA サーバーに接続されていることを確認してください。 |
ステップ 1 |
[デバイス(Devices)] > [証明書(Certificates)] 画面で [追加(Add)] を選択して、[新規証明書の追加(Add New Certificate)] ダイアログを開きます。 |
ステップ 2 |
[Device] ドロップダウン リストからデバイスを選択します。 |
ステップ 3 |
次のいずれかの方法で、証明書の登録オブジェクトとこのデバイスを関連付けます。
|
ステップ 4 |
[追加(Add)] をクリックして、自動登録プロセスを開始します。 SCEP 登録タイプのトラストポイントの場合、[CA 証明書(CA Certificate)] ステータスは、CA サーバから CA 証明書が取得され、デバイスにインストールされると、InProgress から Available に遷移します。 [アイデンティティ証明書(Identity Certificate)] は、デバイスが SCEP を使用したアイデンティティ証明書を指定の CA から取得すると、InProgress から Available に変化します。場合によっては、アイデンティティ証明書の取得には手動更新が必要になります。 |
ステップ 5 |
虫めがねをクリックして、このデバイスに作成してインストールしたアイデンティティ証明書を表示します。 |
登録が完了すると、証明書登録オブジェクトと同じ名前のトラストポイントがデバイス上に生成されます。サイト間およびリモート アクセス VPN 認証方式の設定でこのトラストポイントを使用します。
ステップ 1 |
[デバイス(Devices)] > [証明書(Certificates)] 画面で [追加(Add)] を選択して、[新規証明書の追加(Add New Certificate)] ダイアログを開きます。 |
ステップ 2 |
[Device] ドロップダウン リストからデバイスを選択します。 |
ステップ 3 |
次のいずれかの方法で、証明書の登録オブジェクトとこのデバイスを関連付けます。
|
ステップ 4 |
[追加(Add)] をクリックして、登録プロセスを開始します。 |
ステップ 5 |
アイデンティティ証明書を取得するための PKI CA サーバーに対する適切なアクティビティを実行します。 |
ステップ 6 |
[インポート(Import)] を選択して、アイデンティティ証明書をインポートします。 [アイデンティティ証明書(Identity Certificate)] のステータスは、インポートが完了すると Available になります。 |
ステップ 7 |
虫めがねをクリックして、このデバイスの [アイデンティティ証明書(Identity Certificate)] を表示します。 |
登録が完了すると、証明書登録オブジェクトと同じ名前のトラストポイントがデバイス上に生成されます。サイト間およびリモート アクセス VPN 認証方式の設定でこのトラストポイントを使用します。
ステップ 1 |
[デバイス(Devices)] > [証明書(Certificates)] 画面の順に移動し、[追加(Add)] を選択して、[新規証明書の追加(Add New Certificate)] ダイアログを開きます。 |
||
ステップ 2 |
[デバイス(Device)] ドロップダウンリストから、事前設定された管理対象デバイスを選択します。 |
||
ステップ 3 |
次のいずれかの方法で、証明書の登録オブジェクトとこのデバイスを関連付けます。
|
||
ステップ 4 |
[追加(Add)]を押します。 [CA証明書(CA Certificate)] および [アイデンティティ証明書(Identity Certificate)] のステータスは、デバイスに PKCS12 ファイルがインストールされるときに In Progress から Available に変化します。
|
||
ステップ 5 |
Available になったら、虫めがねをクリックして、このデバイスのアイデンティティ証明書を表示します。 |
管理対象デバイスの証明書(トラストポイント)には、PKCS#12 ファイルと同じ名前が付けられます。この証明書は、VPN 認証設定で使用します。
Firepower Threat Defense VPN 証明書の注意事項と制約事項を参照して、証明書の登録環境のバリエーションが原因で問題が発生しているかどうかを判断してください。その後、次の点を確認します。
CA サーバのホスト名が登録オブジェクトで指定されている場合、Flex コンフィギュレーションを使用して、サーバに到達できるように DNS を適切に設定します。あるいは、CA サーバの IP アドレスを使用することもできます。
Microsoft 2012 CA サーバを使用している場合、デフォルトの IPsec テンプレートは管理対象デバイスで受け入れられないため、これを変更する必要があります。
作業テンプレートを設定するには、MS CA のドキュメントを参照しながら次の手順に従います。
IPsec(オフライン要求)テンプレートを複製します。
[拡張子(Extensions)] > [アプリケーションポリシー(Application policies)] で、[IPセキュリティIKE中間(IP security IKE intermediate)] ではなく、[IPセキュリティ末端システム(IP security end system)] を選択します。
アクセス許可とテンプレート名を設定します。
新しいテンプレートを追加し、レジストリ設定を変更して新しいテンプレート名を反映させます。