Cisco Unified Mobility Advantage インストレー ション アドミニストレーション ガイド
Cisco Unified Mobility Advantage で使用 するための Cisco Adaptive Security Appliance ( ASA)の設定
Cisco Unified Mobility Advantage で使用するための Cisco Adaptive Security Appliance(ASA)の設定
発行日;2012/02/07 | 英語版ドキュメント(2009/10/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

Cisco Unified Mobility Advantage で使用するためのCisco Adaptive Security Appliance(ASA)の設定

マニュアル

の展開オプションについて

ファイアウォールとしてインストールされた

Proxy Server の役割に限定してインストールされた

コマンドライン インターフェイスの使用

コマンドライン インターフェイスを使用した Inside インターフェイスおよび Outside インターフェイスの設定

NAT ルールの指定

スタティック ルートの設定

サーバへのトラフィック通過の許可

に必要な、および推奨される証明書の導入方法

- クライアント証明書の取得およびインストール方法

(リリース 3.x からのアップグレードの場合) - クライアント証明書のインポート

(新規インストールの場合) - クライアント証明書の取得およびインポート方法

からの自己署名証明書のインポート

からの の証明書の生成

TLS プロキシの設定

MMP 検査の定義

の設定のテスト

のトラブルシューティング

便利なコマンド

PING に失敗する場合の修正

SSL ハンドシェイク エラー

TLS プロキシ設定と MMP 設定のデバッグ

Cisco Unified Mobility Advantage で使用するための Cisco Adaptive Security Appliance(ASA)の設定

Cisco Unified Mobility Advantage サーバへのセキュア接続を提供するために新規インストールやアップグレードを行うには、Cisco Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)が必要です。


) リリース 3.x からアップグレードする場合、Cisco Adaptive Security Appliance では Cisco Unified Mobility Advantage リリース 3.x の Proxy Server を交換します。


この章では、基本設定について説明します。

 

「Cisco Adaptive Security Appliance マニュアル」

「Cisco Adaptive Security Appliance の展開オプションについて」

「Cisco Adaptive Security Appliance コマンドライン インターフェイスの使用」

「コマンドライン インターフェイスを使用した Inside インターフェイスおよび Outside インターフェイスの設定」

「NAT ルールの指定」

「スタティック ルートの設定」

「Cisco Unified Mobility Advantage サーバへのトラフィック通過の許可」

「Cisco Adaptive Security Appliance に必要な、および推奨される証明書の導入方法」

「TLS プロキシの設定」

「MMP 検査の定義」

「Cisco Adaptive Security Appliance の設定のテスト」

「Cisco Adaptive Security Appliance のトラブルシューティング」

Cisco Adaptive Security Appliance マニュアル

Cisco Adaptive Security Appliance の設定の詳細については、次のCisco Adaptive Security Appliance マニュアルを参照してください。

Cisco ASA 5580 Adaptive Security Appliance Command Line Configuration Guide, Version 8.0

このマニュアルには、「Configuring Cisco Unified Communications Proxy Features」の章の他、証明書やトラストポイントの設定に関する有用な情報が記載されています。

Cisco Unified Mobility Advantage は、「Cisco UMA」と呼ばれます。

Cisco Unified Mobile Communicator は、「Cisco UMC」と呼ばれます。

Cisco Security Appliance Command Reference 』(バージョン 8.0(4) 用)

Cisco Adaptive Security Appliance マニュアルは、 http://cisco.com/en/US/products/ps6120/tsd_products_support_series_home.htm で入手できます。

Cisco Adaptive Security Appliance の展開オプションについて

この展開では、Cisco Adaptive Security Appliance に 2 つのインターフェイス(内向きと外向き)があります。この 2 つのインターフェイスは、DeMilitarized Zone(DMZ; 非武装地帯)内の異なる 2 つのサブネット(またはVLAN)に接続する必要があります。

Cisco Unified Mobile Communicator クライアントは、DMZ のサブネット 1 にあるグローバルにルーティング可能な Cisco Unified Mobility Advantage サーバ用 IP アドレスに要求を送信します。この要求を、DMZ ゲートウェイが Cisco Adaptive Security Appliance に送信します。Cisco Adaptive Security Appliance は、IP アドレスをイントラネット内の Cisco Unified Mobility Advantage サーバのプライベート IP アドレス に変換します。

また、Cisco Adaptive Security Appliance も、クライアントと Cisco Unified Mobility Advantage の間で通信をルーティングするために、外部のすべてのクライアント ソース IP アドレスを DMZ のサブネット 2 にある共有クライアント IP アドレスに変換します。

Cisco Adaptive Security Appliance は、次の 2 つの方法のいずれかによってネットワークにインストールできます。

「ファイアウォールとしてインストールされたCisco Adaptive Security Appliance」

「Proxy Server の役割に限定してインストールされた Cisco Adaptive Security Appliance」

ファイアウォールとしてインストールされたCisco Adaptive Security Appliance

図 2-1 は、ファイアウォールとしての Cisco Adaptive Security Appliance を示しています。

 

図 2-1 ファイアウォールとしてインストールされたCisco Adaptive Security Appliance

 

Proxy Server の役割に限定してインストールされた Cisco Adaptive Security Appliance

Cisco Adaptive Security Appliance を DMZ にインストールし、プロキシ サーバの役割に限定して使用できます。この章の設定は、このオプションに基づいています。

図 2-2 は、このプロセスの例を示しています。

図 2-2 プロキシの役割に限定して DMZ にインストールされたCisco Adaptive Security Appliance

 

 

Cisco Adaptive Security Appliance コマンドライン インターフェイスの使用

この章の設定では、Cisco Adaptive Security Appliance コマンドライン インターフェイスを使用します。

手順


ステップ 1 SSH セッションまたは HyperTerminal セッションを開きます。

ステップ 2 次のコマンドを入力して、すべての設定コマンドにアクセスします。

enable

(パスワードなし)

configure terminal


 

コマンドライン インターフェイスを使用した Inside インターフェイスおよび Outside インターフェイスの設定

始める前に

必要な IP アドレスを取得します。「IT 部門からの IP アドレスおよび DNS 名の取得」 を参照してください。

手順


ステップ 1 Cisco Adaptive Security Appliance コマンドライン インターフェイスにアクセスします。

ステップ 2 show run を入力して、Cisco Adaptive Security Appliance モデルのインターフェイスのリストを表示します。

たとえば、Cisco Adaptive Security Appliance 5505 は、インターフェイス VLAN1 と VLAN2 を呼び出します。Cisco Adaptive Security Appliance 5520 および 5550 の場合、インターフェイス名の形式は GigabitEthernetX/Y になります。

ステップ 3 IP アドレスを Inside インターフェイスに割り当てます。

interface <Cisco Adaptive Security Appliance モデルの Inside インターフェイス名>

nameif inside

security-level 100

ip address <Inside インターフェイスの IP アドレス。この例では 192.0.2.182 > <サブネット マスク>

ステップ 4 IP アドレスを Outside インターフェイスに割り当てます。

interface <Cisco Adaptive Security Appliance モデルの Outside インターフェイス名>

nameif outside

security-level 0

ip address <Outside インターフェイスの IP アドレス。この例では 192.0.2.41 ><サブネット マスク>


 

NAT ルールの指定

この項は、Cisco Adaptive Security Appliance をプロキシの役割に限定して設定している場合に限り必要です。Cisco Adaptive Security Appliance をファイアウォールとして設定している場合、この項は省略します。

このソリューションは、プロキシの IP アドレスとポート番号に限定して外部アクセスを許可し、外部の直接アクセスから実際の IP アドレスとオープン ポートの番号が見えないようにすることで、内部サーバを保護するのに役立ちます。Network Address Translation(NAT; ネットワーク アドレス変換)および Port Address Translation(PAT; ポート アドレス変換) のルールによって、これらのパブリック アドレスやパブリック ポートがプライベート アドレスやプライベート ポートに変換されます。

このソリューションの次のルールを設定します。

Cisco Unified Mobility Advantage サーバのパブリック IP アドレスとパブリック ポートをプライベート IP アドレスとプライベート ポートに変換する。

ダイナミック NAT ルールを作成して、任意の Cisco Unified Mobile Communicator クライアントのソース IP アドレスを、内部のファイアウォールを通過できる単一 IP アドレスに変換する。Cisco Unified Mobility Advantage は、同じ IP アドレスに対して応答を返信します。

例:

クライアントをCisco Unified Mobility Advantage サーバのグローバルにルーティング可能な IP アドレス(192.0.2.41)に接続します。

NAT ルールによって、このアドレスが Cisco Unified Mobility Advantage サーバのプライベート IP アドレス(172.16.27.41)に変換されます。

別の NAT ルールによって、すべてのクライアントからの通信が、Cisco Adaptive Security Appliance で Cisco Unified Mobility Advantage サーバとのすべてのクライアント通信に使用される単一の IP アドレス(192.0.2.182)に変換されます。

NAT および PAT の詳細については、Cisco Adaptive Security Appliance のコンフィギュレーション マニュアルを参照してください。

始める前に

ファイアウォール内の必要なポートが開いていることを確認します。「ファイアウォール ポートの開放」 を参照してください。

手順


ステップ 1 Cisco Adaptive Security Appliance コマンドライン インターフェイスにアクセスします。

ステップ 2 ファイアウォールを通過してCisco Unified Mobility Advantage にルーティングされるように、すべてのクライアント IP アドレスを単一のソース IP アドレスに変換します。

nat-control

global ( <Inside インターフェイス名> ) <NAT ID> <すべてのクライアント IP アドレスを変換する共有 IP アドレス> netmask <サブネット マスク>

nat ( <Outside インターフェイス名> ) 1 0 0 outside

クライアントの共有 IP アドレスは Inside インターフェイスと同じであるため、IP アドレスの代わりに interface を指定できることに注意してください。

例:

global (inside) 1 interface

nat (outside) 1 0.0.0.0 0.0.0.0 outside

ステップ 3 Cisco Unified Mobility Advantage サーバのグローバルにルーティング可能な IP アドレスを Cisco Unified Mobility Advantage サーバのプライベート IP アドレスに変換します。

static ( <Inside インターフェイス名,Outside インターフェイス名> ) tcp <Cisco Unified Mobility Advantage サーバのグローバルにルーティング可能な IP アドレス> <プロキシ クライアント接続ポート> <Cisco Unified Mobility Advantage サーバのプライベート IP アドレス> <クライアント接続ポート> netmask <サブネット マスク>

static ( <Inside インターフェイス名,Outside インターフェイス名> ) tcp <Cisco Unified Mobility Advantage サーバのグローバルにルーティング可能な IP アドレス> <プロキシ クライアント ダウンロード ポート> <Cisco Unified Mobility Advantage サーバのプライベート IP アドレス> <クライアント ダウンロード ポート> netmask <サブネット マスク>

Cisco Unified Mobility Advantage サーバのグローバルにルーティング可能な IP アドレスは Outside インターフェイスと同じであるため、IP アドレスの代わりに interface を指定できることに注意してください。

例:

static (inside,outside) tcp interface 5442 172.16.27.41 5443 netmask 255.255.255.255

static (inside,outside) tcp interface 9079 172.16.27.41 9080 netmask 255.255.255.255


 

スタティック ルートの設定

Cisco Adaptive Security Appliance をプロキシとして DMZ にインストールしているネットワーク アーキテクチャの場合、Inside インターフェイスとOutside インターフェイスに対してデフォルト ゲートウェイへのスタティック ルートを指定する必要があります。


) Cisco Adaptive Security Appliance をファイアウォールとしてインストールしている場合、スタティック ルートを設定する必要はありません。


場合によっては、2 つのスタティック ルート(Outside インターフェイスを介して Cisco Adaptive Security Appliance を接続するサブネットのデフォルト ゲートウェイと、Inside インターフェイスを介して Cisco Adaptive Security Appliance を接続するデフォルト ゲートウェイ)を設定する必要があります。Cisco Unified Mobility Advantage のプライベート IP アドレスが、Cisco Adaptive Security Appliance サーバ(DMZ ネットワークなど)とは異なるネットワーク(内部の社内ネットワークなど)上にある場合はこれが必要です。

手順


ステップ 1 Cisco Adaptive Security Appliance コマンドライン インターフェイスにアクセスします。

ステップ 2 デフォルト ゲートウェイへのスタティック ルートをインターフェイスごとに指定します。

route <Outside インターフェイス名> 0.0.0.0 0.0.0.0 < アウトサイド サブネットのデフォルト ゲートウェイ の IP アドレス> 1

route <Inside インターフェイス名> <Cisco Unified Mobility Advantage サーバのプライベート IP アドレス> <ネットマスク> < インサイド サブネットのデフォルト ゲートウェイ の IP アドレス > 1

例:

route outside 0 0 10.10.10.1 1

route inside 192.168.1.0 255.255.255.0 10.1.1.1 1


 

Cisco Unified Mobility Advantage サーバへのトラフィック通過の許可

アクセス リストを作成して、Cisco Unified Mobility Advantage サーバへのトラフィック通過を許可します。

手順


ステップ 1 Cisco Adaptive Security Appliance コマンドライン インターフェイスにアクセスします。

ステップ 2 トラフィックを許可します。

access-list <ID> extended permit tcp any host <Cisco Unified Mobility Advantage サーバのグローバルにルーティング可能な IP アドレス> eq <プロキシ クライアント接続ポート>

access-list <ID> extended permit tcp any host <Cisco Unified Mobility Advantage サーバのグローバルにルーティング可能な IP アドレス> eq <プロキシ クライアント ダウンロード ポート>

access-group <ID> in interface <Outside インターフェイス名>

 

例:

access-list permit_cuma extended permit tcp any host <cuma proxy ip> eq 5443

access-list permit_cuma extended permit tcp any host <cuma proxy ip> eq 9080

access-group permit_cuma in interface outside


 

Cisco Adaptive Security Appliance に必要な、および推奨される証明書の導入方法

次のすべての手順を実行し、必要な、および推奨される証明書を Cisco Adaptive Security Appliance 上および Cisco Adaptive Security Appliance から導入します。Cisco Adaptive Security Appliance でのこれらの各手順を実行すると共に、Cisco Unified Mobility Advantage で追加の手順を実行する必要があります。

「Cisco Adaptive Security Appliance - クライアント証明書の取得およびインストール方法」

「Cisco Unified Mobility Advantage からの自己署名証明書のインポート」

「Cisco Adaptive Security Appliance からの Cisco Unified Mobility Advantage の証明書の生成」

Cisco Adaptive Security Appliance - クライアント証明書の取得およびインストール方法

Cisco Unified Mobile Communicator を Cisco Adaptive Security Appliance に接続する場合、Cisco Adaptive Security Appliance は公認の Certificate Authority(CA; 認証局)によって署名された証明書を提供する必要があります(サポートされる認証局は、Verisign と GeoTrust です)。

「(リリース 3.x からのアップグレードの場合Cisco Adaptive Security Appliance) - クライアント証明書のインポート」

「(新規インストールの場合)Cisco Adaptive Security Appliance - クライアント証明書の取得およびインポート方法」

 

(リリース 3.x からのアップグレードの場合Cisco Adaptive Security Appliance) - クライアント証明書のインポート

アップグレードして、リリース 3.1.2 で使用した Proxy Server からの署名付き証明書を再利用する場合は、この手順を使用します。

制約事項

「Proxy Server からの SSL 証明書の保存」 で詳しく説明している制約事項を満たしている場合に限り、Proxy Server の証明書を再利用できます。

それ以外の場合は、「(新規インストールの場合)Cisco Adaptive Security Appliance - クライアント証明書の取得およびインポート方法」の手順を実行します。

始める前に

この証明書をインポートする前に、Cisco Unified Mobility Advantage をアップグレードする必要があります。次のアップグレード前およびアップグレード後の手順が完了していることを確認します。

「Proxy Server からの SSL 証明書の保存」

「リリース 7.x への Proxy Server 証明書のアップロード」

「Proxy Server 証明書のダウンロード、および Cisco Adaptive Security Appliance 上で使用するための準備」

手順


ステップ 1 次のインポート コマンドを使用して、署名付き証明書を PKCS12 形式で Cisco Adaptive Security Appliance にインポートします。

crypto ca import <トラストポイント名 1> pkcs12 < パスフレーズ >

[ssl64.p12 ファイルの内容をここに貼り付けます]

次の行を含めます。末尾に余分なスペースが入らないようにしてください。

----BEGIN CERTIFICATE----

----END CERTIFICATE----

ステップ 2 中間証明書をインポートします。

crypto ca trustpoint <トラストポイント名 1>

enrollment terminal

crypto ca authenticate <トラストポイント名 1>

[中間証明書の内容をここに貼り付けます]

中間証明書は、この手順の前提条件を実行中に、Cisco Unified Mobility Advantage からダウンロードしたファイルを基に作成した PEM ファイル( your_pemcert.pem )に含まれている 2 番目の証明書です。

次の行を含めます。末尾に余分なスペースが入らないようにしてください。

----BEGIN CERTIFICATE----

----END CERTIFICATE----

ステップ 3 ルート証明書をインポートします。

crypto ca trustpoint < トラストポイント名 2 >

enrollment terminal

crypto ca authenticate < トラストポイント名 2 >

[ルート証明書の内容をここに貼り付けます]

ルート証明書は、PEM ファイル( your_pemcert.pem )に含まれている 3 番目および最後の証明書です。

次の行を含めます。末尾に余分なスペースが入らないようにしてください。

-BEGIN CERTIFICATE----

--END CERTIFICATE----


 

(新規インストールの場合)Cisco Adaptive Security Appliance - クライアント証明書の取得およびインポート方法

リリース 3.1.2 からアップグレードして、Proxy Server からの署名付き証明書を再利用している場合以外は、この手順が必要です。

この手順には、いくつかのサブ手順があります。

「証明書署名要求の生成」

「証明書署名要求の認証局への送信」

「署名付き証明書の Cisco Adaptive Security Appliance へのアップロード」

証明書署名要求の生成

始める前に

「IT 部門からの IP アドレスおよび DNS 名の取得」 に明記されているように、Proxy Host Name 用の IP アドレスと完全修飾ドメイン名を取得します。

必要な社名または組織名、組織ユニット、国、および州または都道府県の値を決定します。「Security Context の作成」 の表を参照してください。

手順


ステップ 1 設定モードに入ります。

conf t

ステップ 2 この証明書のキー ペアを生成します。

crypto key generate rsa label <キーペア名 1> modulus 1024

「Please wait...」メッセージが表示されます。よく注意してプロンプトが再表示されるのを確認します。

ステップ 3 証明書要求の生成に必要な次の情報を使用して、トラストポイントを作成します。

crypto ca trustpoint <トラストポイント名 1>

subject-name CN= <Cisco Unified Mobility Advantage サーバの Proxy Host Name。Fully Qualified Domain Nameを使用します> , OU= <組織ユニット名> , O= <公式に登録されている社名または組織名> , C= <2 文字の国番号> , St= <州> , L= <市>

社名、組織ユニット、国 および の値に対する要件については、この手順の前提条件で決定した値を参照してください)

keypair <キーペア名 1>

fqdn <Cisco Unified Mobility Advantage サーバの Proxy Host Name。この値は、上記で CN に入力した値と厳密に一致している必要があります>

enrollment terminal

ステップ 4 証明書署名要求を生成して認証局に送信します。

crypto ca enroll <トラストポイント名 1>

% Start certificate enrollment.

% The subject name in the certificate will be: CN= <Cisco Unified Mobility Advantage サーバの Proxy Host Name> , OU= <組織ユニット名> , O= <組織名> , C= <2 文字の国番号> , St= <州> , L= <市>

% The fully-qualified domain name in the certificate will be: <Cisco Unified Mobility Advantage サーバの Proxy Host Name>

% Include the device serial number in the subject name?[yes/no]: no

% Display Certificate Request to terminal?[yes/no]: yes

ステップ 5 証明書署名要求 に表示されるテキスト全体をテキスト ファイルにコピー アンド ペーストします。

次の行を含めます。末尾に余分なスペースが入らないようにしてください。

----BEGIN CERTIFICATE----

----END CERTIFICATE----

ステップ 6 テキスト ファイルを保存します。


 

次の手順

「証明書署名要求の認証局への送信」

証明書署名要求の認証局への送信

Cisco Unified Mobility Advantage の署名付き証明書は認証局である VeriSign および GeoTrustから取得できます。これらの証明書は、すべてのモバイル デバイスで一般に使用できるので、サポートされます。

始める前に

「証明書署名要求の生成」

選択した認証局の Web サイトにアクセスして、128 ビットの署名付き SSL 証明書を取得および導入するための要件と手順について確認します。購入する証明書がわからない場合は、認証局に問い合わせます。入手可能な証明書に関する情報は変更されることがあります。

また、必要な記録が保持されるように、証明書を拡張するための要件をチェックします。

手順


ステップ 1 認証局の Web サイトにアクセスして、認証局の指示に従います。

上記で生成した Certificate Signing Request (CSR; 証明書署名要求)が必要です。

このプロセスには最大24時間かかります。

ステップ 2 E メール経由で署名付き証明書が届くまで待ちます。

ステップ 3 証明書と共に届く指示に従います。

たとえば、認証局の Web サイトからの中間証明書のコピーが必要な場合があります。


 

次の手順

「署名付き証明書の Cisco Adaptive Security Appliance へのアップロード」

 

署名付き証明書の Cisco Adaptive Security Appliance へのアップロード

始める前に

「証明書署名要求の認証局への送信」 で要求した署名付き証明書が必要になります。

認証局からの導入に関する指示に従います。たとえば、必要な中間証明書を認証局の Web サイトから入手します。


ヒント VeriSign 認証を使用する場合、ルート証明書および中間証明書の取得については、https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=SO4785 を参照してください。


手順


ステップ 1 中間証明書をインポートすることによって、トラストポイントを認証します。

crypto ca authenticate <トラストポイント名 1>

CA からの中間証明書の内容を貼り付けます。

次の行を含めます。末尾に余分なスペースが入らないようにしてください。

----BEGIN CERTIFICATE----

----END CERTIFICATE----

1 行に「quit」だけ入力して終了します。

ステップ 2 署名付き証明書をインポートします。

crypto ca import <トラストポイント名 1> certificate

CA からの署名付き証明書の内容を貼り付けます。

1 行に「quit」だけ入力して終了します。

ステップ 3 ルート証明書を追加します。

crypto ca trustpoint <トラストポイント名 2>

enrollment terminal

crypto ca authenticate <トラストポイント名 2>

ルート証明書の内容を貼り付けます。


 

Cisco Unified Mobility Advantage からの自己署名証明書のインポート

Cisco Adaptive Security Appliance では、Cisco Unified Mobility Advantage を信頼するために証明書が必要です。

Cisco Adaptive Security Appliance は、公認の認証局が署名した証明書を自動的に信頼しないため、Cisco Unified Mobility Advantage で署名付き証明書を導入する場合でもこの手順を実行します。

始める前に

自己署名証明書が要求を満たしているかどうかを判断します。「必須および推奨される自己署名証明書」 のオプションを参照してください。

Cisco Unified Mobility Advantage をインストールまたはアップグレードします。

次のいずれかの手順を実行します。

リリース 3.1.2 からのアップグレード後(Managed Server に署名付き証明書がなかった場合):「Cisco Adaptive Security Appliance へのインポートのための、Cisco Unified Mobility Advantage からの自己署名証明書のダウンロード」を参照してください。

新規インストール後:Configuration Wizard の完了後に、「自己署名証明書のダウンロード(設定ウィザードの実行後)」の手順を実行します。

任意のインストール後:「Cisco Unified Mobility Advantage からの自己署名証明書のダウンロード」 によって、Cisco Unified Mobility Advantage からの自己署名証明書を生成します。

手順


ステップ 1 Cisco Unified Mobility Advantage からの自己署名証明書を(メモ帳ではなく)ワードパッドで開きます。

ステップ 2 証明書をCisco Adaptive Security Appliance のトラスト ストアにインポートします。

crypto ca trustpoint <トラストポイント名 3>

enrollment terminal

crypto ca authenticate <トラストポイント名 3>

ワードパッドから証明書の内容をすべて選択してコピーします。

次の行を含めます。末尾に余分なスペースが入らないようにしてください。

----BEGIN CERTIFICATE----

----END CERTIFICATE----

Cisco Adaptive Security Appliance コマンドライン インターフェイス ウィンドウに貼り付けます。


 

関連トピック

「自己署名証明書の導入(Cisco Adaptive Security Appliance )」

次の手順

「Cisco Adaptive Security Appliance からの Cisco Unified Mobility Advantage の証明書の生成」

Cisco Adaptive Security Appliance からの Cisco Unified Mobility Advantage の証明書の生成

Cisco Unified Mobility Advantage を設定して、Cisco Adaptive Security Appliance から証明書を要求することをお勧めします。この手順を使用して、必要な自己署名証明書を提供します。

手順


ステップ 1 設定モードに入ります。

conf t

ステップ 2 キー ペアを生成します。

crypto key generate rsa label <キーペア名 2>

「Please wait...」メッセージが表示されます。よく注意してプロンプトが再表示されるのを確認します。

ステップ 3 証明書を作成します。

crypto ca trustpoint <トラストポイント名 4>

enrollment self

keypair <キーペア名 2>

crypto ca enroll <トラストポイント名 4>

incl device serial number in the subject name - n

Gen self signed - y

ステップ 4 証明書をエクスポートします。

crypto ca export <トラストポイント名 4> identity-certificate

ステップ 5 テキストをワードパッドにコピー アンド ペーストします。

次の行を含めます。末尾に余分なスペースが入らないようにしてください。

----BEGIN CERTIFICATE----

----END CERTIFICATE----

ステップ 6 テキスト ファイルとして保存します。


 

トラブルシューティングのヒント

証明書を後から取得する必要がある場合は、次のコマンドを使用します。
crypto ca export <トラストポイント名> identity-certificate

関連トピック

「自己署名証明書の導入(Cisco Adaptive Security Appliance )」

次の手順

Cisco Unified Mobility Advantage をインストールまたはアップグレードした後、Cisco Unified Mobility Advantage の Admin Portal の [System Management] > [Network Properties] ページ で指定した Security Context に証明書をインポートします。Configuration Wizard を使用した場合、またはこれから使用する場合、Security Context は [cuma] になります。「信用済みサーバからの自己署名証明書のインポート」 を参照してください。

TLS プロキシの設定

Cisco Adaptive Security Appliance コマンドライン インターフェイスを使用して TLS プロキシを設定します。この手順では、Cisco Unified Mobility Advantage とのCisco Unified Mobile Communicator クライアントの接続および Cisco Adaptive Security Appliance の通信のために、TLS プロキシ インスタンスを作成します。

始める前に

クライアントに提供するための署名付き証明書をインポートします。「Cisco Adaptive Security Appliance - クライアント証明書の取得およびインストール方法」 を参照してください。

Cisco Adaptive Security Appliance から自己署名証明書を生成してCisco Unified Mobility Advantage にインポートします。「Cisco Adaptive Security Appliance からの Cisco Unified Mobility Advantage の証明書の生成」 を参照してください。

手順


ステップ 1 次のコマンドを実行して、Cisco Adaptive Security Appliance に TLS プロキシを設定します。

tls-proxy <TLS プロキシ名>

server trust-point <トラストポイント名 1>

これは、Cisco Adaptive Security Appliance によってモバイル クライアントに提供される(上記でインポートした)署名付き証明書を保持するトラストポイントです。

client trust-point <トラストポイント名 4>

これは、Cisco Adaptive Security Appliance によって Cisco Unified Mobility Advantage に提供される(上記で生成して Cisco Unified Mobility Advantage にインポートした)自己署名証明書を保持するトラストポイントです。

no server authenticate-client

このリリースでは、Cisco Adaptive Security Appliance がモバイル クライアントを自動的に信頼する必要があります。Cisco Adaptive Security Appliance は、クライアント接続を認証しません。

client cipher-suite aes128-sha1 aes256-sha1


 

関連トピック

「自己署名証明書の導入(Cisco Adaptive Security Appliance )」

 

MMP 検査の定義

この手順では、専用プロトコルである Mobile Multiplexing Protocol(MMP)を有効にします。

手順


ステップ 1 Cisco Adaptive Security Appliance コマンドライン インターフェイスにアクセスします。

ステップ 2 次のコマンドを実行して、MMP 検査を定義します。

access-list mmp_inspect extended permit tcp any any eq <プロキシ クライアント接続ポート>

class-map cuma_proxy

match access-list mmp_inspect

exit

policy-map global_policy

class cuma_proxy

inspect mmp tls-proxy <TLS プロキシ名>

exit

exit

service-policy global_policy global


 

Cisco Adaptive Security Appliance の設定のテスト

次の基本的なテストを実行して、内部および外部の通信を正常にルーティングできる設定であることを確認します。

手順


ステップ 1 Cisco Adaptive Security Appliance から Cisco Unified Mobility Advantage サーバのプライベート IP アドレスにPINGを実行します。

ステップ 2 インターネット上の IP アドレスにPINGを実行します。


 

次の手順

いずれかのテストに失敗する場合は、「PING に失敗する場合の修正」を参照してください。

Cisco Adaptive Security Appliance のトラブルシューティング

「便利なコマンド」

「PING に失敗する場合の修正」

「SSL ハンドシェイク エラー」

「TLS プロキシ設定と MMP 設定のデバッグ」

便利なコマンド

Cisco Adaptive Security Appliance の設定のトラブルシューティングに便利なコマンドを次に示します。

これらのコマンドの一部を使用するには、特定のモード(privileged EXEC など)が必要な場合があります。

コマンドの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。

 

対象作業
使用するコマンド

トラブルシューティングのログを有効にする。

logging timestamp

logging list loglist message 711001

logging list loglist message 725001-725014

logging list loglist message 717001-717038

logging buffer-size 1000000

logging buffered loglist

logging debug-trace

現在のロギング設定を表示する。

show logging

ログをクリアする。

clear logging buffer

現在の設定内容を表示する。

show running-config

既存のキーペアを表示して、キーペアが生成されていることを確認する。

sh crypto key mypubkey rsa

証明書情報を表示して、正しく入力およびインポートされたことを確認する。

sh crypto ca certificate <certificate_name>

Cisco Adaptive Security Appliance のすべての証明書の設定をチェックする。

sh crypto ca certificates

Cisco Adaptive Security Appliance にインポートした Cisco Unified Mobility Advantage から証明書の設定をチェックする。

sh crypto ca trustpoints

コマンドをクリア、または設定項目を削除して再設定する(トラストポイントなど)。

no <消去するコマンド>

再設定できるように、特定のコマンドの設定をクリアする。

clear configure <コマンド>

例: TLS プロキシを削除するには、次のように入力します。

clear configure tls-proxy

次のコマンドを使用して、クライアントを介して接続を試みた場合に Cisco Adaptive Security Appliance で何が発生するかを確認します。

現在の TLS プロキシ セッション に関する情報を表示する。

sh tls-proxy session detail

 

TLS プロキシ検査のデバッグ メッセージを表示する。

debug inspect tls-proxy

アクティブな MMP セッションのリストを表示する。

show mmp

MMP イベントの検査を表示する。

debug mmp

関連トピック

「初期テストで接続されない」

「初期テストで一部のクライアントが接続できない」

PING に失敗する場合の修正

手順

 

状況
手順

Cisco Adaptive Security Appliance から Cisco Unified Mobility Advantage サーバのプライベート IP アドレスにPINGできない。

a. 次のコマンドを使用して、最初のホップがデフォルトのルータであるかどうかをチェックします。
traceroute <Cisco Unified Mobility Advantage サーバのプライベート IP アドレス> source inside

b. Inside インターフェイスのルーティング コマンドをチェックします。

c. トラフィックが Inside インターフェイスを通過できるようにアクセス リストを設定していることを確認します。

Cisco Adaptive Security Appliance からインターネット上の IP アドレスの接続を確認する。

Outside インターフェイスのルーティング コマンドをチェックします。

SSL ハンドシェイク エラー

次の点に注意します。

クライアントと Cisco Adaptive Security Appliance 間、または Cisco Adaptive Security Appliance と Cisco Unified Mobility Advantage 間の接続に関連する問題によってSSL ハンドシェイク エラーが生じることがあります。両接続の設定をチェックします。

次のエラーは良性です。
%ASA-7-725014: SSL lib error.Function: SSL3_READ_BYTES Reason: ssl handshake failure,

SSL ハンドシェイク エラー メッセージによって TLS プロキシ セッションが終了する場合は、証明書の設定をチェックします。

sh crypto ca certificates

sh crypto ca trustpoints

いずれかのトラストポイントが「Not configured」と表示されている場合、設定の証明書の部分を再確認します。

 

TLS プロキシ設定と MMP 設定のデバッグ

接続に失敗する場合は、次の手順を試みます。

手順


ステップ 1 次のコマンドを使用して、デバッグを有効にします。

debug inspect tls-proxy all

debug mmp

ステップ 2 次のコマンドを使用して、MMP 検査が発生しているかどうかをチェックします。

show mmp

show tls-proxy

ステップ 3 ログに MMP メッセージは表示されるが TLS プロキシ メッセージは表示されない場合、検査ポートが正しいかどうかをチェックします。