デジタル証明書および SSL 証明書を取得するための Cisco VPN 3000

デジタル証明書および SSL 証明書を取得するための Cisco VPN
3000 コンセントレータ 4.7.x の設定
目次
概要
前提条件
要件
使用するコンポーネント
表記法
VPN コンセントレータでデジタル証明書をインストールして下さい
VPN コンセントレータで SSL 証明書をインストールして下さい
VPN コンセントレータの SSL 証明書を更新して下さい
関連情報
概要
このドキュメントでは、デジタルまたは ID 証明書および SSL 証明書を使用して認証するために、Cisco VPN 3000 シリーズ コ
ンセントレータを設定する方法について手順を追って説明します。
注:VPN コンセントレータでは、ロード バランシングはこれが認証 生成を防ぐので別の SSL 認証を生成する前に無効である必
要があります。
PIX/ASA 7.x での同じシナリオに関する詳細については、『ASDM を使用して Microsoft Windows CA から ASA のデジタル証明書
を取得する方法』を参照してください。
Cisco IOS(R) プラットフォームを使用する場合の同様のシナリオについては、『拡張された登録コマンドを使用した Cisco IOS
の証明書登録の設定例』を参照してください。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
バージョン 4.7 を実行するこの文書に記載されている情報は Cisco VPN 3000 コンセントレータに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべ
てのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜
在的な影響を十分に理解しておく必要があります。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
VPN コンセントレータでデジタル証明書をインストールして下さい
次の手順を実行します。
1. デジタルか Identity certificate 要求を選択するために Administration > Certificate Management > Enroll の順に選
択 して下さい。
2. > Enrollment > Identity 認証 Administration > Certificate Management の順に選択 し、『Enroll via PKCS10
Request(Manual)』 をクリック して下さい。
3. 要求されたフィールドに記入し、次に『Enroll』 をクリック して下さい。
これらのフィールドはこの例で記入されます。
Common Name altiga30
組織ユニット IPSECCERT (OU は IPsec 設定されたグループ名を一致する必要があります)
組織シスコシステムズ
局所性 RTP
State/Province ノースカロライナ
国米国
完全修飾ドメイン ネーム (ここでは使用されない)
キーサイズ 512
注:Simple Certificate Enrollment Protocol (SCEP)を使用して SSL 認証か ID証明を要求する場合、これらは利用可能
な唯一の RSA オプションです。
RSA
RSA
RSA
RSA
DSA
DSA
DSA
512 ビット
768 ビット
1024 ビット
2048 ビット
512 ビット
768 ビット
1024 ビット
4. 『Enroll』 をクリック した後、複数のウィンドウは現われます。 最初のウィンドウは認証を要求したことを確認します。
新しいブラウザウィンドウはまた PKCS 要求 ファイルを開き、表示する。
5. Certification Authority (CA) サーバで、要求を強調表示し、CA サーバに要求を入れるためにそれを貼り付けて下さ
い。 [Next] をクリックします。
6. 『Advanced request』 を選択 し、『Next』 をクリック して下さい。
7. 『Submit a certificate request using a base64 encoded PKCS -10 file or a renewal request using a base64 encoded
PKCS -7 file』 を選択 し、次に『Next』 をクリック して下さい。
8. Saved Request セクションの下でテキスト・ フィールドに PKCS ファイルをカット アンド ペーストして下さい。 次に
[Submit] をクリックします。
9. CA サーバの ID証明を発行して下さい。
10. ルートおよび ID証明をダウンロードして下さい。 CA サーバで、『Check on a pending certificate』 を選択 し、
『Next』 をクリック して下さい。
11. 『Base 64 encoded』 を選択 し、CA サーバで『Download CA certificate』 をクリック して下さい。
12. ローカルドライブで ID証明を保存して下さい。
13. CA サーバで、原証明を得るために『Retrieve the CA certificate or certificate revocation list』 を選択 して下さ
い。 次に [Next] をクリックします。
14. ローカルドライブで原証明を保存して下さい。
15. VPN 3000 コンセントレータでルートおよび ID証明をインストールして下さい。 これをするために、> 登録によって得られ
る認証マネージャ > インストール > インストール認証 『管理』 を選択 して下さい。 登録ステータスの下で、
『Install』 をクリック して下さい。
16. 『Upload File from Workstation』 をクリック して下さい。
17. ローカルドライブに保存した原証明 ファイルを『Browse』 をクリック し、選択して下さい。
VPN コンセントレータで ID証明をインストールするために『Install』 を選択 して下さい。 管理 | 証明書管理 ウィンド
ウは確認として現われ、新しい ID証明は Identity Certificates 表に現われます。
注:認証が失敗した場合新しい認証を生成するためにこれらのステップを完了して下さい。
a.
b.
c.
d.
Administration > Certificate Management の順に選択 して下さい。
SSL 認証リストのための操作ボックスで『Delete』 をクリック して下さい。
> システム 再度ブートする 『管理』 を選択 して下さい。
『Save the active configuration at time of reboot』 を選択 し、『Now』 を選択 し、『Apply』 をクリック し
て下さい。 リロードが完了する後新しい認証を生成現在できます。
VPN コンセントレータで SSL 証明書をインストールして下さい
ブラウザと VPN コンセントレータ間の信頼できる接続を使用する場合、VPN コンセントレータは SSL 認証を必要とします。 ま
た WebVPN のための VPN コンセントレータを管理するのに使用するその各インターフェイスのために WebVPN トンネルを終えま
すインターフェイスの SSL 認証を必要とし。
インターフェイス SSL 証明書は、非存在なら、自動的に VPN 3000 コンセントレータ ソフトウェアをアップグレードした後時
VPN 3000 コンセントレータ リブート生成されます。 自己署名証明書が自己生成であるので、この認証は証明できません。 認証
局はアイデンティティを保証しませんでした。 しかしこの認証はブラウザを使用して VPN コンセントレータが付いている最初
の 連絡を作ることを可能にします。 別の自己署名 SSL 認証とそれを取り替えたいと思う場合これらのステップを完了して下さ
い:
1. Administration > Certificate Management の順に選択 して下さい。
2. SSL 認証 表の新しい認証を表示する、存在 1 つを取り替えるために『Generate』 をクリック して下さい。
このウィンドウは VPN コンセントレータが自動的に生成する SSL 証明書のための Configure フィールドに可能にします。
これらの SSL 証明書はインターフェイスとロード バランシングのためです。
証明できる SSL 認証(すなわち、認証局によって発行される 1)を得たいと思ったら ID証明を得るのに使用する同じプロ
シージャを使用するためにこの資料の VPN コンセントレータ セクションのインストール デジタル証明書を参照して下さ
い。 しかし今回は、Administration > Certificate Management > Enroll ウィンドウで、SSL 認証をクリックします(ID
証明の代りに)。
注:管理を参照して下さい | VPN 3000 Concentrator Reference Volume II の認証管理 セクション: デジタル証明書およ
び SSL 証明書についての完全情報のための管理およびモニタリング リリース 4.7。
VPN コンセントレータの SSL 証明書を更新して下さい
このセクションは SSL 証明書を更新する方法を記述します:
これが VPN コンセントレータによって生成される SSL 認証のためである場合 SSL セクションで Administration > Certificate
Management の順に進んで下さい。 更新オプションをクリックすれば、それは SSL 認証を更新します。
これが外部 CA サーバによって与えられる認証のためである場合これらのステップを完了して下さい:
1. パブリックインターフェイスから期限 の 切れた 認証を削除するために SSL 証明書の下で >Delete を Administration >
Certificate Management の順に選択 して下さい。
SSL 認証の削除を確認するために『Yes』 をクリック して下さい。
2. > 生成する新しい SSL 認証を生成するために Administration > Certificate Management の順に選択 して下さい。
パブリックインターフェイスのための新しい SSL 認証は現われます。
関連情報
トラブルシューティング テクニカルノーツ
1992 - 2014 Cisco Systems, Inc. All rights reserved.
Updated: 2014 年 10 月 19 日
http://www.cisco.com/cisco/web/support/JP/100/1000/1000176_installdigital.html
Document ID: 4123