SSL-VPN Certificate Auth 3 - Cisco ASA



 ◆ Cisco ASA - サーバ証明書のインストール

 Windows ServerのActive Directory証明書サービスで発行したサーバ証明書をCisco ASAにインストール。
 「Configuration」→「Device Management」→「Certificate Management」→「Identity Certificates」
 を選択して「Install」ボタンを選択します。

 


 「Install from a file」で、ASAにインストールするサーバ証明書を指定して、「Install Certificate」を選択。

 


 サーバ証明書のインストールが成功すると、以下の画面通り各ステータスが反映されます。

 


 ◆ 上記設定内容は、CLI では以下のコマンド実行が該当 ( コマンド実行は極めて面倒 )

 crypto ca import TPOINT-SERVER certificate nointeractive
 - 以降は証明書内にある文字列
 quit



 ◆ Cisco ASA - CAのルート証明書のインストール

 Active Directory証明書サービスで発行したCAのルート証明書をCisco ASAにインストールします。
 「Configuration」→「Device Management」→「Certificate Management」→「CA Certificates」
 を選択して「Add」ボタンを選択。

 


 Trustpointに適当な名前を入力。 「Install from a file」で、ASAにインストールするCAのルート証明書を
 指定して「More Options...」を選択します。

 


 「Revocation Check」のタブで、[Check Certificate for revocation] を選択、CRL を選択し「Add」を
 選択します。次に「CRL Retrieval Policy」タブを選択します。

 


 「CRL Retrieval Policy」タブにて、「Use Static URLs configured below」をチェックします。
 次に「Add」を選択します。

 


 CRL(証明書失効リスト)の参照先を指定します。https://サーバIPアドレス/CertEnroll/証明書サービス名.crl
 と指定します。証明書サービス名はActive Directory証明書サービスの証明書発行画面で表示されています。

 


 以下の画面に戻り、「Install Certificate」を選択してCAのルート証明書をインストールします。

 


 以上の操作手順により、Cisco ASAへのサーバ
 証明書のインストールと、CAのルート証明書の
 インストールは完了となります。

 次ページ以降で、PCへのクライアント証明書の
 発行方法、インストール方法の手順を解説して
 いきます。Windows 7を使用して手順を解説。


 ◆ 上記設定内容は、CLI では以下のコマンド実行が該当( コマンド実行は極めて面倒 )

 crypto ca trustpoint TPOINT-CA
  revocation-check crl
  no id-usage
  enrollment terminal
  crl configure
   policy static
   url 1 https://10.1.1.10/CertEnroll/WINDOWS-CA.crl
  crypto ca authenticate TPOINT-CA nointeractive
  - 以降は証明書内にある文字列
  quit




SSL/TLS、SSLサーバ証明書、SSL-VPN

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.