証明書

デジタル証明書は、認証に使用されるデジタル ID を保持しています。証明書は、SSL(セキュア ソケット レイヤ)、TLS(Transport Layer Security)、および DTLS(データグラム TLS)接続(HTTPS や LDAPS など)に使用されます。次のトピックでは、証明書の作成と管理の方法について説明します。

証明書について

デジタル証明書は、認証に使用されるデジタル ID を提供します。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなど、ユーザまたはデバイスを識別する情報が含まれます。デジタル証明書には、ユーザまたはデバイスの公開キーのコピーも含まれています。証明書は、SSL(セキュア ソケット レイヤ)、TLS(Transport Layer Security)、および DTLS(データグラム TLS)接続(HTTPS や LDAPS など)に使用されます。

次のタイプの証明書を作成できます。

  • 内部証明書:内部アイデンティティ証明書は、特定のシステムまたはホストの証明書です。この証明書は、OpenSSL ツールキットを使用して自分で生成するか、証明機関から取得できます。自己署名証明書を生成することもできます。何らかの理由で内部証明書が期限切れになるか無効になった場合は、次の CLISH CLI コマンドを使用して再生成できます。
    > system support regenerate-security-keyring 
      String  Certificate to be regenerated, default or fdm
    
  • 内部証明書認証局(CA)証明書:内部 CA 証明書は、他の証明書の署名にシステムが使用できる証明書です。これらの証明書は、基本制約拡張と CA フラグに関して内部アイデンティティ証明書と異なります。これらは CA 証明書では有効ですが、アイデンティティ証明書では無効です。この証明書は、OpenSSL ツールキットを使用して自分で生成するか、証明機関から取得できます。自己署名内部 CA 証明書を生成することもできます。自己署名内部 CA 証明書を設定する場合は、CA はデバイス自体で稼働します。

  • 信頼できる認証局(CA)証明書:信頼できる CA 証明書は、他の証明書に署名するために使用されます。これは自己署名され、ルート証明書と呼ばれます。別の CA 証明書により発行される証明書は、下位証明書と呼ばれます。

証明機関(CA)とは、証明書に「署名」してその認証を確認することで、デバイスまたはユーザのアイデンティティを保証する、信頼できる機関です。CA は、公開キーまたは秘密キーの暗号化を使用してセキュリティを確保する PKI コンテキストでデジタル証明書を発行します。CA は、信頼できるサードパーティ(VeriSign など)の場合もあれば、組織内に設置したプライベート CA(インハウス CA)の場合もあります。CA は、証明書要求の管理とデジタル証明書の発行を行います。詳細については、「公開キー暗号化」を参照してください。

公開キー暗号化

RSA 暗号化システムなどの公開キー暗号化では、各ユーザは、公開キーと秘密キーの両方を含むキー ペアを使用します。これらのキーはお互い補足しあい、一方のキーで暗号化されたものは、もう一方のキーで復号できます。

簡単に言えば、データが秘密キーで暗号化されると、署名が形成されます。署名はデータに付加されて受信者に送信されます。受信者は送信者の公開キーをデータに適用します。データとともに送信された署名が、公開キーをデータに適用した結果と一致した場合、メッセージの有効性が確立されます。

このプロセスは、受信者が送信者の公開キーのコピーを持っていること、およびその公開キーが送信者になりすました別人のものではなく、送信者本人のものであることを受信者が強く確信していることに依存しています。

通常、送信者の公開キーは外部で取得するか、インストール時の操作によって取得します。たとえば、ほとんどの Web ブラウザでは、いくつかの CA のルート証明書がデフォルトで設定されています。

デジタル証明書および公開キー暗号化の詳細については、openssl.org、Wikipedia、またはその他の情報源を参照してください。SSL/TLS 暗号方式について十分に理解していると、デバイスに対してセキュアな接続を確立するのに役立ちます。

機能別の証明書タイプ

各機能に対して正しい種類の証明書を作成する必要があります。次の機能には証明書が必要です。

アイデンティティ ポリシー(キャプティブ ポータル):内部証明書

(オプション)キャプティブ ポータルはアイデンティティ ポリシーで使用されます。ユーザは、識別情報を示してユーザ名に関連付けられた IP アドレスを取得するために、デバイスへの認証時に、この証明書を承認する必要があります。証明書を提供しない場合、デバイスは自動で作成された証明書を使用します。

アイデンティティ レルム(アイデンティティ ポリシーおよびリモート アクセス VPN):信頼された CA 証明書

(オプション)ディレクトリ サーバに暗号化接続を使用する場合、ディレクトリ サーバで認証を実行するために、証明書を承認する必要があります。ユーザは、アイデンティティおよびリモート アクセス VPN ポリシーによるプロンプトが表示されたら認証する必要があります。ディレクトリ サーバに暗号化を使用しない場合、証明書は必要ありません。

管理 Web サーバ(管理アクセス システム設定):内部証明書

(オプション)Device Manager は Web ベースのアプリケーションであり、Web サーバーで動作します。お使いのブラウザで有効として受け入れられる証明書をアップロードすると、Untrusted Authority の警告を受けるのを回避できます。

リモート アクセス VPN:内部証明書

(必須)内部証明書は、セキュアクライアント がデバイスへの接続を行うときにデバイス ID を確立する外部インターフェイスに使用します。クライアントはこの証明書を承認する必要があります。

サイト間 VPN:内部および信頼できる CA 証明書

サイト間 VPN 接続に証明書認証を使用する場合は、接続内のローカルピアの認証に使用される内部アイデンティティ証明書を選択する必要があります。これは VPN 接続の定義の一部ではありませんが、システムがピアを認証できるように、ローカルおよびリモート ピアのアイデンティティ証明書に署名するために使用した信頼できる CA 証明書をアップロードする必要があります。

SSL 復号ポリシー:内部、内部証明書、および信頼できる CA 証明書および証明書グループ

(必須)SSL 復号ポリシーは、以下の目的のため証明書を使用します。

  • 内部証明書は既知のキー復号ルールに使用されます。

  • 内部 CA 証明書は、クライアントと 脅威に対する防御 デバイス間にセッションを作成するときに、再署名の復号ルールに使用されます。

  • 信頼できる CA 証明書は、脅威に対する防御 デバイスとサーバ間にセッションを作成するときに、再署名の復号ルールに間接的に使用されます。信頼できる CA 証明書は、サーバの証明書の署名機関を検証するために使用されます。 これらの証明書は、直接設定するか、ポリシー設定において証明書グループで設定できます。システムには、Cisco-Trusted-Authorities グループで収集された多数の信頼できる CA 証明書が含まれるため、追加の証明書をアップロードする必要はないことがあります。

ストリーミング テレメトリ:内部証明書と信頼できる CA 証明書。

これらの証明書は、通信を確立するために同じ CA によって署名されている必要があります。内部証明書は 脅威に対する防御 デバイスを表します。信頼できる CA 証明書は外部テレメトリ コレクタを表します。

例:OpenSSL を使用した内部証明書の生成

次の例では、OpenSSL コマンドを使用して内部サーバ証明書を生成します。OpenSSL は openssl.org から取得できます。具体的な情報については OpenSSL ドキュメンテーションをご確認ください。この例で使用したコマンドは変更される可能性があります。また、便利な別のオプションを使用できる可能性もあります。

この手順は、脅威に対する防御 にアップロードする証明書の取得方法について、1 つの考え方を示すものです。


(注)  


ここに示す OpenSSL コマンドは、単なる例です。実際のセキュリティ要件に合わせてパラメータを調整してください。


手順


ステップ 1

キーを生成します。


openssl genrsa -out server.key 4096

ステップ 2

証明書署名要求(CSR)を生成します。


openssl req -new -key server.key -out server.csr

ステップ 3

キーと CSR を持つ自己署名証明書を生成します。


openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Device Manager は暗号化キーをサポートしないため、自己署名証明書を生成するときはリターンキーを押してチャレンジパスワードをスキップしてください。

ステップ 4

内部証明書のオブジェクトを Device Manager で作成するときは、正しいフィールドにファイルをアップロードします。

ファイルの内容をコピーして貼り付けることもできます。サンプルのコマンドによって、次のファイルが作成されます。

  • server.crt:[サーバ認証(Server Certificate)] フィールドにコンテンツをアップロードまたはペーストします。

  • server.key:[証明書キー(Certificate Key)] フィールドにコンテンツをアップロードまたはペーストします。キーの生成時にパスワードを指定した場合は、次のコマンドを使用してそれを復号できます。出力が stdout に送信され、ここで出力をコピーできます。

    
    openssl rsa –in server.key –check
    
    

証明書の設定

Threat Defense は、PEM または DER 形式の X.509 証明書をサポートします。OpenSSL を使用して必要に応じて証明書を生成、信頼できる認証局から取得、または自己署名証明書を作成します。

証明書の詳細については、証明書についてを参照してください。

各機能で使用されるタイプについては、「機能別の証明書タイプ」を参照してください。

次に、[オブジェクト(Objects)] ページで直接オブジェクトを作成および編集する方法について説明します。また、オブジェクトの一覧に表示される [証明書の新規作成(Create New Certificate)] リンクをクリックすることにより、証明書プロパティの編集中に証明書オブジェクトを作成することもできます。

手順


ステップ 1

[オブジェクト(Objects)] を選択し、目次から [証明書(Certificates)] を選択します。

システムには、そのまま、または置き換えて使用できる次の事前定義された証明書が付属します。

  • DefaultInternalCertificate

  • DefaultWebserverCertificate

  • NGFW-Default-InternalCA

システムには、サード パーティ証明機関からの多数の信頼された CA の証明書も含まれています。これらは再署名の復号アクションのために SSL 復号ポリシーが使用します。Cisco-Trusted-Authorities グループにはこれらの証明書がすべて含まれており、このグループが SSL 復号ポリシーで使用されるデフォルトグループです。

定義済みの検索フィルタをクリックすると、リストを [システム定義(System-defined)] の証明書または [ユーザ定義(User-defined)] の証明書のみに制限できます。また、[脆弱キー(Weak Key)] フィルタを使用して、推奨される最小長よりも短いキーを持つ証明書を検索できます。それらの証明書を、より長いキーを持つ証明書に置き換えることをお勧めします。

ステップ 2

次のいずれかを実行します。

  • 新しい証明書オブジェクトを作成するには、[+] メニューから証明書のタイプに適したコマンドを使用します。

  • 新しい証明書グループを作成するには、Add group button. をクリックし、[証明書グループの追加(Add Certificate Group)] を選択します。

  • 証明書やグループを表示または編集するには、証明書の編集アイコン(edit icon)または表示アイコン(View or info icon button.)をクリックします。

  • 参照されていない証明書やグループを削除するには、証明書のごみ箱アイコン(delete icon)をクリックします。

証明書の作成と編集の詳細については、次のトピックを参照してください。


内部および内部 CA 証明書のアップロード

内部アイデンティティ証明書は、特定のシステムまたはホストの証明書です。

内部 CA 証明書は、他の証明書の署名に使用できる証明書です。これらの証明書は、基本制約拡張と CA フラグに関して内部アイデンティティ証明書と異なります。これらは CA 証明書では有効ですが、アイデンティティ証明書では無効です。

この証明書は、OpenSSL ツールキットを使用して自分で生成するか、認証局から取得できます。その後、次の手順を使用してアップロードします。キー生成の例については、例:OpenSSL を使用した内部証明書の生成を参照してください。

自己署名内部アイデンティティ証明書および内部 CA 証明書を生成することもできます。自己署名内部 CA 証明書を設定する場合は、CA はデバイス自体で稼働します。自己署名証明書の作成の詳細については、自己署名内部および内部 CA 証明書の生成を参照してください。

これらの証明書を使用する機能の詳細については、機能別の証明書タイプを参照してください。

手順


ステップ 1

[オブジェクト(Objects)] を選択し、目次から [証明書(Certificates)] を選択します。

ステップ 2

次のいずれかを実行します。

  • [+] > [内部証明書の追加(Add Internal Certificate)] をクリックし、次に [証明書とキーのアップロード(Upload Certificate and Key)] をクリックします。

  • [+] > [内部CA証明書の追加(Add Internal CA Certificate)] をクリックし、次に [証明書とキーのアップロード(Upload Certificate and Key)] をクリックします。

  • 証明書を編集または表示するには、情報アイコン(View or info icon button.)をクリックします。ダイアログ ボックスには、証明書の件名、発行者、および有効な時間範囲が表示されます。[証明書の置換(Replace Certificate)] をクリックして、新しい証明書とキーをアップロードします。ダイアログ ボックスで証明書とキーを貼り付けることもできます。

ステップ 3

証明書の名前を入力します。

名前は設定でオブジェクト名としてのみ使用され、証明書自体の一部にはなりません。

ステップ 4

[証明書のアップロード(Upload Certificate)](編集する場合は、[証明書の置換(Replace Certificate)])をクリックし、証明書ファイル(例:*.crt)を選択します。許可されるファイル拡張子は、.pem、.cert、.cer、.crt、および .der です。または、証明書に貼り付けます。

証明書は PEM または DER 形式の X509 証明書である必要があります。

貼り付ける証明書には、必ず BEGIN CERTIFICATE ラインと END CERTIFICATE ラインを含めてください。例:


-----BEGIN CERTIFICATE-----
MIICMTCCAZoCCQDdUV3NGK/cUjANBgkqhkiG9w0BAQsFADBdMQswCQYDVQQGEwJV
UzETMBEGA1UECAwKU29tZS1TdGF0ZTEhMB8GA1UECgwYSW50ZXJuZXQgV2lkZ2l0
(...5 lines removed...)
shGJDReRYJQqilhHZrYTWZAYTrD7NQPHutK+ZiJng67cPgnNDuXEn55UwMOQoHBp
HMUwmhiGZlzJM8BpX2Js2yQ3ms30pr8rO+gPCPMCAwEAATANBgkqhkiG9w0BAQsF
AAOBgQCB02CebA6YjJCGr2CJZrQSeUwSveRBpmOuoqm98o2Z+5gJM5CkqgfxwCUn
RV7LRfQGFYd76V/5uor4Wx2ZCjqy6+zuQEm4ZxWNSZpA9UBixFXJCs9MBO4qkG5D
vlk3WYJfcgyJ10h4E4b0W2xiixBU+xoOTLRATnbKY36EWAG5cw==
-----END CERTIFICATE-----

ステップ 5

[キーのアップロード(Upload Key)](または編集時に、[キーの交換(Replace Key)])をクリックし、証明書ファイル(例:*.key)を選択します。ファイル拡張子は .key である必要があります。または、証明書のキーに貼り付けます。

キーは暗号化できず、RSA キーである必要があります。

次に例を示します。


-----BEGIN RSA PRIVATE KEY-----
MIICXQIBAAKBgQClSu1BknrMjzw/5FZ9YgdMLDUGJlbYgkjN7mVrkjyLQx2TYsem
r8iTiKB6iyTKbuS4iPeyEYkNF5FglCqKWEdmthNZkBhOsPs1A8e60r5mImeDrtw+
Cc0O5cSfnlTAw5CgcGkcxTCaGIZmXMkzwGlfYmzbJDeazfSmvys76A8I8wIDAQAB
AoGAUVDgEX8vXE0m9cOubPZ54pZo64KW/OJzUKP0TwxdLqGw/h39XFpkEXiIgmDL
(...5 lines removed...)
DSWvzekRDH83dmP66+MIbWePhbhty+D1OxbiuVuHV0/ZhxOhCG8tig3R8QJBAJmj
fId05+1dNI4tGbWv6hHh/H/dTP2STlZ3jERMZd29fjIRuJ9jpFC2lIDjvs8YGeAe
0YHkfSOULJn8/jOCf6kCQQDIJiHfGF/31Dk/8/5MGrg+3zau6oKXiuv6db8Rh+7l
MUOx09tvbBUy9REJq1YJWTKpeKD+E0QL+FX0bqvz4tHA
-----END RSA PRIVATE KEY-----

ステップ 6

[OK] をクリックします。

キーサイズが、生成された自己署名証明書で許可されている最小サイズよりも小さい場合、証明書が推奨の最小要件を満たしていないことを示す警告が表示されます。いずれにしても [続行(Proceed)] をクリックして証明書をアップロードしますが、新しい強力な証明書を作成することをお勧めします。


自己署名内部および内部 CA 証明書の生成

内部アイデンティティ証明書は、特定のシステムまたはホストの証明書です。

内部 CA 証明書は、他の証明書の署名に使用できる証明書です。これらの証明書は、基本制約拡張と CA フラグに関して内部アイデンティティ証明書と異なります。これらは CA 証明書では有効ですが、アイデンティティ証明書では無効です。

ユーザは、自己署名内部アイデンティティと内部 CA 証明書を生成できます。つまり、証明書はデバイス自体によって署名されます。自己署名内部 CA 証明書を設定すると、CA がデバイス上で有効になります。システムは、証明書とキーの両方を生成します。

また、これらの証明書は、OpenSSL を使用して作成することも、信頼できる CA から取得してアップロードすることもできます。詳細については、内部および内部 CA 証明書のアップロードを参照してください。

これらの証明書を使用する機能の詳細については、機能別の証明書タイプを参照してください。

手順


ステップ 1

[オブジェクト(Objects)] を選択し、目次から [証明書(Certificates)] を選択します。

ステップ 2

次のいずれかを実行します。

  • [+] > [内部証明書の追加(Add Internal Certificate)] をクリックし、次に [自己署名証明書(Self-Signed Certificate)] をクリックする。

  • [+] > [内部CA証明書の追加(Add Internal CA Certificate)] をクリックし、次に [自己署名証明書(Self-Signed Certificate)] をクリックする。

(注)  

 

証明書を編集または表示するには、情報アイコン(View or info icon button.)をクリックします。ダイアログ ボックスには、証明書の件名、発行者、および有効な時間範囲が表示されます。[証明書の置換(Replace Certificate)] をクリックして、新しい証明書とキーをアップロードします。証明書を交換する際は、次の手順で説明されている自己署名の特性を設定し直すことはできません。代わりに、内部および内部 CA 証明書のアップロードの説明に従って、新しい証明書を貼り付けるかアップロードする必要があります。残りの手順は、新しい自己署名証明書のみに適用されます。

ステップ 3

証明書の名前を入力します。

名前は設定でオブジェクト名としてのみ使用され、証明書自体の一部にはなりません。

ステップ 4

証明書の件名および発行者の情報については、次の少なくとも 1 つを設定します。

  • Country(C):証明書に含める 2 文字の ISO 3166 国コード。たとえば、米国の国コードは US です。ドロップダウン リストから国コードを選択します。

  • State or Province(ST):証明書に含める都道府県または州。

  • Locality or City(L):都市の名前など、証明書に含める地域。

  • Organization(O):証明書に含める組織または会社の名前。

  • Organizational Unit (Department)(OU):証明書に含める組織単位の名前(部門名など)。

  • Common Name(CN):証明書に含める X.500 共通名。これは、デバイスの名前、Web サイト、または他の文字列にすることができます。この要素は、通常は正常な接続のために必要です。たとえば、リモートアクセスVPNで使用する内部証明書にはCNを含める必要があります。

  • [キータイプ(Key Type)]:この証明書用に生成するキーのタイプ:RSA、ECDSA(楕円曲線デジタル署名アルゴリズム(楕円曲線 DSA))、またはEdDSA(エドワード曲線デジタル署名アルゴリズム)。

  • [キーサイズ(Key Size)]:生成するキーのサイズ。一般に、キーが長いほど、安全性が高くなります。ただし、係数のサイズが大きいキーほど、生成に時間がかかり、交換処理にも時間がかかります。許可されるサイズはキータイプによって異なります。

    • RSA キーは 2048、3072、または 4096 ビットです。

    • ECDSA キーは 256、384、または 521 ビットです。

      EdDSA キーは 256 ビットです。

  • [有効期間]: 証明書が有効と見なされる期間。有効期限の設定に関係なく、デフォルトは本日から825日です。デフォルトに戻すには、[デフォルトの設定]をクリックします。次のいずれかの方法を使用して、期間を設定できます。期限が切れる前に必ず証明書を交換してください。

    • [日付別]: [期限日]をクリックして、証明書が有効と見なされる最終日を選択します。

    • [日数別]: 証明書が有効と見なされる本日からの日数を入力します。数字を入力したら、[日付別]をクリックして、計算された期限日を確認できます。

ステップ 5

[保存(Save)] をクリックします。


信頼できる CA 証明書のアップロード

信頼できる認証局(CA)の証明書は、他の証明書に署名するために使用されます。これは自己署名され、ルート証明書と呼ばれます。別の CA 証明書により発行される証明書は、下位証明書と呼ばれます。

これらの証明書を使用する機能の詳細については、機能別の証明書タイプを参照してください。

外部認証局から信頼できる CA 証明書を入手するか、OpenSSL ツールなど、内部の CA を使用して CA 証明書を作成します。その後、次の手順を使用して証明書をアップロードします。

始める前に

システムは 1 日に 1 回シスコに連絡して、新しいまたは更新された信頼できる CA 証明書があるかどうかを判断し、更新された証明書があればダウンロードします。毎日このジョブを実行することで、プレインストールされた証明書が最新の状態に保たれます。show cert-update コマンドを使用して、CLI でこの自動チェックを監視できます。configure cert-update auto-update disable コマンドを使用して毎日のジョブを無効にし、configure cert-update run-now コマンドを使用して更新を手動でダウンロードできます。

手順


ステップ 1

[オブジェクト(Objects)] を選択し、目次から [証明書(Certificates)] を選択します。

ステップ 2

次のいずれかを実行します。

  • [+] > [信頼できる CA 証明書の追加(Add Trusted CA Certificate)] の順にクリックします。

  • 証明書を編集するには、その証明書の編集アイコン(edit icon)をクリックします。

ステップ 3

証明書の名前を入力します。

名前は設定でオブジェクト名としてのみ使用され、証明書自体の一部にはなりません。

ステップ 4

[証明書のアップロード(Upload Certificate)](編集する場合は、[証明書の置換(Replace Certificate)])をクリックし、信頼できる CA 証明書ファイル(例:*.pem )を選択します。許可されるファイル拡張子は、.pem、.cert、.cer、.crt、および .der です。または、信頼できる CA 証明書に貼り付けます。

証明書のサーバの名前は、サーバのホスト名/IP アドレスと一致している必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用しているのに、証明書で ad.example.com を使用すると接続が失敗します。

証明書は PEM または DER 形式の X509 証明書である必要があります。

貼り付ける証明書には、必ず BEGIN CERTIFICATE ラインと END CERTIFICATE ラインを含めてください。例:


-----BEGIN CERTIFICATE-----
MIIFgTCCA2mgAwIBAgIJANvdcLnabFGYMA0GCSqGSIb3DQEBCwUAMFcxCzAJBgNV
BAYTAlVTMQswCQYDVQQIDAJUWDEPMA0GA1UEBwwGYXVzdGluMRQwEgYDVQQKDAsx
OTIuMTY4LjEuMTEUMBIGA1UEAwwLMTkyLjE2OC4xLjEwHhcNMTYxMDI3MjIzNDE3
WhcNMTcxMDI3MjIzNDE3WjBXMQswCQYDVQQGEwJVUzELMAkGA1UECAwCVFgxDzAN
BgNVBAcMBmF1c3RpbjEUMBIGA1UECgwLMTkyLjE2OC4xLjExFDASBgNVBAMMCzE5
Mi4xNjguMS4xMIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA5NceYwtP
ES6Ve+S9z7WLKGX5JlF58AvH82GPkOQdrixn3FZeWLQapTpJZt/vgtAI2FZIK31h
(...20 lines removed...)
hbr6HOgKlOwXbRvOdksTzTEzVUqbgxt5Lwupg3b2ebQhWJz4BZvMsZX9etveEXDh
PY184V3yeSeYjbSCF5rP71fObG9Iu6+u4EfHp/NQv9s9dN5PMffXKieqpuN20Ojv
2b1sfOydf4GMUKLBUMkhQnip6+3W
-----END CERTIFICATE-----

ステップ 5

この証明書が認証局によって発行されていない場合は、[CA証明書のチェックをスキップする(Skip CA Certificate Check)] を選択します。

信頼できる CA 証明書としてローカル CA 証明書をインストールする必要がある場合は、チェックをスキップしてください。

ステップ 6

[検証の使用(Validation Usage)] を設定して、証明書の使用を制限します。

一部の機能では、特定の証明書に対して接続を検証できるかどうかを選択できます。それらの機能が証明書を有効に使用できることを証明書で示す必要があります。そうしないと、接続が拒否されます。

これらのオプションに含まれていない機能は、明示的な使用許可なしでこの証明書に対して検証できます。たとえば、SSL 復号ポリシー、および Device Manager をホストする Web サーバーは、[検証の使用(Validation Usage)] オプションを無視します。このフィールドでオプションを選択すると、show running-config コマンドを使用して表示される実行コンフィギュレーションに証明書がダウンロードされます。

これらのオプションの主な目的は、特定の証明書に対して検証できるため、VPN 接続が確立されないようにすることです。

  • [SSLサーバ(SSL Server)]:リモート SSL サーバで証明書を検証します。ダイナミックDNSに使用されます。

  • [SSLクライアント(SSL Client)]:着信リモートアクセス VPN 接続の証明書を検証します。

  • [IPsecクライアント(IPsec Client)]:着信 IPsec サイト間 VPN 接続の証明書を検証します。

  • [その他(Other)]:Snort 検査エンジンで管理されない機能(LDAPS など)を検証します。このオプションは、特定の機能に問題がある場合にのみ選択します。このオプションは他のすべてのオプションと相互に排他的です:他のオプションを選択する前にそれを選択解除してからこのオプションを選択することができます。

ステップ 7

[OK] をクリックします。


信頼できる CA 証明書グループの設定

SSL 復号ポリシー設定で外部の信頼できる CA 証明書グループを使用して、SSL 復号ポリシーが信頼する必要がある証明書を指定します。エンドユーザが、証明書の発行者の証明書が信頼できる証明書に含まれていないサイトに接続しようとすると、証明書を信頼することを求めるメッセージが表示されます。そのため、信頼できるリストに証明書がないと、エンドユーザの利便性は低下しますが、それ自体が接続を妨げることはありません(アクセス制御ルールを使用して実現することは可能)。

デフォルトグループは Cisco-Trusted-Authorities です。次の場合にのみ、独自のグループを作成する必要があります。

  • デフォルトグループにない証明書を信頼する必要がある場合。作成後、SSL 復号ポリシー設定でデフォルトグループと新しいグループの両方を選択します。

  • デフォルトグループよりも限定された証明書リストを信頼する必要がある場合。作成後、信頼できる証明書の完全なリスト(差分だけでなく)を持つグループを作成し、SSL 復号ポリシー設定で唯一のグループとして選択します。

始める前に

グループに追加するすべての信頼できる CA 証明書をアップロードします(システムにまだない場合)。

手順


ステップ 1

[オブジェクト(Objects)] を選択し、目次から [証明書(Certificates)] を選択します。

ステップ 2

次のいずれかを実行します。

  • 新しい証明書グループを作成するには、Add group button. をクリックし、[証明書グループの追加(Add Certificate Group)] を選択します。

  • 証明書グループを編集するには、そのグループの編集アイコン(edit icon)をクリックします。

ステップ 3

証明書グループの [名前(Name)] を入力し、任意で説明を入力します。

ステップ 4

[+] をクリックし、証明書をグループに追加します。

グループに必要なすべての証明書を追加します。グループの作成時に [新規信頼CA証明書の作成(Create New Trusted CA Certificate)] をクリックして新しい証明書をアップロードできます。

グループ内の証明書が不要になった場合は、証明書の [X] アイコン(右横)をクリックします。

ステップ 5

[OK] をクリックします。