Cisco NAC Appliance - Clean Access Server インストレーション コンフィギュレーション ガイド
CAS 証明書、時刻、サポートログの管理
CAS 証明書、時刻、サポートログの管理
発行日;2012/02/20 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 13MB) | フィードバック

目次

CAS 証明書、時刻、サポートログの管理

[Status] タブ

CAS ダイレクト アクセス Web コンソール

CAS SSL 証明書の管理

SSL 証明書の概要

SSL 証明書管理のための Web コンソール ページ

CA 署名付き証明書

中間証明書

ハイ アベイラビリティ(HA)ペアの証明書

IP でなく DNS 名に対応した証明書の再生成

CAS での一般的な SSL 証明書の設定

フェーズ 1:CAS と CAM の間の SSL 通信の確立

フェーズ 2:CAS と CAM を実稼働環境の配置用に設定する

フェーズ 3:新しい CAM または CAS の既存の実稼働環境への追加

一時証明書の生成

証明書要求の生成とエクスポート

署名付き証明書と秘密鍵の管理

署名付き証明書と秘密鍵のインポート

証明書または秘密鍵のエクスポート

信頼できる CA の管理

信頼できる CA のインポートとエクスポート

現在の秘密鍵と証明書および CA 情報の表示

Mac OS X と CAS の通信のための SSL 要件

Mac OS X Agent への SSL 接続のための CAS 一時証明書要件

Mac OS 10.4.x のルート証明書のインストール

Mac OS 10.5 のルート証明書のインストール

Mac OS X での root ユーザのイネーブル化

CAS からのルート証明書の取得

証明書に関する問題のトラブルシューティング

CAS が CAM とのセキュアな接続を確立できない

CAS 内の秘密鍵が CA 署名付き証明書と一致しない

証明書関連ファイル

システムのアップグレード

システム時刻の同期

サポート ログとログレベルの設定

CAS サポート ログのダウンロード

CAS 証明書、時刻、サポートログの管理

この章では、Clean Access Server(CAS)の管理について説明します。この章の内容は、次のとおりです。

「[Status] タブ」

「CAS ダイレクト アクセス Web コンソール」

「CAS SSL 証明書の管理」

「システムのアップグレード」

「システム時刻の同期」

「サポート ログとログレベルの設定」

[Status] タブ

CAS 管理ページの [Status] タブには、CAS で稼動中のモジュールに関する高度なステータス情報が表示されます。

図 12-1 CAS 管理ページの [Status] タブ

 

[IP Filter]:パケットを分析して、パケットが有効な認証済みユーザから送信されたことを保証する IP パケット フィルタ

[DHCP Server]:CAS の内部 Dynamic Host Configuration Protocol(DHCP)サーバ

[DHCP Relay]:クライアントと外部 DHCP サーバ間でアドレス要求および割り当てをリレーするモジュール

[IPSec Server]:CAS とクライアント デバイス間でセキュアな、IP セキュリティベースのチャネルを確立するためのモジュール。このモジュールは、クライアントとサーバ間で送受信されるデータの暗号化と復号化を実行します。

[Active Directory SSO]:認証された Windows ユーザの Active Directory Single Sign-On(SSO; シングル サインオン)をイネーブルにするモジュール。

[Windows NetBIOS SSO]:認証された Windows ユーザの Windows NetBIOS ログインをイネーブルにするモジュール。

CAS ダイレクト アクセス Web コンソール

CAM Web 管理コンソール(図 12-1)の CAS 管理ページは、CAS を設定する場合の主要インターフェイスです。ただし、CAS にはそれぞれ独自の Web 管理コンソールがあり、CAS の特定の管理およびモニタリング設定値を直接設定できます(図 12-4)。CAS ダイレクト アクセス Web コンソールは主に、CAS サポート ログをダウンロードする、または CAS ペアにハイ アベイラビリティを設定する場合に使用します。詳細については、「ハイ アベイラビリティ(HA)の設定」を参照してください。CAS 管理ページを使用できない場合は、ダイレクト コンソール インターフェイスを使用して、CAS の SSL 証明書の管理や、システム アップグレードなどの他の機能を実行することもできます。

CAS のダイレクト アクセス Web 管理コンソールにアクセスする手順は、次のとおりです。


ステップ 1 Web ブラウザを開き、URL またはアドレス フィールドに CAS の信頼できる(eth0)インターフェイスの IP アドレス https://<CAS_eth0_IP_address>/admin を入力します(たとえば https://172.16.1.2/admin )。

初期設定時に CAS でカスタマイズ可能なプリログイン バナーをイネーブルにした場合は、CAS の管理 Web コンソールに簡単なプリログイン バナーが表示されます(図 12-2)。プリログイン バナーをイネーブルにしなかった場合は、CAS 管理者のクレデンシャル入力ページ(図 12-3)が表示されます。

図 12-2 CAS のプリログイン バナーの例

 

プリログイン バナーを使用すると、CAM または CAS で認証クレデンシャルを入力する前に、警告、システムとネットワークの状態、アクセス要件といったさまざまなメッセージを管理者ユーザに対して表示することができます。管理者は、アプライアンスでこの機能をイネーブルにし、コマンドライン コンソールにログインし、 /root/banner.pre ファイルを編集することで、プリログイン バナーのテキストを指定できます。プリログイン バナーのテキストは、ユーザが CAM または CAS にログインしようとしているときに、Web コンソール インターフェイスとコマンドライン インターフェイスの両方に表示されます。

プリログイン バナーのイネーブルとディセーブルは、CAM および CAS の初期設定時の CLI セッションで指定できるほか、CLI コマンド service perfigo config で CAM および CAS の基本設定を変更する場合に指定できます。

図 12-3 CAS ダイレクト アクセス Web 管理コンソールのログイン ページ

 

ステップ 2 一時証明書を受け入れ、関連付けられているパスワードを使用してユーザ admin としてログインします。

図 12-4 CAS ダイレクト アクセス Web 管理コンソール:NAC-3300 シリーズ

 


) Cisco Integrated Services Routers(ISR; サービス統合型ルータ)に搭載された Cisco NAC ネットワーク モジュールはハイ アベイラビリティをサポートしていないため、Cisco NAC ネットワーク モジュールのダイレクト Web 管理コンソールを表示した場合は Failover タブは使用できません。


図 12-5 CAS ダイレクト アクセス Web 管理コンソール:NAC ネットワーク モジュール

 


) • CAS IP アドレスの先頭に「https://」を、末尾に「/admin」を付加してください。そうしないと、Web ログイン ユーザ用のリダイレクト ページが表示されます。

セキュリティのために、CAS Web コンソールのパスワードを変更することを推奨します。


 

CAS Web コンソールのほとんどすべての設定は、CAM Web 管理コンソールの CAS 管理ページで設定できます。例外は、[Failover]、[SSL]、[Admin Password]、および [Support Logs] です。CAS ダイレクト アクセス Web コンソールには、ローカル CAS 用の次の管理ページがあります。

Network Settings:IP、DNS、フェールオーバー(Cisco NAC-3300 シリーズのみ)

Software Update

SSL(Generate Temporary Certificatel、Import Certificate、Export CSR/Private Key/Certificate、既存の信頼できる CA の表示と削除)

Time Server

Admin Password

CAS ダイレクト アクセス コンソールの [Monitoring] モジュールには次のページがあります。

Active VPN Clients

Support Logs


) ハイ アベイラビリティ CAS ペアの場合、CAS 管理ページまたは CAS ダイレクト アクセス Web コンソールによって HA プライマリ CAS で実行された CAS ネットワークの設定変更は、スタンバイ CAS ユニットでもダイレクト アクセス Web コンソールによって繰り返す必要があります。これらの設定には、SSL 証明書、システム時刻、タイム ゾーン、DNS、またはサービス IP の更新が含まれます。詳細については、「[IP] フォーム」および「ハイ アベイラビリティ設定の変更」を参照してください。


CAS SSL 証明書の管理

ここでは、次の内容について説明します。

「SSL 証明書の概要」

「CAS での一般的な SSL 証明書の設定」

「一時証明書の生成」

「証明書要求の生成とエクスポート」

「署名付き証明書と秘密鍵の管理」

「信頼できる CA の管理」

「現在の秘密鍵と証明書および CA 情報の表示」

「Mac OS X と CAS の通信のための SSL 要件」

「証明書に関する問題のトラブルシューティング」

SSL 証明書の概要

Cisco NAC アプライアンスの各要素は、Secure Socket Layer(SSL)接続を介してセキュアに通信します。Cisco NAC アプライアンスは、次のようないくつかの目的で SSL 接続を使用します。

CAM と CAS の間のセキュアな通信

ポリシー同期マスターの CAM とポリシー同期レシーバーの CAM の間のポリシーのインポートおよびエクスポート動作

CAM と LDAP 認証サーバの間の通信([User Management] > [Auth Servers] > [New] | [Edit] ページの [Security Type] オプションを使用して SSL が LDAP 認証プロバイダーに対してイネーブルになっている場合)

CAS と、CAS に接続しているエンドユーザ間の接続

CAM または CAS と、CAM または CAS の Web 管理コンソールにアクセスしているブラウザ間の接続

インストール中に、CAM と CAS の両方の設定ユーティリティ スクリプトから、インストール中のアプライアンスの一時 SSL 証明書を生成するように要求されます。対応する秘密鍵も、一時証明書を使用して生成されます。

CAM と CAS を実験環境で動作させるためには、CA 署名付き証明書は必要なく、一時証明書を使用し続けることができます。実稼働環境への配置では、セキュリティ上の理由から、CAM と CAS の一時証明書を第三者の CA 署名付き SSL 証明書で置き換える必要があります。

CAM の SSL 証明書の管理方法については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』を参照してください。


) Cisco Clean Access は、SSL 証明書のキー長として、1024 ビットおよび 2048 ビットだけをサポートします。


ここでは、次の内容について説明します。

SSL 証明書管理のための Web コンソール ページ

CA 署名付き証明書

中間証明書

ハイ アベイラビリティ(HA)ペアの証明書

IP でなく DNS 名に対応した証明書の再生成

SSL 証明書管理のための Web コンソール ページ

CAM SSL 証明書ファイルは CAM マシンに保持され、CAS SSL 証明書ファイルは CAS マシンに保持されます。CAS 証明書は次の場所から管理します。

[Administration] > [SSL] > [X509 Certificate]:この設定ウィンドウは、一時証明書、CA 署名付き証明書、秘密鍵をインポートおよびエクスポートしたり、新しい一時証明書を生成するために使用します。

[Administration] > [SSL] > [Trusted Certificate Authorities]:この設定ウィンドウは、CAS 上で CA を表示、追加、削除するために使用します。

[Administration] > [SSL] > [X509 Certification Request]:この設定ウィンドウは、CAS に対して新たに CA 署名付き証明書要求を生成するために使用します。

Web コンソール アクセスの詳細は、「CAS ダイレクト アクセス Web コンソール」を参照してください。


) ハイ アベイラビリティ CAS ペアの場合、CAS 管理ページまたは CAS ダイレクト アクセス Web コンソールによって HA プライマリ CAS で実行された CAS ネットワークの設定変更は、スタンバイ CAS でもダイレクト アクセス Web コンソールによって繰り返す必要があります。これらの設定には、SSL 証明書、システム時刻、タイム ゾーン、DNS、またはサービス IP の更新が含まれます。詳細については、「ハイ アベイラビリティ設定の変更」を参照してください。


CA 署名付き証明書

CAS SSL 証明書は、CAS とユーザの Web ブラウザの間、または CAS と Clean Access Agent および Cisco NAC Web Agent の間、および CAM と CAS の間の通信で使用されます。実稼働環境での配置には、 CAS の一時証明書を第三者の CA 署名付き SSL 証明書で置き換える必要があります。Cisco NAC アプライアンスには、[Administration] > [SSL] > [X509 Certification Request] ページに、CA に送付可能な Certificate Signing Request(CSR; 証明書署名要求)を生成するためのツールが備わっています。CAS 上で第三者の CA 署名付き証明書を取得してインポートする必要がある理由は以下のとおりです。

CAS 証明書はエンド ユーザが参照します。CAS が一時証明書を使用していると、ユーザはログインするたびに CAS からの証明書を明示的に受け入れる必要があります。

ルート証明書は、クライアント マシンによって信頼される必要があります。


) CAM と CAS は暗号化された通信が必要です。そのため、Cisco NAC アプライアンスを実稼働環境に配置する前に、CAM は、管理しているすべての CAS の証明書の元となる信頼できる CA を含んでいる必要があり、すべての CAS は、CAM の証明書の元となる同じ信頼できる CA を含んでいる必要があります。


商用 CA(Thawte、Verisign など)では、ルートはクライアント マシン上にすでに存在します。

Windows Vista または Internet Explorer 7.0 が動作するクライアント マシンでは、Certificate Revocation List(CRL; 証明書失効リスト)のチェックがデフォルトでイネーブルになっています。Windows Vista または IE 7.0 クライアント マシンをサポートする場合は、CAS 用に CA 署名付き証明書を取得することを推奨します。詳細は、『 Release Notes for Cisco NAC Appliance, Version 4.5(1) 』の「 Agent Error: "Network Error SSL Certificate Rev Failed 12057" 」のセクションを参照してください。

Mac OS X エージェントの証明書の詳細は、「Mac OS X と CAS の通信のための SSL 要件」を参照してください。

一時証明書は、実験環境向けです。CAS を実稼働環境に配置するときには、ネットワークのセキュリティを確保するため、第三者の CA による信頼できる証明書を使用することを強く推奨します。


) 一時証明書が CAS に存在すると、CAS の Web コンソールで、「EMAILADDRESS=info@perfigo.com, CN=www.perfigo.com, OU=Product, O="Perfigo, Inc.", L=San Francisco, ST=California, C=US」が示す CA では CAS と関連するクライアント マシンがセキュリティ攻撃に対して脆弱になるおそれがあることを警告するメッセージが表示されます(図 12-6)。この CAS を CAS データベースから削除するには、「信頼できる CA の管理」の手順を実行します。


図 12-6 信頼できる CA を取得し既存の「www.perfigo.com」の証明書を削除するよう警告する管理者 Web コンソール メッセージ

 

実験環境では、CA 署名付き証明書を使用する必要はなく、CAM と CAS に一時証明書を使用し続けることができます。しかし、CAM と CAS を実稼働環境に配置する場合には、第三者の信頼できる CA を使用する必要があります。CAM の SSL 証明書の管理方法については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』を参照してください。


) CAM 用に購入された CA 署名付き証明書は、CAS では使用できません。CAS サーバごとに個別の証明書を購入する必要があります。

商用 CA によって提供されていない証明書や、自己署名されていない証明書は、CAS により標準的でない証明書と見なされます。


CA

CA には、商用(Thawte、Verisign など) CA とプライベート CA があります。

商用 CA を使用する場合

CSR を商用 CA に送付し、Web サーバ タイプまたは SSL タイプの証明書を要求します。

CA は CSR に基づいて証明書を発行します。

CA のルート キーまたは公開鍵を要求することもできます。

CAM および CAS には、一般的な商用 CA のほとんどの公開鍵(ルート)がすでに搭載されています。

プライベート CA を使用する場合

CSR を、Microsoft CA サーバなどのプライベート CA またはローカル CA に送信します。

プライベート CA サーバは、証明書とルート(公開鍵)を発行します。

ただし、このルートは CAM および CAS にロードする必要があります。

中間証明書

1 つ以上の中間証明書が関係する場合、複数のルート証明書または公開鍵を持つことになります。CA には独自のルートがあります。チェーン内のすべての CA のルートまたは公開鍵情報は、CAS にアップロードする前に、1 つのファイルにまとめる必要があります(たとえば root.cer ) そのためには、各 CA のルート証明書を開き、各ルート証明書からワードパッドなどのテキスト エディタに情報をコピーします。各 CA 証明書の「Begin Certificate」行と「End Certificate」行を含め、1 行に 1 つずつ各証明書を記述します。編集した root.cer ファイルを保存し、CAS にインポートします。

ハイ アベイラビリティ(HA)ペアの証明書

HA-CAS ペアを実行している場合、HA ペアのサービス IP に対して CSR を生成し、CA 署名付き証明書を HA ペアのいずれか(たとえば CAS-1)にインポートします。その後、証明書情報(つまり秘密鍵、証明書、ルート)を HA プライマリ CAS からエクスポートし、HA セカンダリ CAS にインポートします。詳細は「ハイ アベイラビリティ(HA)の設定」を参照してください。

IP でなく DNS 名に対応した証明書の再生成

サーバの IP アドレスでなく DNS 名に基づいて証明書を再作成する場合は、次のようにします。

署名用に CSR を生成する場合、秘密鍵は常に安全な場所にエクスポートして保存します(保護のためと、秘密鍵を手元に置くため)。インポートしている CA 署名付き証明書が CSR を生成した証明書であること、およびそれ以降別の一時証明書を生成していないことを確認します。CSR をエクスポートしたあとで新しい一時証明書を生成すると、新しい秘密鍵と公開鍵の組み合わせが作成され、新しい公開鍵と CA 署名付き証明書が一致しなくなります。

特定の CA 署名付き証明書をインポートすると、CA 署名付き証明書への署名に使用されたルート証明書(CA のルート証明書)をインポートする必要があること、または場合によっては中間ルート証明書をインポートしなければならないことを通知する警告が表示されることがあります。

DNS サーバに DNS エントリがあることを確認します。

CAS 内の DNS アドレスが正しいことを確認します(「ネットワークの DNS サーバの設定」を参照)。

ハイ アベイラビリティ(フェールオーバー)構成の場合、サービス IP の DNS 名を使用します(仮想 DNS)。

使用している DNS ベース証明書が CA 署名付きでない場合は、証明書を受け入れるように促すプロンプトがユーザに対して表示されます。

CAS での一般的な SSL 証明書の設定

CAS 証明書を管理するための一般的な手順は以下のとおりです。

フェーズ 1:CAS と CAM の間の SSL 通信の確立


ステップ 1 時刻を同期します。

CAM および CAS をインストールしたら、CAM および CAS の時刻を同期し(3 ~ 5 分以内の差)、そのあとで CSR のベースとなる一時証明書を再生成します。詳細については、次の「システム時刻の同期」を参照してください。

ステップ 2 CAS の DNS 設定を確認します。

CA 署名付き証明書にサーバの IP アドレスでなく DNS 名を使用する場合は、CAS の設定を検証し、一時証明書を再生成する必要があります。詳細については、「IP でなく DNS 名に対応した証明書の再生成」を参照してください。HA システムの場合、サービス IP に基づいて証明書を再生成する必要があります(「一時証明書の生成」を参照)。

ステップ 3 「一時証明書の生成」

CAS の初期インストールと設定時に、一時証明書と秘密鍵が自動的に生成されます。CAM の時刻や DNS 設定を変更した場合は、一時証明書と秘密鍵を再生成します。

フェーズ 2:CAS と CAM を実稼働環境の配置用に設定する


警告 以前の配置で不完全、正しくない、壊れた SSL 証明書のチェーンを使用している場合は、リリース 4.5 へのアップグレード後に、CAM および CAS の通信に失敗することがあります。リリース 4.5 にアップグレードするには、証明書チェーンを修正する必要があります。リリース 4.5 へのアップグレード後に CAM または CAS 上での証明書のエラーを修正する方法については、トラブルシューティング テクニカル ノート『How to Fix Certificate Errors on the CAM/CAS After Upgrade』を参照してください。


ステップ 4 保護のために、証明書と秘密鍵をローカル マシンにエクスポート(バックアップ)します。

Cisco NAC アプライアンスの SSL 設定を変更する場合、証明書と現在の証明書に対応する秘密鍵を保護のためにローカル ハード ドライブにバックアップすることをお勧めします。「証明書要求の生成とエクスポート」を参照してください。

ステップ 5 CSR をローカル マシンにエクスポート(保存)します (「証明書要求の生成とエクスポート」を参照)。

ステップ 6 CSR ファイルを、信頼できる証明書の発行が許可された CA に送信します。

ステップ 7 CA が署名し、証明書を戻したら、CA 署名付き証明書をサーバにインポートします。

CA 署名付き証明書を CA から受信したら、PEM エンコード ファイルとして CAS 一時ストアにアップロードします。「署名付き証明書と秘密鍵の管理」を参照してください。

ステップ 8 「EMAILADDRESS=info@perfigo.com, CN=www.perfigo.com, OU=Product, O="Perfigo, Inc.", L=San Francisco, ST=California, C=US」で示される CA が CAS にある場合は、「信頼できる CA の管理」の手順に従って CAS データベースから CA を削除します。


) CAS を実稼働環境に配置する前にこの CA を削除することを強くお勧めします。CAS を実稼働環境に配置しない場合は、この CA を削除するかどうかを選択可能です。



) CAM と CAS は暗号化された通信が必要です。そのため、Cisco NAC アプライアンスを実稼働環境に配置する前に、CAM は、管理しているすべての CAS の証明書の元となる信頼できる CA を含んでいる必要があり、すべての CAS は、CAM の証明書の元となる同じ信頼できる CA を含んでいる必要があります。


ステップ 9 必要に応じて、必要な中間 CA 証明書をすべて、単一の PEM エンコード ファイルとして CAS 一時ストアにアップロードします(「中間証明書」を参照してください)。

ステップ 10 CAS にアクセスするクライアントとしてテストします。


 

フェーズ 3:新しい CAM または CAS の既存の実稼働環境への追加

実稼働環境への配置では、CA 署名付き証明書だけが使用され、「www.perfigo.com」の CA は完全に削除されます。一時的な CA 「www.perfigo.com」は初期インストール時に必要なため、新しいアプライアンス(CAM または CAS)を実稼働環境の配置に追加するときには次の手順を実行してください。新しい第三者の CA 署名付き証明書を要求してインポートできるようになるまでは、新しいアプライアンスを配置に追加しないでください。


ステップ 1 新しいアプライアンスをインストールし初期設定します(「CAS のインストール」を参照)。

ステップ 2 「フェーズ 1:CAS と CAM の間の SSL 通信の確立」の手順を実行します。

ステップ 3 新しいアプライアンスの CSR を生成します(「証明書要求の生成とエクスポート」を参照)。

ステップ 4 CA 署名付き証明書を取得してインストールします(「署名付き証明書と秘密鍵のインポート」を参照)。

ステップ 5 新しいアプライアンスから「www.perfigo.com」の CA を削除します(「信頼できる CA の管理」を参照)。

ステップ 6 既存の実稼働環境にアプライアンスを追加します。


 

一時証明書の生成

次に、CAS の新しい一時証明書の生成手順を示します。CAM の基本的な設定(日付、時刻、関連する DNS サーバなど)を変更するたびに、新しい一時証明書を生成する必要があります。詳細については、「IP でなく DNS 名に対応した証明書の再生成」を参照してください。


) CAS 上で証明書を生成する前に、CAS の Distinguished Name(DN; 認定者名)を CAM の Web コンソール ページ [Device Management] > [CCA Servers] > [Authorization] で入力します。



注意 CA 署名付き証明書を使用する場合は、新しい証明書を生成する前に、現在の証明書に対する現在の秘密鍵をバックアップすることを推奨します。新しい証明書を生成すると新しい秘密鍵も生成されるためです。詳細は「証明書要求の生成とエクスポート」を参照してください。


ステップ 1 [Administration] > [SSL] > [X509 Certificate] の順番に進みます。

ステップ 2 [Generate Temporary Certificate] をクリックして、一時証明書を作成するために必要なフィールドを表示します(図 12-7)。

図 12-7 [Administration] > [SSL] > [X509 Certificate]:一時証明書の生成

 

ステップ 3 フォームのフィールドに適切な値を入力します。

[Full Domain Name or IP] - 証明書を適用する CAS の Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)または IP アドレス(例: caserver.<your_domain_name> )。

IP ベースの証明書を使用する場合、CAS の信頼できるインターフェイス IP アドレス(eth0)に基づいて証明書を生成します。


) CAS が L3 Real-IP ゲートウェイとして設定されている場合は、CAS の信頼できないインターフェイス(eth1)の IP アドレスに基づいて証明書を生成します。


ドメイン名を使用する場合は、入力した「完全なドメイン名」がDNS サーバで解決できることを確認してください。


) Mac OS X の Clean Access Agent をサポートするには、CAS および CAM で、証明書の「subject」DN として FQDN を使用する必要があります(これは、CAS および CAM コンソールの [Full Domain Name or IP]です)。IP アドレスは使用できません。詳細は、「Mac OS X と CAS の通信のための SSL 要件」を参照してください。


[Organization Unit Name]:企業内の単位名(適用可能な場合)

[Organization Name]:企業の正式名称

[City Name]:企業の正式な所在都市

[State Name]:企業の正式な所在国(フルネーム)

[2-letter Country Code]:2 文字の ISO フォーマット国別コード(英国は GB、米国は US など)

ステップ 4 [RSA Key Size] に、新しい一時証明書で 1024 ビットと 2048 ビットのうちどちらの RSA キー サイズを使用するかを指定します。

ステップ 5 終了したら、[Generate] をクリックします。これで、新しい一時証明書と新しい秘密鍵が生成されます。


) 証明書表示テーブルの CCA Server Certificate エントリは、現在の CAS SSL 証明書の完全な認定者名を示します。CAM と CAS の間で許可を設定する場合は、CAM Web コンソールで CAS の完全な認定者名を入力する必要があります。詳細については、「CAS と CAM の間の許可の設定」を参照してください。



 

証明書要求の生成とエクスポート

CSR を生成すると、CA への送信に適した PEM エンコード PKCS#10 フォーマットの CSR が生成されます。CSR を送信する前に、必ず既存の証明書と秘密鍵をローカル マシンにエクスポートし、保護のためにバックアップしてください。

CAS Web コンソールから CSR および秘密鍵をエクスポートし、証明書要求を作成する手順は、次のとおりです。


ステップ 1 [Administration] > [SSL] > [X509 Certification Request] の順番に進みます(図 12-8)。

図 12-8 [Administration] > [SSL] > [X509 Certification Request]

 

ステップ 2 [Generate Certification Request] をクリックして、証明書要求を作成するために必要なフィールドを表示します。

ステップ 3 次のフィールドに適切な値を入力します。

[Full Domain Name or IP]:証明書を適用する CAM の FQDN または IP アドレス。たとえば camanager.< your_domain_name > のように入力します。


) CAS HA ペアの CA 署名付き証明書を要求する場合、CA 署名付き証明書はサービス IP か、DNS を通じて解決可能なホスト名またはドメイン名を基にする必要があります。


[Organization Unit Name]:企業内の単位名(適用可能な場合)

[Organization Name]:企業の正式名称

[City Name]:企業の正式な所在都市

[State Name]:企業の正式な所在国(フルネーム)

[2-letter Country Code]:2 文字の ISO フォーマット国別コード(英国は GB、米国は US など)

ステップ 4 [RSA Key Size] に、新しい一時証明書で 1024 ビットと 2048 ビットのうちどちらの RSA キー サイズを使用するかを指定します。


) Cisco Clean Access は、SSL 証明書のキー長として、1024 ビットおよび 2048 ビットだけをサポートします。


ステップ 5 [Generate] をクリックし、証明書要求と秘密鍵のペアを生成します。これらが、CA に送信する CSR に対応した証明書および秘密鍵であることを確認してください。

ステップ 6 新しい CSR を CA に送信する前に、要求を生成するために使用した新しい証明書要求と秘密鍵をローカル マシンに保存するため、[Certification Request] と [Private Key] のいずれかまたは両方のチェックボックスをオンにし、[Export] をクリックします。ファイルを保存するか、または開くように要求されます(「エクスポートしたファイルのデフォルト ファイル名」を参照)。ファイルは安全な場所に保存します。CSR ファイルを使用して、CA に対して証明書を要求します。証明書をオーダーすると、CSR ファイルの内容を オーダー フォームの CSR フィールドにコピー アンド ペーストするように要求されることがあります。

または、証明書要求フォームに入力する準備ができている場合には、CSR をすぐにワードパッドなどのテキスト エディタで 開き ます。ただし、要求プロセスで何らかのトラブルが発生した場合や、CSR を送信してから CA 署名付き証明書を受け取るまでの間に CAM の基本的な設定を変更した場合に備え、CSR と秘密鍵のローカル コピーを保存することを強く推奨します。

CA から CA 署名付き証明書を受け取ったら、「署名付き証明書と秘密鍵の管理」に従って CAS にインポートします。CA 署名付き証明書をインポートしたら、「現在インストールされている証明書」が CA 署名付き証明書になります。また、あとでこの証明書のバックアップにアクセスする必要がある場合は、[Export] をクリックして、いつでも現在インストールされている証明書をエクスポートできます。


 

エクスポートしたファイルのデフォルト ファイル名

CAS からエクスポートできる SSL 証明書ファイルのデフォルトのファイル名は、次のとおりです。ローカル マシンに実際にファイルを保存するとき、ファイルに異なる名前を指定できます。たとえば、証明書チェーン情報が格納されたファイル chain.pem を上書きしないために、秘密鍵ファイル名として priv_key.pem などのより適切な名前を指定できます。

 

デフォルト ファイル名 1
説明

cert_request.pem

CAS の CSR

chain.pem2

CAS の現在インストールされている秘密鍵または証明書

1.リリース 3.6.0.1 以前のファイル名拡張子は、.pem でなく .csr です。

2.リリース 3.6(1) の場合だけは、ファイル名は secsmart_crt.pem です。

署名付き証明書と秘密鍵の管理

署名付き証明書と秘密鍵のインポート

CAS Web コンソールを使用して、CA 署名付き PEM エンコード X.509 証明書と秘密鍵をインポートできます (通常、秘密鍵のインポートが必要なのは、現在の秘密鍵が CA 署名付き証明書の基になっている元の CSR と一致しない場合だけです)。管理者が CA 署名付き証明書、秘密鍵、関連する CA 情報を Cisco NAC アプライアンスにインポートする方法としては、以下の 2 つの方法があります。

1. 次のようにして、CA と、エンド エンティティおよび公開鍵を個別にインポートする。

a. CA をトラスト ストアにインポートします(「信頼できる CA の管理」の手順を使用)。

b. CAS のエンド エンティティ証明書または秘密鍵をインポートします(後述の手順を使用)。

2. PEM エンコード X.509 証明書チェーン(秘密鍵とエンド エンティティ、ルート CA、中間 CA 証明書を含む)を作成し、チェーン全体を一度にインポートする(後述の手順を使用)。

CAS の CA 署名付き PEM エンコード X.509 証明書を受信したら、ここでの説明に従って、この証明書も CAS にインポートできます。

開始する前に、ルート証明書ファイルと CA 署名付き証明書ファイルがアクセス可能な場所にあることと、CAM および CAS 用の第三者証明書が取得済みであることを確認します。中間 CA 証明書が必要な CA を利用する場合は、これらのファイルがまだ CAS に存在しない場合、ファイルがあることとアクセス可能であることを確認します。


) CAS HA ペアの CA 署名付き証明書を取得する場合、CA 署名付き証明書は、サービス IP か、DNS を通じてサービス IP に解決可能なホスト名またはドメイン名を基にしている必要があります。



) 商用 CA 以外によって提供された証明書や、自己署名されていない証明書は、CAM および CAS によって標準でない証明書と見なされます。証明書を CAS にインポートする際には、必ず認証サーバ用の CA 署名付き証明書を取得してください。


CAS の証明書または秘密鍵をインポートする手順は、次のとおりです。


ステップ 1 [Administration] > [SSL] > [X509 Certificate] の順番に進みます(図 12-9 を参照)。

図 12-9 [Administration] > [SSL] > [X509 Certificate]:証明書のインポート

 

ステップ 2 [Browse] をクリックし、ローカル マシン上の証明書ファイルまたは秘密鍵を探します。


) ファイルをインポートする場合は、ファイル名にスペースが含まれていないことを確認してください(下線は使用できます)。


ステップ 3 [Import] をクリックします。


) CAM および CAS は検証できない証明書チェーンをインストールしません。1 つのファイルに複数の証明書を含める場合は、デリミタ(BEGIN/END CERTIFICATE)が必要です。ただし、これらのファイルはインストール前に一時ストア内で検証されるため、特定の順番で証明書ファイルをアップロードする必要はありません。

CAS トラスト ストアに証明書チェーンの他のメンバーがすでに格納されている場合は、再インポートする必要はありません。CAS は、新たにインポートした部分と既存の部分から証明書チェーンを構築します。


すでにリスト中にある CAM のルート CA 証明書または中間 CA 証明書をアップロードしようとすると、エラー メッセージ「This intermediate CA is not necessary.」が表示されることがあります。その場合、重複するファイルを削除するため、アップロード済みのルート CA または中間 CA を削除する必要があります。


 

証明書または秘密鍵のエクスポート

システム障害などの損失に備えて証明書または秘密鍵をバックアップするには、証明書または秘密鍵の情報をエクスポートしてローカル マシンにコピーを保存します。これは、CSA HA ペアの証明書または秘密鍵の情報を管理するのにも役立ちます。HA プライマリ CAS から証明書情報をエクスポートして、HA セカンダリ CAS でインポートするだけで、CAM と CAS の通信で必要な証明書情報をスタンバイ CAS に正確に複製できます。


ステップ 1 [Administration] > [SSL] > [X509 Certificate] の順番に進みます(図 12-9)。

ステップ 2 既存の 証明書または秘密鍵 情報をエクスポートする手順は、次のとおりです。

a. 証明書リストに表示されている 1 つ以上の証明書または秘密鍵を、左側のチェックボックスを選択することで選択します。

b. [Export] をクリックし、ファイルを保存するローカル マシンの場所を指定します。


 

信頼できる CA の管理

CAS の Web コンソール ページ [Administration] > [SSL] > [Trusted Certificate Authorities] を使用して、CAS データベースから信頼できる CA を検索し削除することができます。信頼できる CA のコレクションを維持するために、Cisco NAC アプライアンスの運用に不可欠な信頼できる CA 情報だけを CAM トラスト ストアに保持することを推奨します。


注意 CAS に「EMAILADDRESS=info@perfigo.com, CN=www.perfigo.com, OU=Product, O="Perfigo, Inc.", L=San Francisco, ST=California, C=US」が示す CA が存在すると、CAS と関連するクライアントがセキュリティ攻撃に対して脆弱になる可能性があります。CAS を実稼働環境に配置する前に、この CA を CAS データベースから削除する必要があります。後述するように [Filter] オプションを使用して文字列「www.perfigo.com」を検索し、この CA を CAS からすばやく検索して削除することをお勧めします。

CAS で信頼できる CA を表示または削除する手順は、次のとおりです。


ステップ 1 [Administration] > [SSL] > [Trusted Certificate Authorities] の順番に進みます(図 12-10)。

図 12-10 [Administration] > [SSL] > [Trusted Certificate Authorities]

 

信頼できる CA の表示

ステップ 2 CAS Web コンソールに表示される信頼できる CA のリストを最適化する手順は、次のとおりです。

a. [Filter] ドロップダウン メニューからオプションを選択します。

[Distinguished Name]:このオプションは、信頼できる CA 名に特定の文字列が含まれているかどうかに従って信頼できる CA のリストを最適化するために使用します。

[Time]:このオプションは、現在有効な信頼できる CA と無効な CA に従って表示を最適化するために使用します。

これら 2 つのオプションを組み合わせて信頼できる CA の表示を最適化することもできます。

b. 条件に一致するすべての信頼できる CA のリストを表示するには、検索オプションを選択してパラメータを定義したあと、[Filter] ボタンをクリックします。

[Reset] をクリックすると、フィルタ ドロップダウン メニューのオプションの検索条件がすべて無効となり、信頼できる CA の表示がデフォルトの設定に戻ります。

c. リストの右上にあるドロップダウン メニューでいずれかのオプションを選択し、信頼できる CA のリストに表示される項目の数を増減することもできます。オプションは、10、25、100 項目です。

d. 既存の信頼できる CA の詳細を表示するには、[View] ボタン(右側の虫眼鏡のアイコン)をクリックし、特定の CA に関する情報を表示します(図 12-11)。

図 12-11 信頼できる CA の情報

 

信頼できる CA の削除

ステップ 3 リスト中の信頼できる CA のチェックボックスをクリックし、削除対象の信頼できる CA を 1 つ以上選択します (信頼できる CA の上部にある空のチェックボックスをクリックすると、現在のリスト中の すべての 信頼できる CA が自動的に選択または選択解除できます)。

ステップ 4 [Delete Selected] をクリックします。

選択した信頼できる CA がデータベースから削除されると、CAS は自動的にサービスを再起動して更新を完了します。


 

信頼できる CA のインポートとエクスポート

Web コンソール ページ [Trusted Certificate Authorities] を使用して、CAS の証明書情報をインポートおよびエクスポートすることもできます。


) 証明書のインポートとエクスポートの標準的なガイドラインについては、「証明書要求の生成とエクスポート」および「署名付き証明書と秘密鍵の管理」を参照してください。



ステップ 1 [Administration] > [SSL] > [Trusted Certificate Authorities] の順番に進みます。

ステップ 2 信頼できる CA をインポートするための手順は、次のとおりです。

a. ネットワークに CAS からアクセスできる適切な証明書ファイルがあることを確認し、[Browse] をクリックします。

b. ディレクトリ システム上の証明書ファイルを探して選択し、[Open] をクリックします。

c. [Import] をクリックして、 信頼できる CA の情報を CAS にアップロードします。

ステップ 3 既存の 信頼できる CA の情報をエクスポートする手順は、次のとおりです。

a. [Trusted Certificate Authorities] リストに表示されている信頼できる CA に対応する左側のチェックボックスをクリックし、1 つ以上の信頼できる CA を選択します。

b. [Export] をクリックし、caCerts ファイルを保存するローカル マシン上の場所を指定します。


 

現在の秘密鍵と証明書および CA 情報の表示

[Administration] > [SSL] > [X509 Certificate] では次のファイルを確認できます(図 12-8 を参照)。

現在インストールされている秘密鍵

現在インストールされているエンド エンティティ、中間 CA 証明書

CA 情報


) 秘密鍵または証明書ファイルを表示するには、Web コンソール セッションに現在ログインしている必要があります。


現在インストールされている秘密鍵の表示

CAM 秘密鍵を表示するには、秘密鍵をエクスポートし、エクスポートした秘密鍵ファイルをワードパッドなどのテキスト エディタで開き、図 12-12に示すようなダイアログを表示します(BEGIN PRIVATE KEY/END PRIVATE KEY)。

図 12-12 現在インストールされている秘密鍵の表示

 

この方法を使用して、アップロードした秘密鍵を CAM にインポートする前に表示することもできます。

現在の証明書または証明書チェーンの表示

CAS 秘密鍵とエンド エンティティ、ルート CA、中間 CA 証明書を表示するには、エクスポートしてから保存したファイルをワードパッドなどのテキスト エディタで開き、図 12-13に示すようなダイアログを表示します(BEGIN CERTIFICATE/END CERTIFICATE)。

図 12-13 現在インストールされている証明書の表示

 

この方法を使用して、アップロードした証明書を CAM にインポートする前に表示することもできます。

CA 情報の表示

CAM エンド エンティティ、ルート、中間 CA 証明書の CA 情報を表示するには、右側のカラムの対応する [View] アイコンをクリックし、図 12-14 に示すようなダイアログを表示します。

図 12-14 CA 情報の表示

 

Mac OS X と CAS の通信のための SSL 要件

Mac OS X の Clean Access Agent が CAS と通信するためには、Clean Access Agent と CAS の間の SSL 通信が特定の要件を満たしている必要があります。CAS には以下のいずれかが必要です。

有効な名前に基づく CA 署名付き証明書(信頼できる CA より取得)

後述の要件を満たす名前ベースの一時証明書


) DNS がすべての名前に基づく証明書を解決できることを確認してください。


Mac OS X Agent への SSL 接続のための CAS 一時証明書要件

CAS で一時証明書を使用する場合、以下のことが必要です。


ステップ 1 CAS および CAM は、証明書の「 subject 」 DN として、FQDN を使用する必要があります(これは、CAS および CAM コンソールの [Full Domain Name or IP] です)。IP アドレスは使用できません。CAS で証明書の再生成が必要になる場合があります (詳細については、「一時証明書の生成」を参照してください)。

ステップ 2 Mac OS X マシンで、一時証明書に署名するために使用されたルート証明書は、Keychain Access アプリケーションの X509 Anchors にインストールされている必要があります。そのためには、マシンで動作している Mac OS X のバージョンに応じて、以下のいずれかの手順を使用します。

Mac OS 10.4.x のルート証明書のインストール

Mac OS 10.5 のルート証明書のインストール

ステップ 3 Mac OS X マシンは、DNS を通じて FQDN 名を正しく解決できる必要があります。これには 2 つのアプローチがあります。

a. Mac マシンが使用している DNS サーバにエントリを追加します。または

b. テスト マシンの場合

1. root アカウントを有効にします(「Mac OS X での root ユーザのイネーブル化」

2. Macintosh クライアントマシンで /etc/hosts ファイルを編集するため、 sudo vi /etc/hosts を実行して、新しいドメイン ルックアップ エントリを追加します。


 


注意 CAS および CAM は完全なドメイン名を使用するため、証明書では IP アドレスを使用できません。代わりにドメイン名を使用する必要があります。


注意 マシンの日付と時刻が証明書に対して有効であることを確認します。現在の日付と時刻が証明書の範囲に収まっていないと、Clean Access Agent が動作しません。

Mac OS 10.4.x のルート証明書のインストール


) 以下の手順を実行するには、コンピュータに対する管理権限が必要です。



ステップ 1 ルート証明書をクライアント マシン(またはデスクトップ)にダウンロードします。詳細については、「CAS からのルート証明書の取得」を参照してください。

ステップ 2 Dock で [Finder] アイコンをクリックします。

ステップ 3 [Go] メニューから、[Applications] を選択します。

ステップ 4 Utilities フォルダを開きます。

ステップ 5 Keychain Access アプリケーションを起動します。

ステップ 6 ルート証明書を Keychain Access アプリケーションにドラッグします。

ステップ 7 [Add Certificates] ダイアログ ボックスで、 X509 Anchors をクリックし、 OK をクリックします。

ステップ 8 ルート証明書が追加されます(図 12-15)。

図 12-15 Mac OS 10.4.x に追加されたルート証明書

 


 

Mac OS 10.5 のルート証明書のインストール


) 以下の手順を実行するには、コンピュータに対する管理権限が必要です。



ステップ 1 ルート証明書をクライアント マシン(またはデスクトップ)にダウンロードします。詳細については、「CAS からのルート証明書の取得」を参照してください。

ステップ 2 Dock で [Finder] アイコンをクリックします。

ステップ 3 [Go] メニューから、[Applications] を選択します。

ステップ 4 Utilities フォルダを開きます。

ステップ 5 Keychain Access アプリケーションを起動します。

図 12-16 Mac OS 10.5 での Keychain Access アプリケーションの起動

 

ステップ 6 ルート証明書を Keychain Access アプリケーションにドラッグします。

図 12-17 Mac OS 10.5 上で証明書アイコンを Keychain Access アプリケーションにドラッグ アンド ドロップ

 

ステップ 7 [Certificate] ダイアログで [Always Trust] をクリックします。

図 12-18 Mac OS 10.5 上の [Certificate] ダイアログ

 

ステップ 8 ルート証明書が追加されます(図 12-19)。

図 12-19 Mac OS 10.5 での新しいルート証明書の表示

 


 

Mac OS X での root ユーザのイネーブル化


) マシン上で管理者になっていることを確認します。以降の手順を実行するには、管理権限を持つアカウントにアクセスできることが必要です。



ステップ 1 Dock で [Finder] アイコンをクリックします。

ステップ 2 [Go] メニューから、[Applications] を選択します。

ステップ 3 Utilities フォルダを開きます。

ステップ 4 NetInfo Manager ユーティリティを開きます。

ステップ 5 [NetInfo Manager] ウィンドウの錠をクリックします(または、[Security] > [Authenticate] の順番に進みます)。

ステップ 6 管理者アカウントのユーザ名とパスワードを入力し、[OK] をクリックします。

ステップ 7 Mac OS 10.4.x の場合、[Security] メニューから [Enable Root User] を選択します(図 12-20)。

図 12-20 [Enable Root User](Mac OS 10.4.x)

 

Mac OS 10.5 の場合、[Applications] > [Utilities] > [Directory Utility.app] を起動し(図 12-21)、[Edit] メニューから [Enable Root User] を選択します(図 12-22)。

図 12-21 [Enable Root User] > (Mac OS 10.5)

 

図 12-22 [Enable Root User] > [Edit](Mac OS 10.5)

 

ステップ 8 root のパスワードを入力し、root アカウントをイネーブルにします。これまで root のパスワードを設定していない場合は、パスワードが空であることを示す [NetInfo Error] という警報ボックスが表示されます。[OK] をクリックします。

ステップ 9 設定する root パスワードを入力し、[Set] をクリックします。

ステップ 10 確認のためパスワードを再度入力し、[Verify] をクリックします。

ステップ 11 root ユーザがイネーブルになります。

ステップ 12 錠のアイコンを再度クリックして変更できないようにします。


 


) 詳細は、http://docs.info.apple.com/article.html?artnum=106290#one を参照してください。


OS X Agent の詳細は、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』の「Mac OS X Agent Dialogs (Authentication Only)」の章を参照してください。

CAS からのルート証明書の取得

Internet Explorer では CAS 証明書をエクスポートできるため、こでは Windows システムでルート証明書を取得する方法について説明します。その後、管理者は、証明書を Mac に電子メールの添付ファイル、FTP、USB ストレージ デバイス経由で転送することができます。

ルート証明書を取得する方法には、以下の 3 つの方法があります。

Mac OS X Agent バンドルからルート証明書を取得する

Internet Explorer を使用してルート証明書を Windows から転送する

Web ログインを使用してルート証明書を取得する

Mac OS X Agent バンドルからルート証明書を取得する


ステップ 1 Finder で、 /Applications/CCAAgent.app を参照します。

ステップ 2 Ctrl キーを押しながら CCAAgent.app をクリックし、コンテキスト メニューを表示します。

ステップ 3 [Show Package Contents] を選択し、証明書「perfigoca.crt」を /Contents/Resources/ フォルダの中から検索します。

ステップ 4 証明書「perfigoca.crt」をキーチェーンにドラッグ アンド ドロップします。

詳細については、「Mac OS X と CAS の通信のための SSL 要件」を参照してください。


 

Internet Explorer を使用してルート証明書を Windows から転送する

一時証明書が Windows システムにまだインストールされていない場合

図 12-23 は、一時証明書を最初にダウンロードするための手順を示しています。

1. IE ブラウザを開き、任意のアドレスを入力します。ブラウザが Web ログインの認証ページにリダイレクトされます。

2. 証明書がインストールされていないため、[セキュリティの警告] ダイアログがブラウザにより表示されます。[セキュリティの警告] ダイアログで [証明書の表示] ボタンをクリックします。

3. 表示される [証明書] ウィンドウの [詳細] タブをクリックします。

4. [詳細] タブで [ファイルにコピー] ボタンをクリックします。

5. [証明書のエクスポート ウィザード] で、フォーマット オプションを [DER encoded binary x.509 (.CER)] のままにし、[次へ] をクリックして証明書を Windows システムに保存します。

6. 証明書を Mac マシンに転送します。

図 12-23 証明書ダウンロード方法 1

 

ブラウザにすでに一時証明書がダウンロードされている場合

図 12-24 は、証明書がすでにシステムにインストールされている場合に証明書をダウンロードするための手順を示しています。

1. IE ブラウザを開きます。

2. [ツール] > [インターネット オプション] を選択します。[コンテンツ] タブをクリックし、[証明書] ボタンをクリックします。

3. [証明書] ウィンドウで [中間証明機関] をクリックします。

4. www.perfigo.com によって発行された証明書を強調表示し、[エクスポート] ボタンをクリックします。

5. Windows マシン上で証明書を保存する場所を選択します。

6. 証明書を Mac マシンに転送します。

図 12-24 証明書ダウンロード方法 2

 

Web ログインを使用してルート証明書を取得する


ステップ 1 CAM の設定を変更し、[Root CA Label] オプションをイネーブルにします(CAM Web コンソールのページ [Administration] > [User Pages] > [Login Page] > [Edit] > [Content])。これにより、ブラウザのユーザ ログイン ページからルート証明書をダウンロードするためのリンクが表示されます。

ステップ 2 ユーザがブラウザを開きログイン ページに進むと、ルート証明書をダウンロードするためのリンクが表示されます。リンクをクリックし、証明書「perfigoca.crt」をローカル クライアント マシンに保存するようユーザに指示します。

ステップ 3 ユーザから証明書を入手し、証明書「perfigoca.crt」をキーチェーンにドラッグ アンド ドロップします。

詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』の「Administering the CAM」の章のガイドラインを参照してください。


 

証明書に関する問題のトラブルシューティング

証明書チェーンのいずれかの場所で SSL 証明書に不一致があると、Cisco NAC アプライアンスの証明書管理で問題が発生することがあります。SSL 証明書の一般的な問題は、時間によるもの(CAM および CAS のクロックが同期していない場合、認証に失敗する)、IP によるもの(不正なインターフェイスに対して証明書が作成される)、情報によるもの(不正な、または入力ミスの証明書情報がインポートされる)などです。ここでは、トラブルシューティングに関する次の内容について説明します。

CAS が CAM とのセキュアな接続を確立できない

CAS 内の秘密鍵が CA 署名付き証明書と一致しない

証明書関連ファイル


警告 以前の配置で不完全、正しくない、壊れた SSL 証明書のチェーンを使用している場合は、リリース 4.5 へのアップグレード後に、CAM および CAS の通信に失敗することがあります。リリース 4.5 にアップグレードするには、証明書チェーンを修正する必要があります。リリース 4.5 へのアップグレード後に CAM または CAS 上での証明書のエラーを修正する方法については、トラブルシューティング テクニカル ノート『How to Fix Certificate Errors on the CAM/CAS After Upgrade』を参照してください。


CAS が CAM とのセキュアな接続を確立できない

ログインを試行したクライアントが「Clean Access Server could not establish a secure connection to the Clean Access Manager at <IPaddress or domain>」というエラー メッセージを受け取った場合(図 12-25 を参照)は、通常、次のいずれかの問題が発生しています。

CAM と CAS 間の時差が 5 分を超えています。

IP アドレスが無効です。

ドメイン名が無効です。

CAM に到達できません。

CAM および CAS に設定された時刻の差は、5 分以内でなければなりません。この問題を解決する手順は、次のとおりです。

1. まず、CAM および CAS の時刻を正しく設定します(「システム時刻の同期」を参照)。

2. 正しい IP アドレスまたはドメインを使用して、CAS 上で証明書を再生成します。

3. CAS をリブートします。

4. 正しい IP アドレスまたはドメインを使用して、CAM 上で証明書を再生成します。

5. CAM をリブートします。

図 12-25 CAS が CAM とのセキュアな接続を確立できない場合のトラブルシューティング

 


) CAS で nslookup および date を実行し、CAS の DNS および TIME 設定が正しい場合、caCerts 証明書ファイルが破損している可能性があります。この場合は、/usr/java/j2sdk1.4/lib/security/caCerts の既存の caCerts ファイルをバックアップしてから、/perfigo/common/conf/caCerts のファイルで上書きし、CAS で「service perfigo restart」を実行することを推奨します。


CAS 内の秘密鍵が CA 署名付き証明書と一致しない

この問題は、新しい一時証明書が生成されたにもかかわらず、古い一時証明書と秘密鍵のペアから生成された CSR に対応する CA 署名付き証明書が戻された場合に発生することがあります。

たとえば、管理者は CSR を生成し、秘密鍵をバックアップしてから、CSR を VeriSign などの CA に送信します。

CSR が送信されたあとに、別の管理者が一時証明書を再生成します。CA 署名付き証明書が CA から戻された場合、CA 証明書のベースとなる秘密鍵は、CAS 内の秘密鍵と一致しません。

この問題を解決するには、古い秘密鍵を再インポートしてから、CA 署名付き証明書をインストールします。

証明書関連ファイル

表 12-1 に、トラブルシューティング用の、CAS の証明書関連ファイルを示します。たとえば、CA 証明書と秘密鍵の組み合わせが一致しないために管理コンソールに到達できない場合、CAS のファイル システム内にあるこれらのファイルを直接変更しなければならないことがあります。

 

表 12-1 CAS の証明書関連ファイル

ファイル
説明

/root/.tomcat.key

秘密鍵

/root/.tomcat.crt

証明書

/root/.tomcat.req

CSR

/root/.chain.crt

中間証明書

/root/.perfigo/caCerts

ルート CA バンドル

システムのアップグレード

コンソールまたは SSH 経由でアップグレード ファイルを抽出およびインストールする前に、CAS Web コンソールを使用して、ソフトウェア アップグレード イメージをアップロードすることができます。CAM とすべての CAS (NAC ネットワーク モジュールを含む)は、同時にアップグレードする必要があります。Cisco NAC アプライアンス アーキテクチャは、異なる機種をサポートするように設計されていません(一部の CAS が 4.5 のソフトウェアを実行し、別の CAS が 4.1(x) または 4.0(x) のソフトウェアを実行するなど)。

リリースを CAM および CAS にインストールしたら、より新しいリリースへのマイナー リリースのアップグレードは、パッチ アップグレード イメージが入手可能になったときに CAS 上で実行できます。

アップグレードの詳細と、HA CAS のアップグレード手順、SSH 経由のアップグレードについては、『 Release Notes for Cisco NAC Appliance, Version 4.5(1) 』の「Upgrading to a New Software Release」を参照してください。


ステップ 1 次のようにして、CAS ソフトウェアのアップデートの Web コンソール ページを表示します。

CAS Web コンソールの [Administration] > [Software Upload] ページを使用します( 図 12-26 )。

図 12-26 CAS Web コンソールの [Software Upload] ページ

 

ステップ 2 [Browse] をクリックして、Cisco Secure Software からダウンロードした cca_upgrade-4.5.x-NO-WEB.tar.gz ファイルを探します。アップグレード メカニズムにより、マシンが CAS なのか、Lite/Standard/Super CAM なのかが自動的に判別され、それに適した処理が実行されます。

ステップ 3 [Upload] をクリックして、アップグレード ファイル .tar.gz を CAS にアップロードします。アップグレード イメージを CAS にアップロードしたら、『 Release Notes for Cisco NAC Appliance, Version 4.5(1) 』に記載されているコンソールまたは SSH によるアップグレード手順を使用して、アプライアンスをアップグレードし、アップグレード プロセスを完了する必要があります。

ステップ 4 そのリリースの重要なアップグレード情報と新機能、機能拡張、解決済みの警告を表示するには、[notes] リンクをクリックします( 図 12-27 を参照)。

図 12-27 CAS Web コンソールの [Software Update] ページ:Notes

 

ステップ 5 実行した日時を含むアップグレード プロセスの要約を表示するには、[List of Upgrade Logs] の下のリンクをクリックします。

ステップ 6 次の形式でアップグレード プロセスの要約を表示するには、[List of Upgrade Details] の下のリンクをクリックします

アップグレード前の状態

アップグレード プロセスの詳細

アップグレード後の状態

通常、アップグレード前の状態には警告メッセージやエラー メッセージが含まれています(「INCORRECT」など)。アップグレード後の状態には、警告メッセージやエラー メッセージが含まれていないことが必要です。


 

CAM Web コンソールの [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Misc] > [Upgrade Logs] ページ(図 12-28)を使用して、CAS ソフトウェアのアップグレード ノートを表示することもできます。

実行した日時を含むアップグレード プロセスの要約を表示するには、[List of Upgrade Logs] の下のリンクをクリックします。

次の形式でアップグレード プロセスの要約を表示するには、[List of Upgrade Details] の下のリンクをクリックします

図 12-28 CAM Web コンソールからの CAS アップグレード ログ

 

システム時刻の同期

ロギングおよびその他の時間依存タスク(SSL 証明書の生成など)のために、CAM および CAS の時刻は正確に同期している必要があります。[Time] フォームを使用すると、CAS の時刻を設定したり、CAS OS(オペレーティング システム)のタイム ゾーン設定を変更することができます。

CAM および CAS をインストールしたら、CAM および CAS の時刻を同期し、そのあとで CSR のベースとなる一時証明書を再生成する必要があります。このための最も簡単な方法は、タイム サーバと時刻を自動的に同期することです([Sync Current Time] ボタン)。


) CAS に設定された時刻は、CAM の SSL 証明書に設定された作成日と満了日の範囲に収まっていなければなりません。ユーザ マシンに設定された時刻は、CAS の SSL 証明書に設定された作成日と満了日の範囲に収まっていなければなりません。



) ハイ アベイラビリティ CAS ペアの場合、CAS 管理ページまたは CAS ダイレクト アクセス Web コンソールによって HA プライマリ CAS で実行された CAS ネットワークの設定変更は、スタンバイ CAS ユニットでもダイレクト アクセス Web コンソールによって繰り返す必要があります。これらの設定には、SSL 証明書、システム時刻、タイム ゾーン、DNS、またはサービス IP の更新が含まれます。詳細については、「CAS ダイレクト アクセス Web コンソール」および「ハイ アベイラビリティ設定の変更」を参照してください。


CAM の時刻を変更するには、[Administration] > [CCA Manager] > [System Time] を使用します。詳細については、『 Cisco NAC Appliance-Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』を参照してください。

現在時刻を表示する手順は、次のとおりです。


ステップ 1 [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Misc] > [Time] の順番に進みます。

ステップ 2 CAS のシステム時刻は [Current Time] フィールドに表示されます。

図 12-29 [Time] フォーム

 

システム時刻は、手動で新しい時刻を入力して調整したり、外部タイム サーバと同期して自動的に調整することができます。

手動でシステム時刻を変更する手順は、次のとおりです。

[Misc] タブの [Time] フォームで、次のいずれかを実行します。

[Date & Time] フィールドに時刻を入力し、[Update Current Time] をクリックします。時刻は mm / dd / yy hh : ss PM/AM の形式で入 Õする必要があります。

[Sync Current Time] ボタンをクリックして、[Time Servers] フィールドに表示されたタイム サーバを使用して時刻を更新させます。

タイム サーバと自動的に同期する手順は、次のとおりです。

デフォルト タイム サーバは、 time.nist.gov にある、National Institute of Standards and Technology(NIST)で管理されているサーバです。別のタイム サーバを指定する手順は、次のとおりです。

1. [Misc] タブの [Time] フォームの [Time Servers] フィールドに、サーバの URL を入力します。指定したサーバは、NIST 標準フォーマットの時刻を提供する必要があります。複数のサーバを区切るには、スペースを使用します。

2. [Update Current Time] をクリックします。

複数のタイム サーバを指定した場合、CAS は同期時にリストの最初のサーバと接続を試みます。このサーバを使用できる場合は、そこから時刻が更新されます。このサーバが使用できない場合、CAS は目的のサーバに到達するまで、次のサーバを順に試みます。

CAS は、設定された NTP サーバと時刻を定期的な間隔で自動的に同期します。

サーバ システム時刻のタイム ゾーンを変更する手順は、次のとおりです。

1. [Misc] タブの [Time] フォームの [Time Zone] ドロップダウン メニューで、新しいタイム ゾーンを選択します。

2. [Update Time Zone] をクリックします。

サポート ログとログレベルの設定

CAS の [Support Logs] ページは、カスタマーの問題に対して TAC のサポートを容易にするためのものです。管理者は [Support Logs] ページ上で、さまざまなシステム ログ(開いているファイル、開いているハンドル、パッケージの情報など)を 1 つの tar ファイルに結合し、サポート事例に含めて TAC に送信できます。管理者はカスタマーのサポート要求を送信する場合に、これらのサポート ログをダウンロードする必要があります。

CAM Web コンソールと CAS ダイレクト アクセス Web コンソールの [Support Logs] ページ(図 12-30)では、トラブルシューティング目的で /perfigo/access/tomcat/logs/nac_server.log に記録されるログの詳細なレベルを設定することができます。この Web コントロールは、トラブルシューティング時に CLI の loglevel コマンドを使用したシステム情報の収集に代わるものです。

通常の運用では、ログ レベルは必ずデフォルト設定( INFO )のままにしてください。ログ レベルは、特定のトラブルシューティング期間だけ、通常はカスタマー サポートまたは TAC エンジニアの要求により、一時的に変更します。大半の場合、設定は特定の期間「 INFO 」から「 DEBUG 」に切り替えられ、データ収集後に「 INFO 」にリセットします。CAM または CAS をリブートするか、 service perfigo restart コマンドを実行すると、ログ レベルはデフォルトの設定( INFO )に戻ります。


DEBUG および TRACE オプションは、非常に細かな問題に対して一時的にだけ使用することを推奨します。CAM はロギング情報を記録し、一連の 20MB のファイルに保存してから古いログを廃棄しますが、大量のロギング情報により、比較的短時間のうちに CAM のログ記憶域が使い果たされる可能性があります。



) メモリ使用率を最適化するため、CAS サポート ログ ページは CAS ダイレクト アクセス コンソールの「Monitoring」でだけ利用できます(CAS 管理ページからは使用できません)


CAS サポート ログのダウンロード


ステップ 1 URL またはアドレスとして https://<CAS_eth0_IP_address>/admin を使用し、ブラウザから CAS ダイレクト アクセス コンソールを開きます。

ステップ 2 [Monitoring] > [Support Logs] の順番に進みます(図 12-30)。

図 12-30 CAS サポート ログ

 

ステップ 3 シスコ カスタマー サポート要求のためにダウンロードするファイルに含めるデバッグ メッセージの日数を指定します。

ステップ 4 [Download] ボタンをクリックして、 cas_logs.<CAS_IP_address>.tar.gz ファイルをローカル コンピュータにダウンロードします。

ステップ 5 この .tar.gz ファイルをカスタマー サポート要求とともに送信します。


) CAM の圧縮済みサポート ログ ファイルを取得するには、[Administration] > [CCA Manager] > [Support Logs] の順番に進みます。詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)』を参照してください。



 

TAC エンジニアに依頼された場合は、サポート ログをダウンロードする前に、一時的にログレベルを変更して、より詳細なトラブルシューティング情報を取得します。

CAS ログのログ レベルを変更する手順は、次のとおりです。


ステップ 1 CAS ダイレクト Web コンソール( https://<CAS_eth0_IP_address>/admin )を開きます。

ステップ 2 [Monitoring] > [Support Logs] の順番に進みます。

ステップ 3 変更する CAS ログ カテゴリを選択します。

[CCA Server General Logging]:このカテゴリには、次の 3 つのカテゴリには含まれていない、この CAS の一般的なロギング イベントが含まれます。たとえば、ログインする(CAM へ要求を送信する必要がある)ユーザは、ここでロギングされます。

[CAS/CAM Communication Logging]:このカテゴリには、CAM や CAS の設定、この CAS に特有の通信エラーなど、該当するログの大部分が含まれます。たとえば、この CAS へ情報をパブリッシュする CAM の試みが失敗した場合、イベントはここにロギングされます。

[Active Directory Communication Logging]:このカテゴリには、ユーザの Single Sign-On(SSO; シングル サインオン)をサポートするための Active Directory イベントに関するロギング情報が含まれます。

[SWISS Communication Logging]:このカテゴリには、この CAS と Clean Access Agent の間で送信された SWISS(専用の通信プロトコル)パケットに関連するログ イベントが含まれます。


) CAS を検出するため、Clean Access Agent は、L2 ユーザは UDP ポート 8905、L3 ユーザはポート 8906 で SWISS(専用の CAS と Agent の間の通信プロトコル)パケットを送信します。CAS は、UDP ポート 8905 とポート 8906 で必ずリッスンし、デフォルトではトラフィックをポート 8905 で受け入れます。L3 サポートがイネーブル化されていない場合、CAS は UDP ポート 8906 でトラフィックをドロップします。Clean Access Agent は 5 秒ごとに SWISS を検出します。


[Radius Accounting Proxy Server Logging]:このカテゴリには、Cisco VPN Server と統合された場合に、この CAS の SSO に関連する RADIUS アカウンティング ログ イベントが含まれます。

ステップ 4 ログのカテゴリのログレベルの設定をクリックします。

[OFF]:このカテゴリのログ イベントは記録されません。

[ERROR]:ログ イベントは、システムで以下のような重大なエラーが発生した場合にだけ、CAS の場合 /perfigo/access/tomcat/logs、CAM の場合 /perfigo/control/tomcat/logs に書き込まれます。

CAS が CAM に接続できない

CAS と CAM が通信できない

CAS がデータベースと通信できない

[WARN]:指定されたカテゴリのエラーと警告レベル メッセージだけを記録します。

[INFO]:ログレベル [ERROR] および [WARN] よりも詳細な情報を提供します。たとえば、ユーザが正常にログインすると、Info メッセージがロギングされます。これは、システムのデフォルトのロギング レベルです。

[DEBUG]:CAS のデバッグレベルのログをすべて記録します。

[TRACE]:CAM と CAS の問題をトラブルシューティングするのに役立つ最大量のログ情報です。


DEBUG および TRACE オプションは、非常に細かな問題に対して一時的にだけ使用することを推奨します。CAM はロギング情報を記録し、一連の 20MB のファイルに保存してから古いログを廃棄しますが、大量のロギング情報により、比較的短時間のうちに CAM のログ記憶域が使い果たされる可能性があります。