証明書認証を使用するようにWAN Group VPNを構成する方法
Description
クライアントからのIPSec VPN接続を証明書で認証する場合のWAN Group VPNの設定方法を説明します。
Resolution
証明書認証を行うようにWAN GroupVPNを構成するためには以下のステップが必要です。
- ファイアウォール装置にゲートウェイ証明書をインストールします。
- クライアントPCにユーザ証明をインストールします。
- ネットワーク | IPsec VPN > ルールと設定 でWAN GroupVPNを設定します。
1. ファイアウォール装置にゲートウェイ証明書をインストールします。
- ゲートウェイ証明書は、サーバ証明書と同じで構いません。
- ただし、装置に既定で入っている自己署名証明書は使用できません。
- そのためゲートウェイ証明書は、公的な証明機関もしくはプライベートCA(Microsoft CAやOpenSSLなど)で発行されたサーバ証明書が必要です。
- サーバ証明書の発行とインストールの手順はこちら(英語)を参照ください。
2. クライアントPCにユーザ証明をインストールします。
ユーザ証明書は、ゲートウェイ証明書を発行したCAもしくは異なるCAどちらでも問題ありません。
ユーザ証明書を発行するCAは公的な証明機関もしくはプライベートCA(Microsoft CAやOpenSSLなど)どちらでも構いません。ユーザ証明書の発行の手順は、ご利用になるCAの問い合わせ窓口に確認ください。
3. ネットワーク | IPsec VPN > ルールと設定 でWAN GroupVPNを設定します。
-
装置の管理GUIより、ネットワーク | IPsec VPN > ルールと設定 にアクセスします。
-
WAN GroupVPNの設定を開きます。
-
一般 タブの認証方式でIKE(サードパーティ証明書を使用) を選択します。
-
ゲートウェイ証明書: 手順1でインストールした(もしくはすでにインストールされている)証明書を選択します。
-
ピアID種別: ピアIDフィルターを設定しない場合(空欄の場合)、この設定は不要ですので、既定値のドメイン名のままとしてください。
ドメイン名: サブジェクト代替名(以下SAN-Subject Alternative Name) のドメイン名(FQDN)でフィルタを設定します。ユーザ証明書にSANが含まれない場合、SANにドメイン名が含まれない場合このオプションは使用できません。
識別名: 証明書のサブジェクトでフィルタを設定します。
電子メールID: SANの電子メールアドレスでフィルタを設定します。ユーザ証明書にSANが含まれない場合、SANに電子メールアドレスが含まれない場合このオプションは使用できません。 -
ピアIDフィルター:
ドメイン名: 入力した文字列には大文字と小文字の区別がなく、ワイルド カード文字 * (2 文字以上の場合) および ? (1 文字の場合) を含めることができます。例えば、*sv.us.SonicWall.com と指定した場合、sv.us.SonicWall.com(例: host.sv.us.SonicWall.com) で終わるドメイン名を持つユーザがアクセスできます。
識別名: ユーザ証明書の サブジェクト識別名 フィールドでフィルターします。サブジェクト識別名の形式は、発行元の認証局によって決定されます。一般的なフィールドは、国 (C=)、組織 (O=)、組織の単位 (OU=)、一般名 (CN=)、住所 (L=) などですが、発行元の認証局ごとに異なります。次の例のようにスラッシュ(/)で区切って複数の項目を指定することが可能です。/C=US/O=SonicWall, Inc./OU=TechPubs/CN=Joe Pub
最大で 3 つの組織の単位を追加できます。使用方法は、c=*;o=*;ou=*;ou=*;ou=*;cn=* です。最後のエントリにはセミコロンは不要です。c=us のように少なくとも 1 つのエントリを入力する必要があります。
電子メールID: 入力した文字列には大文字と小文字の区別がなく、ワイルド カード文字 * (2 文字以上の場合) および ? (1 文字の場合) を含めることができます。例えば、 *@SonicWall.com と指定した場合、@SonicWall.com で終わる電子メール アドレスを持つユーザがアクセスできます -
ゲートウェイ発行者によって署名されたピア証明書のみ許可する: ゲートウェイ証明書を発行したCAによって署名されたユーザ証明書のみ許可する場合、この設定を有効にします。
