セキュリティ : Cisco Secure Access Control Server for Windows

Cisco Secure ACS 管理セッション用の SSL 証明書サービスの設定での HTTPS の有効化

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 3 月 26 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

デフォルトでは、Cisco Secure Access Control Server(ACS)は管理セッションに HTTP を使用します。 このサンプル設定では次の項目について説明しています。

  • Cisco Secure ACS HTML インターフェイスへのアクセスでの HTTPS の使用

  • 証明書の設定(HTTPS を有効にする前に必要です)

このドキュメントはもともと Microsoft Certificate Authority(CA)で作成された証明書に対応するために作成されたものですが、ACS 3.3 でサポートされる自己署名証明書を使用するための手順が追加されています。 自己署名証明書を使用すると、外部 CA が必要なくなるので、セットアップが大幅に簡単になります。

注: 自己署名証明書を使用する場合は、このドキュメントの「自己署名証明書の作成とインストール(外部 CA を使用しない場合のみ)」セクションを参照してください。

注: 外部ベンダーの証明書サービスを利用する場合は、Verisign などのベンダーから Web サーバに適した証明書を入手してください。 Microsoft IIS と Apache では提供される証明書が異なる場合があります。

前提条件

要件

HTTPS を有効にする前に、ローカル管理セッションを開いておく必要があります。 HTTPS を有効にした後も、このセッションを開いたままにしてください。 リモート セッションで接続をテストし、動作しない場合は(理由にかかわらず)、Use HTTPS Transport for Administration Access オプションを選択解除できるようにします。 この確認が済んだなら、ローカル セッションを閉じてもかまいません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ACS 3.1.1 以降が必要

  • Microsoft CA Server

  • Internet Information Server(IIS)(CA をインストールする前にインストールする必要があります)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

手順

このセクションでは、Microsoft CA Server のインストールについて説明しています。

Microsoft Certificate(CA)Server のインストール

次の手順を実行します。

  1. [Start] > [Settings] > [Control Panel]を選択します。

  2. コントロールパネルで [プログラムの追加と削除] を開きます。

  3. Add/Remove Programs で、Add/Remove Windows Components を選択します。

  4. Certificate Services を選択します。

  5. [Next] をクリックします。

  6. IIS のメッセージに対して [Yes] をクリックします。

  7. スタンドアロン(またはエンタープライズ)ルート CA を選択します。

  8. [Next] をクリックします。

  9. CA の名前を設定します。

    注: 他のボックスはすべてオプションです。

    注: CA には ACS サーバと同じ名前を付けないでください。 同じ名前にすると、サーバ証明書と同じ名前のルート CA 証明書が検出された場合に PEAP クライアントが混乱し、認証が失敗します。 この問題は Cisco クライアントに固有のものではありません。 PEAP を使用しない場合は、この問題はありません。

  10. [Next] をクリックします。

  11. データベースのデフォルトが正しいことを確認します。

  12. [Next] をクリックします。

    CA をインストールする前に、IIS をインストールする必要があります。

サーバ証明書の作成

次の手順を実行します。

  1. ACS サーバから、CA(http://IP_of_CA_server/certsrv/)を表示します。

  2. [Request a certificate] ボックスにチェックマークを付けます。

  3. [Next] をクリックします。

  4. Advanced request を選択します。

  5. [Next] をクリックします。

  6. 『Submit a certificate request to this CA using a form』 を選択 して下さい。

  7. [Next] をクリックします。

  8. 名前(CN)ボックスに名前を入力します。

  9. Intended Purpose で、Server Authentication Certificate を選択します。

    注:  エンタープライズ CA を使用する場合は、最初のドロップダウン リストから Web Server を選択します。

  10. Key Option で次の項目を選択して、新しいテンプレートを作成します。

    • CSP — Microsoft Base Cryptographic Provider v1.0

    • キー サイズ:1024

      注: 1024 より大きいキー サイズで作成した証明書は、HTTPS では使用できる可能性がありますが、PEAP では使用できません。

      注: Windows 2003 エンタープライズ CA では 1024 より大きいキー サイズが許容されていますが、PEAP では 1024 より大きいキーは機能しません。 ACS での認証は通過するように見えますが、クライアントでは認証を試みるとハングします。

    • Keys as Exportable

      注: Microsoft は、Windows 2003 エンタープライズ CA のリリースで Web サーバ テンプレートを変更しています。 このテンプレート変更により、キーはエクスポート可能ではなくなり、このオプションはグレー表示になっています。 証明書サービスでは、サーバ認証用の他の証明書テンプレート、またはドロップダウン メニューでキーをエクスポート可能としてマークできる他の証明書テンプレートは提供されていません。 エクスポート可能な新しいテンプレートの作成については、「新しい証明書テンプレートの作成」セクションを参照してください。

    • Use Local Machine Store

    注: 他のすべての選択項目は、デフォルトのままにしておく必要があります。

  11. [Submit] をクリックします。

  12. このメッセージを得る必要があります: Your certificate request has been received」というメッセージが表示されます。

新しい証明書テンプレートの作成

次の手順を実行します。

  1. Start > Run > certmpl.msc の順に選択します。

  2. [Web Server template] を右クリックします。

  3. Duplicate Template を選択します。

  4. テンプレートに名前を付けます(ACS など)。

  5. Request Handling タブをクリックします。

  6. [Allow private key to be exported] を選択します。

  7. [CSPs] ボタンをクリックします。

  8. Microsoft Base Cryptographic Provider v1.0 を選択します。

  9. [OK] をクリックします。

    注: 他のすべてのオプションは、デフォルトのままにしておく必要があります。

  10. [Apply] をクリックします。

  11. [OK] をクリックします。

  12. CA MMC スナップインを開きます。

  13. [Certificate Templates] を右クリックします。

  14. New > Certificate Template to Issue の順に選択します。

  15. 作成した新しいテンプレートを選択します。

  16. [OK] をクリックします。

  17. CA を再起動します。

    新しいテンプレートが Certificate Template ドロップダウン リストに組み込まれます。

CA からの証明書の承認

次の手順を実行します。

  1. Start > Programs > Administrative Tools > Certificate Authority の順に選択します。

  2. 左側のウィンドウ領域で、証明書を展開します。

  3. Pending Requests を選択します。

  4. 証明書を右クリックします。

  5. [all tasks] を選択します。

  6. Issue を選択します。

ACS サーバへのサーバ証明書のダウンロード

次の手順を実行します。

  1. ACS サーバから、CA(http://IP_of_CA_server/certsrv/)を表示します。

  2. [Check on a Pending Certificate] を選択します。

  3. [Next] をクリックします。

  4. 証明書を選択します。

  5. [Next] をクリックします。

  6. [Install] をクリックします。

ACS サーバへの CA 証明書のインストール

注: ACS と CA を同じサーバにインストールした場合は、このセクションの手順は必要ありません。

    次の手順を実行します。

  1. ACS サーバから、CA(http://IP_of_CA_server/certsrv/)を表示します。

  2. Retrieve the CA certificate or certificate revocation list を選択します。

  3. [Next] をクリックします。

  4. Base 64 encoded を選択します。

  5. [Download CA Certificate] をクリックします。

  6. [Open] をクリックします。

  7. Install certificate をクリックします。

  8. [Next] をクリックします。

  9. Place all certificates in the following store を選択します。

  10. [Browse] をクリックします。

  11. [Show physical stores] ボックスにチェックマークを付けます。

  12. 左側のウィンドウ領域で、Trusted root certification authorities を展開します。

  13. Local Computer を選択します。

  14. [OK] をクリックします。

  15. [Next] をクリックします。

  16. [Finish] をクリックします。

  17. インポート成功のボックスで OK をクリックします。

サーバ証明書を使用するための ACS のセットアップ

次の手順を実行します。

  1. ACS サーバで、[System Configuration] を選択します。

  2. [ACS Certificate Setup] を選択します。

  3. [Install ACS certificate] を選択します。

  4. [Use certificate from storage] を選択します。

  5. CN 名を入力します(「サーバ証明書の作成」セクションのステップ 8 で使用したものと同じ名前)。

  6. [Submit] をクリックします。

  7. ACS サーバで、[System Configuration] をクリックします。

  8. [ACS Certificate Setup] を選択します。

  9. [Edit Certificate Trust List] を選択します。

  10. CA のボックスにチェックマークを付けます。

  11. [Submit] をクリックします。

自己署名証明書の作成とインストール

注:  このセクションが適用されるのは、外部 CA を使用していない場合だけです。

次の手順を実行します。

  1. ACS サーバで、[System Configuration] をクリックします。

  2. [ACS Certificate Setup] をクリックします。

  3. [Generate Self-signed Certificate] をクリックします。

  4. cn=XXXX の形式で証明書のサブジェクトを入力します。 この例では、cn=ACS33 が使用されています。 より多くの自己署名証明書 設定 オプションに関しては、システム構成を参照して下さい: 認証と証明書』の「認証設定オプション」を参照してください。

  5. 作成する証明書の完全なパスと名前を、Certificate file ボックスに入力します。 たとえば、c:\acscerts\acs33.cer などと入力します。

  6. 作成する秘密キー ファイルの完全なパスと名前を、Private key file ボックスに入力します。 たとえば、c:\acscerts\acs33.pvk などと入力します。

  7. 秘密キーのパスワードを入力して確認します。

  8. キー長のドロップダウン リストから、1024 を選択します。

    注: ACS は 1024 より大きいサイズのキーを生成できますが、PEAP では 1024 より大きいキーは機能しません。 ACS での認証は通過するように見えますが、クライアントでは認証を試みるとハングします。

  9. Digest to sign with リストから、キーの暗号化に使用するハッシュ ダイジェストを選択します。 この例では、SHA1 での Digest to sign with が使用されています。

  10. [Install generated certificate] にチェックマークを付けます。

  11. [Submit] をクリックします。

管理セッション用の HTTPS の有効化

次の手順を実行します。

  1. Administration Control > Access Policy の順に選択します。

  2. Use HTTPS Transport for Administration Access ボックスにチェックマークを付けます。

  3. [Submit] をクリックします。

    https://IP_of_ACS:2002 にセッションを開けます今はずです。 ログオンのためにプロンプト表示されます。

    注: HTTPS を有効にする前に、ローカル管理セッションを開いておく必要があります。 HTTPS を有効にした後も、このセッションを開いたままにしてください。 リモート セッションで接続をテストし、動作しない場合は(理由にかかわらず)、Use HTTPS Transport for Administration Access オプションを選択解除できるようにします。 この確認が済んだなら、ローカル セッションを閉じてもかまいません。

    注:  ロックアウトされた場合は、レジストリを変更して管理セッションの HTTPS を無効にできます。 そのためには、レジストリ キーの値を 2 から 1 に変更する必要があります。 たとえば、HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.2\CSAdmin\Config\HT TPSSupport です。

確認

「CertificateAuthority.Request」オブジェクト作成失敗のエラー メッセージ

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を提供しています。

次の手順を実行します。

  1. [Start] > [Administrative Tools] > [IIS]を選択します。

  2. Web Sites > Default Web Site の順に選択します。

  3. CertSrv を右クリックして下さい。

  4. Properties を選択します。

  5. [Virtual Directory] タブの [Application settings] セクションで [Configuration]ボタンをクリックします。

  6. [Options] タブをクリックします。

  7. Enable session state を選択します。

    注: 他のすべてのオプションは、デフォルトのままにしておく必要があります。

  8. [OK] をクリックします。

  9. [OK] をクリックします。

  10. IIS を再起動します。

ブラウザが ActiveX ダウンロード コントロールメッセージとロックする場合、マイクロソフト社Webサイトのこの技術情報を参照して下さい: Internet Explorer は認証サーバを使用するために試みるとき「ダウンロード ActiveX コントロール」メッセージで応答することを止めますleavingcisco.com

Loading...

CSP フィールド状態が「ロードすれば….、要求を入れるマシンのソフトウェア ファイアウォールを実行していないことを」確かめて下さい。 ZoneLabs の ZoneAlarm でこの問題が発生する可能性があります。 この問題は他のソフトウェアでも発生する場合があります。

トラブルシューティング

現在のところ、トラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 64049