セキュリティ : Cisco FlexVPN

FlexVPN: 組み込み Windows クライアントおよび証明書認証を用いる IKEv2

2013 年 4 月 20 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2013 年 3 月 25 日) | フィードバック


目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      概要
      認証局 設定
      Cisco IOS ヘッドエンド 設定
      Windows 7 クライアントコンフィギュレーション
確認
Cisco サポート コミュニティ - 特集対話
関連情報

概要

FlexVPN は新しいインターネット鍵交換 バージョン 2 (統一された VPN ソリューションであるために Cisco IOS® の IKEv2)-based VPN はインフラストラクチャ、意味されです。 この資料に Windows 7 に Cisco IOS ヘッドエンドを証明書認証(CA)の利用と接続するためにある組み込み IKEv2 クライアントを設定する方法を記述されています。

注: 新聞発表の日付現在で、適応性があるセキュリティ アプライアンス モデル(ASA)は Windows 7 組み込み クライアントが付いている IKEv2 接続をサポートしません。 これは IOS ヘッドエンドをだけ使用します。

注: Praveena Shanubhogue および Atri Basu によって提供しまされる、Cisco TAC エンジニア。

前提条件

要件

このドキュメントの読者は次のトピックについて理解している必要があります。

  • Windows 7 組み込み VPN クライアント

  • Cisco IOS® ソフトウェア リリース 15.2(2)T

  • 認証局 (CA) - OpenSSL CA

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Windows 7 組み込み VPN クライアント

  • Cisco IOS® ソフトウェア リリース 15.2(2)T

  • 認証局- OpenSSL CA

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

概要

  • 認証局 設定

    CA は認証で必須拡張キー使用法(EKU)を組み込むことを可能にする必要があります。 たとえば、IKEv2 サーバで、クライアント 認証がクライアント Auth EKU を必要とする間、サーバ Auth EKU が必要となります。 ローカル配備は利用できます:

    • Cisco IOS CA サーバ-自己 署名入り認証は CSCuc82575 を煩わせて使用された当然である場合もありません

    • OpenSSL CA サーバ

    • Microsoft CA サーバ-望まれるように認証に丁度署名するために設定することができるので一般に、これは優先 する オプションです。

  • Cisco IOS ヘッドエンド 設定

    1. 認証を得て下さい

    2. IKEv2 設定を追加して下さい

  • Windows 7 は内部クライアント 設定を作りました

  • クライアント 認証を得て下さい

認証局 設定

この資料は CA のセットアップで詳細なステップを提供しないものです。 ただし、このセクションで提供されるステップはこの種類の配備のための認証を発行するために CA を得ることを可能にします。

OpenSSL

OpenSSL CA は「構成」ファイルに基づき、OpenSSL サーバのための「構成」ファイルは次のものを持つはずです:

[ extCSR ]
keyUsage                  = nonRepudiation, digitalSignature, keyEncipherment,
   dataEncipherment
extendedKeyUsage    = serverAuth, clientAuth

Cisco IOS CA サーバ

Cisco IOS CA サーバを使用する場合、EKU を割り当てる Cisco 最新 IOS® ソフトウェア リリースを使用することを確かめて下さい。

IOS-CA# show run | section crypto pki
crypto pki server IOS-CA
  issuer-name cn=IOS-CA.cisco.com,ou=TAC,o=cisco
  grant auto
  eku server-auth client-auth

Cisco IOS ヘッドエンド 設定

認証を得て下さい

認証にクライアントの Cisco IOS® およびクライアント認証のためのサーバ認証に設定 される EKU フィールドがあることを確かめて下さい。 通常、同じ CA が両方のクライアント および サーバ 認証に署名するのに使用されています。 この場合、「両方サーバ認証」および「クライアント認証」は受諾可能であるそれぞれサーバ証明およびクライアント 認証で見られます。

CA 問題 Public Key Cryptography Standards (PKCS) #12 の認証がクライアントに IKEv2 サーバおよびサーバよりスケーラブル(より少なくセキュア、の)でフォーマットする、これは設定する必要がありますではない。

crypto pki trustpoint FlexRootCA
    revocation-check none

PKCS#12 認証をインポートするためにこのコマンドを入力して下さい:

copy ftp://user:***@OpenSSLServer/p12/ikev2.p12*  flash:/
crypto pki import FlexRootCA pkcs12 flash:/ikev2.p12 password <password>

!! Note: ikev2.p12 is a pkcs12 format certificate that has CA Certificate bundled in it.

ここに示されているように認証を受け取るために Cisco IOS CA サーバ自動アクセス許可認証が、IKEv2 サーバ CA サーバの URL で設定される必要があるケース:

crypto pki trustpoint IKEv2
  enrollment url http://<CA_Sever_IP>:80
  subject-name cn=ikev2.cisco.com,ou=TAC,o=cisco
  revocation-check none

トラストポイントが設定されるとき、必要とします:

  1. CA を認証して下さい:

    crypto pki authenticate IKEv2
  2. CA の IKEv2 サーバを登録して下さい:

    crypto pki enroll IKEv2

    認証が設定されるすべての要求されたオプションが含まれているかどうか見るためにこれらの show コマンドを使用して下さい:

    ikev2#show crypto pki cert verbose
    Certificate 
      <snip> 
      Issuer: 
       <snip> 
      Subject: 
        Name: ikev2.cisco.com 
        ou=TAC 
        o=Cisco 
        c=BE 
        cn=ikev2.cisco.com 
     <snip>
      Subject Key Info: 
        Public Key Algorithm: rsaEncryption 
        RSA Public Key: (1024 bit) 
      Signature Algorithm: MD5 with RSA Encryption 
      Fingerprint MD5: 3FB01AE4 E36DF9D8 47F3C206 05F287C6 
    
    
      Fingerprint SHA1: DEE6C4D1 00CDD2D5 C0976274 203D2E74 2BC49BE8 
      X509v3 extensions: 
        X509v3 Key Usage: F0000000 
          Digital Signature 
          Non Repudiation 
          Key Encipherment 
          Data Encipherment 
        X509v3 Subject Key ID: CBCE6E9F F508927C E97040FD F49B52D1 D5919D45 
        X509v3 Authority Key ID: 4B86A079 A5738694 85721D0D 7A75892F 0CDAC723 
        Authority Info Access: 
        Extended Key Usage: 
            Client Auth 
            Server Auth 
      Associated Trustpoints: FlexRootCA 
      Key Label: FlexRootCA 

IKEv2 設定


!! IP Pool for IKEv2 Clients
 
  
ip local pool mypool 172.16.0.101 172.16.0.250 
  
  

!! Certificate MAP to match Remote Certificates, in our case the Windows 7 Clients 

  
crypto pki certificate map win7_map 10 
   subject-name co ou = tac 
  

!! One of the proposals that Windows 7 Built-In Client Likes 

  
crypto ikev2 proposal win7  
   encryption aes-cbc-256 
   integrity sha1 
   group 2 
  

!! IKEv2 policy to store a proposal 

  
crypto ikev2 policy win7  
   proposal win7 
  

!! IKEv2 Local Authorization Policy. Split-Tunneling does not work, as was
!! the case in good old l2tp over IPSec. 

  
crypto ikev2 authorization policy win7_author  
   pool mypool 
  

!! IKEv2 Profile 

  
crypto ikev2 profile win7-rsa 
   match certificate win7_map 
   identity local fqdn ikev2.cisco.com 
   authentication local rsa-sig 
   authentication remote rsa-sig 
   pki trustpoint FlexRootCA 
   aaa authorization group cert list win7 win7_author 
   virtual-template 1 
  
  

!! One of the IPSec Transform Sets that Windows 7 likes 

  
crypto ipsec transform-set aes256-sha1 esp-aes 256 esp-sha-hmac  
  
  

!! IPSec Profile that calls IKEv2 Profile 

  
crypto ipsec profile win7_ikev2 
   set transform-set aes256-sha1  
   set ikev2-profile win7-rsa 
  
  

!! dVTI interface - A termination point for IKEv2 Clients 

  
interface Virtual-Template1 type tunnel 
   ip unnumbered Loopback0 
   tunnel mode ipsec ipv4 
   tunnel protection ipsec profile win7_ikev2 

Windows 7 クライアントコンフィギュレーション

次の手順を実行します。

  1. 共有センターはネットワークに行き、新しい接続かネットワークを『Setup』 をクリック します:

    flexvpn-wcca-01.gif

  2. Next 画面で、使用をインターネット接続クリックして下さい。 これは現在のインターネット接続にネゴシエートされる VPN 接続を設定することを可能にします:

    flexvpn-wcca-02.gif

  3. Next 画面では、IKEv2 サーバの完全修飾ドメイン名 (FQDN)IP アドレスを入力し、ローカルで識別するためにそれに名前をつけて下さい。 追加パラメータが設定 される必要があるので今接続しません選択して下さい; ちょうどそれを設定 されてそう以降を接続できましたりそして『Next』 をクリック します:

    flexvpn-wcca-03.gif

  4. 証明書認証が使用されるべきであるのでユーザネームパスワードおよび Domain フィールドを記入しないで下さい。 [Create] をクリックします。 結果として生じるウィンドウを閉じて下さい。 接続することを試みないで下さい

    flexvpn-wcca-04.gif

  5. この場合ネットワーク共有センター戻し、アダプタ設定を『Change』 をクリック して下さい:

    flexvpn-wcca-05.gif

  6. Next ウィンドウではこのポイントに踏まれたすべてのステップの結果だった FlexVPN IOS と呼ばれる論理的なアダプタを選択して下さい。 プロパティをクリックして下さい。

    FlexVPN IOS と呼ばれる新しく作成された接続プロファイルのプロパティはここにあります:

    • Security タブでは、タイプの VPN は IKEv2 であるはずです。

    • Authentication セクションで、使用 マシン認証を選択して下さい。

    flexvpn-wcca-06.gif

    この場合 FlexVPN IOS プロファイルはマシン認証 ストアに認証をインポートした後接続されて準備ができています。

クライアントのための認証

クライアント 認証はこれらのファクタを必要とします:

  • 以前に述べられるように、クライアント 認証に「クライアント認証」の EKU があります。 また、CA は PKCS#12 認証を与えます:

    Client's PKCS12 Certificate will go into Local Machine 
    Personal Certificate Store
  • Cisco IOS ヘッドエンドの ID証明:

    IOS Headend's Identity Certificate goes into Local Machine 
    Trusted Root Certificate Authorities Store
  • CA証明:

    CA Certificate goes into Local Machine Trusted Root 
    Certificate Authorities Store

注意するべき重要な詳細

  • 現時点で、次のときだけ「IPSec IKE 中間物」(OID はとして = EKU 1.3.6.1.5.5.8.2.2)使用する必要があります:

    • IKEv2 サーバはです Windows 2008 サーバおよび

    • IKEv2 接続のために使用中の複数サーバ認証証明があります。 これが本当である、「サーバ認証」を EKU 置けば場合 1 つの認証の「IPSec IKE 中間」は EKU またはこれらの認証間の EKUs を配ります。 少なくとも 1 つの認証が「IPSec IKE 中間」が EKU 含まれていることを確かめて下さい。

      詳細については IKEv2 VPN 接続のトラブルシューティングを参照して下さい。

  • FlexVPN 配備では、EKU で「IPSec IKE 中間物」を使用しないで下さい。 場合、IKEv2 クライアントは IKEv2 サーバ証明を取りません。 その結果、彼らは IKE_SA_INIT 応答メッセージの IOS からの CERTREQ に応答できないし 13806 のエラー ID と接続しこうして損います

  • 認証対象代替名(SAN)が必要となりません。 ただし、これは認証に 1 つがある場合 okay です。

  • Windows 7 クライアント 認証 ストアで、マシン信頼された原証明機関ストアに認証の最少数が可能な限りあることを確かめて下さい。 それが以上 50 またはそう持っている場合、Cisco IOS® は場合がありますすべての既知 CA の認証 識別名 (DN)が含まれている Windows 7 ボックスからの Cert_Req 全体のペイロードを読まないために。 その結果、ネゴシエーションは失敗します。 クライアントの接続タイムアウトを見ます。

確認

ikev2#show crypto ikev2 session detail
IPv4 Crypto IKEv2 Session 

Session-id:4, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local                 Remote                fvrf/ivrf            Status
1         10.0.3.1/4500         192.168.56.1/4500     none/none            READY 
      Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:2, Auth sign: RSA,        
         Auth verify: RSA
      Life/Active Time: 86400/17 sec
      CE id: 1004, Session-id: 4
      Status Description: Negotiation done
      Local spi: A40828A826160328       Remote spi: C004B7103936B430
      Local id: ikev2.cisco.com
      Remote id: ou=TAC,o=Cisco,c=BE,cn=Win7
      Local req msg id:  0              Remote req msg id:  2        
      Local next msg id: 0              Remote next msg id: 2        
      Local req queued:  0              Remote req queued:  2        
      Local window:      5              Remote window:      1        
      DPD configured for 0 seconds, retry 0
      NAT-T is not detected 
      Cisco Trust Security SGT is disabled

ikev2#show crypto ipsec sa peer 192.168.56.1

interface: Virtual-Access1

    Crypto map tag: Virtual-Access1-head-0, local addr 10.0.3.1
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
    remote ident (addr/mask/prot/port): (172.16.0.104/255.255.255.255/0/0)
   current_peer 192.168.56.1 port 4500
     PERMIT, flags={origin_is_acl,}
   #pkts encaps:5, #pkts encaps:5, #pkts encrypt: 5, #pkts digest: 5
   #pkts decaps: 55, #pkts decrypt: 55, #pkts verify: 55
   #pkts compressed: 0, #pkts decompressed: 0
   #pkts not compressed: 0, #pkts compr. failed: 0
   #pkts not decompressed: 0, #pkts decompress failed: 0
   #send errors 0, #recv errors 0

   local crypto endpt.: 10.0.3.1, remote crypto endpt.: 192.168.56.1
     path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0x3C3D299(63165081)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xE461ED10(3831622928)
        transform: esp-256-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 7, flow_id: SW:7, sibling_flags 80000040, crypto map:
           Virtual-Access1-head-0
        sa timing: remaining key lifetime (k/sec): (4257423/0)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

      spi: 0x3C3D299(63165081)
        transform: esp-256-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 8, flow_id: SW:8, sibling_flags 80000040, crypto map:
           Virtual-Access1-head-0
        sa timing: remaining key lifetime (k/sec): (4257431/0)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

Cisco サポート コミュニティ - 特集対話

Cisco サポート コミュニティでは、フォーラムに参加して情報交換することができます。現在、このドキュメントに関連するトピックについて次のような対話が行われています。


関連情報


Document ID: 115907