CLI を使用するレガシー SCEP の設定例

Similar documents
RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

VPN の IP アドレス

Cisco® ASA シリーズルーター向けDigiCert® 統合ガイド

VPN 接続の設定

ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

VPN クライアントと AnyConnect クライアントからローカル LAN へのアクセスの設定例

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

適応型セキュリティ アプライ アンスの設定

ASA および Cisco IOS グループ ロック機能と AAA 属性および WebVPN の設定例

ASA 8.X: AnyConnect の Start Before Logon 機能の設定

Net'Attest EPS設定例

適応型セキュリティ アプライ アンスの設定

シナリオ:サイトツーサイト VPN の設定

VRF のデバイスへの設定 Telnet/SSH アクセス

~Cisco ASA5500~クライアント証明書によるiPhoneでのIPsec認証設定

ip nat outside source list コマンドを使用した設定例

SQL Server または MSDE のバージョン、およびサービス パック レベルの確認

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

RADIUS を使用した Windows 2008 NPS サーバ(Active Directory)に対する ASA VPN ユーザ認証の設定例

Untitled

Windows GPO のスクリプトと Cisco NAC 相互運用性

9.pdf

Microsoft Word - ASA認証設定手順(Anyconnect)1104.doc

Microsoft PowerPoint - サイバートラストデバイスID F5 BIG-IP Edge Client連携のご紹介.ppt [互換モード]

CUCM と VCS 間のセキュア SIP トランクの設定例

コンフィギュレーション ファイルのバックアップと復元

自動代替ルーティング設定

UCCX ソリューションの ECDSA 証明書について

NetAttest EPS 設定例 連携機器 : Cisco ASA 5505 Case:AnyConnect を利用した 証明書とパスワードによるハイブリッド認証 Version 1.3 株式会社ソリトンシステムズ

ローカル認証の設定例を含む WLC 5760/3850 Custom WebAuth

Cisco Unity と Unity Connection Server の設定

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

Catalyst 9800 ワイヤレス コントローラ AP 許可 リスト

ASA: ASDM 設定を使用したスマート トンネルの設定例

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

ACI のファースト LACP タイマーを設定して下さい

WeChat 認証ベースのインターネット アクセス

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

証明書(Certificates)

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

Net'Attest EPS設定例

Cisco CallManager および Cisco Unity でのパスワード変更の設定例

Windows Phone 用 Cisco AnyConnect セキュアモビリティクライ アントユーザガイド(リリース 4.1.x)

Net'Attest EPS設定例

連絡先

AW-PCS認証設定手順1805

Kerberos の設定

IOS ゾーン ベースのポリシー ファイアウォールを使用した IOS ルータでの AnyConnect VPN クライアントの設定例


VNX ファイル ストレージの管理

8021.X 認証を使用した Web リダイレクトの設定

FUI 機能付きの OCS サーバ URL リダイレクトの設定例

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

シスコ以外の SIP 電話機の設定

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

Aventail EX-2500/1600/750 STv(Ver.8.9) Sep 2007 c 2007 SonicWALL,Inc. All rights reserved.

ServerView ESXi CIM Provider VMware ESXi 4インストールガイド

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

SMB スイッチ CLI に SSH を使用してアクセスするか、または Telnet で接続して下さい

シナリオ:DMZ の設定

Mobile Access簡易設定ガイド

FQDN を使用した ACL の設定

Microsoft Word - SSL-VPN接続サービスの使い方

ログインおよび設定

Microsoft PowerPoint - APM-VE(install).pptx

2. 機能 ( 標準サポートプロトコル ) NTT ドコモの Android スマートフォン / タブレットでは標準で対応している VPN プロトコルがあります 本章では 動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-to-

Dynamic VPN Dynamic VPN IPSec VPN PC SRX IPSec VPN SRX PC IPSec 2 Copyright 2010 Juniper Networks, Inc.

Windows MAC OS 用 VPN クライアントソフトバージョンによる仕様差異

2. Save をクリックします 3. System Options - Network - TCP/IP - Advanced を開き Primary DNS server と Secondary DNS Server に AXIS ネットワークカメラ / ビデオエンコーダが参照できる DNS サ

Contents 1. はじめに 3.GUIからのアクセス方法 4 3. 鍵ペアの生成 5 4. サーバ証明書署名要求 (CSR) の作成 9 5. サーバ証明書のインストール 1 6.ServerIronの設定 17

シナリオ:SSL VPN クライアン トレス接続

CEM 用の Windows ドメイン コントローラ上の WMI の設定

付録

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 16 日ネットワールド 新規 I

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

UCS M シリーズ サーバでの Redhat/CentOS オペレーティング システムのインストール

認証連携設定例 連携機器 Pulse Secure PSA300 Case 証明書とユーザー ID/ パスワードによるハイブリッド認証 Rev1.0 株式会社ソリトンシステムズ

証明書ダウンロードシステム操作手順書 (ios) 第 1.15 版 証明書ダウンロードシステム 操作手順書 (ios) Ver1.15 セキュアネットワークサービス 2018 年 10 月 29 日 セキュアネットワークサービス 1 DLS-SNT-IOS-V1.15

Transcription:

CLI を使用するレガシー SCEP の設定例 目次 概要前提条件要件使用するコンポーネント背景説明設定 ASA を登録して下さい登録使用のためのトンネルを設定して下さいユーザ許可証認証のためのトンネルを設定して下さいユーザ許可証を更新して下さい確認関連情報 概要 この資料はのレガシー Simple Certificate Enrollment Protocol (SCEP) の使用を Cisco 適応型セキュリティアプライアンス (ASA) ソフトウェア記述したものです (ASA) 注意 : Cisco AnyConnect リリース 3.0 現在で この方式は使用するべきではありません それはモバイルデバイスが 3.x クライアントを備えなかったが Android におよび iphone に両方今代りに使用する必要がある SCEP プロキシのためのサポートがありますので以前に必要でした もしレガシー SCEP を設定すればそれが ASA が理由でサポートされなければだけ ただし このような場合 ASA アップグレードは推奨されるオプションです 前提条件 要件 Cisco はレガシー SCEP のナレッジがあることを推奨します 使用するコンポーネント このドキュメントは 特定のソフトウェアやハードウェアのバージョンに限定されるものではありません

このドキュメントの情報は 特定のラボ環境にあるデバイスに基づいて作成されたものです このドキュメントで使用するすべてのデバイスは クリアな ( デフォルト ) 設定で作業を開始しています ネットワークが稼働中の場合は コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります 背景説明 スケーラブルなデジタル証明書のディストリビューションおよび失効をできるだけするために設計されている SCEP はプロトコルです 概念はどの標準ネットワークユーザでもネットワーク管理者からの少しだけ介入とデジタル認証を電子的に要求できるはずであることです 企業 認証局 (CA) または SCEP をサポートするサードパーティ CA の証明書認証を必要とする VPN 配置に関しては ユーザはネットワーク管理者の介入なしでクライアントマシンからの署名入り認証のための Now 要求できます 注 : CA サーバで ASA を設定することを望む場合 SCEP は適切なプロトコルメソッドではないです デジタル証明書 Cisco ドキュメントの設定のローカル CA セクションを代りに参照して下さい ASA リリース 8.3 現在で SCEP における 2 つのサポートされた方法があります : Legacy SCEP と呼ばれるより古い方式はこの資料で説明されています SCEP プロキシ方式がクライアントに代わって 2 つのメソッドのより新しい ASA プロキシ証明書登録要求 このプロセスは余分トンネルグループを必要としないで またセキュアですのでよりきれい ただし 欠点は SCEP プロキシが Cisco AnyConnect リリース 3.x をだけ使用することです これはモバイルデバイスのための AnyConnect 現在のクライアントバージョンが SCEP プロキシをサポートしないことを意味します 設定 このセクションはレガシー SCEP プロトコル方式を設定するために使用できる情報を提供します 注 : このセクションで使用されているコマンドの詳細を調べるには Command Lookup Tool( 登録ユーザ専用 ) を使用してください レガシー SCEP が使用されるとき留意するべきいくつかの注記はここにあります : クライアントが署名入り認証を受け取った後 ASA はそれがクライアントを認証ことはできる前に認証に署名した CA を認識する必要があります 従って ASA がまた CA サーバと登録するようにして下さい ASA のための登録プロセスはそれを確認するので第一歩であるはずです : CA は URL 登録方式を使用する場合正しく設定され SCEP によって認証を発行できます ASA は CA と通信できます 従ってクライアントができなければ そしてクライアントと

ASA 間に問題があります 最初の接続の試みが試みられる場合 署名入り認証がありません クライアントを認証するために使用できる別のオプションがある必要があります 証明書登録プロセスでは ASA はロールを動作しません それは VPN 集約機能として安全に署名入り認証を得るためにクライアントがトンネルを構築できるようにだけ動作します トンネルが確立されるとき クライアントは CA サーバに達できます必要があります さもなければ それは登録ことはできることではないです ASA を登録して下さい ASA 登録プロセスは比較的容易で 新しい情報を必要としません サードパーティ CA に ASA を登録する方法に関する詳細については SCEP 資料を使用して CA に Cisco ASA を登録することを参照して下さい 登録使用のためのトンネルを設定して下さい クライアントが認証の異った方法による ASA と認証を得られるセキュアトンネル構築する必要があることができるように 以前に述べられるように これをするために 証明書要求がなされるときだけ最初の接続の試みのために使用する 1 つのトンネルグループを設定して下さい 使用する設定のスナップショットはここにあります このトンネルグループを定義する ( 重要な行は太イタリック体で示されています ): rtpvpnoutbound6(config)# show run user username cisco password ffirpgpdsojh9ylq encrypted privilege 0 rtpvpnoutbound6# show run group-policy gp_certenroll group-policy gp_certenroll internal group-policy gp_certenroll attributes wins-server none dns-server value <dns-server-ip-address> vpn-tunnel-protocol ikev2 ssl-client ssl-clientless group-lock value certenroll split-tunnel-policy tunnelspecified split-tunnel-network-list value acl_certenroll default-domain value cisco.com webvpn anyconnect profiles value pro-sceplegacy type user rtpvpnoutbound6# show run access-l acl_certenroll access-list acl_certenroll remark to allow access to the CA server access-list acl_certenroll standard permit host <ca-server-ipaddress> rtpvpnoutbound6# show run all tun certenroll tunnel-group certenroll type remote-access tunnel-group certenroll general-attributes address-pool ap_fw-policy authentication-server-group LOCAL secondary-authentication-server-group none default-group-policy gp_certenroll tunnel-group certenroll webvpn-attributes authentication aaa group-alias certenroll enable Notepad ファイルに貼り付けられ ASA にインポートすることができるまたは直接 Adaptive

Security Device Manager (ASDM) で設定することができますクライアントプロファイルはここにありますか : <?xml version="1.0" encoding="utf-8"?> <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance" xsi:schemalocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd"> <ClientInitialization> <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon> <AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection> <ShowPreConnectMessage>false</ShowPreConnectMessage> <CertificateStore>All</CertificateStore> <CertificateStoreOverride>false</CertificateStoreOverride> <ProxySettings>Native</ProxySettings> <AllowLocalProxyConnections>true</AllowLocalProxyConnections> <AuthenticationTimeout>12</AuthenticationTimeout> <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart> <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> <LocalLanAccess UserControllable="true">false</LocalLanAccess> <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin> <AutoReconnect UserControllable="false">true <AutoReconnectBehavior UserControllable="false">ReconnectAfterResume </AutoReconnectBehavior> </AutoReconnect> <AutoUpdate UserControllable="false">true</AutoUpdate> <RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration> <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement> <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment> <AutomaticVPNPolicy>false</AutomaticVPNPolicy> <PPPExclusion UserControllable="false">Disable <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP> </PPPExclusion> <EnableScripting UserControllable="false">false</EnableScripting> <CertificateEnrollment> <AutomaticSCEPHost>rtpvpnoutbound6.cisco.com/certenroll</AutomaticSCEPHost> <CAURL PromptForChallengePW="false" >scep_url</caurl> <CertificateImportStore>All</CertificateImportStore> <CertificateSCEP> <Name_CN>%USER%</Name_CN> <KeySize>2048</KeySize> <DisplayGetCertButton>true</DisplayGetCertButton> </CertificateSCEP> </CertificateEnrollment> <EnableAutomaticServerSelection UserControllable="false">false <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement> <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime> </EnableAutomaticServerSelection> <RetainVpnOnLogoff>false</RetainVpnOnLogoff> </ClientInitialization> <ServerList> <HostEntry> <HostName>rtpvpnoutbound6.cisco.com</HostName> <HostAddress>rtpvpnoutbound6.cisco.com</HostAddress> </HostEntry> </ServerList> </AnyConnectProfile> 注 : グループ URL はこのトンネルグループのために設定されません これはレガシー SCEP が URL を使用しないので重要です エイリアスのトンネルグループを選択して下さい これは Cisco バグ ID CSCtq74054 が理由でそうなったものです グループ URL が理由で問題に直面する場合 この不具合で追う必要があるかもしれません

ユーザ許可証認証のためのトンネルを設定して下さい 署名された ID 認証が受け取られるとき 証明書認証を用いる接続は可能性のあるです ただし 接続するために使用する実際のトンネルグループはまだ設定されていません この設定は他のどの接続プロファイルのための設定に類似したです この条件は証明書認証を使用するトンネルグループと同義クライアントプロファイルと混同しないためにであり このトンネルのために使用する設定のスナップショットはここにあります : rtpvpnoutbound6(config)# show run access-l acl_fw-policy access-list acl_fw-policy standard permit 192.168.1.0 255.255.255.0 rtpvpnoutbound6(config)# show run group-p gp_legacyscep group-policy gp_legacyscep internal group-policy gp_legacyscep attributes vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value acl_fw-policy default-domain value cisco.com webvpn anyconnect modules value dart rtpvpnoutbound6(config)# show run tunnel tg_legacyscep tunnel-group tg_legacyscep type remote-access tunnel-group tg_legacyscep general-attributes address-pool ap_fw-policy default-group-policy gp_legacyscep tunnel-group tg_legacyscep webvpn-attributes authentication certificate group-alias legacyscep enable group-url https://rtpvpnoutbound6.cisco.com/legacyscep enable ユーザ許可証を更新して下さい ユーザ許可証が切れるか または取り消されるとき Cisco AnyConnect は証明書認証失敗します 唯一のオプションは SCEP 登録を再度引き起こすために証明書登録トンネルグループへ再接続することです 確認 情報を使用して下さい設定はきちんと機能することを確認するためにこのセクションで提供される 注 : レガシー SCEP 方式がモバイルデバイスの使用としか設定する必要がないのでセクションモービルクライアントとの取り引きだけこの 設定を確認するには 次の手順を実行します 1. はじめて接続するように試みるとき ASA ホスト名か IP アドレスを入力して下さい 2. certenroll を か設定でこの資料の登録使用セクションのためのトンネルを設定したグルー

プエイリアスを選択して下さい ユーザ名およびパスワードのためにそれからプロンプト表示され 得 Certificate ボタンは表示する 3. 得 Certificate ボタンをクリックして下さい クライアントログをチェックする場合 この出力は下記のものを表示する必要があります : [06-22-12 11:23:45:121] <Information> - Contacting https://rtpvpnoutbound6.cisco.com. [06-22-12 11:23:45:324] <Warning> - No valid certificates available for authentication. [06-22-12 11:23:51:767] <Information> - Establishing VPN session... [06-22-12 11:23:51:879] <Information> - Establishing VPN session... [06-22-12 11:23:51:884] <Information> - Establishing VPN - Initiating connection... [06-22-12 11:23:52:066] <Information> - Establishing VPN - Examining system... [06-22-12 11:23:52:069] <Information> - Establishing VPN - Activating VPN adapter... [06-22-12 11:23:52:594] <Information> - Establishing VPN - Configuring system... [06-22-12 11:23:52:627] <Information> - Establishing VPN... [06-22-12 11:23:52:734] <Information> - VPN session established to https://rtpvpnoutbound6.cisco.com. [06-22-12 11:23:52:764] <Information> - Certificate Enrollment - Initiating, Please Wait. [06-22-12 11:23:52:771] <Information> - Certificate Enrollment - Request forwarded. [06-22-12 11:23:55:642] <Information> - Certificate Enrollment - Storing Certificate [06-22-12 11:24:02:756] <Error> - Certificate Enrollment - Certificate successfully imported. Please manually associate the certificate with your profile and reconnect. 最後のメッセージはエラーを示すのに そのクライアントが設定でこの資料のユーザ許可証 Authentication セクションのためのトンネル設定される第 2 接続プロファイルにある次の接続の試みに使用することができるようにこのステップが必要であることユーザを知らせることです 関連情報 URL (ASA IP/ トンネルグループエイリアス ) を使用するとき CSCtq74054 SCEP は始められません テクニカルサポートとドキュメント

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック