Cisco VPN 3000コンセントレータでHTTPを使用してCRLチェックを行う

ダウンロード オプション

  • PDF     (546.2 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (284.2 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (361.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2006 年 3 月 13 日
Document ID:26383

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、HTTP モードを使用して Cisco VPN 3000 コンセントレータにインストールされた認証局(CA)の証明書に関する証明書失効リスト(CRL)のチェック機能をイネーブルにする方法について説明します。

証明書は通常、有効期間の全体にわたって有効であることが期待されます。ただし、名前の変更、サブジェクトとCA間の関連付けの変更、セキュリティの侵害などが原因で証明書が無効になると、CAは証明書を失効させます。X.509では、CAは署名付きCRLを定期的に発行して証明書を失効させます。失効した各証明書はシリアル番号で識別されます。CRLチェックをイネーブルにすると、VPNコンセントレータが認証に証明書を使用するたびに、CRLもチェックして、確認対象の証明書が失効していないことを確認します。

CAは、Lightweight Directory Access Protocol(LDAP)/HTTPデータベースを使用して、CRLを保存および配布します。他の手段を使用する場合もありますが、VPNコンセントレータはLDAP/HTTPアクセスに依存しています。

HTTP CRLチェックは、VPNコンセントレータバージョン3.6以降で導入されています。ただし、LDAPベースのCRLチェックは、以前の3.xリリースで導入されました。このドキュメントでは、HTTPを使用したCRLチェックについてのみ説明します。

注:VPN 3000シリーズコンセントレータのCRLキャッシュサイズはプラットフォームによって異なるため、管理者の希望に従って設定することはできません。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • インターネットキーエクスチェンジ(IKE)認証用の証明書を使用して、VPN 3.xハードウェアクライアントからIPSecトンネルを正常に確立できました(CRLチェックは無効)。

  • VPNコンセントレータは常にCAサーバに接続できます。

  • CAサーバがパブリックインターフェイスに接続されている場合は、必要なルールをパブリック(デフォルト)フィルタで開いています。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • VPN 3000コンセントレータバージョン4.0.1 C

  • VPN 3.xハードウェアクライアント

  • Windows 2000サーバで実行される証明書の生成とCRLチェック用のMicrosoft CAサーバ。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

ネットワーク図

このドキュメントでは、次のネットワーク セットアップを使用します。

crl-http-vpn3k-1.gif

VPN 3000 コンセントレータの設定

手順説明

VPN 3000コンセントレータを設定するには、次の手順を実行します。

  1. 証明書がない場合は、Administration > Certificate Managementの順に選択して証明書を要求します。

    Click here to install a certificateを選択して、VPNコンセントレータにルート証明書をインストールします。

    crl-http-26383c.gif

  2. Install CA certificateを選択します。

    crl-http-26383b.gif

  3. CA証明書を取得するには、SCEP(Simple Certificate Enrollment Protocol)を選択します。

    crl-http-vpn3k-3.gif

  4. SCEPウィンドウのURLダイアログボックスで、CAサーバの完全なURLを入力します。

    この例では、CAサーバのIPアドレスは172.18.124.96です。この例では Microsoft の CA サーバを使用しているので、完全な URL は http://172.18.124.96/certsrv/mscep/mscep.dll です。次に、CA Descriptorダイアログボックスで1ワードの記述子を入力します。この例ではCAを使用しています。

    crl-http-vpn3k-4.gif

  5. [Retrieve] をクリックします。

    CA証明書がAdministration > Certificate Managementウィンドウに表示されます。証明書が表示されない場合、手順 1 に戻り、手順を繰り返します。

    crl-http-vpn3k-5.gif

  6. CA証明書を取得したら、Administration > Certificate Management > Enrollの順に選択し、Identity certificateをクリックします。

    crl-http-vpn3k-6.gif

  7. Enroll via SCEP at ...をクリックして、ID証明書を適用します。

    crl-http-vpn3k-7.gif

  8. 登録フォームに入力するには、次の手順を実行します。

    1. Common Name(CN;共通名)フィールドに、公開キーインフラストラクチャ(PKI)で使用するVPNコンセントレータの共通名を入力します。

    2. Organizational Unit(OU;組織単位)フィールドに部署を入力します。OUは、設定されているIPsecグループ名と一致している必要があります。

    3. 「組織(O)」フィールドに組織または会社を入力します。

    4. Locality (L)フィールドに市または町を入力します。

    5. [都道府県(SP)]フィールドに都道府県を入力します。

    6. Country(C)フィールドに国を入力します。

    7. PKIで使用するVPNコンセントレータの完全修飾ドメイン名(FQDN)を完全修飾ドメイン名(FQDN)フィールドに入力します。

    8. Subject Alternative Name (email Address)フィールドに、PKIで使用するVPNコンセントレータの電子メールアドレスを入力します。

    9. Challenge Passwordフィールドに、証明書要求のチャレンジパスワードを入力します。

    10. Verify Challenge Passwordフィールドにチャレンジパスワードを再入力します。

    11. Key Sizeドロップダウンリストから、生成されたRSAキーペアのキーサイズを選択します。

      crl-http-vpn3k-8.gif

  9. Enrollを選択し、ポーリング状態のSCEPステータスを表示します。

  10. CA サーバに移動し、アイデンティティ証明書を承認します。CAサーバで承認されると、SCEPステータスはInstalledになります。

    crl-http-vpn3k-9.gif

  11. Certificate Managementの下に、Identity Certificateが表示されているはずです。

    そうでない場合は、CAサーバのログを確認して、詳細なトラブルシューティングを行います。

    crl-http-vpn3k-10.gif

  12. 受信した証明書でViewを選択し、証明書にCRL分散ポイント(CDP)が含まれているかどうかを確認します。

    CDPは、この証明書の発行者からのすべてのCRL配布ポイントをリストします。証明書にCDPがあり、DNS名を使用してCAサーバにクエリを送信する場合は、VPNコンセントレータでDNSサーバを定義し、ホスト名をIPアドレスで解決していることを確認します。この例では、CAサーバのホスト名はjazib-pcであり、このホスト名はDNSサーバ上でIPアドレス172.18.124.96に解決されます。

    crl-http-vpn3k-11.gif

  13. CA証明書のConfigureをクリックして、受信した証明書のCRLチェックをイネーブルにします。

    受信した証明書にCDPがあり、それを使用する場合は、Use CRL distribution points from the certificate being checkedを選択します。

    システムはネットワーク分散ポイントからCRLを取得して検査する必要があるため、CRLチェックを有効にすると、システムの応答時間が遅くなる可能性があります。また、ネットワークが低速または輻輳している場合、CRLチェックが失敗する可能性があります。これらの潜在的な問題を軽減するために、CRLキャッシングを有効にします。これにより、取得されたCRLがローカルの揮発性メモリに保存されるため、VPNコンセントレータは証明書の失効ステータスをより迅速に確認できます。

    CRLのキャッシングをイネーブルにすると、VPNコンセントレータは、最初に必要なCRLがキャッシュに存在するかどうかをチェックし、証明書の失効ステータスをチェックする必要がある場合は、証明書のシリアル番号をCRLのシリアル番号リストと照合します。シリアル番号が見つかると、証明書は失効したと見なされます。VPNコンセントレータは、キャッシュ内に必要なCRLが見つからない場合、キャッシュされたCRLの有効期間が切れた場合、または設定された更新時間が経過した場合に、外部サーバからCRLを取得します。VPNコンセントレータは、外部サーバから新しいCRLを受信すると、新しいCRLでキャッシュを更新します。キャッシュには最大64個のCRLを格納できます。

    注:CRLキャッシュはメモリに存在します。したがって、VPNコンセントレータをリブートすると、CRLキャッシュがクリアされます。VPNコンセントレータは、新しいピア認証要求を処理するときに、更新されたCRLでCRLキャッシュを再入力します。

    Use static CRL distribution pointsを選択した場合は、このウィンドウで指定されているように、5つまでのスタティックCRL分散ポイントを使用できます。このオプションを選択する場合は、少なくとも1つのURLを入力する必要があります。

    また、Use CRL distribution points from the certificate being checkedまたはUse static CRL distribution pointsを選択することもできます。VPNコンセントレータが証明書内に5つのCRL分散ポイントを見つけられない場合、5つまでの静的なCRL分散ポイントが追加されます。このオプションを選択した場合は、少なくとも1つのCRL分散ポイントプロトコルを有効にしてください。また、静的CRL配布ポイントを1つ(5つ以下)以上入力する必要があります。

    CRLチェックを無効にする場合は、No CRL Checkingを選択します。

    CRL Cachingの下でEnabledボックスを選択し、VPNコンセントレータが取得したCRLをキャッシュできるようにします。デフォルトでは、CRLキャッシングは有効になっていません。CRLのキャッシュを無効にすると(ボックスの選択を解除)、CRLのキャッシュはクリアされます。

    チェック対象の証明書からCRL分散ポイントを使用するCRL取得ポリシーを設定した場合は、CRLを取得するために使用する分散ポイントプロトコルを選択します。この場合は、HTTPを選択してCRLを取得します。CAサーバがパブリックインターフェイスに対するものである場合は、HTTPルールをパブリックインターフェイスフィルタに割り当てます。

    crl-http-vpn3k-12.gif

モニタリング

Administration > Certificate Managementの順に選択し、View All CRL cachesをクリックして、VPNコンセントレータがCAサーバからCRLをキャッシュしているかどうかを確認します。

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示しています。

コンセントレータからのログ

CRLチェックが機能していることを確認するために、VPNコンセントレータでこれらのイベントをイネーブルにします。

  1. Configuration > System > Events > Classesの順に選択して、ロギングレベルを設定します。

  2. Class Nameで、IKE、IKEDBGIPSECIPSECDBG、またはCERTのいずれかを選択します。

  3. AddまたはModifyをクリックし、Severity to Logオプション1-13を選択します。

  4. 変更する場合はApplyをクリックし、新しいエントリを追加する場合はAddをクリックします。

正常なコンセントレータ ログ

CRLチェックが成功すると、これらのメッセージがFilterable Event Logsに表示されます。 

1315 08/15/2002 13:11:23.520 SEV=7 CERT/117 RPT=1 
The requested CRL was found in cache.
The CRL Distribution point is: http://jazib-pc/CertEnroll/jazib-ca-ra.crl

1317 08/15/2002 13:11:23.520 SEV=8 CERT/46 RPT=1
CERT_CheckCrl(62f56e8, 0, 0)

1318 08/15/2002 13:11:23.520 SEV=7 CERT/2 RPT=1
Certificate has not been revoked: session = 2

1319 08/15/2002 13:11:23.530 SEV=8 CERT/50 RPT=1 
CERT_Callback(62f56e8, 0, 0)

1320 08/15/2002 13:11:23.530 SEV=5 IKE/79 RPT=2 64.102.60.53 
Group [ipsecgroup]
Validation of certificate successful
(CN=client_cert, SN=61521511000000000086)

成功したコンセントレータのログの完全な出力については、『成功したコンセントレータのログ』を参照してください。

失敗したログ

CRLのチェックインが失敗した場合、これらのメッセージはFilterable Event Logsに表示されます。 

1332 08/15/2002 18:00:36.730 SEV=7 CERT/6 RPT=2
Failed to retrieve revocation list: session = 5

1333 08/15/2002 18:00:36.730 SEV=7 CERT/114 RPT=2 
CRL retrieval over HTTP has failed. Please make sure that proper filter rules
have been configured.

1335 08/15/2002 18:00:36.730 SEV=7 CERT/8 RPT=2
Error processing revocation list: session = 5, reason = Failed to retrieve CRL 
from the server.

障害が発生したコンセントレータログの完全な出力については、『取り消されたコンセントレータログ』を参照してください。

成功したクライアントログの完全な出力については、『成功したクライアントログ』を参照してください。

失敗したクライアントログの完全な出力については、『失効したクライアントログ』を参照してください。

トラブルシュート

トラブルシューティングの詳細については、『VPN 3000コンセントレータの接続の問題のトラブルシューティング』を参照してください。

関連情報

更新履歴

改定 発行日 コメント
1.0
15-Aug-2002
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています