Cisco AnyConnect VPN Client アドミニスト レータ ガイド
AnyConnect クライアントを展開するための セキュリティ アプライアンスの設定
AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定

セキュリティ アプライアンスによる AnyConnect クライアントの展開方法

AnyConnect クライアントをインストールする前に

AnyConnect クライアントの自動インストール方法

AnyConnect クライアントと新規インストールされた Windows 2000

信頼済みサイトのリストへのセキュリティ アプライアンスの追加(IE)

ブラウザの警告ウィンドウに対応するセキュリティ証明書の追加

インストールする AnyConnect クライアント ファイルの入手先

複数の AnyConnect クライアント イメージをロードする場合の接続時間の短縮方法

AnyConnect クライアントのダウンロードのためのセキュリティ アプライアンスの設定

リモート ユーザに対する AnyConnect クライアント ダウンロードのプロンプト

追加の AnyConnect 機能で使用するモジュールのイネーブル化

証明書のみの認証の設定

AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定

この章では、AnyConnect クライアントを展開するためのセキュリティ アプライアンスを、ASDM を使用して設定する方法について説明します。CLI を使用してセキュリティ アプライアンスを設定する方法については、『 Cisco 5500 Series Adaptive Security Appliance CLI Configuration Guide 』を参照してください。

この章は、次の項で構成されています。

「セキュリティ アプライアンスによる AnyConnect クライアントの展開方法」

「AnyConnect クライアントをインストールする前に」

「AnyConnect クライアントのダウンロードのためのセキュリティ アプライアンスの設定」

「リモート ユーザに対する AnyConnect クライアント ダウンロードのプロンプト」

「追加の AnyConnect 機能で使用するモジュールのイネーブル化」

「証明書のみの認証の設定」

セキュリティ アプライアンスによる AnyConnect クライアントの展開方法

Cisco AnyConnect VPN クライアントには、リモート ユーザ用として、セキュリティ アプライアンスへのセキュアな SSL 接続が用意されています。以前にインストールされたクライアントを持たないリモート ユーザは、クライアントレス SSL VPN 接続を許可するよう設定されたインターフェイスのブラウザに、IP アドレスまたは DNS 名を入力します。http:// リクエストを https:// リクエストにリダイレクトするようセキュリティ アプライアンスが設定されていない場合、ユーザは https://< address > 形式で URL を入力する必要があります。

URL を入力すると、ブラウザがそのインターフェイスに接続して、ログイン画面が表示されます。ユーザがログインと認証に成功し、クライアントを必要とするユーザであることがセキュリティ アプライアンスによって確認されると、リモート コンピュータのオペレーティング システムに応じたクライアントがダウンロードされます。ダウンロード後、クライアントがインストールおよび設定され、セキュア SSL 接続が確立されます。接続終了時にクライアントが維持されるか、アンインストールされるかは、セキュリティ アプライアンスの設定で決まります。

以前にインストールされたクライアントの場合は、ユーザの認証時にセキュリティ アプライアンスがクライアントのバージョンを調べて、必要に応じてクライアントをアップグレードします。

クライアントがセキュリティ アプライアンスとの SSL VPN をネゴシエートするときに、クライアントは Datagram Transport Layer Security(DTLS)を使用した接続の使用を試みます。DTLS では、一部の SSL 接続で発生する遅延と帯域幅の問題が防止され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。DTLS 接続を確立できない場合は、Transport Layer Security(TLS)にフォールバックします。

セキュリティ アプライアンスは、グループ ポリシー、または接続を確立したユーザのユーザ名アトリビュートに基づいて、クライアントをダウンロードします。セキュリティ アプライアンスは、自動的にクライアントをダウンロードするよう設定することも、クライアントをダウンロードするかどうかをリモート ユーザに尋ねるよう設定することもできます。後者の場合は、ユーザからの返答がない場合に、タイムアウト期間後にクライアントをダウンロードするようセキュリティ アプライアンスを設定することも、ログイン ページを表示するよう設定することもできます。

AnyConnect クライアントをインストールする前に

次の項では、AnyConnect クライアントを正しくインストールするための推奨事項、および証明書、Cisco Security Agent(CSA)、信頼済みサイトの追加、ブラウザのアラートへの対処方法について説明しています。

「AnyConnect クライアントの自動インストール方法」

「AnyConnect クライアントと新規インストールされた Windows 2000」

「信頼済みサイトのリストへのセキュリティ アプライアンスの追加(IE)」

「ブラウザの警告ウィンドウに対応するセキュリティ証明書の追加」

AnyConnect クライアントの自動インストール方法

クライアント PC に AnyConnect クライアント ソフトウェアを自動インストールする際には、次の推奨事項と警告が適用されます。

AnyConnect クライアントのセットアップ中のユーザへのプロンプトを最小限にするには、クライアント PC 上とセキュリティ アプライアンス上の証明書データを一致させます。

セキュリティ アプライアンス上の証明書に対して Certificate Authority(CA; 認証局)を使用する場合は、クライアント マシン上で信頼済み CA として設定されたものを選択します。

セキュリティ アプライアンス上で自己署名証明書を使用する場合は、それを信頼済みルート証明書としてクライアントにインストールしておきます。

手順はブラウザによって異なります。この項の次の手順を参照してください。

セキュリティ アプライアンスの証明書の Common Name(CN; 通常名)と、クライアントが接続に使用する名前が一致していることを確認します。デフォルトでは、セキュリティ アプライアンスの証明書の CN フィールドは IP アドレスになっています。クライアントが DNS 名を使用する場合は、セキュリティ アプライアンスの証明書の CN フィールドをその名前に変更します。

証明書に Subject Alternate Name(SAN)が含まれている場合、ブラウザは [サブジェクト(Subject)] フィールドの CN 値を無視し、SAN フィールドの DNS 名を調べます。

ユーザがホスト名を使用して ASA に接続する場合は、SAN に ASA のホスト名とドメイン名が含まれている必要があります。たとえば、SAN フィールドが
DNS Name=hostname.domain.com となっている必要があります。

ユーザが IP アドレスを使用して ASA に接続する場合は、SAN に ASA の IP アドレスが含まれている必要があります。たとえば、SAN フィールドが DNS Name=209.165.200.254 となっている必要があります。

AnyConnect クライアントのインストール中に、Cisco Security Agent(CSA)から警告が表示されることがあります。

現在出荷中のバージョンの CSA は、AnyConnect クライアントと互換性のある組み込みルールを持っていません。CSA バージョン 5.0 以降を使用すると、次の手順により次のルールを作成できます。


ステップ 1 ルール モジュール「Cisco Secure Tunneling Client Module」に次の FACL を追加します。

Priority Allow, no Log, Description: “Cisco Secure Tunneling Browsers, read/write vpnweb.ocx”
Applications in the following class: “Cisco Secure Tunneling Client - Controlled Web Browsers”
Attempt: Read file, Write File
 

すべての @SYSTEM\vpnweb.ocx ファイルで、次のことを行います。

ステップ 2 アプリケーション クラス「Cisco Secure Tunneling Client - Installation Applications」に次のプロセス名を追加します。

**\vpndownloader.exe
@program_files\**\Cisco\Cisco AnyConnect VPN Client\vpndownloader.exe
 

将来のバージョンの CSA には、このルールが組み込まれる予定です。


 

Microsoft Internet Explorer(MSIE)ユーザは、信頼済みサイト リストにセキュリティ アプライアンスを追加するか、Java をインストールすることを推奨します。Java をインストールすると、インストールに対して ActiveX コントロールが有効になり、ユーザの操作が最小限で済みます。セキュリティが強化された Windows XP SP2 のユーザにとって、このことは非常に重要です。Windows Vista ユーザは、信頼済みサイトのリストにセキュリティ アプライアンスを追加し、ダイナミック展開機能を使用する 必要 があります。信頼済みサイトのリストにセキュリティ アプライアンスを追加する方法については、『 Cisco AnyConnect VPN Client アドミニストレータ ガイド 』を参照してください。Microsoft Active Directory を使用して、Internet Explorer の信頼済みサイト リストにセキュリティ アプライアンスを追加する方法については、『 Cisco AnyConnect VPN Client アドミニストレータ ガイド 』の「付録 B」を参照してください。

AnyConnect クライアントと新規インストールされた Windows 2000

ごくまれに、Windows 2000 が新規インストールまたはクリーン インストールされたコンピュータに AnyConnect クライアントをインストールした場合、AnyConnect クライアントが接続に失敗し、コンピュータに次のメッセージが表示されることがあります。

The required system DLL (filename) is not present on the system.
 

これが発生するのは、コンピュータの winnt\system32 ディレクトリにファイル MSVCP60.dll または MSVCRT.dll がない場合です。この問題の詳細については、Microsoft サポート情報の記事 259403(http://support.microsoft.com/kb/259403)を参照してください。

信頼済みサイトのリストへのセキュリティ アプライアンスの追加(IE)

セキュリティ アプライアンスを信頼済みサイトのリストに追加するには、Microsoft Internet Explorer を使用して、次の手順を実行します。


) これは、Windows Vista で WebLaunch を使用して実行する必要があります。



ステップ 1 [ツール(Tools)]、[インターネット オプション(Internet Options)] の順に選択します。

[インターネット オプション(Internet Options)] ウィンドウが開きます。

ステップ 2 [セキュリティ(Security)] タブをクリックします。

ステップ 3 [信頼済みサイト(Trusted Sites)] アイコンをクリックします。

ステップ 4 [サイト(Sites)] をクリックします。

[信頼済みサイト(Trusted Sites)] ウィンドウが開きます。

ステップ 5 セキュリティ アプライアンスのホスト名または IP アドレスを入力します。複数のサイトをサポートするには、https://*.yourcompany.com のようなワイルドカードを使用します。この例では、yourcompany.com ドメイン内のすべての ASA 5500 が許可されます。

ステップ 6 [追加(Add)] をクリックします。

ステップ 7 [OK] をクリックします。

[信頼済みサイト(Trusted Sites)] ウィンドウが閉じます。

ステップ 8 [インターネット オプション(Internet Options)] ウィンドウで [OK] をクリックします。


 

ブラウザの警告ウィンドウに対応するセキュリティ証明書の追加

ここでは、ブラウザの警告ウィンドウへの対応として、自己署名証明書を信頼済みルート証明書としてクライアントにインストールする方法について説明します。

Microsoft Internet Explorer の [セキュリティの警告(Security Alert)] ウィンドウへの対応

ここでは、Microsoft Internet Explorer の [セキュリティの警告(Security Alert)] ウィンドウへの対応として、自己署名証明書を信頼済みルート証明書としてクライアントにインストールする方法について説明します。このウィンドウは、Microsoft Internet Explorer で、信頼済みサイトとして認識されないセキュリティ アプライアンスへの接続が確立したときに開きます。[セキュリティの警告(Security Alert)] ウィンドウの上半分には、次のテキストが表示されます。

Information you exchange with this site cannot be viewed or changed by others. However, there is a problem with the site's security certificate. The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority.
 

次の手順に従って、信頼済みルート証明書として証明書をインストールします。


ステップ 1 [セキュリティの警告(Security Alert)] ウィンドウの [証明書の表示(View Certificate)] をクリックします。

[証明書(Certificate)] ウィンドウが開きます。

ステップ 2 [証明書のインストール(Install Certificate)] をクリックします。

[証明書のインポート ウィザードの開始(Certificate Import Wizard Welcome)] が開きます。

ステップ 3 [次へ(Next)] をクリックします。

[証明書インポート ウィザード(Certificate Import Wizard)] - [証明書ストア(Certificate Store)] ウィンドウが開きます。

ステップ 4 [証明書の種類に基づいて、自動的に証明書ストアを選択する(Automatically select the certificate store based on the type of certificate)] をクリックします。

ステップ 5 [次へ(Next)] をクリックします。

[証明書インポート ウィザードの完了(Certificate Import Wizard - Completing)] ウィンドウが開きます。

ステップ 6 [完了(Finish)] をクリックします。

ステップ 7 別の [セキュリティ警告(Security Warning)] ウィンドウで「この証明書をインストールしますか?(Do you want to install this certificate?)」というメッセージが表示されるので、[はい(Yes)] をクリックします。

[証明書のインポート ウィザード(Certificate Import Wizard)] ウィンドウに、インポートが成功したというメッセージが表示されます。

ステップ 8 [OK] をクリックして、このウィンドウを閉じます。

ステップ 9 [OK] をクリックして、[証明書(Certificate)] ウィンドウを閉じます。

ステップ 10 [はい(Yes)] をクリックして、[セキュリティの警告(Security Alert)] ウィンドウを閉じます。

セキュリティ アプライアンスのウィンドウが開き、証明書が信頼されたというメッセージが表示されます。


 

Netscape、Mozilla、または Firefox の [未知の認証局により証明(Certified by an Unknown Authority)] ウィンドウへの対応

ここでは、[Web サイトが未知の認証局により証明されています(Web Site Certified by an Unknown Authority)] ウィンドウへの対応として、自己署名証明書を信頼済みルート証明書としてクライアントにインストールする方法について説明します。このウィンドウは、Netscape、Mozilla、または Firefox で、信頼済みサイトとして認識されないセキュリティ アプライアンスへの接続が確立したときに開きます。このウィンドウには、次のテキストが表示されます。

Unable to verify the identity of <Hostname_or_IP_address> as a trusted site.
 

次の手順に従って、信頼済みルート証明書として証明書をインストールします。


ステップ 1 [Web サイトが未知の認証局により証明されています(Web Site Certified by an Unknown Authority)] ウィンドウの [証明書を審査する(Examine Certificate)] ボタンをクリックします。

[証明書ビューア(Certificate Viewer)] ウィンドウが開きます。

ステップ 2 [今後この証明書を受け入れる(Accept this certificate permanently)] オプションをクリックします。

ステップ 3 [OK] をクリックします。

セキュリティ アプライアンスのウィンドウが開き、証明書が信頼されたというメッセージが表示されます。


 

インストールする AnyConnect クライアント ファイルの入手先

すべての AnyConnect クライアントは次の場所に保存されています。http://www.cisco.com/cgi-bin/tablebuild.pl/anyconnect

AnyConnect クライアントのパッケージは次のとおりです。

anyconnect-win-2.3.0254-k9.pkg:AnyConnect、vpngina、DART が含まれています。

anyconnect-no-dart-win-2.3.0254-k9.pkg:AnyConnect、vpngina が含まれますが、DART は含まれて いません

同じ場所で、次の AnyConnect ファイルもダウンロードおよびロードできます。

AnyConnect 変換ファイル :anyconnect.po_2.3.0254.zip

AnyConnect API :anyconnect_API_2.3.0254.zip

DART (Diagnostic AnyConnect Reporting Tool):DART が含まれるダウンロード ファイルには、次のものがあります。

anyconnect-win-2.3.00254-k9.pkg:AnyConnect、vpngina、DART が含まれています。

anyconnect-dart-win.msi:DART インストール パッケージ だけ が含まれ、AnyConnect または vpngina ソフトウェアは含まれていません。


) ダウンロード ファイル anyconnect-no-dart-win-2.3.0254-k9.pkg には AnyConnect および vpngina ソフトウェアが含まれますが、DART は含まれていません


DART の zip ファイル内には msi が格納されており、他の MS msi と同様に展開およびインストールできます。DART によって、[スタート(Start)] -> [すべてのプログラム(All Programs)] -> [Cisco] -> [Cisco DART] にプログラム グループが作成されます。デフォルトでは、「DARTBundle.zip」という名前のデスクトップ アイコンから出力ファイルを使用できます。

複数の AnyConnect クライアント イメージをロードする場合の接続時間の短縮方法

複数の AnyConnect クライアント イメージをセキュリティ アプライアンスにロードする場合は、リモート ユーザ数が最大のときに接続時間が最短になる順序で、イメージをロードする必要があります。

セキュリティ アプライアンスは、オペレーティング システムと一致するまで、クライアント イメージの一部をリモート コンピュータにダウンロードしていきます。イメージのダウンロードは、リストの上から順に行われます。そのため、リモート コンピュータで最も多く使用されているオペレーティング システムと一致するイメージを、リストの先頭に指定する必要があります。

モバイル ユーザは接続速度が遅いため、Windows Mobile 用の AnyConnect クライアント イメージをリストの最初でロードする必要があります。

モバイル ユーザに対しては、正規表現キーワードを使用して、モバイル デバイスの接続時間を短縮することができます。ブラウザは適応型セキュリティ アプライアンスに接続するときに、HTTP ヘッダーにユーザエージェント文字列を含めます。適応型セキュリティ アプライアンスはその文字列を受け取ると、その文字列がイメージに対して設定された表現と一致した場合に、他のクライアント イメージをテストすることなく、すぐにそのイメージをダウンロードします。

AnyConnect クライアントのダウンロードのためのセキュリティ アプライアンスの設定

AnyConnect クライアントを展開するようセキュリティ アプライアンスを準備するには、次の手順に従います。


ステップ 1 Cisco.com から最新の AnyConnect クライアント パッケージをダウンロードします。

ソフトウェアのダウンロード ページは次の場所にあります。

http://www.cisco.com/cgi-bin/tablebuild.pl/anyconnect

ステップ 2 AnyConnect クライアント パッケージを SSL VPN クライアントとして指定します。

[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク アクセス(Network Access)] > [詳細(Advanced)] > [SSL VPN] > [クライアント設定(Client Settings)] を選択します。[SSL VPN クライアント設定(SSL VPN Client Settings)] パネルが表示されます(図 2-1)。

このパネルには、クライアント イメージとして認識された AnyConnect クライアント ファイルが一覧表示されます。この表に表示される順序は、セキュリティ アプライアンスがリモート コンピュータにファイルをダウンロードする順序を反映しています。

クライアント イメージを追加するには、[SSL VPN クライアント イメージ(SSL VPN Client Images)] 領域で [追加(Add)] をクリックします。Cisco.com からダウンロードしたファイルの名前を入力し、[アップロード(Upload)] をクリックします。コンピュータ内でファイルを参照することもできます。

図 2-1 AnyConnect クライアント イメージの指定

 

ステップ 3 アドレスの割り当て方式を設定します

DHCP や、ユーザが割り当てたアドレス指定を使用できます。ローカル IP アドレス プールを作成し、そのプールをトンネル グループに割り当てる方法もあります。このガイドでは、一般的なアドレス プール方式を例として使用します。

[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [アドレス割り当て(Address Assignment)] > [アドレス プール(Address Pools)] を選択します(図 2-2)。[IP プールの追加(Add IP Pool)] ウィンドウにアドレス プール情報を入力します。

図 2-2 [IP プールの追加(Add IP Pool)] ダイアログ

 

ステップ 4 クライアント ダウンロードを有効にし、接続プロファイルでアドレス プールを割り当てます。

[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [AnyConnect 接続プロファイル(AnyConnect Connection Profiles)] を選択します。(図 2-3)の矢印に従って AnyConnect クライアントを有効にしてから、アドレス プールを割り当てます。

図 2-3 SSL VPN クライアント ダウンロードの有効化

 

ステップ 5 グループ ポリシーで許可された VPN トンネリング プロトコルとして SSL VPN を指定します。

[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループ ポリシー(Group Policies)] を選択します。[グループ ポリシー(Group Policies)] パネルが表示されます。図 2-4 の矢印に従って、グループの SSL VPN を有効にします。

図 2-4 トンネリング プロトコルとしての SSL VPN の指定

 

リモート ユーザに対する AnyConnect クライアント ダウンロードのプロンプト

デフォルトでは、リモート ユーザがブラウザを使用して最初に接続したときに、セキュリティ アプライアンスは AnyConnect クライアントをダウンロードしません。ユーザの認証後、デフォルトのクライアントレス ポータル ページに [AnyConnect クライアントの起動(Start AnyConnect Client)] ドロワーが表示され、ユーザがクライアントのダウンロードを選択できるようになっています。または、クライアントレス ポータル ページを表示することなく、すぐにクライアントをダウンロードするようセキュリティ アプライアンスを設定できます。

リモート ユーザにプロンプトを表示し、設定された時間内にクライアントをダウンロードするか、クライアントレス ポータル ページを表示するかを選択できるよう、セキュリティ アプライアンスを設定することもできます。

この機能は、グループ ポリシーまたはユーザに対して設定できます。このようなログイン設定を変更するには、次の手順に従ってください。


ステップ 1 [設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループ ポリシー(Group Policies)] を選択します。グループ ポリシーを選択して、[編集(Edit)] をクリックします。[内部グループ ポリシーの編集(Edit Internal Group Policy)] ウィンドウが表示されます(図 2-5)。

ステップ 2 ナビゲーション ペインで、[詳細(Advanced)] > [SSL VPN クライアント(SSL VPN Client)] > [ログイン設定(Login Settings)] を選択します。[ログイン後の設定(Post Login settings)] が表示されます。必要に応じて [継承(Inherit)] チェックボックスを選択解除し、[ログイン後の設定(Post Login setting)] を選択します。

ユーザにプロンプトを表示する場合は、タイムアウト時間を指定し、その時間経過後のデフォルト動作を [ログイン後のデフォルト動作選択(Default Post Login Selection)] で選択します。

図 2-5 ログイン設定の変更

 

ステップ 3 [OK] をクリックし、変更をグループ ポリシーに適用します。

図 2-6 は、[ユーザに選択のプロンプトを表示(Prompt user to choose)] と [SSL VPN クライアントをダウンロード(Download SSL VPN Client)] を選択した場合に、リモート ユーザに表示されるプロンプトを示しています。

図 2-6 リモート ユーザに表示されるログイン後プロンプト

 

追加の AnyConnect 機能で使用するモジュールのイネーブル化

AnyConnect クライアント用に新しい機能がリリースされた場合、リモート ユーザが新しい機能を使用できるように、リモート ユーザの AnyConnect クライアントをアップデートする必要があります。ダウンロード時間を最小にするため、AnyConnect クライアントは、サポートする各機能に必要なモジュールの(セキュリティ アプライアンスからの)ダウンロードだけを要求します。

新しい機能をイネーブルにするには、グループ ポリシーまたはユーザ名の設定の一部として、新しいモジュール名を指定する必要があります。グループ ポリシーのモジュール ダウンロードを有効にするには、次の手順に従います。


ステップ 1 [設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループ ポリシー(Group Policies)] を選択します。グループ ポリシーを選択して、[編集(Edit)] をクリックします。[内部グループ ポリシーの編集(Edit Internal Group Policy)] ウィンドウが表示されます(図 2-7)。

ステップ 2 ナビゲーション ペインで、[詳細(Advanced)] > [SSL VPN クライアント(SSL VPN Client)] を選択します。[ダウンロードするオプションのクライアント モジュール(Optional Client Module to Download)] のドロップリストをクリックし、モジュールを選択します。

図 2-7 ダウンロードするオプションのクライアント モジュールの指定

 

ステップ 3 [OK] をクリックし、変更をグループ ポリシーに適用します。

[Start Before Logon] を選択した場合は、AnyConnect クライアント プロファイルでもこのクライアント機能を有効にする必要があります。詳細については、 「AnyConnect クライアント機能の設定」 を参照してください。

証明書のみの認証の設定

ユーザ名とパスワードを使用して AAA でユーザを認証するか、デジタル証明書で認証するか(または、その両方を使用するか)を指定する必要があります。証明書のみの認証を設定すると、ユーザはデジタル証明書で接続でき、ユーザ ID とパスワードを入力する必要がなくなります。

証明書のみの認証は、接続プロファイルの中で設定できます。この設定を有効にするには、次の手順に従います。


ステップ 1 [設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [AnyConnect 接続プロファイル(AnyConnect Connection Profiles)] を選択します。接続プロファイルを選択し、[編集(Edit)] をクリックします。[SSL VPN 接続プロファイルの編集(Edit SSL VPN Connection Profile)] ウィンドウが表示されます(図 2-8)。

図 2-8 証明書のみの認証の設定

 

ステップ 2 [認証(Authentication)] エリアで方式として [証明書(Certificate)] を指定します。

ステップ 3 (省略可能)インターフェイスに特定の証明書を割り当てることができます。[クライアント証明書が必要(Require Client Certificate)] をクリックします(図 2-9)。

図 2-9 インターフェイスで証明書が必要

 

ステップ 4 (省略可能)各インターフェイスで SSL 認証に使用する証明書があれば、その証明書を指定できます。特定のインターフェイスに対して証明書を指定しない場合、フォールバック証明書が使用されます。

そのためには、[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [詳細(Advanced)] > [SSL 設定(SSL Settings)] を選択します。[証明書(Certificates)] エリアで、インターフェイスを選択して [編集(Edit)] をクリックします。[SSL 証明書の選択(Select SSL Certificate)] ウィンドウが表示されます(図 2-10)。ドロップリストから証明書を選択します。[OK] をクリックし、変更を適用します。

図 2-10 インターフェイスの証明書の指定