ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

Similar documents
UCCX ソリューションの ECDSA 証明書について

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

VPN 接続の設定

Mobile Access簡易設定ガイド

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

適応型セキュリティ アプライ アンスの設定

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

適応型セキュリティ アプライ アンスの設定

証明書(Certificates)

Team Foundation Server 2018 を使用したバージョン管理 補足資料

Cisco FireSIGHT システムの SSL 検査ポリシーの設定

シナリオ:サイトツーサイト VPN の設定

Juniper Networks Corporate PowerPoint Template

Windows GPO のスクリプトと Cisco NAC 相互運用性

Ver.70 改版履歴 版数 日付 内容 担当 V /09/5 初版発行 STS V /0/8 証明書バックアップ作成とインストール手順追加 STS V /0/7 文言と画面修正 STS V..0 0//6 Firefox バージョンの変更 STS V..40



WL-RA1Xユーザーズマニュアル

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

本文中の記号の意味 本文中で使用している記号の意味について以下に示します システムの操作上または処理の手続き上において 特に注意していただきたい事項を記載しています 記載内容を必ずお読みください システムの操作上または処理の手続き上において 参考にしていただきたい事項を記載しています 必要に応じてお

1. 信頼済みサイトの設定 (1/3) この設定をしないとレイアウト ( 公報 ) ダウンロードなどの一部の機能が使えませんので 必ず設定してください 1 Internet Explorer を起動し [ ツール ]-[ インターネットオプション (O)] を選択します 2 [ セキュリティ ] の

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

使用する前に

PfRv2 での Learn-List と PfR-Map の設定

ミーティングへの参加

PowerPoint プレゼンテーション

OPENSQUARE

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 2 日ネットワールド 新規 I

改版履歴 版数 日付 内容 担当 V /0/27 初版発行 STS V..0 20/03/04 トラブルシューティング改訂 STS P-2

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1

Ver.50 改版履歴 版数 日付 内容 担当 V..00 0//6 初版発行 STS V..0 03/4/7 サポート環境の追加 STS V..0 06/9/5 画面の修正 STS V /4/ 画面の修正 STS V // 文言と画面修正 FireFox のバージョン変更に

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

新OS使用時の留意事項

改版履歴 版数 日付 内容 担当 V /5/26 初版発行 STS V /7/28 動作条件の変更 STS メール通知文の修正 V /2/7 Windows8 の追加 STS V /2/2 Windows8. の追加 STS V

目次 第 1 章はじめに 電子入札システムを使用するまでの流れ 1 第 2 章 Java ポリシーを設定する前に 前提条件の確認 2 第 3 章 Java のバージョンについて Java バージョン確認方法 Java のアンインストール ( ケース2の

はじめに

PowerPoint Presentation

Microsoft Word - クライアント証明書の入れ替えについて_ 更新

3 メニュー選択後 Web ブラウザ画面にセキュリティ証明の証明書エラー画面が表示された場合は このサイトの閲覧を続行する ( 推奨されません ) をクリックします このサイトの閲覧を続行する ( 推奨されません ) をクリック セキュリティ証明の証明書エラー画面 4 Web ブラウザ画面に URL

証明書ダウンロードシステム操作手順書 (ios) 第 1.15 版 証明書ダウンロードシステム 操作手順書 (ios) Ver1.15 セキュアネットワークサービス 2018 年 10 月 29 日 セキュアネットワークサービス 1 DLS-SNT-IOS-V1.15

ACI のファースト LACP タイマーを設定して下さい

Cisco CallManager で SQL クエリーを使用したコール詳細レコードの検索

SILAND.JP テンプレート集

サイボウズ リモートサービス ユーザーマニュアル

OS の bit 数の確認方法 - Windows0 及び Windows8. Windows のコントロールパネルを開きます Windows0 の場合 スタート から Windows システムツール の コントロールパネル をクリックします Windows8. の場合 スタート から PC 設定

Microsoft Word - 01.【電子入札】パソコンの設定方法について 修正_

ESET Smart Security 7 リリースノート

ポリシー保護PDF閲覧に関するFAQ

注意事項 (1)Windows 10 を使用する場合 注意事項 1 注意事項 3 注意事項 4 についてご対応をお願いします (2)Windows 8.1 を使用する場合 注意事項 2 注意事項 3 注意事項 4 についてご対応をお願いします (3)Windows 7 上で Internet Exp

PowerPoint プレゼンテーション

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

1-2

証明書インポート用Webページ

RICOH Device Manager Pro バックアップ/バージョンアップ作業手順書

クライアント証明書導入マニュアル

クライアント証明書インストールマニュアル

GXS-I WebIEAS オペレーション ガイド 版 : 第 1 版 2007 年 01 月 22 日 第 2 版 2011 年 12 月 02 日 第 3 版 2012 年 04 月 27 日 第 4 版 2013 年 06 月 17 日 ( 本書 ) GXS 株式会社 (c) 20

Oracle Enterprise Managerシステム監視プラグイン・インストレーション・ガイドfor Juniper Networks NetScreen Firewall, 10gリリース2(10.2)

(株) 殿

Ver.00 改版履歴 版数日付内容担当 V /6/ 初版発行 STS Copyright 04 SECOM Trust Systems CO.,LTD. All rights reserved. ii

Mobile Access IPSec VPN設定ガイド

1

ポップアップブロックの設定

Microsoft Word - XOOPS インストールマニュアルv12.doc

PALNETSC0184_操作編(1-基本)

タイトル

Microsoft Word - (修正)Internet Explorer 8 9設定手順 受注者.DOC

はじめに 動作環境の全ブラウザで 本書の設定を行ってください 本設定を行わない場合 システムが 正常に動作しない可能性がありますので 必ず設定をお願いいたします また 本書の中で 画 像に番号を付与している箇所以外の設定は お使いの環境のままでご使用ください 参考 : 動作環境の全ブラウザについては

CUCM と VCS 間のセキュア SIP トランクの設定例

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

How to Install and Configure Panorama Panorama のインストールと設定 Panorama は Palo Alto Networks のサポートサイトからダウンロード可能な VMware イメージです 本書は Panorama のインストールと Panora

2. FileZilla のインストール 2.1. ダウンロード 次の URL に接続し 最新版の FileZilla をダウンロードします URL: なお バージョンが異なるとファイル名が

Ver.0 目次. はじめに.... 証明書の発行 ( ダウンロード ) 手順... 付録 A. ルート証明書無しでの証明書の発行 ( ダウンロード ) 手順... 5 付録 B. ブラウザの設定... Copyright 04 SECOM Trust Systems CO.,LTD. All Ri

Soliton Net’Attest EPS + AT-TQ2400 series WPA/WPA2-Enterprise EAP-PEAP/TLS 設定例

使用する前に

R80.10_FireWall_Config_Guide_Rev1

Microsoft Word - Android認証設定手順(EAP-TLS)1105.doc

BACREX-R クライアント利用者用ドキュメント

マルチ VRFCE PE-CE リンクのプロビジョ ニング

[ 証明書の申請から取得まで ] で受領したサーバ証明書を server.cer という名前で任意の場所に保存してください ( 本マニュアルではローカルディスクの work ディレクトリ [C:\work] に保存しています ) 中間 CA 証明書を準備します 次の URL にアク

クライアント証明書

改版履歴 版数 日付 内容 担当 V /03/27 初版発行 STS V /01/27 動作条件のオペレーティングシステムに Windows 7 STS を追加 また 動作条件のブラウザに Internet Explorer 8 を追加 V /0

Microsoft Word - winscp-LINUX-SCPを使用したファイル転送方法について

電子入札システム利用時に必要な Internet Explorer のオプション設定手順 2011 年 3 月版 電子入札システムを利用する上で必要な Internet Explorer の設定について下記に示します ご利用の OS とブラウザのバージョンを確認し 設定を行ってください 1. Win

I. CA 証明書のインポート 1 リモート端末にて CA 証明書の URL ( へアクセスし ca.cer をダウンロードし デスクトップ上など任意の場所に保存し ダブルクリックしてください ( 上記 URL へアクセスした際に デジタ

Ver.60 改版履歴 版数 日付 内容 担当 V /7/8 初版発行 STS V..0 04// Windows 8. の追加 STS V..0 05//5 Windows XP の削除 STS V.30 05/8/3 体裁の調整 STS V.40 05//9 Windows0 の追加

PowerPoint プレゼンテーション

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

注意事項 (1)Windows 10 を使用する場合 注意事項 1 注意事項 3 注意事項 4 についてご対応をお願いします (2)Windows 8.1 を使用する場合 注意事項 2 注意事項 3 注意事項 4 についてご対応をお願いします (3)Windows 7 上で Internet Exp

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1

UCS M シリーズ サーバでの Redhat/CentOS オペレーティング システムのインストール

LDAP サーバと統合するための ISE の設定

IIS8でのクライアント証明書の設定方法

Shareresearchオンラインマニュアル

証明書インポート用Webページ

SonicWALL サーバ証明書 2048bit 対応ファームウェア アップデート手順書 PROシリーズ(G4製品)版

登録の流れ はじめて電子届出を行うとき 準備 クライアント証明書ファイル 登録用パスワードを準備します P.1 P.2 クライアント証明書の登録 ログイン 届出を行うパソコンに証明書を登録します IE P.3 Firefox P.15 ( 1) 登録が完了するとログイン可能となります 1 IE は

RDP 接続不具合パッチ適用手順 第 1.11 版更新日 :2016/8/30 NTT コミュニケーションズ株式会社

MAHO Dialer について MAHO Dialer は MAHO-PBX を経由し PC にて着信時に発信者情報をポップアップしたり 着信履歴などから発信操作を行うためのソフトウエアです このガイドでは MAHO Dialer のインストール アップデート 初期設定 使用方法 および アンイン

Transcription:

ハンドシェイク障害または証明書検証エラーによる NGFW サービスモジュール TLS の中断 目次 概要前提条件要件使用するコンポーネント背景説明問題解決策問題解決策関連情報 概要 このドキュメントでは 復号化がイネーブルにされた Cisco Next-Generation Firewall(NGFW) のサービスモジュールを使用して HTTPS ベースの Web サイトにアクセスする場合の特定の問題のトラブルシューティングを行う方法について説明します 前提条件 要件 次の項目に関する知識があることが推奨されます セキュアソケットレイヤ (SSL) のハンドシェイク手順 SSL 証明書 使用するコンポーネント このドキュメントの情報は Cisco Prime Security Manager(PRSM) バージョン 9.2.1.2(52) の Cisco NGFW サービスモジュールに基づいています このドキュメントの情報は 特定のラボ環境にあるデバイスに基づいて作成されたものです このドキュメントで使用するすべてのデバイスは クリアな ( デフォルト ) 設定で作業を開始しています ネットワークが稼働中の場合は コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります

背景説明 復号化は NGFW サービスモジュールが SSL 暗号化されたフローを復号化し ( 他の方法で暗号化された対話を検査して ) トラフィック上でポリシーを適用できるようにする機能です この機能を設定するには 管理者は 元のサーバ証明書の代わりに クライアントがアクセスする HTTPS ベースの Web サイトに提示する NGFW のモジュールの復号化証明書を設定する必要があります 復号化が機能するには NGFW モジュールがサーバに提示された証明書を信頼する必要があります このドキュメントでは NGFW サービスモジュールとサーバ間で SSL ハンドシェイクが失敗し ユーザが特定の HTTPS ベースの Web サイトに接続しようとすると その Web サイトが失敗するシナリオについて説明します このドキュメントでは これらのポリシーは PRSM を搭載する NGFW サービスモジュールで定義されています アイデンティティポリシー : 定義されたアイデンティティポリシーはありません 復号化ポリシーこの設定では Decrypt-All ポリシーを使用します アクセスポリシー定義済みのアクセスポリシーはありません 復号化の設定 : このドキュメントでは 復号化証明書が NGFW サービスモジュールで設定されており クライアントが信頼すると仮定します 復号化ポリシーが NGFW サービスモジュールで定義され 前述のように設定されている場合 NGFW サービスモジュールは モジュールを通じて SSL 暗号化されたトラフィックすべてを傍受して復号化しようとします 注 : このプロセスの段階的な説明は Cisco ASA CX および Cisco Prime Security Manager ユーザガイド の 復号化されたトラフィックフロー セクションで入手できます 次の図は イベントのシーケンスを示しています

この図では A はクライアント B は NGFW サービスモジュール C は HTTPS サーバです このドキュメントで示されている例では HTTPS ベースのサーバは Cisco 適応型セキュリティアプライアンス (ASA) の Cisco Adaptive Security Device Manager(ASDM) です このプロセスで考慮する必要がある 2 つの重要な要素があります プロセスの 2 番目の手順で サーバは NGFW サービスモジュールによって提示される SSL 暗号化スイートの 1 つを受け入れる必要があります プロセスの 4 番目の手順では NGFW サービスモジュールはサーバに提示される証明書を信頼する必要があります 問題 サーバが NFGW サービスモジュールによって提示されるで SSL 暗号化を受け入れることができない場合 次のようなエラーメッセージが表示されます

表示されるエラーの ( ハイライトされた ) 詳細情報を記録することが重要です error:14077410:ssl routines:ssl23_get_server_hello:sslv3 alert handshake failure モジュール診断のアーカイブにある /var/log/cisco/tls_proxy.log ファイルを確認すると 次のエラーメッセージが表示されています 2014-02-05 05:21:42,189 INFO TLS_Proxy - SSL alert message received from server (0x228 = "fatal : handshake failure") in Session: x2fd1f6 2014-02-05 05:21:42,189 ERROR TLS_Proxy - TLS problem (error:14077410: SSL routines:ssl23_get_server_hello:sslv3 alert handshake failure) while connecting to server for Session: x2fd1f6 解決策 この問題の 1 つの原因は Triple Data Encryption Standard/ 高度暗号化規格 (3DES/AES) ライセンス ( 通常 K9 と呼ばれています ) がモジュールにインストールされていないことです 料金が発生するおとなく モジュールの K9 ライセンスをダウンロードし PRSM 経由でアップロードできます 3DES/AES ライセンスをインストールしても問題が解決しない場合は NGFW サービスモジュールとサーバ間の SSL ハンドシェイクのパケットキャプチャを取得し サーバ管理者に連絡して サーバの適切な SSL 暗号化をイネーブルにします

問題 NGFW サービスモジュールがサーバに提示されている証明書を信頼しない場合 次のようなエラーメッセージが表示されます 表示されるエラーの ( ハイライトされた ) 詳細情報を記録することが重要です error:14090086:ssl routines:ssl3_get_server_certificate:certificate verify failed モジュール診断のアーカイブにある /var/log/cisco/tls_proxy.log ファイルを確認すると 次のエラーメッセージが表示されています 2014-02-05 05:22:11,505 INFO TLS_Proxy - Certificate verification failure: self signed certificate (code 18, depth 0) 2014-02-05 05:22:11,505 INFO TLS_Proxy - Subject: /unstructuredname=ciscoasa 2014-02-05 05:22:11,505 INFO TLS_Proxy - Issuer: /unstructuredname=ciscoasa 2014-02-05 05:22:11,505 INFO TLS_Proxy - SSL alert message received from server (0x230 = "fatal : unknown CA") in Session: x148a696e 2014-02-05 05:22:11,505 ERROR TLS_Proxy - TLS problem (error:14090086: SSL routines:ssl3_get_server_certificate:certificate verify failed) while connecting to server for Session: x148a696e 解決策

モジュールがサーバ SSL 証明書を信頼できない場合 SSL ハンドシェイクプロセスが正常に行えるように PRSM を搭載するモジュールにサーバ証明書をインポートする必要があります サーバ証明書をインポートするには 次の手順を実行します 1. ブラウザ経由で証明書をダウンロードするためにサーバにアクセスするときは NGFW サービスモジュールをバイパスします モジュールをバイパスする方法の 1 つは 特定のサーバへのトラフィックを復号化しない復号化ポリシーを作成することです このビデオでは ポリシーの作成方法が示されます 以下に ビデオで示される手順を示します https://<ip_address_of_prsm> に移動して CX の PRSM にアクセスします この例では https://10.106.44.101 を使用します PRSM で [Configurations] > [Policies/Settings] > [Decryption policies] の順に選択します 画面の左上隅の近くにあるアイコンをクリックして [Add above policy] オプションを選択して リストの先頭にポリシーを追加します ポリシーに名前を付け ソースを Any のままにして CX Network group オブジェクトを作成します 注 : HTTPS ベースのサーバの IP アドレスを含めることに注意してください この例では IP アドレスとして 172.16.1.1 が使用されます 操作として Do not decrypt を選択します ポリシーを保存して 変更を確定します 2. このビデオに示されているように ブラウザを使用してサーバ証明書をダウンロードし PRSM を介して NGFW サービスモジュールにアップロードします 以下に ビデオで示される手順を示します 上述のポリシーを定義したら ブラウザを使用して NGFW サービスモジュールを介して開く HTTPS ベースのサーバに移動します 注 : この例では Mozilla Firefox バージョン 26.0 は https://172.16.1.1 という URL を持つサーバ (ASA 上の ASDM) に移動するために使用されます セキュリティ警告が表示されたら それを受け入れ セキュリティ例外を追加します アドレスバーの左側にある小さいロック形状のアイコンをクリックします このアイコンの場所は 使用するブラウザとバージョンによって異なします [View Certificate] ボタンをクリックし サーバ証明書を選択してから [Details] タブの下にある [Export] タンをクリックします お使いの PC の任意の場所に証明書を保存します

PRSM にログインし [Configurations] > [Certificates] の順に選択します [I want to ] > [Import certificate] を順にクリックして 以前に ( 手順 4 で ) ダウンロードしたサーバ証明書を選択します 変更を保存して 確定します この手順が完全すると NGFW サービスモジュールはサーバによって提示された証明書を信頼しているはずです 3. 手順 1. で追加されたポリシーを削除します これで NGFW サービスモジュールがサーバとのハンドシェイクを正常に完了できるよういになりました 関連情報 ASA CX および Cisco Prime Security Manager 9.2 ユーザガイド テクニカルサポートとドキュメント - Cisco Systems

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック