ASDMで管理されるASAでの証明書のインストールと更新

ダウンロードオプション

PDF (7.1 MB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (7.6 MB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (5.5 MB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2024 年 11 月 15 日

Document ID:220395

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

はじめに

前提条件

要件

使用するコンポーネント

背景説明

信頼済みCAのセキュリティに関する考慮事項

証明書認証のリスクと推奨事項

デフォルトのトラストポイントの検証：使用の動作

デフォルト設定のリスク

推奨処置

設定例：

承認のリスクと推奨事項

推奨処置

設定例

はじめに

このドキュメントでは、ASDMで管理されるCisco ASAソフトウェアの特定タイプの証明書を要求、インストール、信頼、および更新する方法について説明します。

前提条件

要件

適応型セキュリティアプライアンス(ASA)のクロック、時刻、および証明書認証を含むタイムゾーンが正しいことを確認する前に、ネットワークタイムプロトコル(NTP)サーバを使用してASAの時刻を同期することをお勧めします。「関連情報」を参照してください。
証明書署名要求(CSR)を使用する証明書を要求するには、信頼された内部またはサードパーティの認証局(CA)にアクセスできる必要があります。サードパーティCAベンダーの例としては、Entrust、Geotrust、GoDaddy、Thawte、およびVeriSignなどがありますが、これらに限定されません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

ASAv 9.18.1
PKCS12の作成には、OpenSSLが使用されます。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

このドキュメントで扱う証明書のタイプは次のとおりです。

自己署名証明書
サードパーティ認証局または内部CAによって署名された証明書

EAP認証プロトコルのSecure Socket Layer(SSL)、Transport Layer Security(TLS)、およびIKEv2 rfc7296では、SSL/TLS/IKEv2サーバが、クライアントがサーバ認証を実行するためのサーバ証明書をクライアントに提供することが義務付けられています。この目的のために、信頼できるサードパーティの CA を使用して ASA に SSL 証明書を発行することをお勧めします。

ユーザが不正なサーバからの証明書を信頼するようにブラウザを誤って設定する可能性があるため、自己署名証明書を使用することは推奨されません。また、ユーザがセキュリティゲートウェイに接続するときにセキュリティ警告に応答する必要があるという不便さもあります。

信頼済みCAのセキュリティに関する考慮事項

証明書認証のリスクと推奨事項

デフォルトのトラストポイントの検証：使用の動作

信頼できるCA証明書をインストールすると、証明書認証を使用してさまざまなタイプのVPN接続を認証できます。これは、トラストポイントコマンド(Configuration > Device Management > Certificate Management >CA Certificates > Add -> More Options... > Advanced > select Wanted Validation Usage)validation-usageで制御されます。

検証使用タイプは次のとおりです。

ipsec-client:IPsecクライアント接続を検証します。
ssl-client:SSLクライアント接続を検証します。
ssl-server:SSLサーバ証明書を検証します。

デフォルトでは、このコマンドはipsec-clientとssl-clientの検証を許可します。

デフォルト設定のリスク

信頼できるCA証明書がインストールされている場合は、デフォルトで、証明書認証を使用してトンネルグループの着信クライアントID証明書を認証するために使用できます。
このデフォルト設定は、知らない場合はセキュリティ上のリスクになる可能性があります。

推奨処置

意図しないトラストポイントのvalidation-usageを無効にします。CA証明書がVPNピアまたはユーザの認証を意図していない場合、そのトラストポイントのvalidation-usageを無効にします。

設定例：

Navigate to: Configuration > Device Management > Certificate Management > CA Certificates. 
a) Select a wanted trustpoint and click Edit. 
b) Navigate to Advanced and uncheck all Validation Usage options. 

trustpoint public-root-ca
 no validation-usage

承認のリスクと推奨事項

デフォルトでは、信頼できるCA証明書を使用して、任意のトンネルグループに接続するVPNピアまたはユーザを認証できます。適切な許可を設計する必要があります。

推奨処置

証明書マップとトンネルグループマップを使用して、許可された証明書のみが特定のトンネルグループに使用されるようにします。デフォルトのトンネルグループマップルールを設定して、アクセスできないトンネルグループを指し示し、不正アクセスを制限します。

設定例

証明書認証が許可されるのは次の場合だけです。

cn=example.comによって発行された証明書を持ち、証明書のサブジェクトにOU=machinesを含むマシン。
cn=example.comによって発行された証明書を持ち、OU=usersがcertificate subjectに含まれているユーザ。

コマンドにより、他の証明書を持つユーザはデフォルトでno_access tunnel-groupに割り当てらtunnel-group-map default-group no_accessれます。コマンドのおかげで、証明書マップルールはグループURLよりも優先tunnel-group-map enable rulesされます。group-urlを知っても、証明書マップルールをバイパスすることはできません。

! Configure group-policy preventing VPN access:

Navigate to: Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Add > General > More Options
a) Uncheck Inherit next to Simultaneous Logins and set the value 0.
b) Uncheck Inherit next to Banner and set a wanted massage, for example NO ACCESS GROUP POLICY.

group-policy no_access_gp internal
group-policy no_access_gp attributes
banner value NO ACCESS GROUP POLICY
vpn-simultaneous-logins 0

! Configure tunnel-groups for users and tunnel-group preventing VPN access:

Navigate to: Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles. Click Add and configure:
a) Authentication method as Certificate.
a) Client Address Pools.
b) DNS Servers.
c) Group Policy - for the no_access tunnel group use no_access_gp where simultaneous logins is set to 0.
d) Group URLs - only for the mgmt-tunnel and users_access tunnel groups. Navigate to: Advanced > Group Alias/Group URL, click Add in the Group URLs section and configure a group URL.

tunnel-group mgmt-tunnel type remote-access
tunnel-group mgmt-tunnel general-attributes
address-pool vpn_pool
default-group-policy mgmt-tunnel
tunnel-group mgmt-tunnel webvpn-attributes
authentication certificate
group-url https://ftd.example.com/mgmt enable
!
tunnel-group users_access type remote-access
tunnel-group users_access general-attributes
default-group-policy user_access_gp
address-pool vpn_pool
tunnel-group users_access webvpn-attributes
authentication certificate
group-url https://ftd.example.com/users enable
!
tunnel-group no_access type remote-access
tunnel-group no_access general-attributes
default-group-policy no_access_gp
address-pool vpn_pool
tunnel-group no_access webvpn-attributes
authentication certificate

! Create certificate maps for users and use the certificate maps for tunnel-group mapping:

Navigate to: Configuration > Remote Access VPN > Advanced > Certificate to AnyConnect and Clientless SSL VPN Connection Profile Maps.
a) Click Add to configure Certificate to Connection Profile Maps.
b) Select New and configure a certificate group map name, for example mgmt_tunnel_map or users_access_map.
c) Select a corresponding connection profile/tunnel group from the drop-down menu at Mapped to Connection Profile.
d) Click Add to configure Mapping Criteria.
e) Select: Field: Subject, Component: Organizational Unit (OU), Operator: Equals, Value: machines or users.
d) Select: Field: Issuer, Component: Common Name (CN), Operator: Equals, Value: example.com.

crypto ca certificate map mgmt_tunnel_map 10
issuer-name attr cn eq example.com
subject-name attr ou eq machines
crypto ca certificate map users_access_map 10
issuer-name attr cn eq example.com
subject-name attr ou eq users
!
webvpn
(...)
certificate-group-map mgmt_tunnel_map 10 mgmt-tunnel
certificate-group-map users_access_map 10 users_access

! Enable tunnel-group maps and set the default tunnel-group preventing access if a user certificate did not match any other certificate map:

Navigate to: Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > Certificate to Connection Profile Maps > Policy.
a) Check Use the configure rules to match a certificate to a Connection Profile.
b) Check Defult to Connection Profile and select from the drop-down menu the no-access connection profile/tunnel group.

tunnel-group-map enable rules
tunnel-group-map default-group no_access

ASDMを使用した新しいID証明書の要求とインストール

証明書は、認証局(CA)から要求し、次の2つの方法でASAにインストールできます。

証明書署名要求(CSR)を使用します。キーペアを生成し、CSRを使用してCAからID証明書を要求し、CAから入手した署名付きID証明書をインストールします。
CAから取得した、または別のデバイスからエクスポートしたPKCS12ファイルを使用します。PKCS12ファイルには、キーペア、ID証明書、CA証明書が含まれています。

証明書署名要求(CSR)を使用した新しいID証明書の要求とインストール

ID証明書を必要とするCSRがデバイス上に作成された場合は、デバイス上に作成されたキーペアを使用します。

CSRには次のものが含まれます。

証明書要求情報：要求されたサブジェクトおよびその他の属性、キーペアからの公開キー。
署名アルゴリズム情報
キーペアの秘密キーで署名された、証明書要求情報のデジタル署名。

CSRは認証局(CA)に渡され、PKCS#10形式で署名されます。

署名付き証明書は、PEM形式でCAから返されます。

注：CAは、CSRに署名して署名付きID証明書を作成するときに、トラストポイントで定義されているFQDNパラメータとサブジェクト名パラメータを変更できます。

ASDMを使用したCSRの生成

特定の名前を使用したトラストポイントの作成
1. Configuration > Device Management > Certificate Management > Identity Certificatesの順に移動します。
2. [Add] をクリックします。
3. トラストポイント名を定義します。
4. [Add a new identity certificate] オプションボタンをクリックします。
（オプション）新しいキーペアの作成

注：デフォルトでは、Default-RSA-Keyという名前でサイズが2048のRSAキーが使用されます。ただし、各ID証明書に一意の秘密キー/公開キーのペアを使用することを推奨します。
1. Newをクリックして、新しいキーペアを生成します。
2. Enter new Key Pair nameオプションを選択し、新しいキーペアの名前を入力します。
3. [キータイプ（Key Type）] に RSA または ECDSA を選択します。
4. Key Sizeを選択し、RSAではGeneral purpose for Usageを選択します。
5. [Generate Now] をクリックします。これで、キーペアが作成されます。
キーペア名を選択します
- CSRに署名し、新しい証明書にバインドするキーペアを選択します。

証明書のサブジェクトと完全修飾ドメイン名(FQDN)の設定

注意:FQDNパラメータは、ID証明書が使用されるASAインターフェイスのFQDNまたはIPアドレスと一致する必要があります。このパラメーターは、ID証明書の要求されたサブジェクト代替名(SAN)拡張を設定します。SAN拡張は、証明書が接続先のFQDNと一致するかどうかを確認するために、SSL/TLS/IKEv2クライアントによって使用されます。

[Select] をクリックします。

Certificate Subject DNウィンドウで、証明書属性を設定します。ドロップダウンリストからattributeを選択し、値を入力して、Addをクリックします。

CSR FQDN Step 1

CSR FQDN Step 2

Attribute	説明
CN	ファイアウォールへのアクセスに使用される名前(通常は、vpn.example.comなどの完全修飾ドメイン名)。
OU	組織内の部署の名前。
O	法的に登録されている組織/会社の名前。
C	国番号（句読点なしの2文字のコード）。
ST	組織の所在する都道府県。
起	組織が所在する市区町村。
EA	電子メールアドレス

注：上記のフィールドの値はいずれも、64文字の制限を超えることはできません。この値が長いと、ID証明書のインストールに問題が発生する可能性があります。また、すべてのDN属性を定義する必要はありません。

すべての属性を追加したら、OKをクリックします。

デバイスのFQDNを設定し、Advancedをクリックします。
FQDNフィールドに、インターネットからのデバイスへのアクセスに使用する完全修飾ドメイン名を入力します。[OK] をクリックします。

CSRの生成と保存
1. [証明書の追加（Add Certificate）] をクリックします。
2. CSR をローカルマシン上のファイルに保存するためのプロンプトが表示されます。
  [Browse] をクリックし、CSR を保存する場所を選択し、.txt 拡張子を付けてファイルを保存します。
  注：.txt 拡張子を付けてファイルを保存すると、テキストエディタ（メモ帳など）を使用して PKCS#10 要求を開き、表示することができます。
3. これで、新しいトラストポイントがPending状態で表示されます。

ASDMを使用したPEM形式でのID証明書のインストール

インストール手順では、CAがCSRに署名し、PEMエンコード(.pem、.cer、.crt)ID証明書およびCA証明書バンドルを提供することを前提としています。

CSRに署名したCA証明書のインストール
1. Configuration > Device Management >Certificate Management >の順に移動し、CA Certificatesを選択します。[Add] をクリックします。
2. トラストポイント名を入力し、Install From Fileを選択します。次に、Browseボタンをクリックし、intermediate 証明書を選択します。または、PEMでエンコードされたCA証明書をテキストファイルからtextフィールドに貼り付けます。
  
  注:CSRに署名したCA証明書をインストールします。ID証明書と同じトラストポイント名を使用します。PKI階層の上位にある他のCA証明書は、個別のトラストポイントにインストールできます。
3. [Install Certificate] をクリックします。
ID 証明書のインストール
1. 以前にCSRの生成時に作成したID証明書を選択します。[INSTALL] をクリックします。
  
  注:ID証明書の「発行元」フィールドは「使用できません」、「有効期限」フィールドは「保留中」にすることができます。
2. CAから受信したPEMでエンコードされたID証明書を含むファイルを選択するか、PEMでエンコードされた証明書をテキストエディタで開いて、CAから提供されたID証明書をテキストフィールドにコピーアンドペーストします。
  
  注:ID証明書は、.pem、.cer、.crtの形式でインストールできます。
3. [Install Certificate] をクリックします。
ASDMを使用したインターフェイスへの新しい証明書のバインド
指定されたインターフェイスで終端するWebVPNセッションに新しいID証明書を使用するようにASAを設定する必要があります。
1. [構成（Configuration）] > [リモートアクセスVPN（Remote Access VPN）] > [詳細（Advanced）] > [SSL設定（SSL Settings）] の順に移動します。
2. [証明書（Certificates）] で、WebVPN セッションの終端に使用されるインターフェイスを選択します。この例では、外部インターフェイスが使用されています。
  [Edit] をクリックします。
3. [証明書（Certificate）] ドロップダウンリストで、新しくインストールした証明書を選択します。
4. [OK] をクリックします。
5. [APPLY] をクリックします。
  
  これで、新しいID証明書が使用されるようになります。

ASDMを使用したPKCS12形式で受信したID証明書のインストール

PKCS12ファイル（.p12または.pfx形式）には、ID証明書、キーペア、およびCA証明書が含まれています。ワイルドカード証明書の場合はCAによって作成され、別のデバイスからエクスポートされます。これはバイナリファイルであり、テキストエディタでは表示できません。

PKCS12ファイルからのID証明書とCA証明書のインストール
ID証明書、CA証明書、およびキーペアを1つのPKCS12ファイルにバンドルする必要があります。
1. Configuration > Device Management > Certificate Managementの順に移動し、Identity Certificatesを選択します。
2. [Add] をクリックします。
3. トラストポイント名を指定します。
4. [アイデンティティ証明書をファイルからインポートする（Import the identity certificate from a file）] ラジオボタンをクリックします。
5. PKCS12 ファイルの作成に使用するパスフレーズを入力します。
6. [証明書の追加（Add Certificate）] をクリックします。
  
  注：CA証明書チェーンを含むPKCS12をインポートすると、ASDMは、-numberサフィックスが追加された名前でアップストリームCAトラストポイントを自動的に作成します。
ASDMを使用したインターフェイスへの新しい証明書のバインド
指定されたインターフェイスで終端するWebVPNセッションに新しいID証明書を使用するようにASAを設定する必要があります。
1. [構成（Configuration）] > [リモートアクセスVPN（Remote Access VPN）] > [詳細（Advanced）] > [SSL設定（SSL Settings）] の順に移動します。
2. [証明書（Certificates）] で、WebVPN セッションの終端に使用されるインターフェイスを選択します。この例では、外部インターフェイスが使用されています。
  [Edit] をクリックします。
3. [証明書（Certificate）] ドロップダウンリストで、新しくインストールした証明書を選択します。
4. [OK] をクリックします。
5. [APPLY] をクリックします。
  
  これで、新しいID証明書が使用されるようになります。

証明書の更新