Cisco® ASA シリーズルーター向けDigiCert® 統合ガイド

Cisco

®

ASA

シリーズルーター向け

DigiCert

®

統合ガイド

Cisco

®

ASA VPN 向け

DigiCert

®

統合ガイド

本書で説明するソフトウェアはライセンス契約のもとで提供され、ご使用の際には契約条項に従っていただく必要があります。 文書作成日 : 2013 年 7 月 8 日

法的通知

Copyright © 2018 DigiCert, Inc. All rights reserved.

DigiCert および DigiCert のロゴは DigiCert, Inc. の登録商標です。シマンテック（Symantec）、ノートン（Norton）、およびそれぞ れ のロゴは、Symantec Corporation のライセンスに基づき使用される商標です。その他の名称もそれぞれの所有者による商標で ある 可能性があります。 本書に記載する製品は、使用、コピー、頒布、逆コンパイルおよびリバースエンジニアリングを制限するライセンスに基づいて頒布さ れています。本書のいかなる部分も、その形式や手段にかかわらず、DigiCert, Inc. およびそのライセンサーからの書面による事前の 承諾を得ることなく無断で複製することはできません。 本書は現状有姿で提供されるものであり、明示的または黙示的であるかを問わず、商品性、特定目的に対する適合性、非侵害性に関 する黙示的な保証を含むすべての条件、表明、および保証は、この免責が法的に無効であると見なされない限り、免責されるものとし ます。DigiCert, Inc. は、本書の提供、遂行、使用に関連する付随的または結果的損害に対して一切の責任を負いません。本書の内 容は、事前に通知することなく変更される場合があります。 ライセンス対象ソフトウェアおよび付属文書は、商用コンピュータソフトウェア（FAR 12.212 に定義）と見なされ、Commercial Computer Software - Restricted Rights（FAR Section 52.227-19 に定義）および Rights in Commercial Computer Software or Commercial Computer Software Documentation（DFARS 227.7202 に定義）、その他の後継規制の規定により制限権利の 対象となります。米国政府によるライセンス対象ソフトウェアおよび付属文書の使用、修正、複製リリース、動作、表示、開示は、該当 する使用許諾契約の条項に従ってのみ行われるものとします。本書では、お客様のソフトウェアまたはサービス契約には存在しない機 能について説明している場合があります。本製品で使用できる機能の詳細については、担当者にお問い合わせください。

デジサート・ジャパン合同会社

目次

第 1 章

DigiCert PKI

証明書と

Cisco

®

_VPN

_{を統合する}

_...4

パートナー情報 ... 4

Cisco ASA VPN の仕組み ... 4

統合のワークフロー... 5

証明書の更新 ... 9

第 2 章

Cisco ASA VPN

を設定する

... 10

Cisco ASA VPN にアクセスする ... 10

トンネルとグループポリシーをセットアップする ... 10

CA 証明書を設定する ... 11

Clientless SSL VPN のアクセスを設定する ... 12

VPN に接続する ...12

iOS デバイスを VPN に接続する ... 12

Android デバイスを VPN に接続する ... 13

デスクトップ / ラップトップを VPN に接続する ... 13

デスクトップ / ラップトップを VPN に接続する (PKI Client) ... 14

第 1 章

DigiCert PKI 証明書と Cisco

®

_{VPN を統合する}

企業の職場環境は、それぞれの組織の壁を越えてグローバルな モバイル環境へと移行しました。エンドユーザーの生産性を維 持するためには、モバイルプラットフォームから企業リソースへ のアクセスが必要です。一方で企業は、社内システムにアクセ スするエンドユーザーと、ユーザーが使用するモバイルデバイ ス（会社支給か個人所有かは問いません）を信頼できなければ なりません。

DigiCert PKI Platform の電子証明書は、ユーザー名とパスワー ドの入力やハードウェアトークンの追加を必要とせずに、この 信頼を実現できます。DigiCert PKI Platform はスケーラブル に、数台から数千台ものデバイスに対応します。また、クラウド ソリューションなので、短期間で導入し、容易に管理することが できます。その上、先進のセキュリティがついているため、内製 の PKI ソリューションとは比較になりません。

DigiCert PKI Platform が発行する証明書はユーザーの認証に 使用でき、社内リソース（VPN、Web サイトなど）との通信をセ キュリティ保護することができます。

本書では、DigiCert PKI Platform 8.7 以降の証明書を Cisco®

Adaptive Security Appliance（ASA）VPN と統合して、保護さ れたリソースに対してユーザーを認証し、ユーザーとリソースと の通信をセキュリティ保護する方法について説明します。

Cisco ASA VPN の仕組み

次の図をもとに、DigiCert PKI 証明書と Cisco ASA VPN の統 合によってセキュアな認証が実現される仕組みについて説明し ます。

パートナー名 Cisco®

製品名 Cisco® _{Adaptive Security}

Appliance (ASA) VPN バージョンおよび

プラットフォーム

Cisco® _{ASA 9.1}

表 1-1 パートナー情報

図 1-1 DigiCert PKI 証明書による Cisco VPN の認証

パートナー情報

本書で説明する手順は、以下のプラットフォームでテストされて います。

DigiCert PKI 証明書と Cisco® _{VPN の統合}

1. エンドユーザーのデバイスが Cisco VPN 経由で社内ネッ トワークにアクセスします。

2. VPN の設定状況に応じて、VPN は証明書のステータス取 得を試みます。

• Online Certificate Status Protocol（OCSP）が設定さ れている場合、VPN はデジサートの認証局と通信して、 証明書のリアルタイムステータスを取得します。 • Certificate Revocation List（CRL）が設定されている

場合、VPN はデジサートの認証局と通信して、最新の 証明書失効リストに基づき証明書のステータスを取得 します。CRL は定期的に更新されます。 3. Cisco VPN は証明書のステータスを受け取ると、信頼する よう設定済みの CA に基づいて、エンドユーザーの証明書 を認証します。 4. この認証に基づき、エンドユーザーのデバイスは社内ネッ トワークへのアクセスが許可され、Cisco VPN によって社 内ネットワークとの通信がセキュリティ保護されます。

統合のワークフロー

次の図をもとに、DigiCert PKI アカウントのセットアップと、 DigiCert PKI 証明書と Cisco VPN の統合に必要な一般手順に ついて説明します。

図 1-2 DigiCert PKI Platform の統合ワークフロー

作業 1. DigiCert PKI Platform 8.x アカウントをセットアップ する デジサートの営業担当者に連絡して、DigiCert PKI アカウント をセットアップします。担当者から、お客様のアカウントおよび 証明書プロファイルの定義に必要な情報が提供されます。 以下の文書に必要な情報をすべて入力し、返送してください。 必要に応じて、デジサートの担当者がフォームの取得と入力を お手伝いします。 • 基本契約書 • CA ネーミングドキュメント • カスタマープロビジョニングフォーム (CPF) • 注文書、クレジットカード、またはリファレンス番号 最初の DigiCert PKI 管理者 ID を取得する必要があります。こ れが、組織の DigiCert PKI アカウントにアクセスするためのク レデンシャルとなります。DigiCert PKI 管理者 ID の取得は、デ ジサートの担当者がお手伝いします。お客様が DigiCert PKI 管理者 ID を使用して DigiCert PKI Manager にログインし、 DigiCert PKI アカウントを設定し、RA 証明書を取得します。 DigiCert PKI Platform の設定の詳細については、DigiCert PKI Manager とそのオンラインヘルプを参照してください。

作業 2. 証明書プロファイルを作成する

ルーターの証明書を取得するにはまず、エンドユーザーに発 行する証明書を定義する証明書プロファイルを作成します。 DigiCert PKI の Client Authentication 証明書プロファイルを 作成するには、次の手順に従ってください。

1. 管理者証明書を使用して、DigiCert PKI Platform の DigiCert PKI Manager にログインします。DigiCert PKI Client の PIN を入力するように要求されます。

2. DigiCert PKI Manager の一番下のナビゲーションバーで、

［証明書プロファイルの管理］をクリックするか、［タスク］ メニューから［証明書プロファイルの管理］を選択します。

DigiCert PKI Platform 8.x アカウントをセットアップする

証明書プロファイルを作成する

ユーザーを証明書プロファイルに追加する

DigiCert PKI 証明書と Cisco® _{VPN の統合} 図 1-3 証明書プロファイルの管理 図 1-4 クライアント認証証明書のオプション 表 1-2 申請方法が iOS の場合の VPN 設定 3. 表示される［証明書プロファイルの管理］ページの一番上 で、［証明書プロファイルの追加］をクリックします。［プロ ファイルを作成］ページが表示されます。 4. これらの証明書をテストモードと本番モードのどちらで 発行するかを選択し、［続行］をクリックします。［プロファイ ルを作成］ページが表示されます。 5. 証明書テンプレートとして［Client Authentication］を選 択し、［続行］をクリックします。［証明書オプションのカスタ マイズ］ページが表示されます。 6. ニーズに合った証明書オプションを設定します。ただし、 次の設定は必須です。 • 証明書フレンドリ名の欄にプロファイル名を入力します。 • 次の中から、適切な申請方法を選択します。 - ユーザーが iOS デバイスを使用して証明書の申請を 行う場合は、［iOS］を選択します。 - ユーザーがデスクトップまたはラップトップを使用 して証明書の申請を行う場合は、［OS/ブラウザ］を 選択します。

- ユーザーが DigiCert PKI Client を使用して証明書の 申請を行う場合は、［PKI Client］を選択します。 ［詳細オプション］をクリックして証明書のオプションを確認 し、必要に応じて追加の属性を定義します。 7. ［保存］をクリックします。 確認ページでは、シート ID を取得する項目を確認できま す。これは、サードパーティを設定する場合や申請プロセ ス時にユーザーを認証するための必須属性です。通常は ユーザーの電子メールアドレスです。 さらにプロファイルをカスタマイズして、カスタムスクリプ トを追加したり、ページ上の言語または電子メール通知を カスタマイズしたりできます。 8. 認証方法が［iOS］の証明書プロファイルのみ、［このプロ ファイルの管理］ページの下にある［証明書手順の提供］の ［クライアント認証設定］から［編集］をクリックします。 表 1-2 に、これらのプロファイルの VPN 設定の入力値を 示します。 フィールド名 値 Connection name （接続名） 接続名を入力します。 Server Host/IP （サーバーホスト /IP） VPN の完全修飾ドメイン名。 例 : https://vpn.<company>.com

DigiCert PKI 証明書と Cisco® _{VPN の統合}

作業 3. ユーザーを証明書プロファイルに追加する

ユーザーが申請を行い、証明書を取得できるようにするには、 まず DigiCert PKI Manager でそのユーザーを証明書プロファ イルに追加する必要があります。

1. DigiCert PKI Manager の一番下のナビゲーションバーで、

［ユーザーの管理］をクリックするか、［タスク］メニューから ［ユーザーの管理］を選択します。 2. 表示される［ユーザーの管理］ページの一番上で、［ユー ザーの管理］をクリックします。 3. シート ID（一般にはエンドユーザーのメールアドレス）を 入力し、［続行］をクリックします。 • 1 人のユーザーを申請する場合は、そのエンドユーザー のメールアドレスを入力します。 • 一度に複数のユーザーを申請する場合は、ユーザー データを入力したカンマ区切り値（csv）ファイルをアップ ロードします。.csv ファイルを使用して複数のユーザー を申請する場合は、手順 4 を省略して構いません。 4. ユーザーの氏名を入力し、［証明書のためにこのユーザー を申請します。］にチェックマークを付けて、［続行］をクリッ クします。 5. 5ページの作業 2「証明書プロファイルを作成する」で 作成した証明書プロファイルを選択し、［続行］をクリック します。 6. ［その他（UPN）］、［電子メール］にそれぞれ入力し、必要 に応じて［以下のユーザーへの申請電子メールの送信］に チェックマークを付けて、［続行］をクリックします。 認証に必要な申請コードとともに、申請リンクが管理者に 対して表示されます。申請コードは、申請リンクとは別個に 送信し、メールでは送信しないことをお勧めします。 注意: 手順 6 で［以下のユーザーへの申請電子メールの送信］ にチェックマークを付けた場合は、申請リンクは表示されません。 作業 4. ユーザーが証明書を申請して取得できるようにする ユーザーを証明書プロファイルに追加したら、そのユーザーは 証明書の申請と取得を行う必要があります。次に、証明書の取 得手順を申請方法別に示します。 表 1-3 証明書の取得手順 申請方法 証明書の取得方法

iOS 1. App StoreSM _{から Cisco AnyConnect VPN アプリケーションをダウンロードします。}

2. iOS デバイスでブラウザを開きます。 3. 申請メールに記載された申請リンクをブラウザに貼り付けます。 4. （管理者から提供された）ユーザー ID と申請コードを入力し、［続行］をタップします。 ［ID が確認されました］ページが表示されます。 5. ［続行］をタップします。［プロファイルのインストール］ページが表示されます。 6. ［インストール］をタップし、ポップアップウィンドウで［今すぐインストール］をタップします。

DigiCert PKI 証明書と Cisco® _{VPN の統合}

申請方法 証明書の取得方法

OS/ブラウザ サポート対象ブラウザ :

• Windows XP または Windows 7 の場合 - Internet Explorer または Firefox • Apple OS X の場合 - Safari または Firefox

正確なバージョン番号については、DigiCert PKI Platform のマニュアルを参照して ください。 1. メールに記載された申請リンクをクリックするか、リンクをブラウザに貼り付けます。 2. 申請に使用したメールアドレスを入力し、［続行］をクリックします。 3. 管理者から提供された、またはメールで受け取った申請コードを入力し、［続行］をクリック します。 4. この手順によりエンドユーザーが認証され、正しいユーザーのみが証明書を取得できる ようになります。 5. ［続行］をクリックします。 6. ［証明書のインストール］をクリックし、証明書をインストールします。

DigiCert PKI Client PKI Client がユーザーのマシンにまだインストールされていない場合は、申請時に インストールするように要求されます。 1. メールに記載された申請リンクをクリックするか、リンクをブラウザに貼り付けます。 2. 申請に使用したメールアドレスを入力し、［続行］をクリックします。 3. 管理者から提供された、またはメールで受け取った申請コードを入力し、［続行］をクリック します。 この手順によりエンドユーザーが認証され、正しいユーザーのみが証明書を取得できる ようになります。 4. ［続行］をクリックします。 5. ［証明書のインストール］をクリックします。

6. プロンプトが表示されたら証明書ストア（PKI Client）の PIN を入力し、［OK］をクリック します。

DigiCert PKI 証明書と Cisco® _{VPN の統合}

証明書の更新

証明書は、有効期限（一般には、初回申請時の 1 年後）が切れる前に更新する必要があります。次に、証明書の更新手順を申請方法 別に示します。 申請方法 証明書の取得方法 iOS 更新通知が有効な場合は、証明書の有効期限が切れる前の一定の期間に、更新リンクが記載 されたメールがユーザーに届きます。このリンクをクリックすると、更新を認証するためのクレ デンシャルを選択するように要求されます。次に、［PKI Certificate Services］ページが表示さ れ、更新された証明書がインストールされます。

OS/ブラウザ 更新通知が有効な場合は、証明書の有効期限が切れる前の一定の期間に、更新リンクが記載

されたメールがユーザーに届きます。このリンクをクリックすると、新しい証明書を得るための ［PKI Certificate Services］ページが表示されます。ユーザーはこのページで、申請プロセス

に似た更新プロセスを実行します。

DigiCert PKI Client PKI Client から、PIN で保護された証明書を更新するように要求されます。証明書が PIN で 保護されていない場合は、PKI Client によって自動的に更新が実行され、新しい証明書がイン ストールされます。

Cisco ASA VPN を設定する

この章では、DigiCert PKI 証明書を認証に使用するよう Cisco ASA VPN を設定する方法について説明します。詳細について は、Cisco ASDM のマニュアルを参照してください。 Cisco ASA VPN を設定するには、次の手順を実行する必要が あります。 • 10 ページの「Cisco ASA VPN にアクセスする」 • 10 ページの「トンネルとグループポリシーをセットアッ プする」 • 11 ページの「CA 証明書を設定する」 • 12 ページの「Clientless SSL VPN のアクセスを設定 する」

Cisco ASA VPN

にアクセスする

1. Cisco VPN の管理者 URL にアクセスします。

2. Cisco ASDM-IDM Launcher をインストールして起動し ます。VPN デバイスの IP アドレスが自動入力されます。 3. ［Device IP Address（デバイスの IP アドレス）］を確認し

ます。

第 2 章

図 2-1 Cisco ASDM-IDM Launcher

4. ユーザー名とパスワードを入力します。 5. ［OK］をクリックします。［Cisco ASDM］ウィンドウが表示 されます。

トンネルとグループポリシーを

セットアップする

このセクションでは、グループポリシーと VPN トンネルグルー プの設定方法について説明します。

グループポリシー

グループポリシーでは、VPN のグループポリシーを管理できます。 1. ［Configuration（設定）］＞［Remote Access VPN

（リモートアクセス VPN）］＞［Network (Client) Access

（ネットワーク（クライアント）アクセス）］＞［Group Policies

（グループポリシー）］＞［追加］の順にクリックします。

2. ［New Group Policy（新規グループポリシー）］ページの

［More（その他）］＞［Tunelling Protocols（トンネリング プロトコル）］で、［IPSec］、［Clientless SSL VPN］、［SSL VPN Client］を有効にします。その他のフィールドについ ては、［Default Group policy（デフォルトのグループポリ シー）］のデフォルト設定を使用できます。

3. ポリシーに名前を付けて［保存］をクリックします。

トンネルグループ

トンネルグループでは、VPN に接続する際のアクセスモード （個人認証またはユーザー名 / パスワード）を管理できます。

Cisco ASA VPN の設定

図 2-2 IPsec リモートアクセス接続プロファイル 図 2-3 CA 証明書のインストール

2. ［IKE Peer Authentication（IKE ピア認証）］で、デバイス の設定時にインストールされた VPN デバイス ID 証明書 を選択します。

3. ユーザー認証の対象となるサーバーグループを選択します。

4. ［Default Group Policy（デフォルトのグループポリシー）］

で、10 ページの「グループポリシー」で作成したグループ

ポリシーを選択し、［Enable IPsec Protocol（IPsec プロト コルを有効にする）］にチェックマークを付けます。 5. ［OK］をクリックします。

6. ［Apply（適用）］をクリックします。

CA 証明書を設定する

1. ［Configuration（設定）］＞［Remote Access VPN

（リモートアクセス VPN）］＞［証明書管理］＞ ［CA Certificates（CA 証明書）］＞［追加］の順にクリック します。 2. 次のいずれかのオプションを使用して、DigiCert PKI Manager から受け取った CA 証明書をインストール します。

• ［Install from a file（ファイルからインストールする）］ - ［Browse（参照）］をクリックし、ローカルマシン上の CA

証明書の場所を指定します。

• ［Paste certificate in PEM format（証明書を PEM

形式で貼り付ける）］ - テキストエディタで証明書を開き、

ファイルを .pem 形式で保存します。証明書を .pem 形式のファイルとして保存したら、内容をコピーして

［Paste certificate in PEM format（証明書を PEM

形式で貼り付ける）］テキストボックスに貼り付けます。

• ［Use SCEP（SCEP を使用する）］ - デジサートから

受け取った SCEP URL を入力します。

3. ［Install Certificate（証明書のインストール）］をクリック

Cisco ASA VPN の設定

Clientless SSL VPN

のアクセスを

設定する

1. ［Configuration（設定）］＞［Remote Access VPN

（リモートアクセス VPN）］＞［Network (Client) Access

（ネットワーク（クライアント）アクセス）］＞［Group Policies

（グループポリシー）］＞［追加］の順にクリックします。

図 2-4 Clientless SSL VPN 接続の編集

図 2-5 Cisco AnyConnect アプリケーション - IPsec で接続

2. プロファイルの別名を入力します。 3. 認証方法として［証明書］を選択します。 4. ［DNS］の下の［Server group（サーバーグループ）］に DNS 名を入力します。

VPN

に接続する

次に、エンドユーザーが自分のデバイスを Cisco ASA VPN に 接続し、社内リソースにセキュアにアクセスする際のさまざまな シナリオを示します。

iOS

デバイスを VPN に接続する

1. iOS デバイスで Cisco AnyConnect アプリケーションを

開きます。

2. ［Add VPN Connection（VPN 接続の追加）］をクリック

します。

3. 接続を選択します。

4. ［Connect with IPsec（IPsec で接続）］をオンに設定し、 VPN に接続します。

Cisco ASA VPN の設定

図 2-6 Cisco AnyConnect アプリケーション（iOS 用）

図 2-7 Cisco AnyConnect アプリケーション - 接続の選択

図 2-7 Cisco AnyConnect アプリケーション - 接続の選択

Android

デバイスを VPN に接続する

1. Android デバイスで Cisco AnyConnect アプリケー ションを開きます。 2. 接続を選択します。 3. ［同意する］をクリックします。ステータスが［Connected （接続済み）］と表示されます。

デスクトップ / ラップトップを

VPN

に接続する

1. 証明書のインストールに使用したブラウザを開きます。 2. VPN URL にアクセスします。 3. 証明書を選択し、［OK］をクリックします。 4. ［GROUP（グループ）］ドロップダウンリストからグループ を選択し、［Login（ログイン）］をクリックします。 Cisco ASA のホームページが表示されます。 5. ナビゲーションメニューから［AnyConnect］をクリック します。

Cisco ASA VPN の設定

図 2-9 Cisco AnyConnect VPN Client

図 2-10 Cisco AnyConnect VPN Client（デスクトップ / ラップトップ用）

図 2-11 Cisco AnyConnect VPN Client

図 2-12 Cisco AnyConnect VPN Client（PKI Client 用） 6. ［Start AnyConnect（AnyConnectを起動）］をクリック

します。VPN 接続が確立されます。

デスクトップ / ラップトップを

VPN

に接続する (PKI Client)

1. 証明書のインストールに使用したブラウザを開きます。 2. VPN URL にアクセスします。 5. ［GROUP（グループ）］ドロップダウンリストからグループ を選択し、［Login（ログイン）］をクリックします。 Cisco ASA のホームページが表示されます。 6. ナビゲーションメニューから［AnyConnect］をクリック します。

7. ［Start AnyConnect（AnyConnectを起動）］をクリック