Cisco Secure Services Client アドミニストレータ ガイド Release 5.1.0
SSC の FIPS 140-2 レベル 1 準拠に 関する検証
SSC の FIPS 140-2 レベル 1 準拠に関する検証
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

SSC の FIPS 140-2 レベル 1 準拠に関する検証

概要

3eTI の FIPS 認定 Crypto Kernel Library(CKL)

FIPS 統合

3eTI CKL ドライバのインストーラ

FIPS 関連情報

3eTI 製ドライバのインストール方法

重要な注意事項

3eTI CKL ドライバのインストーラの概要

インストーラのコマンドおよびコマンド ライン オプション

コマンド ライン オプションを使用しないインストーラの実行

以前の 3eTI ドライバ ソフトウェアのアンインストール

エンタープライズ展開の場合のドライバのサイレント インストール

ネットワーク アダプタが事前にインストールされていない場合のドライバのインストール

3eTI ドライバ ソフトウェアの手動アップグレード

FIPS 140-2 レベル 1 準拠の展開例

SSC および 3eTI ドライバ インストーラ ソフトウェアの入手方法

概要

米国政府機関およびカナダ政府機関では、暗号モジュールを含む IT 製品を購入する場合に、Federal Information Processing Standards Publication(FIPS)140-2 の要件に適合することが求められています。本リリースの SSC は、FIPS 140-2 レベル 1 モジュールをサポートし(現在、National Institute of Standards and Technology(NIST; 米国国立標準技術研究所)で検証中)、FIPS 準拠の IEEE 802.1i(WPA2)セキュリティのサポートを提供します。

管理者は、企業の従業員に対して、次のいずれかの操作を許可できます。

FIPS 準拠のネットワークだけに接続する。

他の、FIPS 準拠でないネットワークに接続する。

そのためには、SSC スキーマのポリシー セクションで、許可されるアソシエーション モードと暗号モード、および認証方式を制限します。

SSC FIPS モジュールは、FIPS 承認の AES 暗号モジュールをサポートします。たとえば、WPA2 Personal(WPA2-PSK)、WPA2 Enterprise(802.1X)などです。また、EAP-TLS、EAP-PEAP、EAP-FAST などの、EAP 方式もサポートします。管理者は、SSC 5.1 を使用することによって、FIPS 準拠の WLAN プロファイルをサポートできるだけでなく、任意で、FIPS 非準拠の構成(クライアント VPN セキュリティが有効になっている Wi-Fi ホットスポットへのアクセスなど)もサポートできます。

管理者は、プロファイルを適切に命名して、ネットワークが FIPS 対応かどうかを示す責任があります。

FIPS に完全に準拠したソリューションには、次の 3 つのコンポーネントが必要です。

FIPS モジュールを備えた SSC 5.1

3eTL の FIPS 認定 Crypto Kernel Library(CKL)と、サポートされている NIC アダプタ ドライバ

ネットワーク管理者が作成した、FIPS 準拠のネットワーク プロファイル設定

3eTI の FIPS 認定 Crypto Kernel Library(CKL)

3eTI の FIPS 認定 CKL は、次の NIC アダプタ チップセットをサポートします。

Intel 2100、2200、2915、および 3945 チップセット

Broadcom:バージョン 4.100.27.0 以上のドライバをサポートする、すべての BCM 43xx チップセット

Atheros PCI チップセットが使用された NIC アダプタ(Cisco AIR-CB21 無線クライアント アダプタ カードなど)

Atheros:5001、5004、5005、AR5211、および AR5212 チップセット

FIPS 統合

ネットワーク管理者は、ソリューションを確実に FIPS に準拠させるため、FIPS 準拠の EAP または WPA2-Personal(事前共有キー)による、AES 暗号を使用した WPA2 ハンドシェイクだけを許可するネットワーク プロファイルを設定する必要があります。

SSC Log Packager ユーティリティは、3eTI パケットのログを収集します。

3eTI CKL ドライバのインストーラ

FIPS による検証済みの 3eTI CKL とサポートされているドライバのインストール方法については、 「3eTI 製ドライバのインストール方法」 を参照してください。

FIPS 関連情報

FIPS の詳細は、 「FIPS 140-2 レベル 1 準拠の展開例」 および「FIPS 用の単一ユーザ アカウントの設定」を参照してください。

3eTI 製ドライバのインストール方法

ここでは、SSC と統合して完全な FIPS ソリューションを提供するための、FIPS による検証済みの 3eTI CKL とサポートされているドライバのインストール手順を説明します。

重要な注意事項

1. 3eTI CKL ドライバのインストーラは、3eTI の無線ドライバが常に 1 つだけシステムにインストールされるように設計されています。タイプが異なるドライバをインストールする前に、以前のドライバをアンインストールする必要があります。既存のドライバと同じタイプのドライバをインストールする場合は、既存のドライバがアップデートされるので、アンインストールは不要です。

2. ハードウェアが存在し、システムにインストールされている場合は、インストーラにより、対応する OEM の無線 NIC アダプタ ドライバが、3eTI CKL をサポートする 3eTI の修正済みドライバにアップデートされます。

3eTI CKL ドライバのインストーラの概要

3eTI CKL ドライバのインストーラは、次のいずれかの方法で開始できます。

.exe ファイルをダブルクリック:インストーラの実行前に PC に NIC アダプタがインストールされている、ドライバの通常インストールを実行する場合だけに使用可能

コマンド ライン オプションを指定せずにインストーラのコマンドを使用:ドライバの通常インストールを実行する場合だけに使用可能

コマンド ライン オプションを指定してインストーラのコマンドを使用:ドライバの通常インストールおよび事前インストールを実行する場合に使用可能

.exe ファイルをダブルクリックするか、コマンド ライン オプションを指定せずにコマンドを実行してドライバのインストーラを起動すると、次の処理が実行されます。

3eTI CKL とサポートされている NIC アダプタ ドライバを検出およびインストールして、それらが FIPS に規定されているとおりに動作するようにします。

3eTI CKL をサポートする NIC アダプタが複数検出された場合、ユーザはアダプタを選択するように要求されます。

互換性のある NIC アダプタが PC 上に見つからない場合は、インストールが中止されて、次のエラー メッセージが表示されます。

The installer cannot auto-detect a NIC chipset to provide FIPS support. To enforce a pre-installation, you are required to run the installer using the command line. For instructions or further assistance, please contact your network administrator.


) 事前インストールのシナリオでは、ネットワーク管理者が個別にインストール オプションを指定できるコマンド ライン オプションを使用するのが最適です。通常、事前インストールは、初心者のユーザではなく、ネットワーク管理者によって実行されます。


インストーラのコマンドおよびコマンド ライン オプション

インストーラでは、次のコマンドおよびコマンド ライン オプションを使用できます。

3eTI-drv-installer.exe -s -auto Type= XXXX

各オプションの意味は、次のとおりです。

 

s

ユーザに何もメッセージを表示せずに、サイレント インストールを実行します。

auto

インテリジェント インストールを実行します。インストーラによって PC 内のサポートされている NIC が調べられ、適切なドライバがインストールされます。それによって、コマンド ライン オプションを指定せずにコマンドを入力した場合と同様の操作が実行されます。

Type= XXXX

NIC アダプタ チップセットの事前インストールまたは通常インストールを指定します。

事前インストールでは、規定の NIC アダプタが PC にインストールされる前にドライバがインストールされます。

通常インストールでは、NIC アダプタがインストールされた状態でドライバがインストールされます。

XXXX の値
説明
Intel3945

Intel3945 チップセット用のドライバを指定します。

Centrino

Intel 2100、l2200、および 2915 チップセット用のドライバを指定します。

Broadcom

インストーラがサポートする Broadcom チップセット用のドライバを指定します。

Atheros

Atheros 5001、5004、5005、AR5211、および AR5212 チップセット用のドライバを指定します。

Cisco

Cisco AIR-CB21 カードおよび Atheros チップセット用のドライバを指定します。


) s オプションを使用してサイレント インストールを実行する場合は、auto と Type=XXXX のいずれか、またはその両方のオプションを指定する必要があります。


例:

s オプションと auto オプションを組み合わせて使用する場合は、次のようにインストールが実行されます。

インストールされている NIC アダプタが自動的に検出され、インテリジェント インストールが実行されます。

ユーザに何もメッセージを表示せずに、サイレント インストールが実行されます。

複数の NIC アダプタが検出された場合は、サポートされている任意のチップセットが選択されます。

auto オプションと Type=XXXX オプションを組み合わせて使用する場合は、次のようにインストールが実行されます。

Type=XXXX で指定された NIC アダプタ チップセット用のドライバのインストールが試行されます。

検出された NIC アダプタが指定されたチップセットをサポートしていない場合は、サポートされているチップセットを備えた任意の NIC アダプタ用のドライバがインストールされます。

3eTI-drv-installer.exe Type=Intel3945 -auto -s と指定した場合は、次のようにインストールが実行されます。

Intel3945 チップセット用のドライバのインストールが試行されます。ユーザには何もメッセージが表示されません。

Intel3945 チップセット備えた NIC アダプタが検出されない場合は、検出された他の NIC アダプタのうち、サポートされているチップセットを備えたものについて、ドライバのサイレント インストールが実行されます。

サポートされているチップセットを備えた NIC アダプタが検出されない場合は、ドライバの事前インストールが実行されません。

3eTI-drv-installer.exe Type=Intel3945 -s と指定した場合は、次のようにインストールが実行されます。

Intel3945 チップセット用のドライバのインストールが試行されます。ユーザには何もメッセージが表示されません。

サポートされている NIC アダプタ チップセットが検出されない場合は、事前インストールが実行され、指定されたチップセット ドライバがインストールされます。

コマンド ライン オプションを使用しないインストーラの実行

NIC アダプタが PC にインストールされた状態で通常インストールを実行する手順は、次のとおりです。


ステップ 1 次のいずれかの手順を実行してインストーラを起動します。

a. Windows エクスプローラを使用して PC 上の 3eTI-drv-installer.exe ファイルを探し、ファイル名をダブルクリックします。

b. Start > Run の順にクリックし、次のとおりに、インストーラの実行コマンドを入力します。

path / 3eTI-drv-installer.exe

path は、インストーラのファイルへのディレクトリ パスです。

図7-1 の画面が表示されます。

図7-1 ドライバのインストール開始ウィンドウ

 

ステップ 2 Next をクリックすると、ライセンス契約が表示されます(図7-2 を参照)。

図7-2 ライセンス契約

 

ステップ 3 ライセンス契約を読んで同意し、 Next をクリックすると、図7-3 の画面が表示されます。

図7-3 インストール先選択ウィンドウ

 

ステップ 4 ドライバ ソフトウェアのデフォルトのインストール先フォルダを使用するか、 Browse をクリックしてインストール先フォルダを選択します。

ステップ 5 Next をクリックすると、図7-4 の画面が表示されます。

図7-4 インストール準備完了ウィンドウ

 

ステップ 6 Install をクリックすると、インストール プロセスが開始されます。インストールが完了すると、図7-5 の画面が表示されます。

図7-5 ウィザード完了ウィンドウ

 

ステップ 7 Finish をクリックします。


 

以前の 3eTI ドライバ ソフトウェアのアンインストール

以前の 3eTI ドライバ ソフトウェアをアンインストールする手順は、次のとおりです。


ステップ 1 以前の 3eTI ドライバ ソフトウェアをアンインストールするには、 Start > Settings > Control Panel > Add or Remove Programs の順にクリックします。

ステップ 2 3eTI ドライバ ソフトウェア(3e-010F-3 など)を選択し、 Remove をクリックします。ポップアップ ウィンドウが表示されます(図7-6 を参照)。

図7-6 ドライバ ソフトウェアのアンインストール ポップアップ

 

ステップ 3 ドライバ ソフトウェアをアンインストールするには、 Yes をクリックします。図7-7 の画面が表示されます。

図7-7 コンピュータの再起動ウィンドウ

 

ステップ 4 コンピュータをすぐに再起動するには、 Yes を選択します。

ステップ 5 Finish をクリックします。PC が再起動し、ドライバ ソフトウェアが完全に削除されます。


 

エンタープライズ展開の場合のドライバのサイレント インストール

サイレント モードでインストーラを実行する手順は、次のとおりです。


ステップ 1 次のコマンドを入力してインストーラを実行します。

path / 3eTI-drv-installer.exe - s Type= XXXX

各オプションの意味は、次のとおりです。

path はインストーラ ファイルへのディレクトリ パスです。

- s はサイレント インストールが実行されることを示します。

Type= XXXX には、Centrino、Intel3945、Cisco などのチップセットを指定します(「インストーラのコマンドおよびコマンド ライン オプション」 を参照)。

ポップアップ ステータス ウィンドウにドライバのインストールの進行状況が表示され、インストールが完了すると表示が消えます。


 

ネットワーク アダプタが事前にインストールされていない場合のドライバのインストール

NIC アダプタがインストールされていない状態で PC に 3eTI ドライバを事前インストールする手順は、次のとおりです。


ステップ 1 Start > Run の順にクリックして次のインストーラ実行コマンドを入力し、インストーラを起動します。

path / 3eTI-drv-installer.exe Type = XXXX

各オプションの意味は、次のとおりです。

path はインストーラ ファイルへのディレクトリ パスです。

Type= XXXX には、Centrino、Intel3945、Cisco などのチップセットを指定します(「インストーラのコマンドおよびコマンド ライン オプション」 を参照)。

図7-1 の画面が表示されます。

ステップ 2 「コマンド ライン オプションを使用しないインストーラの実行」ステップ 2 から ステップ 7 を実行します。

ステップ 3 ドライバのインストールが完了したら、NIC アダプタを PC に挿入またはインストールします。


 

3eTI ドライバ ソフトウェアの手動アップグレード

手動アップグレードの手順は、ドライバのインストールに関する問題のトラブルシューティングで役立ちます。エンタープライズ展開時にこの手順を実行することは、想定されていません。

Windows のデバイス マネージャを使用して 3eTI ドライバ ソフトウェアを手動でアップグレードする手順は、次のとおりです。


ステップ 1 デスクトップの My Computer アイコンを右クリックし、 Properties を選択します。

ステップ 2 System Properties ウィンドウの Hardware をクリックして Device Manager をクリックすると、図7-8 の画面が表示されます。

図7-8 Windows の Device Manager ウィンドウ

 

ステップ 3 ネットワーク アダプタがインストールまたは挿入されていてもドライバ ソフトウェアがインストールされていない場合は、デバイスが Other devices の下に黄色のクエスチョン マーク付きで表示されます。ネットワーク アダプタを右クリックして、 Properties を選択します。Network Properties ウィンドウが表示されます(図7-9 を参照)。

図7-9 Network Controller Properties ウィンドウ

 

ステップ 4 Driver > Update Driver の順にクリックすると、図7-10 の画面が表示されます。

図7-10 Windows の Hardware Update Wizard ウィンドウ

 

ステップ 5 Windows でドライバ ソフトウェアが検索されないようにするには、 No をクリックします。 Next をクリックすると、図7-11 の画面が表示されます。

図7-11 インストール CD またはフロッピー ディスクからのインストール方法の選択ウィンドウ

 

ステップ 6 Install from a list or specific location (Advanced) を選択して、 Next をクリックします。図7-12 の画面が表示されます。

図7-12 ドライバの検索およびインストール オプション ウィンドウ

 

ステップ 7 Don't search. I will choose the driver to install を選択して Next をクリックします。図7-13 の画面が表示されます。

図7-13 Windows の Hardware Type ウィンドウ

 

ステップ 8 Network adapter を選択して Next をクリックします。図7-14 の画面が表示されます。

図7-14 Select Network Adapter ウィンドウ

 

ステップ 9 3eTI ネットワーク接続を選択して Next をクリックします。図7-15 の画面が表示されます。

図7-15 インストール完了ウィンドウ

 

ステップ 10 ハードウェア ドライバのインストールは完了です。 Finish をクリックします。Device Manager ウィンドウがもう一度表示されます(図7-16 を参照)。

図7-16 更新された Windows の Device Manager ウィンドウ

 

ステップ 11 ドライバが正しくインストールされたことを確認するには、3eTI ネットワーク接続を右クリックして Properties を選択します。アダプタのプロパティ ウィンドウで、Device status に This device is working properly と表示されていることを確認します。


 

FIPS 140-2 レベル 1 準拠の展開例

ここでは、展開例に基づいて、SSC の一般的なネットワーク認証プロファイルを FIPS 140-2 レベル 1 の要件に適合するように設定する方法を説明します。SSC 5.1.0 は、Cisco SSC FIPS モジュールをサポートする最初のリリースであり、現在 National Institute of Standards and Technology(NIST)で検証中です。サービスは、開始されると、FIPS オペレーティング モードで実行されます。

ネットワーク管理者は、そのネットワークを使用するユーザに対して、FIPS 準拠プロファイルを設定および展開する責任があります。SSC Management Utility を使用して、有線または無線メディアの FIPS 準拠プロファイルを作成します。

ソリューションを FIPS に完全に準拠させるには、次の 3 つのコンポーネントをクライアントにインストールおよび設定する必要があります。

1. SSC FIPS モジュールを実行する SSC(SSC 5.1)

2. ネットワーク管理者により設定された FIPS 準拠のネットワーク プロファイル

3. 3eTI FIPS CKL モジュールおよびサポートされている NIC アダプタ ドライバ

ネットワーク管理者の PC に SSC および管理ツールキット ソフトウェアがインストールされ、実行されると、SSC は使用可能な無線ネットワークをスキャンして使用可能なネットワークを表示します。


) SSID がブロードキャストに対して有効になっている無線ネットワークだけが検出されます。


ネットワーク管理者またはユーザは、太字で表示された設定済みの接続(図7-17 を参照)についてのみプロファイルを設定できます。ネットワーク管理者によって設定されたプロファイルは永続的なものであり、ユーザが削除または編集することはできません。

図7-17 一般的な Cisco SSC ウィンドウ

 

一般的な SSC プロファイルを FIPS に準拠するように設定する手順は、次のとおりです。


ステップ 1 管理ツールキットがインストールされているディレクトリに移動し、 sscManagementUtility.exe をダブルクリックします。図7-18 の画面が表示されます。

図7-18 _Cisco SSC Management Utility のメイン ウィンドウ

 

ステップ 2 新しい設定プロファイルを作成する場合は、 Create New Configuration Profile をクリックします。すると、図7-19 の画面が表示されます。

図7-19 Select Cisco SSC Version ウィンドウ

 

ステップ 3 Cisco SSC 5.1 をクリックすると、図7-20 の画面が表示されます。

図7-20 Client Policy ウィンドウ

 

メディアを設定できるようにするには、Allowed Media 領域で、必要なオプション( Allow Wired (802.3) Media など)がすべてオンになっていることを確認します。

ステップ 4 次の手順を実行します。

a. Allow Wi-Fi (wireless) Media をオンにします。

b. Allow Wired (802.3) Media をオンにします。

c. ライセンスが使用可能であれば、 Provide License をオンにしてライセンスを入力します。

d. PC に VPN がインストールされていて、企業ネットワーク インフラストラクチャでサポートされている場合は、 Allow VPN をオンにします。ネットワークで使用されている VPN Authentication Mechanism を選択します。

e. Enable validation of WPA/WPA2 handshake をオンにします。このオプションは、FIPS に準拠するために有効にされます。


) このオプションをオンにすると、一部のネットワーク アダプタ ドライバが正しく機能しなくなる可能性があります。


f. Next をクリックすると 図7-21 の画面が表示されます。

図7-21 Authentication Policy ウィンドウ

 

ステップ 5 ネットワークで許可されている適切なアソシエーション モードおよび認証モードをオンにして Next をクリックすると、図7-22 の画面が表示されます。

SSC は、FIPS 準拠プロファイルと FIPS 非準拠プロファイルの両方をサポートするように設定できます。FIPS 準拠プロファイルには、WPA2 Personal AES や WPA2 Enterprise AES などがあります。WPA2 Enterprise AES でサポートされる EAP には、EAP TLS、PEAP、および EAP Fast などの種類のものがあります。

図7-22 Networks ウィンドウ

 

ステップ 6 Add Network をクリックします。最初に作成するネットワークは、有線ネットワークです。そのため、SSC では接続が一度に 1 つに制限されます。図7-23 の画面が表示されます。

図7-23 Network Media ウィンドウ

 

ステップ 7 Wired (802/3) Network を選択して Next をクリックすると、図7-24 の画面が表示されます。

図7-24 Wired Network Settings ウィンドウ

 

ステップ 8 Display Name フィールドに Wired と入力し、 Open Network を選択します。

ステップ 9 Next をクリックすると 図7-25 の画面が表示されます。

図7-25 Network Connection Type ウィンドウ

 

ステップ 10 User Connection を選択して Finish をクリックします。これで、有線の非認証ポートを設定できました。次は、FIPS 準拠の無線認証プロファイルを設定するために必要な操作を行います。

図7-26 の画面が表示されます。

図7-26 Networks ウィンドウ

 

図7-26 では、有線ネットワークが設定済みとして表示されています。

ステップ 11 Add Network をクリックすると、図7-27 の画面が表示されます。

図7-27 Network Media ウィンドウ

 

ステップ 12 Wi-Fi (wireless) Network を選択して Next をクリックすると、図7-28 の画面が表示されます。

図7-28 Wi-Fi Network Settings ウィンドウ

 


) 一部のスマートカード認証システムでは、認証が完了するまでに 60 秒近くかかる場合があります。スマートカードを使用する場合は、Connection Timeout の値を大きくする必要があります。


ステップ 13 次の手順を実行します。

a. プロファイルの Display Name を入力します。ネットワーク管理者が表示名を設定する場合は、 FIPS を追加するなど、FIPS 準拠であることがわかるようにすることを推奨します(図7-28 を参照)。このプロファイル ID は、この管理者展開プロファイルを使用して接続した場合に、ネットワーク認証プロファイルが FIPS 要件に適合することを示しています。

b. SSID フィールドに SSID の値を入力します。SSID は、有効な企業 SSID に設定します。SSID の値は、大文字と小文字が区別されます。

c. Association Timeout を、デフォルトの 3 秒から 8 ~ 10 秒に変更します。


) Cisco AIR-CB21 クライアント アダプタはこの値の影響をあまり受けませんが、その他の無線クライアント アダプタ(Intel 3945 など)の場合は、アソシエーションのタイムアウト値を大きくする必要があります。


d. Next をクリックします。

ステップ 14 CCX Settings ウィンドウが表示されたら、設定を無視して Next をクリックします。図7-29 の画面が表示されます。


) CCX Settings ウィンドウのオプションは、Windows XP または Windows 2000 環境には適用されません。


図7-29 Connection Settings ウィンドウ

 

ステップ 15 Association Mode ドロップダウン矢印をクリックして WPA2 Enterprise (AES) を選択します。

ステップ 16 802.1X を設定する場合、シスコでは、802.1X のデフォルト設定を使用することを推奨しています。

この設定は、さまざまな無線環境および有線認証プロファイル用に最適化されています。この他の設定値も使用できますが、動作が最適化されない場合があります。

ステップ 17 Next をクリックすると 図7-30 の画面が表示されます。

図7-30 Network Connection Type ウィンドウ

 

3 つのオプションのうちどれを選択しても FIPS 準拠となります。

ステップ 18 この例では、 User Connection を選択して Next をクリックします。図7-31 の画面が表示されます。

図7-31 User Authentication (EAP) Method ウィンドウ

 

ステップ 19 次のいずれかの EAP 方式を選択し、それぞれの方式に応じた手順を実行します。

EAP-TLS を選択して Next をクリックします。ステップ 20 に進みます。

PEAP を選択して Next をクリックします。ステップ 21 に進みます。

EAP-Fast を選択して Next をクリックします。ステップ 22 に進みます。

ステップ 20 EAP-TLS を選択した場合は、図7-32 の画面が表示されます。次の手順を実行します。

図7-32 EAP-TLS Settings ウィンドウ

 

a. FIPS 準拠プロファイルでは、 Validate Server Certificate をオンにします。

スマートカードを使用する場合は、次の 2 とおりの典型的な使用方法が考えられます。

スマートカードを再認証するたびに、スマートカードを挿入する必要がある。

最初の認証時にはスマートカードを挿入する必要があるが、その後スマートカードを取り出すことができて、ユーザがログアウトするときにだけ再挿入する必要がある。

どちらの使用方法も FIPS 準拠プロファイルに適合しています。

b. OK をクリックします。User Authentication (EAP) Method ウィンドウが表示されます。

c. User Authentication (EAP) Method ウィンドウで Next をクリックし、ステップ 23 に進みます。

ステップ 21 PEAP を選択した場合は、図7-33 の画面が表示されます。

図7-33 PEAP Settings ウィンドウ

 

FIPS 準拠プロファイルの場合、ユーザは次の手順を実行する必要があります。

a. Validate Server Identity をオンにします。

b. OK をクリックすると、User Authentication (EAP) Method ウィンドウがもう一度表示されます。

c. User Authentication (EAP) Method ウィンドウで Next をクリックし、ステップ 23 に進みます。

ステップ 22 EAP-Fast を選択した場合は、図7-34 の画面が表示されます。

図7-34 EAP-Fast Settings ウィンドウ

 

FIPS 準拠プロファイルの場合、ユーザは次の手順を実行する必要があります。

a. Validate Server Identity をオンにします。

b. OK をクリックすると、User Authentication (EAP) Method ウィンドウがもう一度表示されます。

c. User Authentication (EAP) Method ウィンドウで Next をクリックし、ステップ 23 に進みます。

ステップ 23 Validate Server Identity がオンになっている場合は、図7-35 の画面が表示されます。

図7-35 Certificate Trusted Server Validation Rules ウィンドウ

 

ステップ 24 任意で、次の手順を実行してサーバ検証規則を定義します。

a. Add Rule をクリックします。

b. ドロップダウン矢印をクリックして、必要なオプションを選択します。

c. Value フィールドに値を入力します。


Remove をクリックして規則を削除します。


d. 完了したら Next をクリックします。図7-36 の画面が表示されます。

証明書規則を作成しない場合でも、FIPS に適合するように、次の検証が暗黙的に実行されます。

受信したサーバ証明書が期限切れでない。

サーバ証明書チェーンが有効である。

サーバ証明書チェーンのルート ノードが信頼できる。

図7-36 信頼できるサーバ認証局の検証ウィンドウ

 

ステップ 25 デフォルト設定を使用するか、その他のオプションを選択します。 Next をクリックすると 図7-37 の画面が表示されます。

図7-37 クレデンシャル ウィンドウ

 

ステップ 26 次の手順を実行します。

a. Unprotected Identity Pattern フィールドにユーザ名を入力します。

b. 次のオプションのいずれか 1 つを選択します。

Single Sign On Credentials

Prompt for Credentials

Use Static Credentials

c. Prompt for Credentials を使用する場合は、次のオプションのいずれか 1 つを選択します。

Never Remember

Remember while the User is Logged On

FIPS 準拠の場合に選択できるのは、Never Remember および Remember while the User is Logged On だけです。セキュリティ上重要な関連パラメータはすべて安全に扱われ、不要になるとクリアされます。


) Single Sign On および Use Static Credentials は、FIPS 対応モードで使用できます。


d. Finish をクリックすると 図7-38 の画面が表示されます。

図7-38 Configured Networks ウィンドウ

 

このウィンドウには、このプロファイルに対して作成されているネットワークが一覧表示されます。

ステップ 27 Next をクリックすると 図7-39 の画面が表示されます。

図7-39 Validation ウィンドウ

 

管理者は、このウィンドウを使用して、設定 XML を表示したり、暗号ファイルに設定を保存して展開したりできます。また、管理者は、非暗号ファイルを保存して確認することもできますが、このファイルは展開されません。

ステップ 28 次の手順を実行します。

a. デフォルトの暗号設定ファイルの保存場所を使用するか、 Browse をクリックして別のフォルダを指定します。

b. 任意で、Save Original Configuration File の選択を解除します。

c. Finish をクリックします。

これで設定は完了です。SSC メイン ウィンドウを開くと(図7-40 を参照)、接続のリストに新規 Enterprise-ssid (FIPS compliant profile) が追加されています。

図7-40 Available Connections ウィンドウ

 

図7-40 では、Enterprise-ssid プロファイルが FIPS 準拠プロファイルであることがすぐにわかります。このプロファイルについては削除ボタンが無効になっているので、ユーザはこのプロファイルを削除できません。また、Edit ボタンをクリックした場合、管理者が設定したクレデンシャル設定はすべてグレー表示されます。ユーザが設定可能なオプションは、アクセス ポイントとクライアント PC の間の FIPS 準拠ネットワークで自動的に VPN 接続を開始するオプションだけです。


 

SSC および 3eTI ドライバ インストーラ ソフトウェアの入手方法

SSC 5.1.0 ソフトウェアは、Cisco Software Center から入手できます。

SSCMgmtToolKit:sscManagementUtility およびサポート ファイルを含みます。

Cisco_SSC-XP2K_5.1.0.zip:SSC ファイルを含みます。SSC のライセンスについては、「SSC ライセンスの詳細」 を参照してください。

CiscoClientUtilities_5.1.0.zip:Log Packager を含みます。

SSC ソフトウェアは、Cisco Software Center から入手できます。URL は次のとおりです。

http://www.cisco.com/public/sw-center/index.shtml

Wireless Software > Client Adapters and Client Software > Cisco Secure Services Client の順にクリックし、画面の指示に従って Latest Releases の 5.1.0 に進みます。


) ソフトウェアをダウンロードするには、Cisco.com に登録するか、登録済みのユーザである必要があります。


FIPS 3eTI CKL でサポートされるドライバのインストーラは、Cisco Software Center からダウンロードすることはできません。シスコに注文していただく必要があります。SSC ソフトウェアの無期限ライセンスは、次の製品番号を使用してシスコにご注文いただけます。

AIR-SC5.0-XP2K:Cisco SSC リリース 5.1 ソフトウェア ライセンス

AIR-SSCFIPS-DRV:3eTI CKL でサポートされているドライバのインストーラ

ご注文いただいた、3eTI CKL でサポートされているドライバのインストーラ ソフトウェアは、製品 CD に付属して出荷されます。


) SSCMgmtToolKit(SSC Management Utility)および Cisco Client Utilities は、Cisco Software Center からのダウンロードのみが可能です。