Cisco 4700 シリーズ Application Control Engine Appliance クイック スタート ガイド
SSL セキュリティの設定
SSL セキュリティの設定
発行日;2012/01/30 | 英語版ドキュメント(2009/04/07 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

SSL セキュリティの設定

概要

SSL 終了の設定

Device Manager GUI を使用した への SSL 終了の設定

CLI を使用した への SSL 終了の設定

SSL セキュリティの設定

この章では、Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンス で SSL を設定する方法について説明します。この章の構成は、次のとおりです。

概要

SSL 終了の設定

Device Manager GUI を使用した ACE への SSL 終了の設定

CLI を使用した ACE への SSL 終了の設定

概要

この章を読むと、ACE アプライアンスがネットワークに SSL セキュリティをどのように提供するか、および ACE が SSL サーバとして機能する SSL 終了の設定方法についての基礎を理解できます。

ACE での SSL 設定は、ACE と別のデバイスとの間に SSL セッションを確立および保持します。また、クライアントとサーバ間での安全なデータ トランザクションを提供します。SSL は、認証、暗号化、Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)でのデータ整合性、デバイス間での安全な情報交換を確立するポリシーおよびプロシージャのセットを提供します。

SSL では、データは、トランザクションの 2 つのエンドポイントだけで認識されている 1 つ以上の対称キーを使用して暗号化されます。鍵交換では、一方のデバイスが、対称キーを生成し、これをもう一方のデバイスに転送する前に非対称暗号化スキームを使用して暗号化します。

非対称暗号化では、各デバイスに、公開鍵と秘密鍵で構成される固有なキー ペアが必要になります。秘密鍵は、メッセージを交換するパーティ間だけで認識されている暗号化/復号化鍵です。公開鍵は、いくつかの指定認証局により、暗号鍵として提供される値です。この暗号化鍵は、公開鍵から派生する秘密鍵と組み合わせて、メッセージおよびデジタル署名を効果的に暗号化するために使用できます。2 つの鍵は数学的に関連付けられます。公開鍵/秘密鍵を使用して暗号化されるデータは、対応する秘密鍵/公開鍵を使用した場合だけ復号化できます。

SSL は、デジタル証明書を使用することで、クライアントおよびサーバ認証を簡素化します。デジタル証明書とは、サーバの ID をクライアントに証明する、またはオプションでクライアントの ID をサーバに証明するデジタル識別の一形式のことです。証明書は、識別情報が正しく、そこに組み込まれている公開鍵がクライアントまたはサーバに属することを保証します。

Certificate Authority(CA; 認証局)は、PKI でデジタル証明書を発行します。CA は、認証を検証するために証明書に署名する信頼できる認証局です。証明書の発行元として、CA は、その秘密鍵を使用して、証明書に署名します。証明書を受け取ると、クライアントは、発行元の公開鍵を使用し、証明書シグニチャを復号化および検証して、証明書が権限のある機関により実際に発行され署名されていることを保証します。

証明書および対応するキー ペアがない場合、ACE を使用し、キー ペアおよび Certificate Signing Request(CSR; 証明書署名要求)を生成して、CA からの証明書を適用できます。CA は CSR に署名し、認証したデジタル証明書を返します。ACE は、インポート、エクスポート、および各コンテキスト内でさまざまな証明書やキー ペア ファイルを管理するその他の管理機能をサポートします。

クライアントおよびサーバは、SSL ハンドシェイク プロトコルを使用して、2 つのデバイス間で SSL セッションを確立します。ハンドシェイク時に、クライアントおよびサーバは、安全なセッション中に使用する SSL パラメータをネゴシエートします。SSL ハンドシェイク時に、ACE は、SSL プロキシ サービスを使用します。このサービスには、SSL セッション パラメータ、RSA キー ペア、照合証明書の設定が含まれています。

ACE は、SSL セッション パラメータを SSL プロキシ サービスに適用します。SSL パラメータ マップを作成すると、同じ SSL セッション パラメータを異なるプロキシ サービスに適用できます。SSL セッション パラメータには、タイムアウト、終了時プロトコル動作、および SSL バージョン(SSL 3 または Transport Layer Security(TLS; トランスポート レイヤ セキュリティ)1、あるいはその両方)が含まれます。これらのパラメータの詳細については、『 Cisco 4700 Series Application Control Engine Appliance SSL Configuration Guide 』を参照してください。

SSL セッション パラメータ、SSL キー ペアおよび証明書、トラフィック特性などの動作属性を定義することで、SSL セッション中にクライアントまたはサーバとして機能するように、ACE を設定できます。トラフィック特性が、動作属性に指定されている設定と一致すると、ACE は、SSL プロキシ サービスに関連付けられたアクションを実行します。図 9-1 に、クライアントおよびサーバ間でのデータの暗号化および復号化に ACE が使用される、SSL 終了、SSL 開始およびエンドツーエンド SSL の 3 種類の基本 SSL 設定を示します。

図 9-1 ACE SSL 設定

 

SSL 終了では、ACE コンテキストは、フロントエンド アプリケーションに設定されます。ここでは、ACE は、クライアントと通信する SSL サーバとして機能します。ACE およびクライアント間でのフローを定義すると、ACE は、仮想 SSL サーバとして機能して、Web ブラウザ(クライアント)および HTTP 接続(サーバ)間にセキュリティ サービスを追加します。

すべてのインバウンド SSL フローは、クライアントから始まり、ACE で終わります。接続が終了したら、ACE は、クライアントからの暗号文(暗号化された内容)を復号化し、そのデータをクリア テキスト(暗号化されていない内容)として HTTP サーバに送信します。ACE への SSL 終了の 設定については、「 SSL 終了の設定 」の項を参照してください。

SSL 開始では、ACE コンテキストは、バックエンド アプリケーションに設定されます。ここでは、ACE は、SSL サーバと通信するクライアントとして機能します。ACE および SSL サーバ間でのフローを定義すると、ACE は、クライアントとして機能して、SSL セッションを開始します。SSL 開始では、ACE は、クライアントからクリア テキストを受け取り、SSL サーバと SSL セッションを確立し、クライアントおよび SSL サーバ接続を結合します。

ACE は、クライアントから受け取るクリア テキストを暗号化して、そのデータを暗号文として SSL サーバに送信します。SSL サーバは、SSL 終了(仮想 SSL サーバ)または実 SSL サーバ(Web サーバ)のいずれかに設定された ACE にすることができます。SSL サーバからのアウトバウンド フローでは、ACE は、サーバからの暗号文を復号化して、クリア テキストをクライアントに返します。ACE への SSL 開始の設定の詳細については、『 Cisco 4700 Series Application Control Engine Appliance SSL Configuration Guide 』を参照してください。

エンドツーエンド SSL では、ACE コンテキストには、SSL 終了および SSL 開始の両方が設定されます。アプリケーションで、クライアントと ACE 間、および ACE と SSL サーバ間で安全な SSL チャネルを必要とする場合、ACE にエンドツーエンド SSL を設定します。

たとえば、銀行間の取引では、交換するすべての金融情報を保護するために、エンドツーエンド SSL が必要です。また、エンドツーエンド SSL では、ACE は、ロード バランシングおよびセキュリティ情報をデータに挿入することもできます。ACE は、受け取った暗号文を復号化して、ロード バランシングおよびファイアウォール情報をクリア テキストに挿入します。次に、ACE は、このデータを再び暗号化して、指定された宛先に暗号文を渡します。ACE へのエンドツーエンド SSL 開始の設定の詳細については、『 Cisco 4700 Application Control Engine Series Appliance SSL Configuration Guide 』を参照してください。

SSL 終了の設定

SSL 終了は、SSL プロキシ サーバとして動作する ACE がクライアントからの SSL 接続を終端し、続いて HTTP サーバと TCP 接続を確立するときに実行されます。ACE は、SSL 接続を終了すると、クライアントからの暗号文を復号化し、データをクリア テキストとして HTTP サーバに送信します。

図 9-2 に、ACE がクライアントとの SSL 接続を終端しているネットワーク接続を示します。

クライアントと ACE の間:クライアントと、SSL プロキシ サーバとして機能する ACE 間との SSL 接続

ACE とサーバの間:ACE と HTTP サーバとの間の TCP 接続

図 9-2 SSL 終了

 

ACE に SSL 動作を設定する前に、最初にサーバ ロード バランシングを設定してください。ACE にサーバ ロード バランシングを設定するには、 第 6 章「サーバ ロード バランシングの設定」 を参照してください。

SSL 終了は、クライアントからのインバウンド トラフィック フローに含まれる宛先 IP アドレスに基づいているため、レイヤ 3 およびレイヤ 4 アプリケーションの 1 つです。SSL 終了のポリシー マップを設定する場合、次の要素を関連付けます。

SSL セッション パラメータ、証明書、キー ペアなどの SSL プロキシ サービス

インバンド トラフィックの宛先 IP アドレスが一致しなければならない仮想 SSL サーバ IP アドレス(クラス マップ)一致する場合、ACE は、クライアントとネゴシエートして、SSL 接続を確立します。

ACE に SSL 終了を設定するには、次のステップを実行します。


ステップ 1 キー ファイルにキー ペアをインポートします。

ステップ 2 インポートされたキー ペアと一致する証明書をインポートします。

ステップ 3 パラメータ マップを設定します。

ステップ 4 キー ペア、証明書およびパラメータ マップを使用して SSL プロキシ サービスを設定します。

ステップ 5 SSL プロキシ サービスを使用して、SSL 終了の仮想サーバを作成します。

ステップ 6 設定を展開します。


 

この章では、Device Manager GUI または Command-Line Interface(CLI; コマンドライン インターフェイス)のいずれかを使用して、ACE に SSL 終了を設定する方法について説明します。

Device Manager GUI を使用した ACE への SSL 終了の設定

次のステップに従って、Device Manager GUI を使用して、ACE に SSL 終了を設定します。


ステップ 1 ユーザ コンテキスト [VC_web]、を選択して、[SSL] > [Setup Sequence] を選択します。[Setup Sequence] ウィンドウが表示されます。

ステップ 2 [Import SSL Key Pair] をクリックして、キー ファイルをインポートします。[Import SSL Key Pair] ペインが、[SSL Setup Sequence] ウィンドウ下部に表示されます(図 9-3)。

図 9-3 [SSL Setup Sequence] ウィンドウ:[Import SSL Key Pair] ペイン

 

ステップ 3 次のパラメータを入力します。残りのパラメータは空白、またはデフォルト値のままにしておきます。

[Protocol]:FTP

[IP Address]:172.25.91.100(有効にするには、リモート キー ファイルにアクセスできる IP アドレスを使用する必要があります)

[Remote File Name]:C:¥marketing.pem

[Local File Name]:C:¥marketing.pem

[User Name]:Admin

[Password]:(使用している FTP サーバのパスワード)

[Confirm]:(使用している FTP サーバのパスワードを再入力)

ステップ 4 [Import] をクリックして、キー ファイルをインポートします。

ステップ 5 [SSL Setup Sequence] ウィンドウで [Import Certificates] を選択します。[Import Certificates] ペインが表示されます(図 9-4)。

図 9-4 [SSL Setup Sequence] ウィンドウ:[Import Certificates] ペイン

 

ステップ 6 次のパラメータを入力します。残りのパラメータは空白、またはデフォルト値のままにしておきます。

[Protocol]:FTP

[IP Address]:172.25.91.100(有効にするには、証明書ファイルにアクセスできる IP アドレスを使用する必要があります)

[Remote File Name]:C:¥marketing_cert.pem

[Local File Name]:C:¥marketing_cert.pem

[User Name]:Admin

[Password]:(使用している FTP サーバのパスワード)

[Confirm]:(使用している FTP サーバのパスワードを再入力)

ステップ 7 [OK] をクリックして、証明書ファイルをインポートします。

ステップ 8 [SSL] > [Parameter Maps] を選択します。[Parameter Maps] ペインが表示されます(図 9-5)。

図 9-5 [Parameter Maps] ペイン

 

ステップ 9 [Add] をクリックして、パラメータ マップを作成します。[Parameter Map] ウィンドウが表示されます(図 9-6)。

図 9-6 [Parameter Map] ウィンドウ

 

ステップ 10 [Name] フィールドに PM_SSL_termination を入力します。残りのパラメータは空白、またはデフォルト値のままにしておきます。

ステップ 11 [Deploy Now] をクリックして、ACE アプライアンスにパラメータ マップを適用します。[Parameter Map Cipher] ペインが表示されます。

ステップ 12 [Parameter Map Cipher] ペインの [Add] を選択します(図 9-6)。

ステップ 13 デフォルト値をそのまま使用し、[Parameter Map Cipher] ペインの [Deploy Now] をクリックして、暗号文をパラメータ マップに追加します。

ステップ 14 [SSL] > [Proxy Service] を選択して、SSL プロキシ サービスを作成します。[Proxy Service] ペインが表示されます(図 9-7)。

図 9-7 [Proxy Service ] ペイン

 

ステップ 15 [Add] をクリックして、プロキシ サービスを作成します。[Proxy Service] ウィンドウが表示されます(図 9-8)。

図 9-8 [Proxy Service] ウィンドウ

 

ステップ 16 次のパラメータを入力します。残りのパラメータは空白、またはデフォルト値のままにしておきます。

[Name]:PS_SSL_termination

[Keys]:(以前にインポートしたキー ファイルを選択してください)

[Certificates]:(以前にインポートした証明書を選択してください)

[Parameter Maps]:PM_SSL_termination

ステップ 17 [Deploy Now] をクリックして、ACE アプライアンスにプロキシ サービスを適用します。

ステップ 18 [Load Balancing] > [Virtual Servers] を選択して、仮想サーバに SSL 終了を設定します。[Virtual Servers] ペインが表示されます。

ステップ 19 [Add] をクリックして、仮想サーバを作成します。[Add Virtual Server] ウィンドウが表示されます(図 9-9)。

図 9-9 [Add Virtual Server on Virtual Context] ウィンドウ

 

 

ステップ 20 次のパラメータを入力します。残りのパラメータは空白、またはデフォルト値のままにしておきます。

[Virtual Server Name]:VIP_SSL

[Virtual IP Address]:10.10.40.11

[Transport Protocol]:TCP

[Application Protocol]:HTTPS

[Port]:443

[VLAN]:400

[Proxy Service Name]:PS_SSL_termination

[Primary Action]:Load Balance

[Server Farm]:SF_web

ステップ 21 [Deploy Now] をクリックして、ACE アプライアンスに仮想 SSL サーバを適用します。


 

CLI を使用した ACE への SSL 終了の設定

次のステップに従って、CLI を使用して、ACE に SSL 終了を設定します。


ステップ 1 CLI プロンプトをチェックし、目的のコンテキストで操作が行われていることを確認します。必要に応じて、正しいコンテキストに変更します。

host1/Admin# changeto VC_web
host1/VC_web#
 

ステップ 2 キー ファイル marketing.pem を FTP サーバからインポートします。

host1/VC_web# crypto import ftp 172.25.91.100 Admin /marketing.pem marketing.pem
Password: ****
Passive mode on.
Hash mark printing on (1024 bytes/hash mark).
#
Successfully imported file from remote server.
host1/VC_web#
 

ステップ 3 CA から受け取った証明書の証明書情報をコピーして、marketing_cert.pem と呼ばれる証明書ファイルに貼り付けます。

host1/VC_web# crypto import terminal marketing_cert.pem
 
Enter PEM formatted data ending with a blank line or “quit” on a line by itself.
 
-----------BEGIN CERTIFICATE----------------------------------------
MIIC1DCCAj2gAwIBAgIDCCQAMA0GCSqGSIb3DQEBAgUAMIHEMQswCQYDVQQGEwJa
QTEVMBMGA1UECBMMV2VzdGVybiBDYXBlMRIwEAYDVQQHEwlDYXBlIFRvd24xHTAb
BgNVBAoTFFRoYXd0ZSBDb25zdWx0aW5nIGNjMSgwJgYDVQQLEx9DZXJ0aWZpY2F0
aW9uIFNlcnZpY2VzIERpdmlzaW9uMRkwFwYDVQQDExBUaGF3dGUgU2VydmVyIENB
MSYwJAYJKoZIhvcNAQkBFhdzZXJ2ZXItY2VydHNAdGhhd3RlLmNvbTAeFw0wMTA3
-----------END CERTIFICATE------------------------------------------
 

ステップ 4 quit と入力して、ファイルを閉じます。

quit
host1/VC_web#
 

ステップ 5 証明書がキー ペアと一致していることを確認してください。

host1/VC_web# crypto verify marketing.pem marketing_cert.pem
keypair in marketing.pem matches certificate in marketing_cert.pem
 

ステップ 6 設定モードに入り、SSL 終了の設定を開始します。

host1/VC_web# config
host1/VC_web(config)#
 

ステップ 7 SSL プロキシ サービスを作成します。

host1/VC_web(config)# ssl-proxy service PS_SSL_termination
host1/VC_web(config-ssl-proxy)#
 

ステップ 8 キー ペアおよび対応する証明書を定義して、SSL プロキシ サービスを設定します。

host1/VC_web(config-ssl-proxy)# key marketing
host1/VC_web(config-ssl-proxy)# cert marketing_cert
host1/VC_web(config-ssl-proxy)# exit
host1/VC_web(config)#
 

ステップ 9 レイヤ 3 およびレイヤ 4 クラス マップを作成して、入力トラフィック一致基準を設定します。

host1/VC_web(config)# class-map CM_SSL
host1/VC_web(config-cmap)# match virtual-address 10.10.40.11 tcp any
host1/VC_web(config-cmap)# exit
host1/VC_web(config)#
 

ステップ 10 ポリシー マップを作成して、クラス マップ CM_SSL に関連付けます。

host1/VC_web(config)# policy-map multi-match PM_SSL
host1/VC_web(config-pmap)# class CM_SSL
host1/VC_web(config-pmap-c)#
 

ステップ 11 SSL プロキシ サービス PS_SSL_termination をポリシー マップに関連付けます。

host1/VC_web(config-pmap-c)# ssl-proxy server PS_SSL_termination
host1/VC_web(config-pmap-c)# exit
host1/VC_web(config-pmap)# exit
host1/VC_web(config)#
 

ステップ 12 ポリシー マップを VLAN 400 インターフェイスの入力トラフィックに適用します。

host1/VC_web(config)# interface vlan 400
host1/VC_web(config-if)# service-policy input PM_SSL
 

ステップ 13 実行設定を表示して、追加した情報が正しく設定されているか確認します。

host1/VC_web(config-if)# do show running-config
 


 

この章では、仮想サーバに SSL 終了を設定しました。次の章では、サーバ ヘルス モニタリングを設定します。