SSL-VPN Certificate Auth 1 - Cisco ASA



 ◆ SSL-VPN : Cisco ASA設定例 - 証明書認証

 下図の構成を前提にCisco ASAとWindows Server(Enterprise)の設定方法と操作方法を解説します。


 


 


 ◇ Cisco ASA Gi0/1のアドレスである「https://10.1.1.254/」にアクセスし、ASDMを起動させましょう。

 ◆ Cisco ASA - CSRの発行手順

 「Configuration」→「Device Management」→「Certificate Management」→「Identity Certificates」
 を選択して、以下の画面を表示させて右側にある「Add」を選択します。

 


 「Trustpoint Name」に名前を入力。サーバ証明書のためのCSR作成に関連づけるような名前にしましょう。
 「Add a new identity certificate」にチェックして、Key Pairの右側にある赤枠の「New...」を選択します。

 


 「Key Type」はRSAにする必要があります。"testasa.key"という名前のKey pair(秘密鍵と公開鍵)を作成。
 「Size」は1024または2048ビットを選択(推奨は2048)。「Usage」は「General purpose」を選択した上
 で「Generate Now」を選択します。

 
※ CSRにはここで作成したKey pairのうち公開鍵のみが埋め込まれる

 



 「Generate Now」を選択した後、先の画面に戻り青枠の「Select」を選択します。すると以下の画面が表示。
 DN Attribute値から各Attirubeに値を入力して Add を選択します。DN (ディスティングイッシュネーム)値
 は「SSLサーバ証明書を導入するサーバでのCSRの生成 - ディスティングイッシュネームとは」を参考下さい。

 


 「OK」を選択して、以下の画面で設定値確認後に「Add Certificate」を選択します。

 


 CSRの名前と保存場所を「Browse..」で選択後、「OKボタンを

 


 以下の「The CSR was saved successfully」
 が表示されたらCSR作成が成功しています。

 



 CSRを発行して証明書をインストールしていない状態では以下の通り Pending であることを確認できます。
 次回はWindows Server AD証明書サービスでの証明書発行とその証明書のインストール方法を解説します。

 


 
◆ 上記設定内容は、CLI では以下のコマンドが該当

 
crypto key generate rsa label testasa.key modulus 2048 noconfirm

 crypto ca trustpoint TPOINT-SERVER
  revocation-check none
   keypair testasa.key
   id-usage ssl-ipsec
   no fqdn
   subject-name CN=testasa01.infraeye.com,O=infraeye,OU=information system,C=JP,L=TOKYO
   enrollment terminal
 crypto ca enroll TPOINT-SERVER noconfirm




SSL/TLS、SSLサーバ証明書、SSL-VPN

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.