ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
デジタル証明書の設定
デジタル証明書の設定
発行日;2012/09/25 | 英語版ドキュメント(2012/06/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

デジタル証明書の設定

デジタル証明書に関する情報

公開キー暗号化

証明書のスケーラビリティ

キー ペア

トラストポイント

証明書の登録

SCEP 要求のプロキシ

失効チェック

サポート対象の CA サーバ

CRL

OCSP

ローカル CA

ローカル CA ファイル用のストレージ

ローカル CA サーバ

デジタル証明書のライセンス要件

ローカル証明書の前提条件

SCEP プロキシ サポートの前提条件

ガイドラインと制限事項

デジタル証明書の設定

CA 証明書認証の設定

CA 証明書の追加またはインストール

CA 証明書コンフィギュレーションの編集または削除

CA 証明書の詳細の表示

失効に関する CA 証明書の設定

CRL 取得ポリシーの設定

CRL 取得方式の設定

OCSP ルールの設定

高度な CRL および OCSP の設定

ID 証明書の認証の設定

ID 証明書の追加またはインポート

ID 証明書の詳細の表示

ID 証明書の削除

ID 証明書のエクスポート

証明書署名要求の生成

ID 証明書のインストール

コード署名者証明書の設定

コード署名者証明書の詳細の表示

コード署名者証明書の削除

コード署名者証明書のインポート

コード署名者証明書のエクスポート

ローカル CA を使用した認証

ローカル CA サーバの設定

ローカル CA サーバの削除

ユーザ データベースの管理

ローカル CA ユーザの追加

最初の OTP の送信または OTP の置換

ローカル CA ユーザの編集

ローカル CA ユーザの削除

ユーザ登録の許可

OTP の表示または再生成

ユーザ証明書の管理

CRL のモニタリング

証明書管理の機能履歴

デジタル証明書に関する情報

デジタル証明書は、認証に使用されるデジタル ID を保持しています。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなど、ユーザまたはデバイスを識別する情報が含まれます。CA は、証明書に「署名」してその認証を確認することで、デバイスまたはユーザの身元を保証する、信頼できる機関です。CA は、公開キーまたは秘密キーの暗号化を使用してセキュリティを保証する PKI コンテキストで、デジタル証明書を発行します。

デジタル証明書を使用して認証を行う場合は、ASA に 1 つ以上の ID 証明書と、その発行元の CA 証明書が必要です。この設定では、複数のアイデンティティ、ルート、および証明書の階層が許可されます。ASA では CRL(認証局の失効リストとも呼ばれます)に照らしてサードパーティの証明書を検証します。検証は、ID 証明書から下位証明書チェーンの認証局までさかのぼって行われます。

次に、使用可能な各種デジタル証明書について説明します。

CA 証明書 は、他の証明書に署名するために使用されます。これは自己署名され、 ルート証明書 と呼ばれます。別の CA 証明書により発行される証明書は、 下位証明書 と呼ばれます。詳細については、「CA 証明書認証の設定」を参照してください。

ID 証明書 は、特定のシステムまたはホストの証明書です。この証明書も CA により発行されます。詳細については、「ID 証明書の認証の設定」を参照してください。

コード署名者証明書 は、コードに署名するためのデジタル署名を作成する際に使用される特殊な証明書であり、署名されたコードそのものが証明書の作成元を示しています。詳細については、「コード署名者証明書の設定」を参照してください。

ローカル CA は、ASA の独立認証局機能を統合したもので、証明書の配布と、発行された証明書に対するセキュアな失効チェックを行います。Web サイトのログイン ページからユーザ登録を行う場合には、ローカル CA により実現されるセキュアで設定可能な内部認証局機能によって、証明書の認証を行うことができます。

詳細については、「ローカル CA を使用した認証」「ユーザ データベースの管理」、および「ユーザ証明書の管理」を参照してください。


) CA 証明書および ID 証明書は、サイトツーサイト VPN 接続およびリモート アクセス VPN 接続の両方に適用されます。このマニュアルに記載の手順は、ASDM GUI でリモート アクセス VPN を使用する場合の手順です。


CA は、証明書要求の管理とデジタル証明書の発行を行います。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなど、ユーザまたはデバイスを識別する情報が含まれます。デジタル証明書には、ユーザまたはデバイスの公開キーのコピーも含まれています。CA は、信頼できるサードパーティ(VeriSign など)の場合もあれば、組織内に設置したプライベート CA(インハウス CA)の場合もあります。


ヒント 証明書コンフィギュレーションおよびロード バランシングの例は、次の URL を参照してください。https://supportforums.cisco.com/docs/DOC-5964

この項は、次の内容で構成されています。

「公開キー暗号化」

「証明書のスケーラビリティ」

「キー ペア」

「トラストポイント」

「失効チェック」

「ローカル CA」

公開キー暗号化

デジタル署名は、公開キー暗号化によってイネーブルになり、デバイスおよびユーザを認証する手段です。RSA 暗号化システムをはじめとする公開キー暗号化では、各ユーザが公開キーと秘密キーの両方を含むキー ペアを持ちます。両キーは補完的に動作し、片方のキーで暗号化されたものはすべて他方のキーで解読できます。

簡単に言えば、データが秘密キーで暗号化されたとき、署名が形成されます。署名はデータに付加されて受信者に送信されます。受信者は送信者の公開キーをデータに適用します。データとともに送信された署名が、公開キーをデータに適用した結果と一致した場合、メッセージの有効性が確立されます。

このプロセスは、受信者が送信者の公開キーのコピーを持っていること、およびその公開キーが送信者になりすました別人のものではなく、送信者本人のものであることを受信者が強く確信していることに依存しています。

通常、送信者の公開キーは外部で取得するか、インストール時の操作によって取得します。たとえば、ほとんどの Web ブラウザでは、いくつかの CA のルート証明書がデフォルトで設定されています。VPN の場合、IKE プロトコルは IPsec のコンポーネントであり、デジタル署名を使用してピア デバイスを認証した後で、セキュリティ アソシエーションをセットアップできます。

証明書のスケーラビリティ

デジタル証明書がない場合、通信するピアごとに各 IPsec ピアを手動で設定する必要があります。そのため、ネットワークにピアを新たに追加するたびに、安全に通信するために各ピアで設定変更を行わなければなりません。

デジタル証明書を使用している場合、各ピアは CA に登録されます。2 つのピアは、通信を試みるときに、証明書とデジタル署名されたデータを交換して、相互の認証を行います。新しいピアがネットワークに追加された場合は、そのピアを CA に登録するだけで済みます。他のピアを修正する必要はありません。新しいピアが IPSec 接続を試みると、証明書が自動的に交換され、そのピアの認証ができます。

CA を使用した場合、ピアはリモート ピアに証明書を送り、公開キー暗号化を実行することによって、そのリモート ピアに対して自分自身を認証します。各ピアから、CA によって発行された固有の証明書が送信されます。このプロセスが機能を果たすのは、関連付けられているピアの公開キーが各証明書にカプセル化され、各証明書が CA によって認証され、参加しているすべてのピアによって CA が認証権限者として認識されるためです。このプロセスは、RSA 署名付きの IKE と呼ばれます。

ピアは、証明書が期限満了になるまで、複数の IPSec セッションに対して、および複数の IPSec ピア宛てに証明書を送り続けることができます。証明書が期限満了になったときは、ピアの管理者は新しい証明書を CA から入手する必要があります。

CA は、IPSec に参加しなくなったピアの証明書を無効にすることもできます。無効にされた証明書は、他のピアからは有効な証明書とは認識されなくなります。無効にされた証明書は CRL に記載され、各ピアは別のピアの証明書を受け取る前に、CRL をチェックします。

CA の中には、実装の一部として RA を持つものもあります。RA は CA のプロキシの役割を果たすサーバであるため、CA が使用できないときも CA 機能は継続しています。

キー ペア

キー ペアとは、次の特性を持つ RSA キーです。

RSA キーは SSH や SSL に使用できます。

SCEP 登録は、RSA キーの証明書をサポートしています。

キー生成では、RSA キーの最大キー係数は 2048 ビットです。デフォルト サイズは 1024 です。1024 ビットを超える RSA キー ペアを持つ ID 証明書を使用している複数の SSL 接続によって、ASAでの CPU 使用率が高くなり、クライアントレス ログインが拒否される可能性があります。

署名操作でサポートされているキーの最大サイズは 4096 ビットです。

署名にも暗号化にも使用できる汎用 RSA キー ペアを生成することも、署名用と暗号化用に別々の RSA キー ペアを生成することもできます。SSL では署名用ではなく暗号化用のキーが使用されるので、署名用と暗号化用にキーを分けると、キーが公開される頻度を少なくすることができます。ただし、IKE では暗号化用ではなく署名用のキーが使用されます。キーを用途別に分けることで、キーの公開頻度が最小化されます。

トラストポイント

トラストポイントを使用すると、CA と証明書の管理とトレースができます。トラストポイントとは、CA または ID ペアを表現したものです。トラストポイントには、CA の ID、CA 固有のコンフィギュレーション パラメータ、登録されている ID 証明書とのアソシエーションが含まれています。

トラストポイントの定義が完了したら、CA の指定を必要とするコマンドで、名前によってトラストポイントを参照できます。トラストポイントは複数設定できます。


) ASAに同じ CA を共有するトラストポイントが複数ある場合、CA を共有するトラストポイントのうち、ユーザ証明書の検証に使用できるのは 1 つだけです。CA を共有するどのトラストポイントを使用して、その CA が発行したユーザ証明書を検証するかを制御するには、support-user-cert-validation コマンドを使用します。


自動登録の場合は、登録 URL がトラストポイントに設定されている必要があり、また、トラストポイントが示す CA がネットワーク上で使用可能であり、SCEP をサポートしている必要があります。

キー ペアと、トラストポイントに関連付けられている発行済み証明書は、PKCS12 形式でエクスポートとインポートができます。この形式は、異なるASA上のトラストポイント コンフィギュレーションを手動でコピーする場合に便利です。

証明書の登録

ASAは、トラストポイントごとに 1 つの CA 証明書が必要で、セキュリティ アプライアンス自体には、トラストポイントで使用するキーのコンフィギュレーションに応じて 1 つまたは 2 つの証明書が必要です。トラストポイントが署名と暗号化に別々の RSA キーを使用する場合、ASAには署名用と暗号化用の 2 つの証明書が必要になります。署名用と暗号化用のキーが同じである場合、必要な証明書は 1 つだけです。

ASA は、SCEP を使用した自動登録と、base-64-encoded 証明書を直接端末に貼り付けられる手動登録をサポートしています。サイトツーサイト VPN の場合は、各ASAを登録する必要があります。リモート アクセス VPN の場合は、各ASAと各リモート アクセス VPN クライアントを登録する必要があります。

SCEP 要求のプロキシ

ASA は、AnyConnect とサードパーティ CA 間の SCEP 要求のプロキシとして動作することができます。プロキシとして動作する場合に必要なのは CA が ASA からアクセス可能であることのみです。ASA のこのサービスが機能するには、ASA が登録要求を送信する前に、ユーザが AAA でサポートされているいずれかの方法を使用して認証されている必要があります。また、ホスト スキャンおよびダイナミック アクセス ポリシーを使用して、登録資格のルールを適用することもできます。

ASA では、AnyConnect SSL または IKEv2 VPN セッションでのみこの機能をサポートしています。これは、IOS CS、Windows Server 2003 CA、および Windows Server 2008 CA を含む、すべての SCEP 準拠 CA をサポートしています。

クライアントレス(ブラウザベース)でのアクセスは SCEP プロキシをサポートしていませんが、WebLaunch(クライアントレス起動 AnyConnect)はサポートしていません。

ASA では、証明書のポーリングはサポートしていません。

ASA はこの機能に対するロード バランシングをサポートしています。

失効チェック

証明書は発行されると、一定期間有効です。CA は、安全上の問題や名前またはアソシエーションの変更などの理由で、期限が切れる前に証明書を無効にすることがあります。CA は、無効になった証明書の署名付きリストを定期的に発行します。失効確認をイネーブルにすることにより、CA が認証にその証明書を使用するたびに、その証明書が無効にされていないかどうか、ASAによってチェックされます。

失効確認をイネーブルにすると、PKI 証明書検証プロセス時に ASA によって証明書の失効ステータスがチェックされます。これには、CRL チェック、OCSP、またはその両方が使用されます。OCSP は、最初の方式がエラーを返した場合に限り使用されます(たとえば、サーバが使用不可であることを示すエラー)。

CRL チェックを使用すると、ASA によって、無効になった(および失効解除された)証明書とその証明書シリアル番号がすべてリストされている CRL が取得、解析、およびキャッシュされます。ASA では CRL(認証局の失効リストとも呼ばれます)に基づいて証明書を検証します。検証は、ID 証明書から下位証明書チェーンの認証局までさかのぼって行われます。

OCSP は、検証局に特定の証明書のステータスを問い合わせ、チェックを検証局が扱う範囲に限定するため、よりスケーラブルな方法を提供します。

サポート対象の CA サーバ

ASAは次の CA サーバをサポートしています。

Cisco IOS CS、ASA ローカル CA、およびサードパーティの X.509 準拠 CA ベンダー(次のベンダーが含まれますが、これらに限定はされません)。

Baltimore Technologies

Entrust

Digicert

Geotrust

GoDaddy

iPlanet/Netscape

Microsoft Certificate Services

RSA Keon

Thawte

VeriSign

CRL

CRL は、有効期間内の証明書が発行元の CA によって無効にされているかどうかをASAが判断するための 1 つの方法です。CRL コンフィギュレーションは、トラストポイントのコンフィギュレーションの一部です。

証明書を認証するときに必ず revocation-check crl コマンドを使用して CRL チェックを行うように、ASAを設定できます。また、 revocation-check crl none コマンドを使用することで、CRL チェックをオプションにすることもできます。こうすると、更新された CRL データが CA から提供されない場合でも、証明書認証は成功します。

ASAは HTTP、SCEP、または LDAP を使用して、CA から CRL を取得できます。トラストポイントごとに取得された CRL は、トラストポイントごとに設定可能な時間だけキャッシュされます。

ASA により、CRL のキャッシュに設定されている時間を超過してキャッシュされた CRL がある場合、ASA ではその CRL は古すぎて信頼できない、つまり「失効した」と見なされます。次回の証明書認証で失効した CRL のチェックが必要な場合に、ASA によってより新しいバージョンの CRL の取得が試みられます。

ASAによって CRL がキャッシュされる時間は、次の 2 つの要素によって決まります。

cache-time コマンドで指定される分数。デフォルト値は 60 分です。

取得した CRL 中の NextUpdate フィールド。このフィールドが CRL にない場合もあります。ASAが NextUpdate フィールドを必要とするかどうか、およびこのフィールドを使用するかどうかは、 enforcenextupdate コマンドで制御します。

ASAでは、これらの 2 つの要素が次のように使用されます。

NextUpdate フィールドが不要の場合、 cache-time コマンドで指定された時間が経過すると、ASAは CRL に失効のマークを付けます。

NextUpdate フィールドが必要な場合、ASAは、 cache-time コマンドと NextUpdate フィールドで指定されている 2 つの時間のうち短い方の時間で、CRL に失効のマークを付けます。たとえば、 cache-time コマンドによってキャッシュ時間が 100 分に設定され、NextUpdate フィールドによって次のアップデートが 70 分後に指定されている場合、ASAは 70 分後に CRL に失効のマークを付けます。

ASAがメモリ不足で、特定のトラストポイント用にキャッシュされた CRL をすべて保存することができない場合、使用頻度が最も低い CRL が削除され、新しく取得した CRL 用の空き領域が確保されます。

OCSP

OCSP は、有効期間内の証明書が発行元の CA によって無効にされているかどうかをASAが判断するための 1 つの方法です。OCSP のコンフィギュレーションは、トラストポイントのコンフィギュレーションの一部です。

OCSP によって、証明書のステータスをチェックする範囲が検証局(OCSP サーバ、 応答側 とも呼ばれます)に限定され、ASAによって検証局に特定の証明書のステータスに関する問い合わせが行われます。これは、CRL チェックよりもスケーラブルで、最新の失効ステータスを確認できる方法です。この方法は、PKI の導入規模が大きい場合に便利で、安全なネットワークを拡大できます。


) ASA では、OCSP 応答に 5 秒間のスキューを許可します。


証明書を認証するときに必ず revocation-check ocsp コマンドを使用して OCSP チェックを行うように、ASAを設定できます。また、 revocation-check ocsp none コマンドを使用することで、OCSP チェックをオプションにすることもできます。こうすると、更新された OCSP データが検証局から提供されない場合でも、証明書認証は成功します。

OCSP を利用すると、OCSP サーバの URL を 3 つの方法で定義できます。ASAは、これらのサーバを次の順に使用します。

1. match certificate コマンドの使用による証明書の照合の上書きルールで定義されている OCSP サーバの URL

2. ocsp url コマンドを使用して設定されている OCSP サーバの URL

3. クライアント証明書の AIA フィールド


) トラストポイントで OCSP の応答側の自己署名した証明書を検証するように設定するには、信頼できる CA 証明書として、この自己署名した応答側の証明書をそのトラストポイントにインポートします。次に、クライアント証明書を検証するトラストポイントで match certificate コマンドを設定して、応答側の証明書を検証するために、OCSP の応答側の自己署名された証明書を含むトラストポイントを使用するようにします。クライアント証明書の検証パスの外部にある応答側の証明書を検証する場合も、同じ手順で設定します。

通常、OCSP サーバ(応答側)の証明書によって、OCSP 応答が署名されます。ASAが応答を受け取ると、応答側の証明書を検証しようとします。通常、CA は、侵害される危険性を最小限に抑えるために、OCSP レスポンダ証明書のライフタイムを比較的短い期間に設定します。CA は一般に、応答側証明書に ocsp-no-check 拡張を含めて、この証明書では失効ステータス チェックが必要ないことを示します。ただし、この拡張がない場合、ASAはトラストポイントで指定されている方法で失効ステータスをチェックします。応答側の証明書を検証できない場合、失効ステータスをチェックできなくなります。この可能性を防ぐには、revocation-check none コマンドを使用して応答側の証明書を検証するトラストポイントを設定し、revocation-check ocsp コマンドを使用してクライアント証明書を設定します。


ローカル CA

ローカル CA では、次のタスクが実行されます。

ASAの基本的な認証局の動作を統合する。

証明書を導入する。

発行済み証明書のセキュアな失効チェックを実行する。

ブラウザベースとクライアントベースの両方で SSL VPN 接続とともに使用するために、ASA 上に認証局を提供する。

外部の証明書認証に依存することなく、ユーザに信頼できるデジタル証明書を提供する。

証明書認証のためのセキュアな内部認証局を提供し、Web サイト ログインを使用した簡単なユーザ登録を実現する。

ローカル CA ファイル用のストレージ

ASAでは、ユーザ情報、発行済み証明書、および失効リストへのアクセスと実装にローカル CA データベースが使用されます。このデータベースは、デフォルトでローカル フラッシュ メモリに存在するか、または、マウントされてASAにアクセス可能な外部のファイル システム上に設定することもできます。

ローカル CA ユーザ データベースに保存できるユーザの数に制限はありませんが、フラッシュ メモリ ストレージに問題がある場合、管理者に対策を取るように警告する syslog が作成され、ローカル CA はストレージの問題が解決されるまでディセーブルになることがあります。フラッシュ メモリは、3500 人以下のユーザを持つデータベースを保存できますが、ユーザの数がそれを超えるデータベースでは外部ストレージが必要になります。

ローカル CA サーバ

ASAにローカル CA サーバを設定すると、ユーザは、Web サイトにログインし、ユーザの登録資格を検証するためにローカル CA 管理者によって与えられたユーザ名とワンタイム パスワードを入力することで、証明書を登録できます。

図 44-1 に示すとおり、ローカル CA サーバはASAに常駐し、Web サイト ユーザからの登録要求や、その他の証明書を検証するデバイスおよびASAから発信された CRL の問い合わせを処理します。ローカル CA データベースおよびコンフィギュレーション ファイルは、ASAのフラッシュ メモリ(デフォルトのストレージ)または個別のストレージ デバイスに保持されます。

図 44-1 ローカル CA

 

デジタル証明書のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ローカル証明書の前提条件

ローカル証明書には、次の前提条件があります。

証明書をサポートするようにASAが正しく設定されていることを確認します。ASAの設定に誤りがあると、登録に失敗したり、不正確な情報を含む証明書が要求されたりする可能性があります。

ASAのホスト名とドメイン名が正しく設定されていることを確認します。現在設定されているホスト名とドメイン名を表示するには、 show running-config コマンドを入力します。ホスト名とドメイン名を設定する方法の詳細については、「ホスト名、ドメイン名、およびパスワードの設定」を参照してください。

CA を設定する前に、ASAのクロックが正しく設定されていることを確認します。証明書には、有効になる日時と満了になる日時が指定されています。ASAが CA に登録して証明書を取得するとき、ASAは現在の時刻が証明書の有効期間の範囲内であるかどうかをチェックします。現在の時刻が有効期間の範囲外の場合、登録は失敗します。

SCEP プロキシ サポートの前提条件

サードパーティ製証明書の要求を送信するために ASA をプロキシとして設定するには、次の要件があります。

AnyConnect セキュア モビリティ クライアント 3.0 以降がエンドポイントで実行中である必要があります。

グループ ポリシーの接続プロファイルで設定される認証方式は、AAA 認証と証明書認証の両方を使用するように設定する必要があります。

SSL ポートが、IKEv2 VPN 接続用に開いている必要があります。

CA は、自動許可モードになっている必要があります。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

ローカル CA ではシングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

サードパーティ CA ではシングル コンテキスト モードでのみサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

フェールオーバーのガイドライン

ステートフル フェールオーバーではセッションの複製はサポートされません。

Active/Active フェールオーバーおよび Active/Standby フェールオーバーはサポートされません。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドライン

ASAが CA サーバまたはクライアントとして設定されている場合、推奨される終了日(2038 年 1 月 19 日 03:14:08 UTC)を超えないよう、証明書の有効期を制限してください。このガイドラインは、サードパーティ ベンダーからインポートした証明書にも適用されます。

フェールオーバーがイネーブルになっている場合、ローカル CA は設定できません。ローカル CA サーバを設定できるのは、フェールオーバーのないスタンドアロン ASA のみです。詳細については、「CSCty43366」を参照してください。

証明書の登録が完了すると、ASA により、ユーザのキー ペアと証明書チェーンを含む PKCS12 ファイルが保存されます。これには、登録ごとに約 2 KB のフラッシュ メモリまたはディスク領域が必要です。実際のディスク領域の量は、設定されている RSA キー サイズと証明書フィールドによって異なります。使用できるフラッシュ メモリの量が限られている ASA に、保留中の証明書登録を多数追加する場合には、このガイドラインに注意してください。これらの PKCS12 ファイルは、設定されている登録の取得タイムアウトの間、フラッシュ メモリに保存されます。

lifetime ca-certificate コマンドは、ローカル CA サーバ証明書の初回生成時(初めてローカル CA サーバを設定し、 no shutdown コマンドを発行するとき)に有効になります。CA 証明書の期限が切れると、設定されたライフタイム値を使用して新しい CA 証明書が生成されます。既存の CA 証明書のライフタイム値は変更できません。

管理インターフェイスに対する ASDM トラフィックおよび HTTPS トラフィックを保護するために、ID 証明書を使用するよう ASA を設定する必要があります。SCEP により自動的に生成される ID 証明書はリブートのたびに再生成されるため、必ず独自の ID 証明書を手動でインストールしてください。SSL のみに適用されるこの手順の例については、次の URL を参照してください。 http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00809fcf91.shtml

ASA および AnyConnect クライアントで検証できるのは、[X520Serialnumber] フィールド([Subject Name] のシリアル番号)が PrintableString 形式である証明書のみです。シリアル番号の形式に UTF8 などのエンコーディングが使用されている場合、証明書認証は失敗します。

デジタル証明書の設定

この項では、ローカル CA 証明書を設定する方法を説明します。このタイプのデジタル証明書を正しく設定するためには、必ず記載されている順にタスクを実行してください。この項は、次の内容で構成されています。

「CA 証明書認証の設定」

「失効に関する CA 証明書の設定」

「CRL 取得ポリシーの設定」

「CRL 取得方式の設定」

「OCSP ルールの設定」

「高度な CRL および OCSP の設定」

CA 証明書認証の設定

[CA Certificates] ペインには、使用可能な証明書、発行先および発行元の CA サーバによる識別、証明書の有効期限日、関連付けられているトラストポイント、および証明書の使用法と目的が表示されます。[CA Certificates] ペインでは、次のタスクを実行できます。

自己署名または下位 CA 証明書を認証します。

CA 証明書を ASA にインストールします。

新しい証明書コンフィギュレーションを作成します。

既存の証明書コンフィギュレーションを編集します。

CA 証明書を手動で取得してインポートします。

ASA が SCEP を使用して CA に接続して、自動的に証明書を取得およびインストールするようにします。

選択した証明書の詳細と発行元情報を表示します。

既存の CA 証明書の CRL にアクセスします。

既存の CA 証明書のコンフィギュレーションを削除します。

新規作成または修正した CA 証明書コンフィギュレーションを保存します。

変更内容をすべて破棄して、証明書コンフィギュレーションを元の設定に戻します。

この項は、次の内容で構成されています。

「CA 証明書の追加またはインストール」

「CA 証明書コンフィギュレーションの編集または削除」

「CA 証明書の詳細の表示」

CA 証明書の追加またはインストール

PEM 形式での証明書の手動による貼り付けや、SCEP を使用した自動登録により、既存のファイルから証明書コンフィギュレーションを新たに追加できます。SCEP は、ユーザの介入を最小限しか必要としない、セキュアなメッセージング プロトコルです。SCEP を使用すると、VPN Concentrator Manager のみを使用して証明書を登録およびインストールできます。

CA 証明書を追加またはインストールするには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Configuration] > [Remote Access VPN] > [Certificate Management] > [CA Certificates] の順に選択します。

ステップ 2 [Add] をクリックします。

[Install Certificate] ダイアログボックスが表示されます。選択されたトラストポイント名が読み取り専用形式で表示されます。

ステップ 3 既存のファイルから証明書コンフィギュレーションを追加するには、[Install from a file] オプション ボタンをクリックします(これがデフォルトの設定です)。

ステップ 4 パスおよびファイル名を入力するか、または [Browse] をクリックしてファイルを検索します。次に、[Install Certificate] をクリックします。

ステップ 5 [Certificate Installation] ダイアログボックスが表示され、証明書が正常にインストールされたことを示す確認メッセージが示されます。[OK] をクリックして、このダイアログボックスを閉じます。

ステップ 6 手動で登録するには、[Paste certificate in PEM format] オプション ボタンをクリックします。

ステップ 7 PEM 形式(base64 または 16 進数)の証明書をコピーして、指定の領域に貼り付け、[Install Certificate] をクリックします。

ステップ 8 [Certificate Installation] ダイアログボックスが表示され、証明書が正常にインストールされたことを示す確認メッセージが示されます。[OK] をクリックして、このダイアログボックスを閉じます。

ステップ 9 自動で登録するには、[Use SCEP] オプション ボタンをクリックします。ASA が、SCEP を使用して CA に接続し、証明書を取得して、証明書をデバイスにインストールします。SCEP を使用するには、インターネットを介して、SCEP をサポートする CA に登録する必要があります。SCEP を使用した自動登録では、ユーザは次の情報を入力する必要があります。

自動インストールする証明書のパスとファイル名。

証明書のインストールの最大再試行分数。デフォルトは 1 分です。

証明書のインストールの再試行回数。デフォルトは 0 です。この場合は、再試行時間内であれば何度でも再試行できます。


) SCEP 方式を使用して証明書をインストールすることを選択する場合は、 SCEP プロキシ サポートの前提条件を参照してください。


ステップ 10 新規および既存の証明書のその他のコンフィギュレーション オプションを表示するには、[More Options] をクリックします。

[Configuration Options for CA Certificates] ペインが表示されます。

ステップ 11 以降の手順については、「CA 証明書コンフィギュレーションの編集または削除」を参照してください。


 

CA 証明書コンフィギュレーションの編集または削除

既存の CA 証明書コンフィギュレーションを変更または削除するには、次の手順を実行します。


ステップ 1 既存の CA 証明書コンフィギュレーションを変更するには、コンフィギュレーションを選択し、[Edit] をクリックします。

[Edit Options for CA Certificates] ペインが表示されます。これらのいずれかの設定を変更するには、後述の項で手順を参照してください。

「CRL 取得ポリシーの設定」

「CRL 取得方式の設定」

「OCSP ルールの設定」

「高度な CRL および OCSP の設定」

ステップ 2 CA 証明書コンフィギュレーションを削除するには、コンフィギュレーションを選択し、[Delete] をクリックします。


) 証明書コンフィギュレーションを削除すると、復元できなくなります。削除した証明書を再作成するには、[Add] をクリックして、証明書コンフィギュレーションの情報をすべて再入力します。



 

CA 証明書の詳細の表示

選択した CA 証明書に関する詳細情報を表示するには、[Show Details] をクリックして、次の 3 つの 表示専用 タブが含まれる [Certificate Details] ダイアログボックスを表示します。

[General] タブには、タイプ、シリアル番号、ステータス、用途、公開キー タイプ、CRL 分散ポイント、証明書の有効期間、および関連付けられているトラストポイントの値が表示されます。これらの値は、[Available] と [Pending] の両方のステータスに適用されます。

[Issued to] タブには、サブジェクト DN または証明書所有者の X.500 フィールドとその値が表示されます。これらの値は、[Available] ステータスのみに適用されます。

[Issued by] タブには、証明書を付与したエンティティの X.500 フィールドが表示されます。これらの値は、[Available] ステータスのみに適用されます。

失効に関する CA 証明書の設定

失効に関して CA 証明書を設定するには、次の手順を実行します。


ステップ 1 ASDM アプリケーション ウィンドウで、[Configuration] > [Site-to-Site VPN] > [Certificate Management] > [CA Certificates] > [Add] の順に選択して、[Install Certificates] ダイアログボックスを表示します。次に、[More Options] をクリックします。

ステップ 2 [Configuration Options for CA Certificates] ペインで、[Revocation Check] タブをクリックします。

ステップ 3 証明書の失効チェックをディセーブルにするには、[Do not check certificates for revocation] オプション ボタンをクリックします。

ステップ 4 1 つ以上の失効チェック方式(CRL または OCSP)を選択するには、[Check certificates for revocation] オプション ボタンをクリックします。

ステップ 5 [Revocation Methods] 領域の左側に、選択可能な方式が表示されます。[Add] をクリックして方式を右側に移動すると、その方式が使用可能になります。[Move Up] または [Move Down] をクリックして、方式の順序を変更します。

選択した方式は、追加した順序で実装されます。方式からエラーが返された場合は、その次の失効チェック方式がアクティブになります。

ステップ 6 証明書の検証中に失効チェックのエラーを無視するには、[Consider certificate valid if revocation checking returns errors] チェックボックスをオンにします。

ステップ 7 [OK] をクリックして、[Revocation Check] タブを閉じます。また、続行する場合は「CRL 取得ポリシーの設定」を参照してください。


 

CRL 取得ポリシーの設定

CRL 取得ポリシーを設定するには、次の手順を実行します。


ステップ 1 ASDM アプリケーション ウィンドウで、[Configuration] > [Site-to-Site VPN] > [Certificate Management] > [CA Certificates] > [Add] の順に選択して、[Install Certificates] ダイアログボックスを表示します。次に、[More Options] をクリックします。

ステップ 2 [Configuration Options for CA Certificates] ペインで、[CRL Retrieval Policy] タブをクリックします。

ステップ 3 [Use CRL Distribution Point from the certificate] チェックボックスをオンにして、チェック対象の証明書から CRL 分散ポイントに失効チェックを転送します。

ステップ 4 [Use Static URLs configured below] チェックボックスをオンにして、CRL の取得に使用する特定の URL を一覧表示します。選択した URL は、追加した順序で実装されます。指定した URL でエラーが発生した場合は、その次の URL が使用されます。

ステップ 5 [Static Configuration] 領域で、[Add] をクリックします。

[Add Static URL] ダイアログボックスが表示されます。

ステップ 6 [URL] フィールドに、CRL の分散に使用するスタティック URL を入力して、[OK] をクリックします。

入力した URL が [Static URLs] リストに表示されます。

ステップ 7 スタティック URL を変更するには、URL を選択し、[Edit] をクリックします。

ステップ 8 既存のスタティック URL を削除するには、URL を選択し、[Delete] をクリックします。

ステップ 9 スタティック URL の表示順序を変更するには、[Move Up] または [Move Down] をクリックします。

ステップ 10 [OK] をクリックして、このタブを閉じます。また、続行する場合は「CRL 取得方式の設定」を参照してください。


 

CRL 取得方式の設定

CRL 取得方式を設定するには、次の手順を実行します。


ステップ 1 ASDM アプリケーション ウィンドウで、[Configuration] > [Site-to-Site VPN] > [Certificate Management] > [CA Certificates] > [Add] の順に選択して、[Install Certificates] ダイアログボックスを表示します。次に、[More Options] をクリックします。

ステップ 2 [Configuration Options for CA Certificates] ペインで、[CRL Retrieval Methods] タブをクリックします。

ステップ 3 次の 3 つの取得方式のいずれかを選択します。

CRL の取得で LDAP をイネーブルにするには、[Enable Lightweight Directory Access Protocol (LDAP)] チェックボックスをオンにします。LDAP を使用して CRL を取得する場合は、指定した LDAP サーバにパスワードを使用して接続することで、LDAP セッションが開始されます。デフォルトの場合、この接続には TCP ポート 389 を使用されます。次の必須パラメータを入力します。

名前

パスワード

パスワードの確認

デフォルト サーバ(サーバ名)

デフォルト ポート(389)

CRL の取得で HTTP をイネーブルにするには、[Enable HTTP] チェックボックスをオンにします。

CRL の取得で SCEP をイネーブルにするには、[Enable Simple Certificate Enrollment Protocol (SCEP)] チェックボックスをオンにします。

ステップ 4 [OK] をクリックして、このタブを閉じます。また、続行する場合は「OCSP ルールの設定」を参照してください。


 

OCSP ルールの設定

ASAでは、プライオリティ順に OCSP ルールが検証され、最初に一致したルールが適用されます。CRL の代わりに X.509 デジタル証明書が使用されます。


) OCSP ルールを追加する前に、必ず証明書マップを設定しておいてください。証明書マップが設定されていない場合、エラー メッセージが表示されます。証明書マップを設定するには、[Configuration] > [Site-to-Site VPN] > [Advanced] > [Certificate to Connection Profile Maps] > [Rules] > [Add] の順に選択します。


X.509 デジタル証明書の失効ステータスを取得するための OCSP ルールを設定するには、次の手順を実行します。


ステップ 1 ASDM アプリケーション ウィンドウで、[Configuration] > [Site-to-Site VPN] > [Certificate Management] > [CA Certificates] > [Add] の順に選択して、[Install Certificates] ダイアログボックスを表示します。次に、[More Options] をクリックします。

ステップ 2 [Configuration Options for CA Certificates] ペインで、[OCSP Rules] タブをクリックします。

ステップ 3 この OCSP ルールと 照合する証明書マップを選択します。証明書マップにより、ユーザ権限と、証明書の特定のフィールドとの照合が行われます。 [Certificate] フィールドに、ASA において応答側の証明書の検証に使用される CA の名前が表示されます。[Index] フィールドに、ルールのプライオリティ番号が表示されます。[URL] フィールドに、この証明書の OCSP サーバの URL が表示されます。

ステップ 4 新しい OCSP ルールを追加するには、[Add] をクリックします。

[Add OCSP Rule] ダイアログボックスが表示されます。

ステップ 5 使用する証明書マップをドロップダウン リストから選択します。

ステップ 6 使用する証明書をドロップダウン リストから選択します。

ステップ 7 ルールのプライオリティ番号を入力します。

ステップ 8 この証明書の OCSP サーバの URL を入力します。

ステップ 9 完了したら、[OK] をクリックして、このダイアログボックスを閉じます。

新しく追加された OCSP ルールがリストに表示されます。

ステップ 10 既存の OCSP ルールを編集するには、ルールを選択し、[Edit] をクリックします。

ステップ 11 OCSP ルールを削除するには、ルールを選択し、[Delete] をクリックします。

ステップ 12 [OK] をクリックして、このタブを閉じます。また、続行する場合は「高度な CRL および OCSP の設定」を参照してください。


 

高度な CRL および OCSP の設定

証明書は発行されると、一定期間有効です。CA は、安全上の問題や名前またはアソシエーションの変更などの理由で、期限が切れる前に証明書を無効にすることがあります。CA は、無効になった証明書の署名付きリストを定期的に発行します。失効チェックをイネーブルにすると、ASAでは、検証中の証明書が CA により無効になっていないかについてのチェックが行われます。 ASAでは、失効ステータスに対して、CRL および OCSP という 2 つのチェック方法がサポートされています。

CRL および OCSP の追加設定を行うには、次の手順を実行します。


ステップ 1 ASDM アプリケーション ウィンドウで、[Configuration] > [Site-to-Site VPN] > [Certificate Management] > [CA Certificates] > [Add] の順に選択して、[Install Certificates] ダイアログボックスを表示します。次に、[More Options] をクリックします。

ステップ 2 [Configuration Options for CA Certificates] ペインで、[Advanced] タブをクリックします。

ステップ 3 [CRL Options] 領域で、 キャッシュのリフレッシュを行う間隔を分数で入力します。デフォルトは 60 分です。範囲は 1 ~ 1440 分です。 CA から同じ CRL を何度も受け取る必要のないように、ASA では、取得した CRL をローカルで保存できます。これを CRL キャッシングと呼びます。CRL キャッシュの容量はプラットフォームによって異なり、すべてのコンテキストについて累積されます。新たに取得した CRL をキャッシュすることで、保存制限を超える可能性がある場合は、ASAにより使用頻度が最も低い CRL が削除され、使用可能な空き容量が確保されます。

ステップ 4 [Enforce next CRL update] チェックボックスをオンにして、Next Update 値の有効期限が切れていない CRL に限り、有効な CRL として使用できるようにします。[Enforce next CRL update] チェックボックスをオフにすると、Next Update 値がない場合や、Next Update 値の有効期限が切れている場合でも有効な CRL として使用できます。

ステップ 5 [OCSP Options] 領域で、OCSP サーバの URL を入力します。 ASA で使用される OCSP サーバは、次の順に選択されます。

1. 一致証明書上書きルールの OCSP URL に対応するサーバ

2. 選択された [OCSP Options] 属性に設定した OCSP URL に対応するサーバ

3. リモート ユーザ証明書の AIA フィールドで指定されたサーバ

ステップ 6 デフォルトでは、[Disable nonce extension] チェックボックスがオンになっています。この設定では、暗号化によって要求を応答にバインドし、リプレイ アタックを回避します。このプロセスでは、要求と応答との間でそれぞれのナンス拡張を照合し、両者が同一であることを確認することで、リプレイ アタックを防ぐことができます。ただし、事前に生成した応答には、各要求と一致するナンス拡張は含まれていません。そのため、使用している OCSP サーバから、事前に生成した応答を送信する場合は、[Disable nonce extension] チェックボックスをオフにしてください。

ステップ 7 [Validation Policy] 領域で、次のオプションのいずれかを選択します。

この CA を使用して検証できるリモート セッションのタイプを制限するには、[SSL] オプション ボタンまたは [IPsec] オプション ボタンをクリックします。

いずれのタイプのセッションも CA で検証できるようにするには、[SSL and IPsec] オプション ボタンをクリックします

ステップ 8 [Other Options] 領域で、次のオプションのいずれかを選択します。

指定した CA の証明書を ASA で受け入れるようにするには、[Accept certificates issued by this CA] チェックボックスをオンにします。

下位 CA の証明書を ASA で受け入れるようにするには、[Accept certificates issued by the subordinate CAs of this CA] チェックボックスをオンにします。

ステップ 9 [OK] をクリックしてこのタブを閉じ、[Apply] をクリックしてコンフィギュレーションの変更を保存します。


 

次の作業

「ID 証明書の認証の設定」を参照してください。

ID 証明書の認証の設定

ID 証明書は、ASA 経由の VPN アクセスの認証に使用できます。[Identity Certificates Authentication] ペインでは、次のタスクを実行できます。

新しい ID 証明書を追加またはインポートする。

ID 証明書の詳細を表示する。

既存の ID 証明書を削除する。

既存の ID 証明書をエクスポートする。

既存の ID 証明書をインストールする。

Entrust に ID 証明書を登録する。

この項は、次の内容で構成されています。

「ID 証明書の追加またはインポート」

「ID 証明書の詳細の表示」

「ID 証明書の削除」

「ID 証明書のエクスポート」

「証明書署名要求の生成」

「ID 証明書のインストール」

ID 証明書の追加またはインポート

新しい ID 証明書コンフィギュレーションを追加またはインポートするには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Identity Certificates] の順に選択します。

ステップ 2 [Add] をクリックします。

選択されたトラストポイント名が上部に示された [Add Identity Certificate] ダイアログボックスが表示されます。

ステップ 3 既存のファイルから ID 証明書をインポートするには、[Import the identity certificate from a file (PKCS12 format with Certificate(s) + Private Key)] オプション ボタンをクリックします。

ステップ 4 PKCS12 ファイルの復号化に使用するパスフレーズを入力します。

ステップ 5 ファイルのパス名を入力するか、[Browse] をクリックして [Import ID Certificate File] ダイアログボックスを表示します。証明書ファイルを見つけて、[Import ID Certificate File] をクリックします。

ステップ 6 新しい ID 証明書を追加するには、[Add a new identity certificate] オプション ボタンをクリックします。

ステップ 7 [New] をクリックして、[Add Key Pair] ダイアログボックスを表示します。

ステップ 8 デフォルトのキー ペア名を使用する場合は、[Use default keypair name] オプション ボタンをクリックします。

ステップ 9 新しいキー ペア名を使用する場合は、[Enter a new key pair name] オプション ボタンをクリックし、新しい名前を入力します。ASAでは、複数のキー ペアをサポートします。

ステップ 10 ドロップダウン リストから係数サイズを選択します。係数サイズが不明な場合は、Entrust にお問い合わせください。

ステップ 11 [General purpose] オプション ボタン(デフォルト)または [Special] オプション ボタンをクリックして、キー ペアの用途を選択します。[Special] オプション ボタンを選択すると、ASA により署名用と暗号化用の 2 つのキー ペアが生成されます。この選択は、対応する識別用に 2 つの証明書が必要なことを示します。

ステップ 12 [Generate Now] をクリックして新しいキー ペアを作成し、[Show] をクリックして [Key Pair Details] ダイアログボックスを表示します。ここには、次の 表示専用 の情報が示されます。

公開キーが認証の対象となるキー ペアの名前。

キー ペアの生成日時。

RSA キー ペアの用途。

キー ペアの係数サイズ(512、768、1024、および 2048 ビット)。デフォルトは 1024 です。

テキスト形式の特定のキー データを含むキー データ。

ステップ 13 完了したら [OK] をクリックして、[Key Pair Details] ダイアログボックスを閉じます。

ステップ 14 ID 証明書で DN を形成するための証明書サブジェクト DN を選択します。次に [Select] をクリックして、[Certificate Subject DN] ダイアログボックスを表示します。

ステップ 15 ドロップダウン リストから追加する DN 属性を 1 つ以上選択し、値を入力し、[Add] をクリックします。証明書サブジェクト DN の使用可能な X.500 属性は、次のとおりです。

Common Name(CN)

Department(OU)

Company Name(O)

Country(C)

State/Province(ST)

Location(L)

E-mail Address(EA)

ステップ 16 完了したら [OK] をクリックして、[Certificate Subject DN] ダイアログボックスを閉じます。

ステップ 17 自己署名証明書を作成するには、[Generate self-signed certificate] チェックボックスをオンにします。

ステップ 18 ID 証明書がローカル CA として動作するようにするには、[Act as local certificate authority and issue dynamic certificates to TLS proxy] チェックボックスをオンにします。

ステップ 19 追加の ID 証明書設定を行うには、[Advanced] をクリックします。

[Certificate Parameters]、[Enrollment Mode]、および [SCEP Challenge Password] の 3 つのタブを持つ [Advanced Options] ダイアログボックスが表示されます。


) 登録モード設定と SCEP チャレンジ パスワードは自己署名証明書では使用できません。


ステップ 20 [Certificate Parameters] タブをクリックし、次の情報を入力します。

DNS ツリー階層内のノードの位置を示す FQDN(完全修飾ドメイン名)。

ID 証明書に関連付けられている電子メール アドレス。

4 分割ドット付き 10 進表記の、ネットワーク上の ASA IP アドレスです。

ASA シリアル番号を証明書パラメータに追加するには、[Include serial number of the device] チェックボックスをオンにします。

ステップ 21 [Enrollment Mode] タブをクリックし、次の情報を入力します。

[Request by manual enrollment] オプション ボタンまたは [Request from a CA] オプション ボタンをクリックして、登録方式を選択します。

SCEP を介して自動的にインストールされる証明書の登録 URL。

ID 証明書のインストールに許可される最大再試行分数。デフォルトは 1 分です。

ID 証明書のインストールに許可される最大再試行回数。デフォルトは 0 です。この場合は、再試行時間内であれば何度でも再試行できます。

ステップ 22 [SCEP Challenge Password] タブをクリックし、次の情報を入力します。

SCEP パスワード

SCEP パスワードを確認のために再入力

ステップ 23 完了したら [OK] をクリックして、[Advanced Options] ダイアログボックスを閉じます。

ステップ 24 [Add Identity Certificate] ダイアログボックスで、[Add Certificate] をクリックします。

[Identity Certificates] リストに新しい ID 証明書が表示されます。

ステップ 25 [Apply] をクリックし、新しい ID 証明書コンフィギュレーションを保存します。


 

ID 証明書の詳細の表示

選択した ID 証明書に関する詳細情報を表示するには、[Show Details] をクリックして、次の 3 つの 表示専用 タブが含まれる [Certificate Details] ダイアログボックスを表示します。

[General] タブには、タイプ、シリアル番号、ステータス、用途、公開キー タイプ、CRL 分散ポイント、証明書の有効期間、および関連付けられているトラストポイントの値が表示されます。これらの値は、[Available] と [Pending] の両方のステータスに適用されます。

[Issued to] タブには、サブジェクト DN または証明書所有者の X.500 フィールドとその値が表示されます。これらの値は、[Available] ステータスのみに適用されます。

[Issued by] タブには、証明書を付与したエンティティの X.500 フィールドが表示されます。これらの値は、[Available] ステータスのみに適用されます。

ID 証明書の削除

ID 証明書コンフィギュレーションを削除するには、コンフィギュレーションを選択し、[Delete] をクリックします。


) 証明書コンフィギュレーションを削除すると、復元できなくなります。削除した証明書を再作成するには、[Add] をクリックして、証明書コンフィギュレーションの情報をすべて再入力します。


ID 証明書のエクスポート

証明書コンフィギュレーションおよび関連付けられているすべてのキーと証明書を、公開キーの暗号化標準である PKCS12 形式でエクスポートできます。これには、base64 エンコードまたは 16 進数形式を使用できます。完全なコンフィギュレーションには、チェーン全体(ルート CA 証明書、ID 証明書、キー ペア)は含まれますが、登録設定(サブジェクト名、FQDN など)は含まれません。通常、この機能は、同じグループ内のASA間で証明書を複製するために行うフェールオーバーまたはロードバランシングの設定に使用されます。たとえば、リモート アクセス クライアントから中央処理装置への呼び出しが複数のユニットで処理されている場合、 これらのユニット間では、証明書コンフィギュレーションが同一であることが必要となります。このような場合、管理者は、証明書コンフィギュレーションをエクスポートしたうえで、ASAのグループ全体にインポートできます。

ID 証明書をエクスポートするには、次の手順を実行します。


ステップ 1 [Export] をクリックし、[Export Certificate] ダイアログボックスを表示します。

ステップ 2 証明書コンフィギュレーションをエクスポートするときに使用する PKCS12 形式ファイルの名前を入力します。または、[Browse] をクリックして [Export ID Certificate File] ダイアログボックスを表示し、証明書コンフィギュレーションをエクスポートするファイルを探します。

ステップ 3 [PKCS12 Format] オプション ボタンまたは [PEM Format] オプション ボタンをクリックして、証明書の形式を選択します。

ステップ 4 PKCS12 ファイルをエクスポート用に暗号化するために使用するパスフレーズを入力します。

ステップ 5 暗号化パスフレーズを確認のために再入力します。

ステップ 6 [Export Certificate] をクリックして、証明書コンフィギュレーションをエクスポートします。

情報ダイアログボックスが表示され、証明書コンフィギュレーション ファイルが指定の場所に正常にエクスポートされたことが示されます。


 

証明書署名要求の生成

Entrust に送信する証明書署名要求を生成するには、次の手順を実行します。


ステップ 1 [Enroll ASA SSL VPN with Entrust] をクリックして、[Generate Certificate Signing Request] ダイアログボックスを表示します。

ステップ 2 [Key Pair] 領域で、次の手順を実行します。

a. ドロップダウン リストから、設定されたキー ペアのいずれかを選択します。

b. [Show] をクリックして [Key Details] ダイアログボックスを表示します。ここには、選択されたキー ペアの生成日時、用途(一般的または特殊な用途)、係数サイズ、およびキー データといった情報が示されます。

c. 完了したら [OK] をクリックして、[Key Details] ダイアログボックスを閉じます。

d. [New] をクリックして、[Add Key Pair] ダイアログボックスを表示します。以降の手順については、「ID 証明書の追加またはインポート」の手順 8 に進みます。生成したキー ペアは ASA に送信するか、ファイルに保存できます。

ステップ 3 [Certificate Subject DN] 領域で、次の情報を入力します。

a. ASA の FQDN または IP アドレス。

b. 会社の名前。

c. 2 文字の国番号。

ステップ 4 [Optional Parameters] 領域で、 次の手順を実行します

a. [Select] をクリックして、[Additional DN Attributes] ダイアログボックスを表示します。

b. ドロップダウン リストから追加する属性を選択し、値を入力します。

c. [Add] をクリックして、各属性を [attribute] テーブルに追加します。

d. [Delete] をクリックして、[attribute] テーブルから属性を削除します。

e. 完了したら [OK] をクリックして、[Additional DN Attributes] ダイアログボックスを閉じます。

[Additional DN Attributes] フィールドに追加された属性が表示されます。

ステップ 5 CA から要求された場合は、完全修飾ドメイン名情報を追加で入力します。

ステップ 6 [Generate Request] をクリックして、証明書署名要求を生成します。生成した証明書署名要求については、Entrust に送信するか、ファイルに保存するか、または後で送信するかを選択できます。

CSR が示された [Enroll with Entrust] ダイアログボックスが表示されます。

ステップ 7 登録プロセスを完了するには、http://www.entrust.net/cisco/ にある [request a certificate from Entrust] リンクをクリックします。その際、示された CSR をコピーして貼り付け、それを Entrust Web フォームを使用して送信します。後で登録する場合は、生成された CSR をファイルに保存し、[Identity Certificates] ペインの [enroll with Entrust] リンクをクリックして登録プロセスを完了します。

ステップ 8 Entrust により、要求の認証が確認された後、証明書が発行されます。これには数日間かかる場合があります。次に、[Identity Certificate] ペインで保留中の要求を選択し、[Install] をクリックして、証明書をインストールする必要があります。[Close] をクリックして、[Enroll with Entrust] ダイアログボックスを閉じます。


 

ID 証明書のインストール

[Identity Certificates] ペインの [Install] ボタンは、保留中の登録がない場合はグレー表示されます。ASA が CSR を受信した場合は必ず、[Identity Certificates] ペインに保留中の ID 証明書が表示されます。保留中の ID 証明書を選択すると、[Install] ボタンがアクティブになります。

保留中の要求を CA に転送すると、CA はそのファイルを登録して証明書を ASA に返します。証明書を受信したら、[Install] をクリックし、該当する ID 証明書を選択して操作を完了します。

保留中の ID 証明書をインストールするには、次の手順を実行します。


ステップ 1 [Identity Certificates] ペインで、[Add] をクリックし、[Add Identity Certificate] ダイアログボックスを表示します。

ステップ 2 [Add Identity Certificate] ダイアログボックスで、[Add a new identity certificate] オプション ボタンをクリックします。

ステップ 3 (任意)キー ペアを変更するか、新しいキー ペアを作成します。キー ペアは必須です。

ステップ 4 [Certificate Subject DN] に情報を入力し、[Select] をクリックして、[Certificate Subject DN] ダイアログボックスを表示します。

ステップ 5 関係する CA で必要なサブジェクト DN 属性をすべて指定し、[OK] をクリックして [Certificate Subject DN] ダイアログボックスを閉じます。

ステップ 6 [Add Identity Certificate] ダイアログボックスで、[Advanced] をクリックして [Advanced Options] ダイアログボックスを表示します。

ステップ 7 以降の手順については、「ID 証明書の認証の設定」の手順 17 ~ 23 を参照してください。

ステップ 8 [Add Identity Certificate] ダイアログボックスで、[Add Certificate] をクリックします。

[Identity Certificate Request] ダイアログボックスが表示されます。

ステップ 9 テキスト タイプの CSR ファイル名(c:\verisign-csr.txt など)を入力し、[OK] をクリックします。

ステップ 10 CSR テキスト ファイルを CA に送信します。送信する代わりに、CA の Web サイトにある CSR 登録ページにテキスト ファイルを貼り付けることもできます。

ステップ 11 CA から ID 証明書が返されたら、[Identity Certificates] ペインに移動し、保留中の証明書エントリを選択して、[Install] をクリックします。

[Install Identity Certificate] ダイアログボックスが表示されます。

ステップ 12 該当するオプション ボタンをクリックして、次のいずれかのオプションを選択します。

Install from a file

または、[Browse] をクリックし、ファイルを検索します。

Paste the certificate data in base-64 format

コピーした証明書データを指定された領域に貼り付けます。

ステップ 13 [Install Certificate] をクリックします。

ステップ 14 [Apply] をクリックし、新しくインストールした証明書とその ASA コンフィギュレーションを保存します。


 

次の作業

「コード署名者証明書の設定」を参照してください。

コード署名者証明書の設定

コード署名により、デジタル署名が、実際の実行可能なコードに追加されます。このデジタル署名には、署名者を認証し、署名以降にそのコードが変更されていないことを保証するのに十分な情報が含まれています。

コード署名者証明書は、関連付けられている秘密キーがデジタル署名の作成に使用される特殊な証明書です。コードの署名に使用される証明書は CA から取得され、署名されたコードが証明書の発生元を示します。[Code Signer] ペインで、または [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Java Code Signer] を選択して、コード署名者証明書をインポートできます。

[Code Signer] ペインでは、次のタスクを実行できます。

コード署名者証明書の詳細を表示する。

既存のコード署名者証明書を削除する。

既存のコード署名者証明書をインポートする。

既存のコード署名者証明書をエクスポートする。

Entrust にコード署名者証明書を登録する。

この項は、次の内容で構成されています。

「コード署名者証明書の詳細の表示」

「コード署名者証明書の削除」

「コード署名者証明書のインポート」

「コード署名者証明書のエクスポート」

コード署名者証明書の詳細の表示

選択した ID 証明書に関する詳細情報を表示するには、[Show Details] をクリックして、次の 3 つの 表示専用 タブが含まれる [Certificate Details] ダイアログボックスを表示します。

[General] タブには、タイプ、シリアル番号、ステータス、用途、公開キー タイプ、CRL 分散ポイント、証明書の有効期間、および関連付けられているトラストポイントの値が表示されます。これらの値は、[Available] と [Pending] の両方のステータスに適用されます。

[Issued to] タブには、サブジェクト DN または証明書所有者の X.500 フィールドとその値が表示されます。これらの値は、[Available] ステータスのみに適用されます。

[Issued by] タブには、証明書を付与したエンティティの X.500 フィールドが表示されます。これらの値は、[Available] ステータスのみに適用されます。

コード署名者証明書の削除

コード署名者証明書コンフィギュレーションを削除するには、コンフィギュレーションを選択し、[Delete] をクリックします。


) 証明書コンフィギュレーションを削除すると、復元できなくなります。削除した証明書を再作成するには、[Import] をクリックして、証明書コンフィギュレーションの情報をすべて再入力します。


コード署名者証明書のインポート

コード署名者証明書をインポートするには、次の手順を実行します。


ステップ 1 [Code Signer] ペインで、[Import] をクリックし、[Import Certificate] ダイアログボックスを表示します。

ステップ 2 PKCS12 形式ファイルの復号化に使用するパスフレーズを入力します。

ステップ 3 インポートするファイルの名前を入力するか、[Browse] をクリックして [Import ID Certificate File] ダイアログボックスを表示し、ファイルを検索します。

ステップ 4 インポートするファイルを選択し、[Import ID Certificate File] をクリックします。

[Import Certificate] ダイアログボックスに、選択した証明書ファイルが表示されます。

ステップ 5 [Import Certificate] をクリックします。

[Code Signer] ペインにインポートされた証明書が表示されます。

ステップ 6 [Apply] をクリックし、新しくインポートしたコード署名者証明書コンフィギュレーションを保存します。


 

コード署名者証明書のエクスポート

コード署名者証明書をエクスポートするには、次の手順を実行します。


ステップ 1 [Code Signer] ペインで、[Export] をクリックし、[Export Certificate] ダイアログボックスを表示します。

ステップ 2 証明書コンフィギュレーションをエクスポートするときに使用する PKCS12 形式ファイルの名前を入力します。

ステップ 3 公開キー暗号化標準(base64 エンコードまたは 16 進数形式を使用できます)を使用するには、[Certificate Format] 領域で [PKCS12 format] オプション ボタンをクリックします。使用しない場合は、[PEM format] オプション ボタンをクリックします。

ステップ 4 [Browse] をクリックして [Export ID Certificate File] ダイアログボックスを表示し、証明書コンフィギュレーションをエクスポートするファイルを探します。

ステップ 5 ファイルを選択し、[Export ID Certificate File] をクリックします。

[Export Certificate] ダイアログボックスに、選択した証明書ファイルが表示されます。

ステップ 6 エクスポート用の PKCS12 形式ファイルの復号化に使用するパスフレーズを入力します。

ステップ 7 復号化パスフレーズを確認のために再入力します。

ステップ 8 [Export Certificate] をクリックして、証明書コンフィギュレーションをエクスポートします。


 

次の作業

「ローカル CA を使用した認証」を参照してください。

ローカル CA を使用した認証

ブラウザベースおよびクライアントベースの SSL VPN 接続では、ローカル CA により実現される、ASA 上に存在するセキュアで設定可能な内部認証局によって、証明書の認証を行うことができます。

ユーザの登録は、指定された Web サイトにログインすることによって行われます。ローカル CA は、ASA の基本認証局の動作を統合したもので、証明書の配布と、発行された証明書に対するセキュアな失効チェックを行います。

ローカル CA を使用すると、次のタスクを実行できます。

ローカル CA サーバを設定する。

ローカル CA 証明書の失効/失効解除を行う。

CRL を更新する。

ローカル CA ユーザを追加、編集、および削除する。

この項は、次の内容で構成されています。

「ローカル CA サーバの設定」

「ローカル CA サーバの削除」

ローカル CA サーバの設定

ASA でローカル CA サーバを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Certificate Management] > [Local Certificate Authority] > [CA Server] の順に選択します。

ステップ 2 ローカル CA サーバをアクティブにするには、[Enable Certificate Authority Server] チェックボックスをオンにします。デフォルト設定は、ディセーブル(オフ)です。ローカル CA サーバをイネーブルにすると、ASA によりローカル CA サーバ証明書、キー ペア、および必要なデータベース ファイルが生成され、ローカル CA サーバ証明書とキー ペアが PKCS12 ファイルにアーカイブされます。


) 設定済みのローカル CA をイネーブルにする前に、オプションのすべての設定を慎重に見直してください。イネーブルにした後で、証明書の発行者名とキー サイズ サーバ値を変更することはできません。


自己署名した証明書のキーの使用拡張により、キー暗号化、キー シグニチャ、CRL 署名、および証明書署名がイネーブルになります。

ステップ 3 ローカル CA を初めてイネーブルにするときには、英数字のイネーブル パスフレーズを入力し、確認のために再入力する必要があります。イネーブル パスフレーズは、7 文字以上の英数字である必要があります。このパスフレーズにより、ストレージにアーカイブされたローカル CA 証明書およびローカル CA 証明書のキー ペアが保護され、不正なシャットダウンや予期しないシャットダウンが発生しないようにローカル CA サーバが保護されます。ローカル CA 証明書またはキー ペアが失われ、その復元が必要となった場合、PKCS12 アーカイブのロックを解除するためには、このパスフレーズが必要です。


) ローカル CA サーバをイネーブルにするには、イネーブル パスフレーズが必要です。イネーブル パスフレーズの記録は、必ず安全な場所に保管してください。


ステップ 4 ASA をリブートしてもコンフィギュレーションが失われないように、[Apply] をクリックして、ローカル CA 証明書とキー ペアを保存します。

ステップ 5 ローカル CA の初回設定後にローカル CA を変更または再設定する場合は、[Enable Certificate Authority Server] チェックボックスをオフにして、ASA 上のローカル CA サーバをシャットダウンする必要があります。この状態では、コンフィギュレーションおよびすべての関連ファイルはストレージ内に保持され、登録はディセーブルになっています。

設定したローカル CA がイネーブルになると、次の 2 つの設定が 表示専用 になります。

[Issuer Name] フィールド。発行元のサブジェクト名とドメイン名がリストで示されます。これは、ユーザ名とサブジェクト名のデフォルト DN 設定により構成され、cn=FQDN という形式で示されます。ローカル CA サーバは、証明書を付与するエンティティです。証明書のデフォルト名は、cn=hostname.domainname という形式で表示されます。

[CA Server Key Size] 設定。これは、ローカル CA サーバに生成されるサーバ証明書を対象とします。キー サイズには、キーごとに 512、768、1024、または 2048 ビットのいずれかを指定できます。デフォルトは、1 つのキーあたり 1024 ビットです。

ステップ 6 ドロップダウン リストから、ローカル CA サーバが発行した各ユーザ証明書に対して生成されるキー ペアのクライアント キー サイズを選択します。キー サイズには、キーごとに 512、768、1024、または 2048 ビットのいずれかを指定できます。デフォルトは、1 つのキーあたり 1024 ビットです。

ステップ 7 CA 証明書のライフタイム値を入力します。これは、CA サーバ証明書の有効期間を日数単位で指定するものです。デフォルトは、3650 日(10 年)です。推奨される終了日(2038 年 1 月 19 日 03:14:08 UTC)を超えないよう、証明書の有効期間を制限します。

ローカル CA サーバでは、CA 証明書の期限が切れる 30 日前に後継の CA 証明書が自動的に生成されます。この証明書をエクスポートし、他のデバイスにインポートすることにより、ローカル CA が発行したユーザ証明書のローカル CA 証明書検証を、期限が切れた後に行うことができます。

期限切れが近付いていることをユーザに通知するために、次の syslog メッセージが [Latest ASDM Syslog Messages] ペインに表示されます。

%ASA-1-717049: Local CA Server certificate is due to expire in days days and a replacement certificate is available for export.

) この自動ロールオーバーが通知されたら、管理者は、新しいローカル CA 証明書が有効期限の前に必要なすべてのデバイスにインポートされるようにする必要があります。


ステップ 8 クライアント証明書のライフタイム値を入力します。これは、CA サーバが発行したユーザ証明書の有効期間を日数単位で指定するものです。デフォルトは 365 日(1 年)です。推奨される終了日(2038 年 1 月 19 日 03:14:08 UTC)を超えないよう、証明書の有効期間を制限します。

[SMTP Server & Email Settings] 領域で、次の設定を指定して、ローカル CA サーバに対する電子メール アクセスを設定します。

a. SMTP メール サーバ名または IP アドレスを入力します。または、省略符号([...])をクリックして [Browse Server Name/IP Address] ダイアログボックスを表示し、ここからサーバ名または IP アドレスを選択します。完了したら [OK] をクリックして、[Browse Server Name/IP Address] ダイアログボックスを閉じます。

b. ローカル CA ユーザに電子メール メッセージを送信する際に使用する From アドレスを、「adminname@hostname.com」という形式で入力します。自動電子メール メッセージは、新規登録ユーザへのワンタイム パスワードの送信や、証明書の更新が必要なときの電子メール メッセージの発行に使用されます。

c. ローカル CA サーバからユーザに送信されるすべてのメッセージで使用される件名を入力します。件名を指定しない場合のデフォルトは「Certificate Enrollment Invitation」です。

ステップ 9 その他のオプションを設定するには、[More Options] ドロップダウン矢印をクリックします。

ステップ 10 CRL 分散ポイント(ASA 上の CRL の場所)を入力します。デフォルトの場所は、http://hostname.domain/+CSCOCA+/asa_ca.crl です。

ステップ 11 特定のインターフェイスおよびポートで、CRL に HTTP ダウンロードできるようにするには、ドロップダウン リストから publish-CRL インターフェイスを選択します。次に、1 ~ 65535 の任意のポート番号を入力します。デフォルトのポート番号は TCP ポート 80 です。


) CRL の名前は変更できません。LOCAL-CA-SERVER.crl という名前が常に使用されます。


たとえば、http://10.10.10.100/user8/my_crl_file という URL を入力します。 この場合、指定された IP アドレスを持つインターフェイスのみが動作します。要求を受信すると、ASA によってパス /user8/my_crl_file と設定済み URL が照合されます。パスが一致すると、ASAから、保存されている CRL ファイルが返されます。

ステップ 12 CRL の有効期間である CRL ライフタイムを時間単位で入力します。CA 証明書のデフォルトは 6 時間です。

ローカル CA では、ユーザ証明書が失効するたびまたは失効解除されるたびに、更新された CRL が再発行されますが、失効状態に変更がない場合、CRL の再発行は、そのライフタイムの中で 1 回しか行われません。[CA Certificates] ペインで [Request CRL] をクリックすると、CRL を即時に更新して再生成できます。

ステップ 13 データベース ストレージの場所を入力して、ローカル CA コンフィギュレーションとデータ ファイル用のストレージ領域を指定します。ASAでは、ユーザ情報、発行済み証明書、および失効リストへのアクセスと実装にローカル CA データベースが使用されます。外部ファイルを指定する場合は、外部ファイルへのパス名を入力するか、[Browse] をクリックして [Database Storage Location] ダイアログボックスを表示します。

ステップ 14 表示されるフォルダのリストからストレージの場所を選択し、[OK] をクリックします。


) フラッシュ メモリには、3500 人以下のユーザを持つデータベースを保存できます。ユーザの数がそれを超えるデータベースでは外部ストレージが必要になります。


ステップ 15 発行された証明書のユーザ名に追加されるデフォルト サブジェクト(DN 文字列) を入力します。次に示す DN 属性を指定できます。

CN(一般名)

SN(姓名の姓)

O(組織名)

L(地名)

C(国)

OU(組織ユニット)

EA(電子メール アドレス)

ST(州/都道府県)

T(タイトル)

ステップ 16 登録されたユーザがユーザ証明書を登録および取得するための PKCS12 登録ファイルを取得できる期間を、時間単位で入力します。この登録期間は、ワンタイム パスワードの有効期間とは関係ありません。デフォルトは 24 時間です。


) ローカル CA の証明書の登録は、クライアントレス SSL VPN 接続でのみサポートされます。このタイプの接続の場合、クライアントと ASA の通信は、標準の HTML を使用して Web ブラウザ経由で行われます。


ステップ 17 登録ユーザに電子メールで送信されたワンタイム パスワードの有効期間を入力します。デフォルトは 72 時間です。

ステップ 18 期限の何日前になったら、ユーザに期限切れ通知の電子メールを送信するかを入力します。デフォルトは、14 日です。

ステップ 19 [Apply] をクリックし、新しいまたは変更された CA 証明書コンフィギュレーションを保存します。変更を破棄して元の設定に戻す場合は、[Reset] をクリックします。


 

ローカル CA サーバの削除

ASA からローカル CA サーバを削除するには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Certificate Management] > [Local Certificate Authority] > [CA Server] の順に選択します。

ステップ 2 [CA Server] ペインで、[Delete Certificate Authority Server] をクリックします。

[Delete Certificate Authority] ダイアログボックスが表示されます。

ステップ 3 CA サーバを削除する場合は、[OK] をクリックします。CA サーバを保持する場合は、[Cancel] をクリックします。


) 削除したローカル CA サーバは、復元および復旧できません。削除した CA サーバ コンフィギュレーションを再作成する場合は、CA サーバ コンフィギュレーション情報をすべて再入力する必要があります。



 

次の作業

「ユーザ データベースの管理」を参照してください。

ユーザ データベースの管理

ローカル CA ユーザ データベースには、ユーザ識別情報とユーザ ステータス(登録済み、許可、失効など)が格納されています。[Manage User Database] ペインでは、次のタスクを実行できます。

ローカル CA データベースにユーザを追加する。

既存のユーザ識別情報を変更する。

ローカル CA データベースからユーザを削除する。

ユーザを登録する。

CRL を更新する。

ユーザに OTP を電子メールで送信する。

OTP を表示または再生成(置換)する。

この項は、次の内容で構成されています。

「ローカル CA ユーザの追加」

「最初の OTP の送信または OTP の置換」

「ローカル CA ユーザの編集」

「ローカル CA ユーザの削除」

「ユーザ登録の許可」

「OTP の表示または再生成」

ローカル CA ユーザの追加

ローカル CA ユーザを追加するには、次の手順を実行します。


ステップ 1 新しいユーザをローカル CA データベースに追加するには、[Add] をクリックして、 [Add User] ダイアログボックスを表示します。

ステップ 2 有効なユーザ名を入力します。

ステップ 3 既存の有効な電子メール アドレスを入力します。

ステップ 4 サブジェクト(DN 文字列)を入力します。または、[Select] をクリックして、[Certificate Subject DN] ダイアログボックスを表示します。

ステップ 5 ドロップダウン リストから追加する DN 属性を 1 つ以上選択し、値を入力し、[Add] をクリックします。証明書サブジェクト DN の使用可能な X.500 属性は、次のとおりです。

Common Name(CN)

Department(OU)

Company Name(O)

Country(C)

State/Province(ST)

Location(L)

E-mail Address(EA)

ステップ 6 完了したら [OK] をクリックして、[Certificate Subject DN] ダイアログボックスを閉じます。

ステップ 7 [Allow enrollment] チェックボックスをオンにしてユーザを登録し、[Add User] をクリックします。

[Manage User Database] ペインに新しいユーザが表示されます。


 

最初の OTP の送信または OTP の置換

新規追加されたユーザに対して、一意の OTP とローカル CA 登録 URL が記載された登録許可の電子メール通知を自動的に送信するには、[Email OTP] をクリックします。

OTP が新規ユーザに送信されたことを示す [Information] ダイアログボックスが表示されます。

自動的に新しい OTP を再発行して、新しいパスワードが記載された電子メール通知を既存のユーザまたは新規ユーザに送信するには、[Replace OTP] をクリックします。

ローカル CA ユーザの編集

データベース内の既存のローカル CA ユーザに関する情報を変更するには、次の手順を実行します。


ステップ 1 特定のユーザを選択し、[Edit] をクリックして [Edit User] ダイアログボックスを表示します。

ステップ 2 有効なユーザ名を入力します。

ステップ 3 既存の有効な電子メール アドレスを入力します。

ステップ 4 サブジェクト(DN 文字列)を入力します。または、[Select] をクリックして、[Certificate Subject DN] ダイアログボックスを表示します。

ステップ 5 ドロップダウン リストから変更する DN 属性を 1 つ以上選択し、値を入力し、[Add] または [Delete] をクリックします。証明書サブジェクト DN の使用可能な X.500 属性は、次のとおりです。

Common Name(CN)

Department(OU)

Company Name(O)

Country(C)

State/Province(ST)

Location(L)

E-mail Address(EA)

ステップ 6 完了したら [OK] をクリックして、[Certificate Subject DN] ダイアログボックスを閉じます。

ステップ 7 [Allow enrollment] チェックボックスをオンにしてユーザを再登録し、[Edit User] をクリックします。

[Manage User Database] ペインに更新されたユーザ詳細が表示されます。


 

ローカル CA ユーザの削除

ユーザをデータベースから削除し、そのユーザに発行されたすべての証明書をローカル CA データベースから削除するには、ユーザを選択し、[Delete] をクリックします。


) 削除されたユーザは復元できません。削除したユーザ レコードを再作成するには、[Add] をクリックして、そのユーザの情報をすべて再入力します。


ユーザ登録の許可

選択したユーザを登録するには、[Allow Enrollment] をクリックします。

[Manage User Database] ペインに示されるユーザのステータスが [enrolled] に変わります。


) ユーザがすでに登録されている場合は、エラー メッセージが表示されます。


OTP の表示または再生成

選択したユーザの OTP を表示または再生成するには、次の手順を実行します。


ステップ 1 [View/Regenerate OTP] をクリックして、[View & Regenerate OTP] ダイアログボックスを表示します。

現在の OTP が表示されます。

ステップ 2 完了したら [OK] をクリックし、[View & Regenerate OTP] ダイアログボックスを閉じます。

ステップ 3 OTP を再生成するには、[Regenerate OTP] をクリックします。

新しく生成された OTP が表示されます。

ステップ 4 [OK] をクリックして、[View & Regenerate OTP] ダイアログボックスを閉じます。


 

次の作業

「ユーザ証明書の管理」を参照してください。

ユーザ証明書の管理

証明書のステータスを変更するには、次の手順を実行します。


ステップ 1 [Manage User Certificates] ペインで、ユーザ名または証明書のシリアル番号で特定の証明書を選択します。

ステップ 2 次のいずれかのオプションを選択します。

ユーザ証明書のライフタイムが期限切れになった場合は、ユーザのアクセス権を削除するために、[Revoke] をクリックします。また、ローカル CA により、証明書データベース内にあるその証明書に失効のマークが付けられ、情報が自動的に更新されて、CRL が再発行されます。

アクセス権を復元するには、失効した証明書を選択して、[Unrevoke] をクリックします。また、ローカル CA により、証明書データベース内にあるその証明書に失効解除のマークが付けられ、証明書の情報が自動的に更新された後、更新された CRL が再発行されます。

ステップ 3 完了したら [Apply] をクリックして、変更を保存します。


 

次の作業

「CRL のモニタリング」を参照してください。

CRL のモニタリング

CRL をモニタにするには、次の手順を実行します。


ステップ 1 ASDM メイン アプリケーション ウィンドウで、[Monitoring] > [Properties] > [CRL] の順に選択します。

ステップ 2 [CRL] 領域で、ドロップダウン リストから CA 証明書名を選択します。

ステップ 3 CRL の詳細を表示するには、[View CRL] をクリックします。次に、例を示します。

CRL Issuer Name:
cn=asa4.cisco.com
LastUpdate: 09:58:34 UTC Nov 11 2010
NextUpdate: 15:58:34 UTC Nov 11 2010
Cached Until: 15:58:34 UTC Nov 11 2010
Retrieved from CRL Distribution Point:
** CDP Not Published - Retrieved via SCEP
Size (bytes): 224
Associated Trustpoints: LOCAL-CA-SERVER
 

ステップ 4 完了したら [Clear CRL] をクリックして CRL の詳細を削除し、表示する別の CA 証明書を選択します。


 

証明書管理の機能履歴

表 44-1 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 44-1 証明書管理の機能履歴

機能名
プラットフォーム リリース
機能情報

証明書管理

7.0(1)

デジタル証明書(CA 証明書、ID 証明書、およびコード署名者証明書など)は、認証用のデジタル ID を提供します。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなど、ユーザまたはデバイスを識別する情報が含まれます。CA は、証明書に「署名」してその認証を確認することで、デバイスまたはユーザの身元を保証する、信頼できる機関です。CA は、公開キーまたは秘密キーの暗号化を使用してセキュリティを保証する PKI コンテキストで、デジタル証明書を発行します。

次の画面が導入されました。

[Configuration] > [Remote Access VPN] > [Certificate Management]
[Configuration] > [Site-to-Site VPN] > [Certificate Management]

SCEP プロキシ

8.4(1)

サードパーティ CA からのデバイス証明書を安全に構成できる機能を導入しました。