証明書について
デジタル証明書は、認証に使用されるデジタル ID を提供します。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなど、ユーザまたはデバイスを識別する情報が含まれます。デジタル証明書には、ユーザまたはデバイスの公開キーのコピーも含まれています。証明書は、SSL(セキュア ソケット レイヤ)、TLS(Transport Layer Security)、および DTLS(データグラム TLS)接続(HTTPS や LDAPS など)に使用されます。
次のタイプの証明書を作成できます。
-
内部証明書:内部アイデンティティ証明書は、特定のシステムまたはホストの証明書です。この証明書は、OpenSSL ツールキットを使用して自分で生成するか、証明機関から取得できます。自己署名証明書を生成することもできます。何らかの理由で内部証明書が期限切れになるか無効になった場合は、次の CLISH CLI コマンドを使用して再生成できます。 > system support regenerate-security-keyring String Certificate to be regenerated, default or fdm
-
内部証明書認証局(CA)証明書:内部 CA 証明書は、他の証明書の署名にシステムが使用できる証明書です。これらの証明書は、基本制約拡張と CA フラグに関して内部アイデンティティ証明書と異なります。これらは CA 証明書では有効ですが、アイデンティティ証明書では無効です。この証明書は、OpenSSL ツールキットを使用して自分で生成するか、証明機関から取得できます。自己署名内部 CA 証明書を生成することもできます。自己署名内部 CA 証明書を設定する場合は、CA はデバイス自体で稼働します。
-
信頼できる認証局(CA)証明書:信頼できる CA 証明書は、他の証明書に署名するために使用されます。これは自己署名され、ルート証明書と呼ばれます。別の CA 証明書により発行される証明書は、下位証明書と呼ばれます。
証明機関(CA)とは、証明書に「署名」してその認証を確認することで、デバイスまたはユーザのアイデンティティを保証する、信頼できる機関です。CA は、公開キーまたは秘密キーの暗号化を使用してセキュリティを確保する PKI コンテキストでデジタル証明書を発行します。CA は、信頼できるサードパーティ(VeriSign など)の場合もあれば、組織内に設置したプライベート CA(インハウス CA)の場合もあります。CA は、証明書要求の管理とデジタル証明書の発行を行います。詳細については、「公開キー暗号化」を参照してください。
公開キー暗号化
RSA 暗号化システムなどの公開キー暗号化では、各ユーザは、公開キーと秘密キーの両方を含むキー ペアを使用します。これらのキーはお互い補足しあい、一方のキーで暗号化されたものは、もう一方のキーで復号できます。
簡単に言えば、データが秘密キーで暗号化されると、署名が形成されます。署名はデータに付加されて受信者に送信されます。受信者は送信者の公開キーをデータに適用します。データとともに送信された署名が、公開キーをデータに適用した結果と一致した場合、メッセージの有効性が確立されます。
このプロセスは、受信者が送信者の公開キーのコピーを持っていること、およびその公開キーが送信者になりすました別人のものではなく、送信者本人のものであることを受信者が強く確信していることに依存しています。
通常、送信者の公開キーは外部で取得するか、インストール時の操作によって取得します。たとえば、ほとんどの Web ブラウザでは、いくつかの CA のルート証明書がデフォルトで設定されています。
デジタル証明書および公開キー暗号化の詳細については、openssl.org、Wikipedia、またはその他の情報源を参照してください。SSL/TLS 暗号方式について十分に理解していると、デバイスに対してセキュアな接続を確立するのに役立ちます。
機能別の証明書タイプ
各機能に対して正しい種類の証明書を作成する必要があります。次の機能には証明書が必要です。
- アイデンティティ ポリシー(キャプティブ ポータル):内部証明書
-
(オプション)キャプティブ ポータルはアイデンティティ ポリシーで使用されます。ユーザは、識別情報を示してユーザ名に関連付けられた IP アドレスを取得するために、デバイスへの認証時に、この証明書を承認する必要があります。証明書を提供しない場合、デバイスは自動で作成された証明書を使用します。
- アイデンティティ レルム(アイデンティティ ポリシーおよびリモート アクセス VPN):信頼された CA 証明書
-
(オプション)ディレクトリ サーバに暗号化接続を使用する場合、ディレクトリ サーバで認証を実行するために、証明書を承認する必要があります。ユーザは、アイデンティティおよびリモート アクセス VPN ポリシーによるプロンプトが表示されたら認証する必要があります。ディレクトリ サーバに暗号化を使用しない場合、証明書は必要ありません。
- 管理 Web サーバ(管理アクセス システム設定):内部証明書
-
(オプション)Device Manager は Web ベースのアプリケーションであり、Web サーバーで動作します。お使いのブラウザで有効として受け入れられる証明書をアップロードすると、Untrusted Authority の警告を受けるのを回避できます。
- リモート アクセス VPN:内部証明書
-
(必須)内部証明書は、セキュアクライアント がデバイスへの接続を行うときにデバイス ID を確立する外部インターフェイスに使用します。クライアントはこの証明書を承認する必要があります。
- サイト間 VPN:内部および信頼できる CA 証明書
-
サイト間 VPN 接続に証明書認証を使用する場合は、接続内のローカルピアの認証に使用される内部アイデンティティ証明書を選択する必要があります。これは VPN 接続の定義の一部ではありませんが、システムがピアを認証できるように、ローカルおよびリモート ピアのアイデンティティ証明書に署名するために使用した信頼できる CA 証明書をアップロードする必要があります。
- SSL 復号ポリシー:内部、内部証明書、および信頼できる CA 証明書および証明書グループ
-
(必須)SSL 復号ポリシーは、以下の目的のため証明書を使用します。
-
内部証明書は既知のキー復号ルールに使用されます。
-
内部 CA 証明書は、クライアントと 脅威に対する防御 デバイス間にセッションを作成するときに、再署名の復号ルールに使用されます。
-
信頼できる CA 証明書は、脅威に対する防御 デバイスとサーバ間にセッションを作成するときに、再署名の復号ルールに間接的に使用されます。信頼できる CA 証明書は、サーバの証明書の署名機関を検証するために使用されます。 これらの証明書は、直接設定するか、ポリシー設定において証明書グループで設定できます。システムには、Cisco-Trusted-Authorities グループで収集された多数の信頼できる CA 証明書が含まれるため、追加の証明書をアップロードする必要はないことがあります。
-
- ストリーミング テレメトリ:内部証明書と信頼できる CA 証明書。
-
これらの証明書は、通信を確立するために同じ CA によって署名されている必要があります。内部証明書は 脅威に対する防御 デバイスを表します。信頼できる CA 証明書は外部テレメトリ コレクタを表します。
例:OpenSSL を使用した内部証明書の生成
次の例では、OpenSSL コマンドを使用して内部サーバ証明書を生成します。OpenSSL は openssl.org から取得できます。具体的な情報については OpenSSL ドキュメンテーションをご確認ください。この例で使用したコマンドは変更される可能性があります。また、便利な別のオプションを使用できる可能性もあります。
この手順は、脅威に対する防御 にアップロードする証明書の取得方法について、1 つの考え方を示すものです。
![]() (注) |
ここに示す OpenSSL コマンドは、単なる例です。実際のセキュリティ要件に合わせてパラメータを調整してください。 |
手順
ステップ 1 |
キーを生成します。
|
ステップ 2 |
証明書署名要求(CSR)を生成します。
|
ステップ 3 |
キーと CSR を持つ自己署名証明書を生成します。
Device Manager は暗号化キーをサポートしないため、自己署名証明書を生成するときはリターンキーを押してチャレンジパスワードをスキップしてください。 |
ステップ 4 |
内部証明書のオブジェクトを Device Manager で作成するときは、正しいフィールドにファイルをアップロードします。 ファイルの内容をコピーして貼り付けることもできます。サンプルのコマンドによって、次のファイルが作成されます。
|