セキュリティ : Cisco Secure Access Control Server for Windows

Cisco Secure ACS 管理セッション用の SSL 証明書サービスの設定での HTTPS の有効化

2008 年 3 月 26 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 3 月 29 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
手順
      Microsoft Certificate(CA)Server のインストール
      サーバ証明書の作成
      新しい証明書テンプレートの作成
      CA からの証明書の承認
      ACS サーバへのサーバ証明書のダウンロード
      ACS サーバへの CA 証明書のインストール
      サーバ証明書を使用するための ACS のセットアップ
      自己署名証明書の作成とインストール
      管理セッション用の HTTPS の有効化
確認
      「CertificateAuthority.Request」オブジェクト作成失敗のエラー メッセージ
      Loading...
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

デフォルトでは、Cisco Secure Access Control Server(ACS)は管理セッションに HTTP を使用します。このサンプル設定では次の項目について説明しています。

  • Cisco Secure ACS HTML インターフェイスへのアクセスでの HTTPS の使用

  • 証明書の設定(HTTPS を有効にする前に必要です)

このドキュメントはもともと Microsoft Certificate Authority(CA)で作成された証明書に対応するために作成されたものですが、ACS 3.3 でサポートされる自己署名証明書を使用するための手順が追加されています。自己署名証明書を使用すると、外部 CA が必要なくなるので、セットアップが大幅に簡単になります。

注:自己署名証明書を使用する場合は、このドキュメントの「自己署名証明書の作成とインストール(外部 CA を使用しない場合のみ)」セクションを参照してください。

注:外部ベンダーの証明書サービスを利用する場合は、Verisign などのベンダーから Web サーバに適した証明書を入手してください。Microsoft IIS と Apache では提供される証明書が異なる場合があります。

前提条件

要件

HTTPS を有効にする前に、ローカル管理セッションを開いておく必要があります。HTTPS を有効にした後も、このセッションを開いたままにしてください。リモート セッションで接続をテストし、動作しない場合は(理由にかかわらず)、Use HTTPS Transport for Administration Access オプションを選択解除できるようにします。この確認が済んだなら、ローカル セッションを閉じてもかまいません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ACS 3.1.1 以降が必要

  • Microsoft CA Server

  • Internet Information Server(IIS)(CA をインストールする前にインストールする必要があります)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定から作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

手順

このセクションでは、Microsoft CA Server のインストールについて説明しています。

Microsoft Certificate(CA)Server のインストール

次の手順を実行します。

  1. Start > Settings > Control Panel の順に選択します。

  2. Control Panel で Add/Remove Programs を開きます。

  3. Add/Remove Programs で、Add/Remove Windows Components を選択します。

  4. Certificate Services を選択します。

  5. Next をクリックします。

  6. IIS のメッセージに対して Yes をクリックします。

  7. スタンドアロン(またはエンタープライズ)ルート CA を選択します。

  8. Next をクリックします。

  9. CA の名前を設定します。

    注:他のボックスはすべてオプションです。

    注:CA には ACS サーバと同じ名前を付けないでください。同じ名前にすると、サーバ証明書と同じ名前のルート CA 証明書が検出された場合に PEAP クライアントが混乱し、認証が失敗します。この問題は Cisco クライアントに固有のものではありません。PEAP を使用しない場合は、この問題はありません。

  10. Next をクリックします。

  11. データベースのデフォルトが正しいことを確認します。

  12. Next をクリックします。

    CA をインストールする前に、IIS をインストールする必要があります。

サーバ証明書の作成

次の手順を実行します。

  1. ACS サーバから、CA(http://IP_of_CA_server/certsrv/)を表示します。

  2. Request a certificate ボックスにチェックマークを付けます。

  3. Next をクリックします。

  4. Advanced request を選択します。

  5. Next をクリックします。

  6. Submit a certificate request to this CA using a form を選択します。

  7. Next をクリックします。

  8. 名前(CN)ボックスに名前を入力します。

  9. Intended Purpose で、Server Authentication Certificate を選択します。

    注:エンタープライズ CA を使用する場合は、最初のドロップダウン リストから Web Server を選択します。

  10. Key Option で次の項目を選択して、新しいテンプレートを作成します。

    • CSP—Microsoft Base Cryptographic Provider v1.0

    • Key Size—1024

      注:1024 より大きいキー サイズで作成した証明書は、HTTPS では使用できる可能性がありますが、PEAP では使用できません。

      注:Windows 2003 エンタープライズ CA では 1024 より大きいキー サイズが許容されていますが、PEAP では 1024 より大きいキーは機能しません。ACS での認証は通過するように見えますが、クライアントでは認証を試みるとハングします。

    • Keys as Exportable

      注:Microsoft は、Windows 2003 エンタープライズ CA のリリースで Web サーバ テンプレートを変更しています。このテンプレート変更により、キーはエクスポート可能ではなくなり、このオプションはグレー表示になっています。証明書サービスでは、サーバ認証用の他の証明書テンプレート、またはドロップダウン メニューでキーをエクスポート可能としてマークできる他の証明書テンプレートは提供されていません。エクスポート可能な新しいテンプレートの作成については、「新しい証明書テンプレートの作成」セクションを参照してください。

    • Use Local Machine Store

    注:他のすべての選択項目は、デフォルトのままにしておく必要があります。

  11. Submit をクリックします。

  12. Your certificate request has been received というメッセージが表示されます。

新しい証明書テンプレートの作成

次の手順を実行します。

  1. Start > Run > certmpl.msc の順に選択します。

  2. Web Server template を右クリックします。

  3. Duplicate Template を選択します。

  4. テンプレートに名前を付けます(ACS など)。

  5. Request Handling タブをクリックします。

  6. Allow private key to be exported を選択します。

  7. CSPs ボタンをクリックします。

  8. Microsoft Base Cryptographic Provider v1.0 を選択します。

  9. OK をクリックします。

    注:他のすべてのオプションは、デフォルトのままにしておく必要があります。

  10. Apply をクリックします。

  11. OK をクリックします。

  12. CA MMC スナップインを開きます。

  13. Certificate Templates を右クリックします。

  14. New > Certificate Template to Issue の順に選択します。

  15. 作成した新しいテンプレートを選択します。

  16. OK をクリックします。

  17. CA を再起動します。

    新しいテンプレートが Certificate Template ドロップダウン リストに組み込まれます。

CA からの証明書の承認

次の手順を実行します。

  1. Start > Programs > Administrative Tools > Certificate Authority の順に選択します。

  2. 左側のウィンドウ領域で、証明書を展開します。

  3. Pending Requests を選択します。

  4. 証明書を右クリックします。

  5. all tasks を選択します。

  6. Issue を選択します。

ACS サーバへのサーバ証明書のダウンロード

次の手順を実行します。

  1. ACS サーバから、CA(http://IP_of_CA_server/certsrv/)を表示します。

  2. Check on a Pending Certificate を選択します。

  3. Next をクリックします。

  4. 証明書を選択します。

  5. Next をクリックします。

  6. Install をクリックします。

ACS サーバへの CA 証明書のインストール

注:ACS と CA を同じサーバにインストールした場合は、このセクションの手順は必要ありません。

  1. 次の手順を実行します。

  1. ACS サーバから、CA(http://IP_of_CA_server/certsrv/)を表示します。

  2. Retrieve the CA certificate or certificate revocation list を選択します。

  3. Next をクリックします。

  4. Base 64 encoded を選択します。

  5. Download CA certificate をクリックします。

  6. Open をクリックします。

  7. Install certificate をクリックします。

  8. Next をクリックします。

  9. Place all certificates in the following store を選択します。

  10. Browse をクリックします。

  11. Show physical stores ボックスにチェックマークを付けます。

  12. 左側のウィンドウ領域で、Trusted root certification authorities を展開します。

  13. Local Computer を選択します。

  14. OK をクリックします。

  15. Next をクリックします。

  16. Finish をクリックします。

  17. インポート成功のボックスで OK をクリックします。

サーバ証明書を使用するための ACS のセットアップ

次の手順を実行します。

  1. ACS サーバで、System Configuration を選択します。

  2. ACS Certificate Setup を選択します。

  3. Install ACS certificate を選択します。

  4. Use certificate from storage を選択します。

  5. CN 名を入力します(「サーバ証明書の作成」セクションのステップ 8 で使用したものと同じ名前)。

  6. Submit をクリックします。

  7. ACS サーバで、system configuration をクリックします。

  8. ACS Certificate Setup を選択します。

  9. Edit Certificate Trust List を選択します。

  10. CA のボックスにチェックマークを付けます。

  11. Submit をクリックします。

自己署名証明書の作成とインストール

注:  このセクションが適用されるのは、外部 CA を使用していない場合だけです。

次の手順を実行します。

  1. ACS サーバで、System Configuration をクリックします。

  2. ACS Certificate Setup をクリックします。

  3. Generate Self-signed Certificate をクリックします。

  4. cn=XXXX の形式で証明書のサブジェクトを入力します。この例では、cn=ACS33 が使用されています。自己署名証明書設定オプションの詳細については、『システムの設定:認証と証明書』を参照してください。

  5. 作成する証明書の完全なパスと名前を、Certificate file ボックスに入力します。たとえば、c:\acscerts\acs33.cer などと入力します。

  6. 作成する秘密キー ファイルの完全なパスと名前を、Private key file ボックスに入力します。たとえば、c:\acscerts\acs33.pvk などと入力します。

  7. 秘密キーのパスワードを入力して確認します。

  8. キー長のドロップダウン リストから、1024 を選択します。

    注:ACS は 1024 より大きいサイズのキーを生成できますが、PEAP では 1024 より大きいキーは機能しません。ACS での認証は通過するように見えますが、クライアントでは認証を試みるとハングします。

  9. Digest to sign with リストから、キーの暗号化に使用するハッシュ ダイジェストを選択します。この例では、SHA1 での Digest to sign with が使用されています。

  10. Install generated certificate にチェックマークを付けます。

  11. Submit をクリックします。

管理セッション用の HTTPS の有効化

次の手順を実行します。

  1. Administration Control > Access Policy の順に選択します。

  2. Use HTTPS Transport for Administration Access ボックスにチェックマークを付けます。

  3. Submit をクリックします。

    https://IP_of_ACS:2002 へのセッションを開けるようになります。ログインのプロンプトが表示されます。

    注:HTTPS を有効にする前に、ローカル管理セッションを開いておく必要があります。HTTPS を有効にした後も、このセッションを開いたままにしてください。リモート セッションで接続をテストし、動作しない場合は(理由にかかわらず)、Use HTTPS Transport for Administration Access オプションを選択解除できるようにします。この確認が済んだなら、ローカル セッションを閉じてもかまいません。

    注: ロックアウトされた場合は、レジストリを変更して管理セッションの HTTPS を無効にできます。そのためには、レジストリ キーの値を 2 から 1 に変更する必要があります。たとえば、HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.2\CSAdmin\Config\HT TPSSupport です。

確認

「CertificateAuthority.Request」オブジェクト作成失敗のエラー メッセージ

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示しています。

次の手順を実行します。

  1. Start > Administrative Tools > IIS の順に選択します。

  2. Web Sites > Default Web Site の順に選択します。

  3. CertSrv を右クリックします。

  4. Properties を選択します。

  5. Virtual Directory タブの Application settings セクションで Configuration ボタンをクリックします。

  6. Options タブをクリックします。

  7. Enable session state を選択します。

    注:他のすべてのオプションは、デフォルトのままにしておく必要があります。

  8. OK をクリックします。

  9. OK をクリックします。

  10. IIS を再起動します。

ActiveX コントロール ダウンロード中のメッセージでブラウザがロックする場合は、Microsoft の Web サイトのサポート技術情報『Internet Explorer Stops Responding at "Downloading ActiveX Control" Message When You Try to Use a Certificate Serverleavingcisco.comを参照してください。

Loading...

CSP フィールドの状態が「Loading...」の場合は、要求を送信しているマシンでソフトウェア ファイアウォールが動作していないことを確認してください。ZoneLabs の ZoneAlarm でこの問題が発生する可能性があります。この問題は他のソフトウェアでも発生する場合があります。

トラブルシューティング

現在のところ、トラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 64049