Cisco AnyConnect VPN Client アドミニストレー タ ガイド v.2.0
AnyConnect クライアントの動作モードと ユーザ プロファイルの設定および使用
AnyConnect クライアントの動作モードとユーザ プロファイルの設定および使用
発行日;2012/01/30 | 英語版ドキュメント(2010/05/12 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

AnyConnect クライアントの動作モードとユーザ プロファイルの設定および使用

AnyConnect クライアントの動作モード

AnyConnect CLI コマンドを使用した接続(スタンドアロン モード)

WebLaunch を使用した接続

ユーザのログインとログアウト

ログイン

ログアウト

ユーザ プロファイルの設定と使用

AnyConnect クライアント プロファイル ダウンロードのイネーブル化

プロファイル アトリビュートの設定

AnyConnect クライアントの Start Before Logon(SBL)のイネーブル化

SBL をイネーブルにする XML 設定

SBL をイネーブルにする CLI 設定

ServerList アトリビュートの設定

証明書照合アトリビュートの設定

Key Usage 証明書照合

Extended Key Usage 証明書照合

証明書認定者名マッピング

証明書照合の例

AnyConnect クライアントの動作モードとユーザ プロファイルの設定および使用

AnyConnect クライアントの動作モード

ユーザは、次のモードで AnyConnect クライアントを使用できます。

スタンドアロン モード:ユーザは、Web ブラウザを使用せずに、Cisco AnyConnect VPN Client 接続を確立できます。ユーザの PC に AnyConnect クライアントを永続的にインストールした場合、ユーザはスタンドアロン モードで実行できます。スタンドアロン モードでは、ユーザは AnyConnect クライアントをその他のアプリケーションと同じように開き、ユーザ名とパスワード クレデンシャルを AnyConnect GUI のフィールドに入力します。システムの設定によっては、グループを選択する必要もあります。接続が確立されると、セキュリティ アプライアンスはユーザの PC にあるクライアントのバージョンをチェックし、必要な場合、最新バージョンをダウンロードします。

WebLaunch モード:ユーザは、https プロトコルを使用して、ブラウザの [Address] または [Location] フィールドにセキュリティ アプライアンスの URL を入力します。次に、ユーザ名とパスワードの情報を [Logon] 画面で入力し、グループを選択して、[submit] をクリックします。バナーが指定されている場合はその情報が表示され、[Continue] をクリックしてバナーを確認します。

ポータル ウィンドウが表示されます。AnyConnect クライアントを起動するには、ユーザがメイン ペインで [Start AnyConnect] をクリックします。一連の文書ウィンドウが表示されます。[Connection Established] ダイアログが表示されると、接続が機能し、ユーザがオンライン アクティビティを処理できるようになります。

AnyConnect CLI コマンドを使用した接続(スタンドアロン モード)

Cisco AnyConnect VPN Client には、グラフィカル ユーザ インターフェイスを使用せずにコマンドを発行することを希望するユーザ向けに、コマンドライン インターフェイス(CLI)があります。次の項では、CLI コマンド プロンプトの起動方法について説明します。

Windows の場合

Windows システムで CLI コマンド プロンプトを起動し、コマンドを発行するには、Windows のフォルダ C:\Program Files\Cisco\Cisco AnyConnect VPN Client にあるファイル vpncli.exe を探します。ファイル vpncli.exe をダブルクリックします。

Linux および Mac OS X の場合

Linux システムまたは Mac OS X システムで CLI コマンド プロンプトを起動し、コマンドを発行するには、 フォルダ /opt/cisco/vpn/bin/ にあるファイル vpn を探します。ファイル vpn を実行します。

CLI は、独自のプロンプトが表示される対話モードで実行するか、コマンドを使用してコマンドラインで実行することができます。 表 7-1 に、CLI コマンドを示します。

 

表 7-1 AnyConnect クライアント CLI コマンド

コマンド
処理

connect IP address または alias

特定のセキュリティ アプライアンスへの接続を確立します。

disconnect

前に確立した接続を閉じます。

stats

確立した接続に関する統計情報を表示します。

quit

CLI 対話モードを終了します。

exit

CLI 対話モードを終了します。

次の例は、ユーザがコマンドラインから接続を確立し、終了する例です。

Windows

connect 209.165.200.224

アドレスが 209.165.200.224 のセキュリティ アプライアンスへの接続を確立します。200.224.要求されたホストに接続した後、AnyConnect クライアントは、ユーザが属するグループを表示し、ユーザのユーザ名とパスワードを要求します。オプションのバナーが指定されている場合、ユーザはバナーに応答する必要があります。デフォルトの応答は n で、接続試行を終了します。次の例を参考にしてください。

VPN> connect 209.165.200.224
>>contacting host (209.165.200.224) for login information...
>>Please enter your username and password.
Group: testgroup
Username: testuser
Password: ********
>>notice: Please respond to banner.
VPN>
STOP! Please read. Scheduled system maintenance will occur tonight from 1:00-2:00 AM for one hour. The system will not be available during that time.
 
accept? [y/n] y
>> notice: Authentication succeeded. Checking for updates...
>> state: Connecting
>> notice: Establishing connection to 209.165.200.224.
>> State: Connected
>> notice: VPN session established.
VPN>
 
stats

現在の接続の統計情報を表示します。次の例を参考にしてください。

VPN> stats
[ Tunnel Information ]
 
Time Connected: 01:17:33
Client Address: 192.168.23.45
Server Address: 209.165.200.224
 
[ Tunnel Details ]
 
Tunneling Mode: All Traffic
Protocol: DTLS
Protocol Cipher: RSA_AES_256_SHA1
Protocol Compression: None
 
[ Data Transfer ]
 
Bytes(sent/received): 1950410/23861719
Packets (sent/received): 18346/28851
Bypassed (outbound/inbound): 0/0
Discarded (outbound/inbound): 0/0
 
[ Secure Routes ]
 
Network Subnet
0.0.0.0 0.0.0.0
VPN>
 
disconnect

前に確立した接続を閉じます。次の例を参考にしてください。

VPN> disconnect
>> state: Disconnecting
>> state: Disconnected
>> notice: VPN session ended.
VPN>

 

quit または exit

どちらかのコマンドで、CLI の対話モードを終了します。次の例を参考にしてください。

quit
goodbye
>>state: Disconnected
 

Linux または Mac OS X

/opt/cisco/vpn/bin/vpn connect 1.2.3.4

アドレスが 1.2.3.4 のセキュリティ アプライアンスへの接続を確立します。

/opt/cisco/vpn/bin/vpn connect some_asa_alias

プロファイルを読み込み、エイリアス some_asa_alias を検索してアドレスを探し、セキュリティ アプライアンスへの接続を確立します。

/opt/cisco/vpn/bin/vpn stats

VPN 接続に関する統計情報を表示します。

/opt/cisco/vpn/bin/vpn disconnect

VPN セッションがある場合、接続解除します。

WebLaunch を使用した接続

Cisco AnyConnect VPN Client には、グラフィカル ユーザ インターフェイスの使用を希望するユーザ向けに、ブラウザ インターフェイスがあります。 WebLaunch モードでは、ユーザが https プロトコルを使用して、ブラウザの [Address] または [Location] フィールドにセキュリティ アプライアンスの URL を入力します。次の例を参考にしてください。

https://209.165.200.225
 

次に、ユーザ名とパスワードの情報を [Logon] 画面で入力し、グループを選択して、[submit] をクリックします。バナーが指定されている場合はその情報が表示され、[Continue] をクリックしてバナーを確認します。

ポータル ウィンドウが表示されます。AnyConnect クライアントを起動するには、ユーザがメイン ペインで [Start AnyConnect] をクリックします。一連の文書ウィンドウが表示されます。[Connection Established] ダイアログが表示されると、接続が機能し、ユーザがオンライン アクティビティを処理できるようになります。


) Internet Explorer ブラウザを使用する Windows Vista ユーザは、信頼済みサイトのリストにセキュリティ アプライアンスを追加する必要があります。「信頼済みサイトのリストへのセキュリティ アプライアンスの追加(Internet Explorer)」を参照してください。


ユーザのログインとログアウト

リモート ユーザに次の説明をしておくと便利です。

ログイン

システム管理者が、リモート アクセス ユーザ名とパスワードを割り当てます。ログインする前に、システム管理者からこの情報を入手する必要があります。


ステップ 1 [Username] フィールドに、リモート アクセスのユーザ名を入力します。

ステップ 2 [Password] フィールドに、リモート アクセスのパスワードを入力します。

ステップ 3 [Login] をクリックします。

ステップ 4 証明書の警告が表示された場合は、証明書をインストールします。

リモート アクセスのホームページが表示されます。


 

ログアウト

リモート アクセス セッションを終了するには、ツールバーの「ウィンドウを閉じる」(×)アイコンをクリックするか、[Logout] リンクをクリックします。[Logout] ページが表示され、セッションの終了を確認し、再度ログインするオプションが表示されます。

ブラウザを終了しても、セッションからログアウトできます。


注意 セキュリティ ノート:セッションを終了するときは、必ずログアウトしてください。特に、図書館やインターネット カフェなど共用コンピュータを使用する場合は、ログアウトが重要です。ログアウトしないと、次にコンピュータを使用した人が、ファイルにアクセスできる可能性があります。組織をセキュリティ リスクにさらさないでください。必ずログアウトしてください。

ユーザ プロファイルの設定と使用

AnyConnect クライアントのユーザ プロファイルは、ユーザ コミュニティに公開するセキュア ゲートウェイ(セキュリティ アプライアンス)ホストを指定する XML ファイルです。さらに、プロファイルで、追加の接続アトリビュートおよび制約が伝搬されます。

通常、各ユーザが 1 つのプロファイル ファイルを使用します。このプロファイルには、ユーザが必要とするすべてのホスト、および必要に応じて追加の設定が含まれます。場合によっては、特定のユーザに複数のプロファイルを割り当てたいことがあります。たとえば、複数の場所で作業するユーザは、複数のプロファイルを必要とすることがあります。この場合、ユーザはドロップダウン リストから適切なプロファイルを選択します。ただし、Start Before Login など、一部のプロファイル設定は、グローバル レベルで接続を制御します。ホストに固有のその他の設定は、選択したホストに依存します。

AnyConnect クライアント プロファイル ダウンロードのイネーブル化

AnyConnect クライアント プロファイルは、クライアント ユーザ インターフェイスに表示される接続エントリの設定に使用する設定パラメータのグループを XML ファイルに格納したものです。クライアント パラメータ(XML タグ)には、ホスト コンピュータの名前とアドレス、および追加のクライアント機能をイネーブルにするための設定が含まれています。

XML プロファイル ファイルは、テキスト エディタで作成し、保存できます。クライアント インストールには、編集可能なプロファイル テンプレート(AnyConnectProfile.tmpl)が含まれており、別のプロファイル ファイルを作成するための基本として使用できます。

プロファイル ファイルは、セキュリティ アプライアンスからリモート ユーザの PC にダウンロードされます。そのため、リモート PC にダウンロードできるように、セキュリティ アプライアンスにプロファイルをインポートしておく必要があります。プロファイルは、ASDM またはコマンドライン インターフェイスでインポートできます。AnyConnect プロファイルのサンプルについては、 付録 A「AnyConnect プロファイルと XML スキーマのサンプル」 を参照してください。

AnyConnect クライアントを起動すると、次のディレクトリにある preferences.xml ファイルが読み込まれます。

C:\Documents and Settings\<your_username>\Local Settings\Application Data\Cisco\Cisco AnyConnect VPN Client.

preferences.xml ファイルには、最後に接続に成功したユーザ名およびセキュリティ アプライアンスの IP アドレスとホスト名が含まれています。次に、クライアントは、セキュリティ アプライアンスへの初期接続を確立して、GUI に表示するトンネル グループのリストを取得します。この初期接続のときに、セキュリティ アプライアンスにアクセスできない、またはホスト名を解決できない場合、「Connection attempt has failed」または「Connection attempt has failed due to unresolvable host entry」というメッセージが表示されます。

プロファイル(CiscoAnyConnectProfile.xml など)のコピーをディレクトリ C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect VPN Client\Profile に保存します。Windows Vista の場合はやや異なり、C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\Profile です。[Connect to] コンボボックスに表示されるホストは、プロファイルのリストの先頭にあるホスト、または最後に正常に接続したホストです。


注意 本書の例をカット アンド ペーストしないでください。カット アンド ペーストすると、改行が入り、XML が機能しなくなることがあります。代わりに、プロファイル テンプレート ファイルをテキスト エディタ(メモ帳やワードパッドなど)で開いてください。

ワークステーションに AnyConnect をインストールした後、次の場所に表示されるテンプレートを使用します。\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect VPN Client\Profile\AnyConnectProfile.tmpl

次の手順に従って、プロファイルを編集し、ASDM でセキュリティ アプライアンスからリモート クライアントへのダウンロードをイネーブルにします。


ステップ 1 クライアント インストールから、プロファイル ファイル(AnyConnectProfile.xml)のコピーを取得します。 表 7-2 に、各オペレーティング システムでのインストール パスを示します。

 

表 7-2 オペレーティング システムとプロファイル ファイルのインストール パス

オペレーティング システム
インストール パス

Windows

%PROGRAMFILES%\Cisco\Cisco AnyConnect VPN Client\1

Linux

/opt/cisco/vpn/profile

Mac OS X

/opt/cisco/vpn/profile

1.%PROGRAMFILES% は、同じ名前の環境変数を指します。ほとんどの Windows インストレーションでは、C:\Program Files です。

ステップ 2 プロファイル ファイルを編集します。次の例で、Windows のプロファイル ファイル(AnyConnectProfile.xml)の内容を示します。

<?xml version="1.0" encoding="UTF-8"?>
<!--
This is a template file that can be configured to support the
identification of secure hosts in your network.
 
The file needs to be renamed to CiscoAnyConnectProfile.xml.
 
The svc profiles command imports updated profiles for downloading to
client machines.
-->
<Configuration>
<ClientInitialization>
<UseStartBeforeLogon>false</UseStartBeforeLogon>
</ClientInitialization>
<HostProfile>
<HostName></HostName>
<HostAddress></HostAddress>
</HostProfile>
<HostProfile>
<HostName></HostName>
<HostAddress></HostAddress>
</HostProfile>
</Configuration>
 

<HostProfile> タグは、AnyConnect クライアントでリモート ユーザのホスト コンピュータの名前とアドレスが表示されるように、編集されることがよくあります。次の例で、ホスト コンピュータの名前およびアドレスが挿入された状態の <HostName> タグおよび <HostAddress> タグを示します。

 
<HostProfile>
<HostName>Sales_gateway</HostName>
<HostAddress>209.165.200.225</HostAddress>
</HostProfile>
 

ステップ 3 セキュリティ アプライアンスがクライアント プロファイル ファイルをキャッシュ メモリからロードするように指定するには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [Client Settings] の順に選択します(図 7-1)。

図 7-1 AnyConnect VPN クライアント プロファイルの追加または編集

 

[SSL VPN Client Profiles] エリアで [Add] または [Edit] をクリックします。[Add SSL VPN Client Profiles] または [Edit SSL VPN Client Profiles] ダイアログボックスが表示されます(図 7-2)。

図 7-2 [Add(または Edit)SSL VPN Client Profiles] ダイアログボックス

 

プロファイル名およびプロファイル パッケージ名を対応するフィールドに入力します。プロファイル パッケージ名を参照するには、[Browse Flash] をクリックします。[Browse Flash] ダイアログボックスが表示されます(図 7-3)。

図 7-3 [Browse Flash] ダイアログボックス

 

テーブルからファイルを選択します。ファイル名が、テーブルの下の [File Name] フィールドに表示されます。[OK] をクリックします。選択したファイル名が、[Add SSL VPN Client Profiles] または [Edit SSL VPN Client Profiles] ダイアログボックスの [Profile Package] フィールドに表示されます。

ステップ 4 [Add SSL VPN Client Profiles] または [Edit SSL VPN Client Profiles] ダイアログボックスで、[OK] をクリックします。これによって、クライアント ユーザのグループ ポリシーおよびユーザ名のアトリビュートにプロファイルを使用できるようになります。

ステップ 5 グループ ポリシーのプロファイルを設定するには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] の順に選択します 既存のグループ ポリシーを選択して [Edit] をクリックするか、[Add] をクリックして新しいグループ ポリシーを設定します。ナビゲーション ペインで、[Advanced] > [SSL VPN Client] を選択します。[Add Internal Group Policy] または [Internal Group Policy] ダイアログボックスが表示されます(図 7-4)。

図 7-4 [Add(または Edit)Internal Group Policy] ダイアログボックス

 

ステップ 7 に進みます。

ステップ 6 ユーザのプロファイルを設定するには、[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] の順に選択します。既存のユーザ名を選択して [Edit] をクリックするか、[Add] をクリックして新しいユーザ名を設定します。ナビゲーション ペインで、[VPN Policy] > [SSL VPN Client] の順に選択します。既存のユーザのプロファイルを変更するには、テーブルからユーザを選択し、[Edit] をクリックします。新しいユーザを追加するには、[Add] をクリックします。[Add User Account] または [Edit User Account] ダイアログボックスが表示されます(図 7-5)。

図 7-5 [Add または Edit User Account] ダイアログボックス(ユーザ名)

 

ステップ 7 [Inherit] を選択解除し、ダウンロードするクライアント プロファイルをドロップダウン リストから選択するか、[New] をクリックして新しいクライアント プロファイルを指定します。[New] をクリックすると、[Add SSL VPN Client Profile] ダイアログボックス(図 7-2)が表示されます。この図に関する説明に従ってください。

ステップ 8 設定が終了したら、[OK] をクリックします。


 

プロファイル アトリビュートの設定

プロファイル アトリビュートを設定するには、XML プロファイル テンプレートを変更し、独自のファイル名で保存します。このプロファイル XML ファイルを任意の時点でエンド ユーザに配布します。配布メカニズムは、ソフトウェアの配布に組み込まれます。


) 作成した XML プロファイルの確認は重要です。オンライン確認ツールまたは ASDM のプロファイル インポート機能を使用します。確認のために、プロファイル テンプレートと同じディレクトリにある AnyConnectProfile.xsd を使用できます。これらのファイルのハード コピーについては、付録 A「AnyConnect プロファイルと XML スキーマのサンプル」を参照してください。


次の項では、プロファイル テンプレートを変更し、プロファイル アトリビュートを設定する方法について説明します。

AnyConnect クライアントの Start Before Logon(SBL)のイネーブル化

SBL をイネーブルにすると、Windows のログイン ダイアログが表示される前に、AnyConnect GUI のログイン ダイアログが表示されます。これによって、VPN 接続が最初に確立されます。Start Before Logon は、Windows プラットフォームでのみ使用可能で、管理者がログイン スクリプト、パスワード キャッシング、ネットワーク ドライブからローカル ドライブへのマッピングなどを制御できるようにします。SBL 機能を使用すると、ログオン シーケンスの一部として VPN をアクティブにできます。SBL はデフォルトではディセーブルになっています。

SBL をイネーブルにする XML 設定

UseStartBeforeLogon の要素値によって、この機能をオン(true)またはオフ(false)にできます。プロファイルでこの値を true に設定すると、ログオン シーケンスの一部として、追加の処理が発生します。詳細については、Start Before Logon の説明を参照してください。

SBL をイネーブルにするには、CiscoAnyConnect.xml ファイルで、<UseStartBefore Logon> の値を true に設定します。

<?xml version="1.0" encoding="UTF-8" ?>
<Configuration>
<ClientInitialization>
<UseStartBeforeLogon>true</UseStartBeforeLogon>
</ClientInitialization>
 

SBL をディセーブルにするには、同じ値を false に設定します。

UserControllable 機能をイネーブルにするには、SBL をイネーブルにするときに、次の文を使用します。

<UseStartBeforeLogon userControllable=”false”>true</UseStartBeforeLogon>
 

このアトリビュートに関連付けられるユーザ設定は、別の場所に保管されます。

SBL をイネーブルにする CLI 設定

ダウンロード時間を最小にするため、AnyConnect クライアントは、サポートする各機能に必要なコア モジュールの(セキュリティ アプライアンスからの)ダウンロードだけを要求します。Start Before Logon(SBL)などの新しい機能をイネーブルにするには、グループ ポリシー webvpn またはユーザ名 webvpn コンフィギュレーション モードで svc modules コマンドを使用して、モジュール名を指定する必要があります。

[no ] svc modules { none | value string }

SBL の string vpngina です。

次の例では、ユーザがグループ ポリシー telecommuters のグループ ポリシー アトリビュート モードを開始し、次にグループ ポリシーの webvpn コンフィギュレーション モードを開始して、文字列 vpngina を指定して SBL をイネーブルにしています。

hostname(config)# group-policy telecommuters attributes
hostname(config-group-policy)# webvpn
hostame(config-group-webvpn)# svc modules value vpngina
 

また、管理者は AnyConnect profile.xml ファイルで <UseStartBeforeLogon> 文が true に設定されていることを確認する必要があります。次の例を参考にしてください。

<UseStartBeforeLogon UserControllable=“false”>true</UseStartBeforeLogon>
 

Start Before Logon を有効にするには、システムを再起動する必要があります。

セキュリティ アプライアンスで、SBL(または、その他の追加機能モジュール)も許可する必要があります。許可する方法については、「追加の AnyConnect 機能で使用するモジュールのイネーブル化」(ASDM)または「追加の AnyConnect 機能で使用するモジュールのイネーブル化」(CLI)を参照してください。

ServerList アトリビュートの設定

プロファイルを使用する大きな目的の 1 つとして、クライアントのユーザに、そのユーザが接続できるホストのリストを提供することがあります。ユーザは、適切なサーバを選択します。このサーバ リストは、ホスト名とホスト アドレスのペアで構成されています。ホスト名は、ホストを参照するために使用するエイリアス、FQDN、または IP アドレスにできます。FQDN または IP アドレスを使用する場合、HostAddress 要素は必要ありません。接続を確立するときに、ホスト アドレスが指定されていれば、そのアドレスを接続アドレスとして使用します。これによって、エイリアスまたはその他の名前をホスト名として使用できます。名前は、ネットワーク アドレス指定可能なホストに直接結び付ける必要はありません。ホスト アドレスが指定されていない場合は、ホスト名に接続しようと試みます。

サーバ リストの定義の一部として、デフォルト サーバを指定できます。このデフォルト サーバは、クライアントを使用してユーザが初めて接続を試行するときなどに指定されます。ユーザがデフォルト以外のサーバに接続すると、このユーザに関して、選択されたサーバが新しいデフォルトになります。ユーザの選択によって、プロファイルの内容が変わることはありません。ユーザの選択は、ユーザ プリファレンスに入力されます。

<?xml version="1.0" encoding="UTF-8" ?>
<Configuration>
<ServerList>
<HostEntry>
<HostName>MarketingASA01</HostName>
<HostAddress>209.165.200.224,/HostAddress>
</HostEntry>
<HostEntry>
<HostName>EngineeringASA01</HostName>
<HostAddress>209.165.200.225,/HostAddress>
</HostEntry>
</ServerList>
 

証明書照合アトリビュートの設定

AnyConnect クライアントは、次の証明書照合タイプをサポートします。これらのいくつか、またはすべてを使用して、クライアント証明書を照合できます。証明書照合は、AnyConnect プロファイルで設定できるグローバル基準です。次の基準があります。

Key Usage

Extended Key Usage

認定者名

Key Usage 証明書照合

証明書の key usage は、指定された証明書で実行できる幅広い操作の制約のセットを提供します。サポートされるセットは、次のとおりです。

DIGITAL_SIGNATURE

NON_REPUDIATION

KEY_ENCIPHERMENT

DATA_ENCIPHERMENT

KEY_AGREEMENT

KEY_CERT_SIGN

CRL_SIGN

ENCIPHER_ONLY

DECIPHER_ONLY

プロファイルには、0 個以上の照合基準を含めることができます。1 つ以上の基準が指定されている場合、証明書が一致すると見なされるには、少なくとも 1 つの基準が一致している必要があります。

「証明書照合の例」の例で、これらのアトリビュートを設定する方法を示します。

Extended Key Usage 証明書照合

この照合では、Extended Key Usage フィールドに基づいて、クライアントが使用できる証明書を管理者が制限できます。 表 7-3 に、既知の制約のセットと、それに対応するオブジェクト ID(OID)を示します。

表 7-3 Extended Key Usage 証明書

制約
OID

serverAuth

1.3.6.1.5.5.7.3.1

clientAuth

1.3.6.1.5.5.7.3.2

codeSign

1.3.6.1.5.5.7.3.3

emailProtect

1.3.6.1.5.5.7.3.4

ipsecEndSystem

1.3.6.1.5.5.7.3.5

ipsecTunnel

1.3.6.1.5.5.7.3.6

ipsecUser

1.3.6.1.5.5.7.3.7

timeStamp

1.3.6.1.5.5.7.3.8

OCSPSign

1.3.6.1.5.5.7.3.9

dvcs

1.3.6.1.5.5.7.3.10

管理者は、既知のセットに必要な OID がない場合、独自の OID を追加できます。プロファイルには、0 個以上の照合基準を含めることができます。証明書が一致すると見なされるには、指定されているすべての基準に一致している必要があります。例については、 付録 A「AnyConnect プロファイルと XML スキーマのサンプル」 のプロファイルの例を参照してください。

証明書認定者名マッピング

証明書認定者名マッピング機能によって、管理者は、クライアントが使用できる証明書を特定の基準および基準照合条件に一致する証明書に制限できます。 表 7-4 に、サポートされる基準を示します。

 

表 7-4 証明書認定者名マッピングの基準

ID
説明

CN

SubjectCommonName

SN

SubjectSurName

GN

SubjectGivenName

N

SubjectUnstructName

I

SubjectInitials

GENQ

SubjectGenQualifier

DNQ

SubjectDnQualifier

C

SubjectCountry

L

SubjectCity

SP

SubjectState

ST

SubjectState

O

SubjectCompany

OU

SubjectDept

T

SubjectTitle

EA

SubjectEmailAddr

ISSUER-CN

IssuerCommonName

ISSUER-SN

IssuerSurName

ISSUER-GN

IssuerGivenName

ISSUER-N

IssuerUnstructName

ISSUER-I

IssuerInitials

ISSUER-GENQ

IssuerGenQualifier

ISSUER-DNQ

IssuerDnQualifier

"SSUER-C

IssuerCountry

ISSUER-L

IssuerCity

ISSUER-SP

IssuerState

ISSUER-ST

IssuerState

ISSUER-O

IssuerCompany

ISSUER-OU

IssuerDept

ISSUER-T

IssuerTitle

ISSUER-EA

IssuerEmailAddr

プロファイルには、0 個以上の照合基準を含めることができます。証明書が一致すると見なされるには、指定されているすべての基準に一致している必要があります。認定者名照合によって、追加の照合基準が提供されます。たとえば、管理者が、指定した文字列が証明書に含まれている必要があるか、含まれていてはいけないかを指定できます。また、文字列のワイルドカードも使用できます。例については、 付録 A「AnyConnect プロファイルと XML スキーマのサンプル」 を参照してください。

証明書照合の例

次の例で、クライアント証明書選択を調整するために使用できるアトリビュートのイネーブル方法を示します。

<CertificateMatch>
<!--
Specifies Certificate Key attributes that can be used for choosing
acceptable client certificates.
-->
<KeyUsage>
<MatchKey>Non_Repudiation</MatchKey>
<MatchKey>Digital_Signature</MatchKey>
</KeyUsage>
<!--
Specifies Certificate Extended Key attributes that can be used for
choosing acceptable client certificates.
-->
<ExtendedKeyUsage>
<ExtendedMatchKey>ClientAuth</ExtendedMatchKey>
<ExtendedMatchKey>ServerAuth</ExtendedMatchKey>
<CustomExtendedMatchKey>1.3.6.1.5.5.7.3.11</CustomExtendedMatchKey>
</ExtendedKeyUsage>
<!--
Certificate Distinguished Name matching allows for exact
match criteria in the choosing of acceptable client
certificates.
-->
<DistinguishedName>
<DistinguishedNameDefinition Operator="Equal" Wildcard="Enabled">
<Name>CN</Name>
<Pattern>ASASecurity</Pattern>
</DistinguishedNameDefinition>
<DistinguishedNameDefinition Operator="Equal" Wildcard="Disabled">
<Name>L</Name>
<Pattern>Boulder</Pattern>
</DistinguishedNameDefinition>
</DistinguishedName>
</CertificateMatch>