Firepower Threat Defense VPN 証明書の注意事項と制約事項
-
証明書の登録オブジェクトがデバイスに関連付けられ、デバイスにインストールされるとすぐに、証明書の登録プロセスが開始されます。プロセスは、自己署名および SCEP 登録タイプの場合は自動的に行われます。つまり、管理者による追加のアクションは必要ありません。手動による証明書の登録と PKCS12 ファイルのインポートを行うには、管理者による追加のアクションが必要です。
-
登録が完了すると、証明書の登録オブジェクト と同じ名前のトラストポイントがデバイス上に生成されます。VPN 認証方式の設定でこのトラストポイントを使用します。
-
Firepower Threat Defense は現在のところ、ECDSA ではなく RSA キーのみをサポートしていますが、選択肢がユーザ インターフェイスに表示されます。
-
Firepower Threat Defense VPN はクラスタ環境ではサポートされていないため、クラスタ環境では PKI もサポートされていません。
-
Firepower Threat Defense デバイスは、Microsoft CA サービスと、Cisco 適応型セキュリティ アプライアンス(ASA)および Cisco IOS ルータで提供される CA サービスを使用した証明書の登録をサポートしており、検証済みです。
-
Firepower Threat Defense デバイスは、CA として設定することはできません。
-
Firepower Threat Defense デバイスは、Microsoft CA サービスと、Cisco 適応型セキュリティ アプライアンス(ASA)および Cisco IOS ルートで提供される CA サービスを使用した証明書の登録をサポートしており、検証済みです。
-
証明書の登録は、子ドメインまたは親ドメインで行うことができます。
-
親ドメインからの登録が完了したら、証明書の登録オブジェクトもそのドメイン内に存在する必要があります。デバイスのトラストポイントが子ドメインで上書きされた場合、上書きされた値がデバイスに展開されます。
-
リーフ ドメインのデバイスで証明書の登録が行われる場合、その登録は親ドメインまたは他の子ドメインには表示されません。
-
リーフ ドメインが削除されると、含まれているデバイス上の証明書の登録を削除する必要があります。
-
あるドメインに登録されている証明書を持つデバイスは、他のドメインに登録することはできません。ただし、証明書は他のドメインで確認できます。
-
デバイスをあるドメインから別のドメインに移動したり、ドメインなしからドメインに移動する場合は、そのデバイスの証明書の登録を削除して、新しいドメインで再設定する必要があります。これらのデバイスの登録を削除するための警告が表示されます。