ASA デバイスの Security Cloud Control への導入準備
この手順を使用して、ASA モデルではなく単一のライブ ASA デバイスを Security Cloud Control にオンボーディングします。複数の ASA を一度にオンボーディングする場合は、「一括での ASA のオンボード」を参照してください。
始める前に
-
管理対象デバイスへの Security Cloud Control の接続を確認してください。
-
デバイスは、バージョン 8.4 以降を実行している必要があります。
(注)
TLS 1.2 は、バージョン 9.3(2) まで ASA 管理プレーンでは使用できませんでした。バージョン 9.3(2) では、Security Cloud Control へのオンボーディングにローカル SDC が必要です。
-
ASA の実行コンフィギュレーション ファイルは 4.5 MB 未満である必要があります。実行コンフィギュレーション ファイルのサイズを確認するには、「ASA 実行設定サイズの確認」を参照してください。
-
IP アドレッシング:各 ASA、ASAv、または ASA セキュリティコンテキストには一意の IP アドレスが必要であり、SDC は管理トラフィックを受信するように設定されたインターフェイスでその IP アドレスに接続する必要があります。
ASA デバイスに互換性のある証明書が存在しない場合、デバイスのオンボーディングが失敗する可能性があります。次の要件が満たされていることを確認します。
-
デバイスで TLS バージョン 1.0 以降を使用している。
-
デバイスにより提示される証明書が有効期限内であり、発効日が過去の日付である(すなわち、すでに有効になっており、後日に有効化されるようにスケジュールされていない)。
-
証明書は、SHA-256 証明書であること。SHA1 証明書は受け入れられません。
-
次のいずれかが該当すること。
-
デバイスは自己署名証明書を使用し、その証明書は認可されたユーザーにより信頼された最新の証明書と同じである。
-
デバイスは、信頼できる認証局(CA)が署名した証明書を使用し、提示されたリーフ証明書から関連 CA にリンクしている証明書チェーンを形成している。
-
オンボーディングプロセス中に証明書エラーが発生した場合は、詳細について証明書エラーのため ASA の導入準備ができないを参照してください。
互換性のある SSL 暗号スイートがデバイスにない場合、デバイスは Secure Device Connector(SDC)と正常に通信できません。次のいずれかの暗号スイートを使用します。
-
ECDHE-RSA-AES128-GCM-SHA256
-
ECDHE-ECDSA-AES128-GCM-SHA256
-
ECDHE-RSA-AES256-GCM-SHA384
-
ECDHE-ECDSA-AES256-GCM-SHA384
-
DHE-RSA-AES128-GCM-SHA256
-
ECDHE-RSA-AES128-SHA256
-
DHE-RSA-AES128-SHA256
-
ECDHE-RSA-AES256-SHA384
-
DHE-RSA-AES256-SHA384
-
ECDHE-RSA-AES256-SHA256
-
DHE-RSA-AES256-SHA256
ASA で使用する暗号スイートがこのリストにない場合、SDC はそれをサポートしていないため、ASA で暗号スイートを更新する必要があります。
手順
ステップ 1 |
左側のペインで をクリックします。 |
||
ステップ 2 |
青色のプラスボタン |
||
ステップ 3 |
[ASA] タイルをクリックします。 |
||
ステップ 4 |
[デバイスの特定(Locate Device)] ステップで、次の手順を実行します。
|
||
ステップ 5 |
[ポリシービュー(Policy View)] ステップでは、[大規模構成のオンボーディングと拡張ユーザーインターフェイスのサポートを有効にする(Enable support for onboarding large configurations and enhanced user interface)] オプションが有効になっていることが確認できます。これにより、大規模構成のオンボーディングと新しいポリシービューオプションの表示が可能になります。このオプションを無効にして、デバイスを従来のビューでオンボーディングできます。[次へ(Next)] をクリックします。注:[ポリシービュー(Policy View)] ステップが表示されない場合は、新しいポリシービューでデバイスのオンボーディングを続行できます。 |
||
ステップ 6 |
[ログイン情報(Credentials)] ステップで、Security Cloud Control がデバイスへの接続に使用する、ASA 管理者または同様の最高特権の ASA ユーザーのユーザー名とパスワードを入力し、[次へ(Next)] をクリックします。 |
||
ステップ 7 |
(オプション) [完了(Done)] ステップで、デバイスのラベルを入力します。このラベルでデバイスのリストをフィルタリングできます。詳細については、『Labels and Label Groups』を参照してください。 |
||
ステップ 8 |
デバイスまたはサービスにラベルを設定すると、[インベントリ] リストに表示できます。
|