Cisco Secure ACS コンフィギュレーション ガイド 4.2
PEAP/EAP-TLS の設定のシナリオ
PEAP/EAP-TLS の設定のシナリオ
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

PEAP/EAP-TLS の設定のシナリオ

設定手順の要約

ステップ 1:セキュリティ証明書の設定

証明書の入手と ACS ホストへのコピー

Windows 証明書インポート ウィザードによる証明書のインストール

ACS 環境でのセキュリティ証明書の有効化

CA 証明書のインストール

信頼できる証明書の追加

ステップ 2:グローバル認証の設定の入力

ステップ 3:EAP-TLS のオプションの指定

ステップ 4:(オプション)認証ポリシーの設定

PEAP/EAP-TLS の設定のシナリオ

PEAP 認証用に ACS が確立するトンネルで使用される内部方式として、EAP-TLS を選択できます。EAP-TLS を選択した場合、PEAP プロトコルを通じて送信される初期データの暗号化だけでなく、ACS と NAD の間に安全なトンネルが確立された後、安全なトンネル内で伝送されるデータの(2 回目の)暗号化にも EAP-TLS を使用できるようになります。

この拡張された暗号化方式によって、ACS と NAD 間の通信セキュリティが大幅に強化されます。

この機能を使用する主なお客様は、Microsoft サプリカントを使用するお客様です。

設定手順の要約

EAP-TLS を設定するには、次の手順を実行します。


ステップ 1 セキュリティ証明書を設定します。

詳細については、「ステップ 1:セキュリティ証明書の設定」を参照してください。

ステップ 2 グローバル認証の設定を入力します。

詳細については、「ステップ 2:グローバル認証の設定の入力」を参照してください。

ステップ 3 EAP-TLS のオプションを指定します。

詳細については、「ステップ 3:EAP-TLS のオプションの指定」を参照してください。


 

以降の各項で、上の手順について詳しく説明します。

ステップ 1:セキュリティ証明書の設定

この項では、ACS for Windows プラットフォームでの手順を簡単に説明します。証明書のインストールの詳細、および Cisco Secure ACS Solution Engine プラットフォームに証明書をインストールする方法については、『 User Guide for Cisco Secure ACS 4.2 』の第 9 章「System Configuration: Authentication and Certificates」を参照してください。

証明書の入手と ACS ホストへのコピー

EAP-TLS を使用するには、セキュリティ証明書を入手し、インストールする必要があります。

証明書を ACS ホストにコピーするには、次の手順を実行します。


ステップ 1 セキュリティ証明書を入手します。

ステップ 2 ACS サーバ上に \ Certs ディレクトリを作成します。

a. DOS コマンド ウィンドウを開きます。

b. 次のように入力して、証明書のディレクトリを作成します。

mkdir <selected_drive>:\Certs
 

selected_drive は、現在選択しているドライブです。

ステップ 3 次のファイルを \ Certs ディレクトリにコピーします。

server.cer (サーバ証明書)

server.pvk (サーバ証明書の秘密鍵)

ca.cer (CA 証明書)


 

Windows 証明書インポート ウィザードによる証明書のインストール

Windows 証明書インポート ウィザードを実行して証明書をサーバにインストールするには、次の手順を実行します。


ステップ 1 Windows エクスプローラを起動します。

ステップ 2 < selected_drive >: \Certs に移動します。

selected_drive は、現在選択しているドライブです。

ステップ 3 \ Certs\ca.cer ファイルをダブルクリックします。

Certificate ダイアログボックスが表示されます。

ステップ 4 Install Certificate を選択します。

Windows 証明書インポート ウィザードが起動します。

ステップ 5 ウィザードに表示される指示に従って、証明書をインストールします。

ステップ 6 ウィザードでは、デフォルトのオプションをそのまま使用します。


) この手順は、Windows 2000 Server 上で 1 回だけ実行します。



 

ACS 環境でのセキュリティ証明書の有効化

セキュリティ証明書を有効にするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 ACS Certificate Setup をクリックします。

ステップ 3 Install ACS Certificate をクリックします。

ステップ 4 Install ACS Certificate ページが開きます(図7-1 を参照)。

図7-1 Install ACS Certificate ページ

 

ステップ 5 Read certificate from file オプション ボタンが選択されていることを確認します。

ステップ 6 Certificate file テキストボックスに、サーバ証明書の場所(パスおよび名前)を入力します。たとえば、 c:\Certs\server.cer と入力します。

ステップ 7 Private Key File テキストボックスに、サーバ証明書の秘密鍵の場所(パスおよび名前)を入力します。たとえば、 c:\Certs\server.pvk と入力します。

ステップ 8 Private Key password テキストボックスに、 1111 と入力します。

ステップ 9 Submit をクリックします。

ステップ 10 証明書がインストールされたことを示すメッセージが表示され、ACS のサービスを再起動するように求められます。

ステップ 11 この段階では、ACS のサービスを再起動しないでください。

後で、信頼できる証明書を追加する手順が完了したら、ACS のサービスを再起動します。「信頼できる証明書の追加」を参照してください。


 

CA 証明書のインストール

CA 証明書をインストールするには、次の手順を実行します。


ステップ 1 System Configuration > ACS Certificate Setup > ACS Certification Authority Setup を選択します。

ステップ 2 ACS Certification Authority Setup ページが表示されます(図7-2 を参照)。

図7-2 ACS Certification Authority Setup ページ

 

ステップ 3 CA certificate file ボックスに、CA 証明書の場所(パスおよび名前)を入力します。たとえば、 c:\Certs\ca.cer と入力します。

ステップ 4 Submit をクリックします。


 

信頼できる証明書の追加

サーバ証明書を追加して認証局を設定した後は、信頼できる証明書をインストールします。

信頼できる証明書を追加するには、次の手順を実行します。


ステップ 1 System Configuration > ACS Certificate Setup > Edit Certificate Trust List を選択します。

Edit Certificate Trust List が表示されます。

ステップ 2 インストールする信頼できる証明書を見つけて、証明書名の隣にあるチェックボックスをオンにします。

たとえば、Stress 証明書を見つけて、その隣にあるチェックボックスをオンにします。

ステップ 3 Submit をクリックします。

ステップ 4 System Configuration > Service Control を選択し、 Restart をクリックして ACS を再起動します。


 

ステップ 2:グローバル認証の設定の入力

グローバル認証の設定を入力するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 Global Authentication Setup をクリックします。

Global Authentication Setup ページが開きます(図7-3 を参照)。

図7-3 Global Authentication Setup ページ

 

ステップ 3 PEAP プロトコルで使用するプロトコルを指定します。指定できるプロトコルは、次のいずれかです。

EAP_MSCHAP2

EAP-GTC

ステップ 4 この ACS システムでポスチャ確認を有効にする場合は、 Enable Posture Validation チェックボックスをオンにします。


 

ステップ 3:EAP-TLS のオプションの指定

EAP-TLS の証明書比較オプションを、次の中から 1 つまたはそれ以上指定します。

Certificate SAN comparison :ユーザ証明書内の Subject Alternative Name (SAN) フィールドの名前に基づきます。

Certificate CN comparison :ユーザ証明書内の Subject Common Name (CN) フィールドの名前に基づきます。

Certificate Binary comparison :LDAP サーバまたは Active Directory のユーザ オブジェクト内のユーザ証明書と、EAP-TLS 認証中にユーザが提示した証明書とのバイナリ比較に基づきます。この比較方式は、ODBC 外部ユーザ データベースに保持されているユーザの認証には使用できません。

ステップ 4:(オプション)認証ポリシーの設定

ネットワーク アクセス プロファイル設定のプロトコルのセクションで認証ポリシーを設定するときに、EAP-TLS を有効にできるようになりました。

図7-4 に、NAP Protocols ページにある変更された EAP Configuration セクションを示します。

図7-4 NAP Protocols ページの EAP Configuration セクション