AnyConnect リリース 4.6 で導入された DHE 暗号サポートにより、ASA 9.2 より前の ASA バージョンで非互換性の問題が発生します。9.2 より前の ASA リリースで DHE 暗号を使用している場合、これらの ASA バージョンで DHE 暗号を無効にする必要があります。

Media Access Control Security（MACsec）規格は 2 台の MACsec 対応デバイス間のパケットの認証と暗号化の IEEE 802.1AE 規格です。AnyConnect ネットワーク アクセス マネージャは、エンタープライズ エッジ（eEdge）統合により、特定の IOS バージョンで MACsec 256 をサポートするようになりました。

MACsec との eEdge 統合の制約事項

• AnyConnect ネットワーク アクセス マネージャのプロファイル エディタで MACsec 256 を有効にして、スイッチ側の MACsec 256 の設定と一致させる必要があります。MACsec 256 暗号化規格を有効にすることによって、MACsec Key Agreement（MKA）を使用した802.1AE 暗号化は、MACsec 対応デバイスとホスト デバイス間の暗号化用にダウンリンク ポートでサポートされています。

• MACsec 規格は、シングル ホスト モードとマルチ ホスト モードでのみサポートされ、マルチ認証モードではサポートされません。

• Windows 7、Windows 8 と、現在 Microsoft がサポートしているバージョンの Windows 10 x86（32 ビット）および x64（64 ビット）でのみサポートされます。

eEdge 統合の詳細と Cisco IOS 用の設定方法については、https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ibns/configuration/xe-3e/ibns-xe-3e-book/ibns-macsec.pdfを参照してください。

MACsec 256 用のネットワーク アクセス マネージャのプロファイル エディタの設定

プロファイル エディタのネットワーク アクセス マネージャで、[ネットワーク（Networks）] を選択します。[ネットワーク（Networks）] ウィンドウの [セキュリティ レベル（Security Level）] エリアで、[MKA]、[AES GCM 256] の順に選択します。

（18.04 より前のバージョンの RedHat および Ubuntu を使用しているユーザにのみ影響）Firefox 58 以降、NSS 証明書ストア DB 形式が変更されたため、AnyConnect をこの変更に適合させ、オペレーティング システムのアップグレードを不要にするために、環境変数を変更する必要があります。新しい SQL DB 形式を使用するための回避策として NSS_DEFAULT_DB_TYPE="sql" を設定してください。NSS がバージョン 3.35 以降に更新されると、この環境変数は不要になり、デフォルトで SQL DB が使用されます。

有線またはワイヤレス ネットワーク設定や特定の SSID が Windows グループ ポリシーからプッシュされた場合、それらはネットワーク アクセス マネージャの適切な動作と競合する可能性があります。ネットワーク アクセス マネージャがインストールされている場合、ワイヤレス設定のグループ ポリシーはサポートされません。

Windows 10 バージョン 1703 では、WLAN の動作が変更されたため、ネットワーク アクセス マネージャがワイヤレス ネットワーク SSID をスキャンするときに中断が発生していました。Microsoft が調査中の Windows コードのバグのために、ネットワーク アクセス マネージャの非表示ネットワークへのアクセスの試みが影響を受けます。最適なユーザ エクスペリエンスを提供するために、ネットワーク アクセス マネージャのインストール時に 2 つのレジストリキーを設定し、アンインストール時にそれらを削除することによって、Microsoft の新機能を無効化しています。

macOS 10.13（High Sierra）に関する AnyConnect の推奨バージョンは、AnyConnect 4.5.02XXX 以降です。

AnyConnect 4.5.02XXX 以降では、macOS の [システム環境設定（Preferences）] > [セキュリティとプライバシー（Security & Privacy）] ペインで AnyConnect ソフトウェア拡張機能を有効にすることにより、AnyConnect の全機能を活用するために必要な手順をガイドする追加機能および警告が提供されます。ソフトウェア拡張機能を手動で有効にする必要があることが、macOS 10.13（High Sierra）の新しいオペレーティング システム要件です。さらに、ユーザのシステムを macOS 10.13 以降にアップグレードする前に AnyConnect を 4.5.02XXX 以降にアップグレードすると、AnyConnect ソフトウェア拡張機能は自動的に有効になります。

ユーザのシステムが macOS 10.13 以降である場合、4.5.02XXX より前のバージョンの AnyConnect を使用しているときは、macOS の [システム環境設定（Preferences）] > [セキュリティとプライバシー（Security ＆ Privacy）] ペインで AnyConnect ソフトウェア拡張機能を有効にする必要があります。AnyConnect 4.4.04030 および 4.5.01044 は macOS 10.13 以降で動作することがテストされていますが、それらのユーザには AnyConnect 4.5.02XXX で提供される追加機能および警告ガイダンスがありません。4.5.02xxx より前のバージョンの AnyConnectの拡張機能を有効にした後は、手動で再起動する必要がある場合があります。

macOS システム管理者は User Approved Kernel Extension Loading を無効にする追加機能を利用できる場合があります（https://support.apple.com/ja-jp/HT208019 を参照）。これは現在サポートされているバージョンの AnyConnect で有効です。

ネットワークの変更または電源イベントが発生した場合、中断されたポスチャ プロセスは正常に完了しません。ネットワークまたは電力の変更により、AnyConnect ダウンローダ エラーが発生します。ユーザがこれを確認しないと、プロセスを続行できません。

WWAN/3G/4G へのすべての接続は、ユーザによって手動でトリガーされる必要があります。有線またはワイヤレス接続を利用できない場合、ネットワーク アクセス マネージャは、これらのネットワークに自動的に接続しません。

macOS では、VPN 接続の開始後にキーチェーン認証プロンプトが表示される場合があります。このプロンプトは、セキュア ゲートウェイからのクライアント証明書要求後に、クライアント証明書の秘密キーへのアクセスが必要な場合にのみ表示されます。トンネル グループに証明書認証が設定されていなくても、ASA で証明書マッピングが 設定されている可能性があります。その場合、クライアント証明書の秘密キーのアクセス制御設定が [アクセスを許可する前に確認する（Confirm Before Allowing Access）] に設定されているとキーチェーン プロンプトが表示されます。

ログイン キーチェーンからクライアント証明書への AnyConnect アクセスを厳密に制限するように AnyConnect VPN プロファイルを設定します（ASDM プロファイル エディタで、[プリファレンス（Part 1）（Preferences (Part 1)）] > [証明書ストア（Certificate Store）] > [macOS] の [ログイン（Login）] を選択）。キーチェーン認証プロンプトを停止するには、次のいずれかの操作を行います。

• 既知のシステム キーチェーン証明書を除外するようにクライアント プロファイルの証明書一致基準を設定します。

• AnyConnect へのアクセスを許可するようにシステム キーチェーン内のクライアント証明書の秘密キーのアクセス制御設定を設定します。

OrgInfo.json ファイルを取得するためのダッシュボードは、現在、https://dashboard.umbrella.com です。そこから [アイデンティティ（Identity）] > [ローミング コンピュータ（Roaming Computers）] に移動し、左上にある [+]（追加アイコン）をクリックして、[AnyConnect Umbrella ローミング セキュリティ モジュール（AnyConnect Umbrella Roaming Security Module）] セクションから [モジュール プロファイル（Module Profile）] をクリックします。

Microsoft は、ネットワーク アクセス マネージャがインストールされているときに以前のバージョンの Windows への更新をブロックすることを意図していましたが、Windows 10 および Creators Edition（RS2）も誤ってブロックされていました。このエラー（Microsoft Sysdev 11911272）のために、Creators Editor（RS2）にアップグレードには、まずネットワーク アクセス マネージャ モジュールをアンインストールする必要があります。アップグレード後にモジュールを再インストールできます。このエラーに関する Microsoft の修正は、2017 年 6 月に予定されています。

Windows 10 Creator Update (April 2017) にアップグレードすると、AnyConnect アダプタに問題があることを示す Windows Defender メッセージが表示される場合があります。Windows Defender により、[デバイスのパフォーマンスと正常性（Device Performance and Health）] セクションでアダプタを有効にするように指示されます。実際には、使用していないときはアダプタを無効にしてください（手動で操作しないでください）。この誤検知エラーは、Sysdev 番号 11295710 で Microsoft にレポートされています。

AnyConnect 4.4MR1 以降および 4.3MR5 は、Windows 10 Creators Edition（RS2）と互換性があります。

AnyConnect 4.1MR4（4.1.04011）以降は、Windows 10 の公式リリースと互換性があります。Technical Assistance Center（TAC）のサポートは 2015 年 7 月 29 日から開始されています。

最良の結果を得るために、Windows 7/8/8.1 からのアップグレードではなく Windows 10 システムへの AnyConnect のクリーン インストールをお勧めします。AnyConnect がプレインストールされた Windows 7/8/8.1 からアップグレードする場合は、オペレーティング システムをアップグレードする前に、必ず、まず AnyConnect をアップグレードしてください。Windows 10 にアップグレードする前に、ネットワーク アクセス マネージャ モジュールをアンインストールする必要があります。システムのアップグレードが完了したら、ネットワーク アクセス マネージャをシステムに再インストールできます。また、Windows 10 へのアップグレード後に、AnyConnect を完全にアンインストールし、サポートされているいずれかのバージョンを再インストールすることもできます。

AnyConnect は Win32（Windows ストアではない）アプリケーションなので、権限に関する Microsoft の制限があります。これにより、AnyConnect では、Windows 8 以降の Connected Standby（一時停止イベントと再開イベント）ステータスにアクセスできません。

以前は、スプリット包含ネットワークがローカル サブネットのスーパーネットである場合、ローカル サブネットと完全に一致するスプリット包含ネットワークが設定されていないかぎり、ローカル サブネット トラフィックはトンネリングされませんでした。CSCum90946 の解決により、スプリット包含ネットワークがローカル サブネットのスーパーネットである場合、アクセス リスト（ACE/ACL）でスプリット除外（deny 0.0.0.0/32 or ::/128）も設定されていないかぎり、ローカル サブネット トラフィックはトンネリングされます。

AnyConnect リリース 4.2 MR 1 で導入されたこの動作については、スーパーネットがスプリット包含で設定されており、かつ、目的の動作が LocalLan アクセスの許可である場合、次の設定が必要です。

• アクセス リスト（ACE/ACL）には、スーパーネットに関する許可アクションと、0.0.0.0/32 または ::/128 に関する拒否アクションの両方を含める必要があります。

• AnyConnect プロファイル（プロファイル エディタの [プリファレンス（Part 1）（Preferences (Part 1)）] メニュー）で [ローカル LAN アクセス（Local LAN Access）] を有効にします（ユーザ制御可能にするオプションもあります）。

SHA-1 証明書または SHA-1 中間証明書付き証明書を持つセキュア ゲートウェイは、2017 年 2 月 14 日以降、Windows Internet Explorer 11/Edge ブラウザまたは Windows AnyConnect エンドポイントによって有効と見なされなくなる可能性があります。2017 年 2 月 14 日以降、Windows エンドポイントは、SHA-1 証明書または中間証明書を持つセキュア ゲートウェイを信頼できると見なさなくなる可能性があります。セキュア ゲートウェイに SHA-1 アイデンティティ証明書を持たせないことと、中間証明書を SHA-1 ではないものにすることを強くお勧めします。

Microsoft は、当初のレコードの計画とタイミングを変更しました。Microsoft は環境が 2017 年 2 月の変更によって影響を受けるかどうかをテストする方法の詳細を公開しました。シスコでは、SHA-1 セキュア ゲートウェイまたは中間証明書を使用しているか古いバージョンの AnyConnect を実行している場合に AnyConnect の正常な動作を保証できません。

利用可能な修正をすべて確実に適用するために、AnyConnect の現在のメンテナンス リリースで常に最新の状態に保つことをお勧めします。AnyConnect 4.x 以降の最新バージョンは、アクティブな AnyConnect Plus、Apex、および VPN Only の契約期間がある場合に Cisco.com Software Center で入手できます。AnyConnect バージョン 3.x はすでに積極的なメンテナンスが行われなくなっているため、どの展開にも使用しないでください。

（注）	シスコでは、Microsoft が SHA-1 の廃止を進めても、AnyConnect 4.3 および 4.4 以降のリリースは正常に動作しつづけることを確認しました。Microsoft ではあらゆる状況において Windows 全体で SHA1 の信用を廃止する長期的な計画を持っていますが、Microsoft の現在のアドバイザリでは、これに関する詳細やタイミングは提供されていません。その廃止の正確な日付によっては、いつでも AnyConnect の古いバージョンの多くが動作しなくなる可能性があります。詳細については、Microsoft のアドバイザリを参照してください。

（Windows 7、8、および 8.1 ユーザの場合）クライアントが認証に SHA512 証明書を使用すると、証明書が使用されていることがクライアント ログに記録されていても認証は失敗します。ASA ログには、AnyConnect によって証明書が送信されていないことが正しく示されます。これらのバージョンの Windows では、TLS 1.2 で SHA512 証明書のサポートを有効にする必要があります。これはデフォルトではサポートされていません。これらの SHA512 証明書のサポートの有効化については https://support.microsoft.com/en-us/kb/2973337 を参照してください。

セキュリティ ポリシーの強化により、RC4 TLS 暗号スイートは AnyConnect リリース 4.2.01035 以降ではサポートされません。

OpenSSL 規格開発チームがいくつかの暗号スイートをセキュリティ侵害を受けたものとしてマークしたため、それらは AnyConnect 3.1.05187 以降ではサポートされなくなりました。サポートされない暗号スイートには DES-CBC-SHA、RC4-SHA、および RC4-MD5 が含まれます。

同様に、シスコの暗号ツールキットでは RC4 暗号がサポートされなくなりました。そのため、それらのシスコのサポートは、リリース 3.1.13011 および 4.2.01035 以降では中止されています。

新規インストールが完了すると、予期どおりの動作として、ISE ポスチャ ログ トレース メッセージが表示されます。ただし、ISE ポスチャ プロファイル エディタを開いて [エージェント ログ トレース ファイルの有効化（Enable Agent Log Trace file）] を 0（無効）に変更する場合は、予期どおりの結果を得るために AnyConnect サービスを再起動する必要があります。

macOS 10.9 以降を使用しており、ISE ポスチャを使用する場合は、問題を回避するために次の作業を行う必要があります。

• ポスチャ アセスメント時に「ポリシー サーバへの接続の失敗」というエラーが発生することを回避するには、証明書の検証を無効にします。

• キャプティブ ポータル アプリケーションを無効にします。無効にしない場合は、検出プローブがブロックされ、アプリケーションはポスチャ前の ACL 状態のままになります。

macOS 上の Firefox 証明書ストアは、任意のユーザがストアの内容を変更することを許可するアクセス権を使用して保存されます。これにより、未認可のユーザまたはプロセスが不正な CA を信頼されたルート ストアに追加することが可能になります。AnyConnect は、サーバ検証またはクライアント証明書に Firefox ストアを使用しなくなりました。

必要に応じて、AnyConnect 証明書を Firefox の証明書ストアからエクスポートする方法とそれらを macOS キーチェーンにインポートする方法をユーザに指示してください。次の手順は、AnyConnect ユーザへの指示の一例です。

1. Firefox の [オプション（Preferences）] > [プライバシーとセキュリティ（Privacy & Security）] > [詳細設定（Advanced）] の [証明書（Certificates）] タブに移動し、[証明書を表示（View Certificates）] をクリックします。

2. AnyConnect に使用する証明書を選択し、[エクスポート（Export）] をクリックします。

   AnyConnect 証明書は、多くの場合、[認証局証明書（Authorities）] カテゴリにあります。目的の証明書は別のカテゴリ（[あなたの証明書（Your Certificates）] または [サーバ証明書（Servers）]）に含まれている可能性があるため、証明書管理者に確認してください。

3. 証明書を保存する場所（デスクトップ上のフォルダなど）を選択します。

4. [ファイルの種類（Format）] プルダウン メニューで、[X.509 証明書（DER）（X.509 Certificate (DER)）] を選択します。必要に応じて、証明書名に .der 拡張子を追加します。

   

   （注）	複数の AnyConnect 証明書または秘密キー（あるいはその両方）が使用される場合や必要な場合は、証明書ごとに上記のプロセスを繰り返してください。

5. KeyChain を起動します。[ファイル（File）] > [アイテムのインポート...（Import Items…）] に移動し、Firefox からエクスポートした証明書を選択します。

   [宛先キーチェーン：（Destination Keychain:）] で目的のキーチェーンを選択します。この例で使用されているログイン キーチェーンは、ユーザの会社で使用されているものと異なる場合があります。証明書をインポートする必要があるキーチェーンについては、証明書管理者に問い合わせてください。

6. [宛先キーチェーン：（Destination Keychain:）] で目的のキーチェーンを選択します。この例で使用されているログイン キーチェーンは、ユーザの会社で使用されているものと異なる場合があります。証明書をインポートする必要があるキーチェーンについては、証明書管理者に問い合わせてください。

   
   

   

   
   

7. AnyConnect に使用される（または必要な）追加の証明書について、上記の手順を繰り返します。

error while loading shared libraries: libpangox-1.0.so.0: cannot open shared
object file: No such file or directory

Pango は、他者によって構築された、オンラインで入手可能な互換ライブラリのソース コードをリリースしています。この問題を解決するには、pangox-compat-0.0.2-2.el7.x86_64.rpm パッケージまたは pangox-compat-0.0.2-3.fc20.x86_64.rpm パッケージを入手してインストールします。

（CSCue04930）ASDM で SSLv3 オプションの [SSLv3 のみ（SSLv3 only）] または [SSL V3をネゴシエート（Negotiate SSL V3）] が選択されている（[設定（Configuration）] > [リモート アクセス VPN（Remote Access VPN）] > [詳細設定（Advanced）] > [SSL 設定（SSL Settings）] > [セキュリティ アプライアンスがサーバとしてネゴシエートするための SSL バージョン（The SSL version for the security appliance to negotiate as a server）]）場合、HostScan は機能しません。管理者に警告するために、ASDM に警告メッセージが表示されます。

Safari を使用すると WebLaunch で問題が発生します。OS X 10.9（Mavericks）に付属しているバージョンの Safari のデフォルト セキュリティ設定では、AnyConnect Weblaunch は機能しません。WebLaunch が機能するように Safari を設定するには、次のように ASA の URL を「安全でないモード」に編集します。

Safari 9 以前

1. Safari の [環境設定（Preferences）] を開きます。

2. [セキュリティ（Security）] 設定を選択します。

3. [Web サイト設定を管理...（Manage Website Settings...） ] ボタンをクリックします。

4. 左側のオプション リストから [Java] を選択します。

5. 接続を試みる Web サイト「Hostname_or_IP_address」のオプションを [開かない（Block）] から [常に許可（Allow Always）] に変更します。

6. [完了（Done）] をクリックします。

Safari 10 以降

1. Safari の [環境設定（Preferences）] を開きます。

2. [セキュリティ（Security）] 設定を選択します。

3. [インターネット プラグイン：（Internet plug-ins:）] オプションの [プラグインを許可（allow plug-ins）] をオンにします。

4. [プラグイン設定（Plug-ins Settings）] ボタンを選択します。

5. 左側のオプション リストから [Java] を選択します。

6. 接続を試みる「Hostname_or_IP_address」を強調表示します。

7. Alt キー（または Option キー）を押したままドロップダウン メニューをクリックします。[オン（On）] がオンになっていることと [安全なモードで実行（Run in Safe Mode）] がオフになっていることを確認します。

8. [完了（Done）] をクリックします。

ActiveX コントロールに必要な変更を加えないかぎり、WebLaunch による AnyConnect ソフトウェアの自動アップグレードは、限定的なユーザ アカウントで機能します。

場合によっては、このコントロールが、セキュリティの修正または新しい機能の追加によって変更されます。

限定的なユーザ アカウントからコントロールを起動するときにコントロールのアップグレードが必要な場合、管理者は、AnyConnect プレインストーラ、SMS、GPO、またはその他の管理展開方法を使用してコントロールを展開する必要があります。

AnyConnect Secure Mobility Client、Hostscan、CSD、およびクライアントレス SSL VPN（WebVPN）は、Java 7 によって問題が発生する可能性があります。この問題と回避策については、トラブルシューティング テクニカルノートの『Java 7 Issues with AnyConnect, CSD/Hostscan, and WebVPN - Troubleshooting Guide』（[セキュリティ（Security）] > [Cisco Hostscan] にあるシスコのドキュメント）を参照してください。

トンネルオール ネットワークが設定されている場合に暗号化されていないローカル DHCP トラフィック フローを可能にするために、AnyConnect は、AnyConnect クライアントが接続したときに ローカル DHCP サーバへの特定のルートを追加します。また、このルートでのデータ漏えいを防ぐため、AnyConnect はホスト マシンの LAN アダプタに暗黙的なフィルタを適用し、DHCP トラフィックを除く、そのルートのすべてのトラフィックをブロックします。

シスコでは、Bluetooth または USB テザリングの Apple iPhoneを介した AnyConnect VPN クライアントのみを認定しています。他のテザー デバイスによって提供されるネットワーク接続は、展開前に AnyConnect VPN クライアントで確認する必要があります。

AnyConnect は、次の環境でスマートカードにより提供されるクレデンシャルに対応します。

• Windows 7、Windows 8、Windows 10 上の Microsoft CAPI 1.0 および CAPI 2.0。

• macOS 上のキーチェーンと macOS 10.12 以降上の CryptoTokenKit。

  （注）	AnyConnect は、Linux または PKCS #11 デバイスではスマート カードをサポートしていません。

シスコは、次の仮想マシン環境を使用して AnyConnect クライアント テストの一部を実行します。

• VMWare ESXi Hypervisor（vSphere）4.0.1 以降

• VMWare Fusion 2.x、3.x、および 4.x

仮想環境での AnyConnect の実行はサポートしませんが、シスコがテストする VMWare 環境では AnyConnect は適切に機能すると予測されます。

仮想環境で AnyConnect の問題が発生した場合は、報告してください。シスコが解決に向けて最善を尽くします。

DAP とグループ ポリシーの常時接続無効化のヘッド エンド設定は、再起動すると AnyConnect によって適用されなくなります。クライアントが VPN プロファイルで常時接続を有効化しており、DAP またはグループ ポリシーの常時接続無効化設定を受け取った場合、次回のシステム再起動後に常時接続無効化は維持されません。

ただし、ApplyLastVPNLocalResourceRules の常時接続プロファイル設定に関連するヘッド エンド設定（除外ネットワーク、グループポリシーで設定されたクライアント パブリック ファイアウォール ルールなど）は、再起動後も引き続き適用されます。この関連機能を使用すると、常時接続が有効になっており、フェール クローズ ポリシーが適用されたローカル LAN アクセスが、VPN 接続に失敗した後も機能を維持できるようになります。

ASA 8.4(1) 以降で使用される AnyConnect 3.0 以降で、RADIUS/MSCHAP および LDAP プロトコルを使用して送信されるパスワードの UTF-8 文字がサポートされます。

AnyConnect を実行するクライアントの自動更新が無効になっている場合、ASA に同じバージョンまたはそれ以前のバージョンの AnyConnect がインストールされていないと、クライアントは VPN に接続できません。

この問題を回避するには、ASA で同じバージョンまたはそれ以前のバージョンの AnyConnect パッケージを設定するか、自動更新を有効にしてクライアントを新しいバージョンにアップグレードします。

ネットワーク アクセス マネージャが動作している場合、ネットワーク アダプタが排他的に制御され、他のソフトウェア接続マネージャ（Windows のネイティブ接続マネージャを含む）による接続確立の試みがブロックされます。そのため、AnyConnect ユーザにエンドポイント コンピュータ上の他の接続マネージャ（iPassConnect Mobility Manager など）を使用させる場合は、ネットワーク アクセス マネージャ GUI のクライアント無効化オプションを使用するか、ネットワーク アクセス マネージャ サービスを停止することによって、ネットワーク アクセス マネージャを無効にする必要があります。

Intel ワイヤレス ネットワーク インターフェイス カード ドライバ バージョン 12.4.4.5 は、ネットワーク アクセス マネージャと互換性がありません。このドライバがネットワーク アクセス マネージャと同じエンドポイントにインストールされている場合、一貫性のないネットワーク接続や Windows オペレーティング システムの突然のシャットダウンが発生する可能性があります。

AnyConnect クライアントは、IPsec/IKEv2 VPN 接続の IKEv2 認証フェーズ中に必要とされるデータのハッシングおよび署名を Windows Cryptographic Service Provider（CSP）に依存しています。CSP が SHA 2 アルゴリズムをサポートしていておらず、ASA が疑似乱数関数（PRF）SHA256、SHA384、SHA512 用に設定されていて、接続プロファイル（tunnel-group）が証明書用、または証明書と AAA 認証用に設定されている場合、証明書認証は失敗します。ユーザは「Certificate Validation Failure」というメッセージを受け取ります。

このエラーは、SHA 2 タイプのアルゴリズムをサポートしていない CSP に属する証明書を、Windows で使用した場合のみ発生します。その他のサポート対象 OS では、この問題は発生しません。

この問題を回避するには、ASA の IKEv2 ポリシーで、PRF を md5 または sha（SHA 1）に設定します。あるいは、証明書の CSP 値を、機能するネイティブ CSP（Microsoft Enhanced RSA や AES Cryptographic Provider など）に変更することもできます。SmartCards 証明書には、この回避策を使用しないでください。CSP 名を変更できません。代わりに、SmartCard のプロバイダーに問い合わせて、SHA 2 アルゴリズムをサポートする、更新された CSP を入手してください。

注意	次の回避策は、手順を誤って実行した場合、ユーザ証明書を破損するおそれがあります。証明書で変更を指定するときは、十分に注意してください。

Microsoft Certutil.exe ユーティリティを使用して、証明書 CSP 値を変更できます。Certutil は、Windows CA を管理するためのコマンドライン ユーティリティで、Microsoft Windows Server 2003 Administration Tools Pack に同梱されています。Tools Pack は、次の URL からダウンロードできます。

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&displaylang=en

Certutil.exe を実行して証明書 CSP 値を変更するには、次の作業を実行します。

1. エンドポイント コンピュータでコマンド ウィンドウを開きます。

2. certutil -store -user My コマンドを使用して、ユーザ ストアに格納されている証明書と、その証明書の現在の CSP 値を表示します。

   次に、このコマンドで表示される証明書の内容の例を示します。

   
   ================ Certificate 0 ================
   Serial Number: 3b3be91200020000854b
   Issuer: CN=cert-issuer, OU=Boston Sales, O=Example Company, L=San Jose,
   S=CA, C=US, E=csmith@example.com
   NotBefore: 2/16/2011 10:18 AM
   NotAfter: 5/20/2024 8:34 AM
   Subject: CN=Carol Smith, OU=Sales Department, O=Example Company, L=San Jose, S=C
   A, C=US, E=csmith@example.com
   Non-root Certificate
   Template:
   Cert Hash(sha1): 86 27 37 1b e6 77 5f aa 8e ad e6 20 a3 14 73 b4 ee 7f 89 26
     Key Container = {F62E9BE8-B32F-4700-9199-67CCC86455FB}
     Unique container name: 46ab1403b52c6305cb226edd5276360f_c50140b9-ffef-4600-ada
   6-d09eb97a30f1
     Provider = Microsoft Enhanced RSA and AES Cryptographic Provider
   Signature test passed
   

3. この証明書の <CN> 属性を特定します。この例では、CN は Carol Smith です。この情報は次のステップに必要です。

4. 次のコマンドを使用して、証明書 CSP を変更します。次に、サブジェクト <CN> 値を使用して、変更する証明書を選択する例を示します。その他の属性も使用できます。

   Windows 7 以降の場合は、certutil -csp "Microsoft Enhanced RSA and AES Cryptographic Provider" -f -repairstore -user My <CN> carol smith コマンドを使用します。

5. ステップ 2 を繰り返して、表示される証明書の新しい CSP 値を確認します。

ウイルス対策、マルウェア対策、侵入防御システム（IPS）などのアプリケーションが、Cisco AnyConnect アプリケーションの動作を誤って悪意のあるものと判断する場合があります。そのような誤解釈を避けるために例外を設定できます。AnyConnect のモジュールまたはパッケージをインストールしたら、ウィルス対策ソフトウェアを設定して、Cisco AnyConnect のインストール フォルダを「ホワイトリスト」に登録するか、Cisco AnyConnect アプリケーションに関するセキュリティ例外を指定します。

IKEv2 はパブリック側プロキシをサポートしていません。この機能のサポートが必要な場合は、SSL を使用してください。プライベート側プロキシは、セキュア ゲートウェイから送信される設定の指示に従って、IKEv2 と SSL の両方でサポートされます。IKEv2 はゲートウェイから送信されるプロキシ設定を適用し、それ以降の HTTP トラフィックはそのプロキシ設定の影響を受けます。

AnyConnect は、一部のルータによるパケット フラグメントを受信およびドロップする場合があり、その結果、一部の Web トラフィックが通過できなくなります。

この問題を回避するには MTU の値を小さくします。推奨値は 1200 です。次に、CLI を使用してこれを実行する例を示します。

hostname# config t
hostname(config)# group-policy DfltGrpPolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# anyconnect mtu 1200

ASDM を使用して MTU を設定するには、[設定（Configuration）] > [ネットワーク（クライアント）アクセス（Network (Client) Access）] > [グループ ポリシー（Group Policies）] > [追加（Add）] または [編集（Edit）] > [詳細（Advanced）] > [SSL VPN クライアント（SSL VPN Client）] の順に選択します。

DTLS に関してデッド ピア検出（DPD）が有効になっている場合、クライアントは自動的にパス MTU を決定します。以前に ASA を使用して MTU を減らした場合は、設定をデフォルト値（1406）に戻す必要があります。トンネルの確立時に、クライアントは、特別な DPD パケットを使用して MTU を自動調整します。それでも問題が解決しない場合は、ASA での MTU 設定を使用して以前と同様に MTU を制限します。

ネットワーク アクセス マネージャを使用するには、FreeRADIUS 設定を調整する必要があります。脆弱性を防ぐために、ECDH 関連の暗号はデフォルトで無効になっています。/etc/raddb/eap.conf で cipher_list の値を変更してください。

Windows 7 以降を実行しているモバイル エンドポイントは、クライアントが同じネットワーク上のアクセス ポイント間をローミングするときに、より迅速な PMKID 再アソシエーションを利用する代わりに、完全な EAP 認証を実行する必要があります。その結果、場合によっては、AnyConnect は完全認証のたびにクレデンシャルを入力するようにユーザに要求します（アクティブ プロファイルによって要求される場合）。

IPv6 アドレス、ドメイン名、アドレス範囲、またはワイルド カードの例外が指定されている場合を除き、IPv6 Web トラフィックはスキャニング プロキシに送信されます。ここで DNS ルックアップが実行され、ユーザがアクセスしようとしている URL に IPv4 アドレスがあるかどうかが確認されます。IPv4 アドレスが見つかると、スキャニング プロキシはそのアドレスを使用して接続します。IPv4 アドレスが見つからない場合は、接続はドロップされます。

すべての IPv6 トラフィックがスキャニング プロキシをバイパスするように設定する場合は、すべての IPv6 トラフィック ::/0 にこの静的な例外を追加します。これを行うことで、すべての IPv6 トラフィックがすべてのスキャニング プロキシをバイパスします。つまり、この場合は IPv6 トラフィックは Cisco クラウド Web セキュリティで保護されません。

AnyConnect を使用してリモート LAN 上の Windows 7 以降と VPN セッションを確立すると、ユーザの LAN 内の他のデバイス上のネットワーク ブラウザに、保護されたリモート ネットワーク上のホストの名前が表示されます。ただし、他のデバイスはこれらのホストにアクセスできません。

AnyConnect ホストが サブネット間でのホスト名（AnyConnect エンドポイント ホストの名前を含む）の漏洩を確実に防ぐために、そのエンドポイントがマスター ブラウザまたはバックアップ ブラウザにならないように設定してください。

1. [プログラムとファイルの検索（Search Programs and Files）] テキスト ボックスに「regedit」と入力します。

2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Browser\Parameters\ に移動します。

3. [MaintainServerList] をダブルクリックします。

[文字列の編集（Edit String）] ウィンドウが開きます。

1. 「No」と入力します。

2. [OK] をクリックします。

3. [レジストリ エディター（Registry Editor）] ウィンドウを閉じます。

配信ポイントが内部的にしかアクセスできない場合に、AnyConnect が LDAP 証明書失効リスト（CRL）の配信ポイントを指定するサーバ証明書を確認しようとすると、認証後に AnyConnect 証明書失効警告ポップアップ ウィンドウが表示されます。

このポップアップ ウィンドウが表示されないようにするには、次のいずれかを実行します。

• プライベート CRL 要件を持たない証明書を取得します。

• Internet Explorer でサーバ証明書失効確認を無効にします。

  注意	Internet Explorer でサーバ証明書失効確認を無効にすると、他の OS の使用に関してセキュリティ上の重大な悪影響が生じる可能性があります。

ローカリゼーション ファイル内のメッセージの検索を試みると、次の例のように、それらが複数行になる場合があります。

msgid ""
"The service provider in your current location is restricting access to the "
"Secure Gateway. "

macOS 用の AnyConnect クライアントが、IOS を実行するゲートウェイへの SSL 接続の確立を試みる場合、または AnyConnect クライアントが特定タイプのルータ（Cisco Virtual Office（CVO）ルータなど）の背後から ASA への IPsec 接続の確立を試みる場合、一部の Web トラフィックが接続を通過し、残りのトラフィックがドロップされる可能性があります。AnyConnect は MTU を誤って計算する場合があります。

この問題を回避するには、macOS コマンド ラインから次のコマンドを使用して、AnyConnect アダプタの MTU の値を手動で減らします。

sudo ifconfig utun0 mtu 1200（macOS v10.7 以降の場合）

Windows コンピュータでは、限定的な権限または標準的な権限を持つユーザは、それぞれのプログラム データ フォルダに対して書き込みアクセスを実行できる場合があります。これにより、AnyConnect プロファイル ファイルを削除できるため、常時接続機能を無効にすることができます。これを防止するには、C:\ProgramData フォルダ（または少なくとも Cisco サブフォルダ）へのアクセスを制限するようにコンピュータを設定します。

Windows 7 以降の Wireless Hosted Network 機能を使用すると AnyConnect が不安定になるおそれがあります。AnyConnect を使用する場合、この機能を有効にしたり、（Connectify または Virtual Router など）この機能を有効にするフロントエンド アプリケーションを実行したりすることはお勧めしません。

AnyConnect では、ASA が TLSv1 トラフィックを受け入れ、SSLv3 トラフィックを受け入れないようにする必要があります。SSLv3 キー生成アルゴリズムは、キー生成機能を低下させる可能性がある方法で MD5 と SHA-1 を使用します。SSLv3 の後継規格である TLSv1 を使用すると、SSLv3 に存在するこの問題とその他のセキュリティ上の問題が解決されます。

このため、AnyConnect クライアントは、「ssl server-version」について次の ASA 設定では接続を確立できません。

ssl server-version sslv3

ssl server-version sslv3-only

デバイスに Trend Micro がインストールされている場合、ドライバが競合するために、ネットワーク アクセス マネージャをインストールできません。Trend Micro をアンインストールするか [Trend Micro 共通ファイアウォール ドライバ（trend micro common firewall driver）] をオフにすると、この問題を回避できます。

サポートされているマルウェア対策製品およびファイアウォール製品のどれもが、最終スキャン時間情報をレポートしません。HostScan では次の内容がレポートされます。

• マルウェア対策について

  • 製品の説明

  • 製品のバージョン

  • ファイル システム保護ステータス（アクティブ スキャン）

  • データ ファイル時間（最終更新日時とタイムスタンプ）

• ファイアウォールについて

  • 製品の説明

  • 製品のバージョン

  • ファイアウォールの有効/無効

IPv6 が有効になっており、プロキシ設定の自動検出が Internet Explorer で有効になっているか現在のネットワーク環境でサポートされていない場合、Windows で再接続に時間がかかることがあります。回避策として、プロキシの自動検出が現在のネットワーク環境でサポートされていない場合は、VPN 接続に使用されない物理ネットワーク アダプタを切断するか、IE でプロキシの自動検出を無効にすることができます。リリース 3.1.03103 では、マルチホーム システムを使用している場合にも、再接続に時間がかかることがあります。

Windows 7 以降では、限定的な権限を持つユーザ アカウントは ActiveX コントロールをアップグレードできないため、Web 展開方式で AnyConnect クライアントをアップグレードできません。最も安全な選択肢として、ユーザが、ヘッドエンドに接続してアップグレードすることにより、アプリケーション内からクライアントをアップグレードすることをお勧めします。

（注）	以前に管理者アカウントを使用して ActiveX コントロールがクライアントにインストールされている場合、ユーザは ActiveX コントロールをアップグレードできます。

ASA ヘッドエンドから WebLaunch を使用して macOS 上の AnyConnect を起動し、Java インストーラが失敗した場合は、ダイアログボックスに [手動インストール（Manual Install）] リンクが表示されます。この場合、ユーザは次の操作を実行する必要があります。

1. [手動インストール（Manual Install）] をクリックします。ダイアログボックスに、macOS インストーラを含む .dmg ファイルを保存するためのオプションが表示されます。

2. ディスク イメージ（.dmg）ファイルを開き、Finder を使用してマウントされているボリュームを参照することによって、このファイルをマウントします。

3. ターミナル ウィンドウを開き、CD コマンドを使用して、保存したファイルがあるディレクトリに移動します。.dmg ファイルを開き、インストーラを実行します。

4. インストール後、[アプリケーション（Applications）] > [Cisco] > [Cisco AnyConnect Secure Mobility Client] の順に選択して、AnyConnect セッションを開始するか、Launchpad を使用します。

ネットワーク アクセス マネージャは PKC または CCKM キャッシングをサポートしていません。Windows 7 では、シスコ以外のワイヤレス カードを使用した高速ローミングは使用できません。

AnyConnect Secure Mobility Client には、独自のクライアント プログラムを構築するユーザ向けのアプリケーション プログラミング インターフェイス（API）が含まれています。

API パッケージには、Cisco AnyConnect VPN クライアントの C ++ インターフェイスに対応するマニュアル、ソース ファイル、およびライブラリ ファイルが含まれています。Windows、Linux、および Mac プラットフォームで構築する際に、ライブラリおよびプログラム例を使用できます。Windows プラットフォーム用の Makefile（またはプロジェクト ファイル）も含まれています。他のプラットフォーム用には、サンプル コードのコンパイル方法を示すプラットフォーム固有スクリプトが含まれています。ネットワーク管理者は、アプリケーション（GUI、CLI、または組み込みアプリケーション）とこれらのファイルやライブラリをリンクできます。

API は Cisco.com からダウンロードできます。

AnyConnect API に関するサポートの問題については、anyconnect-api-support@cisco.com に電子メールでお問い合わせください。