3-3 Cisco AnyConnect Secure Mobility Client 管理者ガイド 第 3 章 VPN アクセスの設定 AnyConnect プロファイルの設定と編集 図3-1 AnyConnect プロファイルの追加 ステップ4 プロファイル名を指定します [プロファイル ロケーション(Profile Location)] で別の値を指定しない 限り、ASDM では XML ファイル … をクリックします。キーの名前と、鍵長を指定して、Generate Now をクリックすると、RSA のキーペアが作成されます。上記の設定例では、ASA のサーバ証明書を、ASA 自身が発行した自己署名証明書を使用していた関係で、初回接続時に、証明書が信用できない旨の警告が出ていました。警告自体は出ていても暗号化通信の疎通性、という意味では問題はないのですが、好ましい運用ではありませんし、ユーザに対して証明書の警告に対して安易に "OK" をクリックするという悪い習慣を植え付ける温床となり、結果的に rougue ASA への脆弱性につながる可能性がありますので、実運用の際には、ASA のサーバ証明書には信頼された CA から発行されたものを利用いただければと思います。以上で設定は完了です。警告なして AnyConnect の接続が完了するはずです。ここで、Yes をクリックし、発行された証明書ファイルを保存してください。Saved Request に、ASA からローカル PC に保存した CSR の中身をコピーしてください。次にどのような Subject Name で CSR を発行するか、の設定を行います。 Trustpoint の設定画面で、Certificate Subject DN の右にある、"Select" をクリックしてください。ですので、Client Profile にて指定されている接続先を、Subject Name に含まれている FQDN に変更しましょう。今回も参考までに設定終了時点での ASA の設定をアタッチしておきましたので、ご参考までにどうぞ。Trustpoint とは、証明書の検証に必要な CA 証明書、自身の公開鍵を証明するためのサーバ証明書や、クライアント証明書の検証に際するオプションなどを一つに束ねたものです。ここは、Subject Name をどのような内容にするか、という設定を行う個所となります。CA より証明書の発行を受ける際の一般的な手順として、機器自身のRSA キーペアの作成並びに、その鍵の持ち主を証明する証明書を発行するための、CSR Certificate Signing Request を作成する必要があります。次に、今回は ASA から CSR を発行して、それをもとに CA に署名をさせる形で ASA に証明書を Import するので、"Add a new identity certificate" をチェックします。Request s certificate をクリックします。最初に、Trustpoint の名前を設定します。後程使用するので、わかりやすい名前を設定されることをお勧めします。今回の例では、TP_W2K8_CA という名前で Trustpoint を作成し、KP_AC_PKI という名前のキーペアをそのTrustpoint に紐づけ、CN=asa5512.domain1.local という Subject Name を設定します。新たにキーペアを生成するためには、Key Pair の右にある、"New" ボタンをクリックしてください。 クライアント端末はプロファイルをダウンロードすると、各宛先を選ぶことができます。AnyConnectユーザには最寄りにまずアクセスするよう周知しておきます。上記の接続構成を実現するための クライアントプロファイルの設定例は以下です。各Hostnameに Backup Server を設定します。複数のASAをリモートアクセスVPNサーバ (RA VPN server) として運用時、AnyConnect Client Profile の Backup Server List を利用することで、例えば1台のASAにアクセスできない場合に、バックアップに指定したサーバーに自動接続するよう定義ができます。作成したホスト名を選択し Detailsボタンをクリックすると、設定したバックアップサーバーのリストがポップアップするため、問題ないことを確認した後、OKボタンをクリックします。以下のようなポップアップがあるため、Server List を選択し、Add... ボタンをクリックします。以下のようなポップアップがあるため、任意Profile Nameの設定と、Client Profile を利用する Group Policyを選択した後、OK をクリックします。作成したプロファイルは、AnyConnectクライアントが接続時に自動でダウンロードされ利用されます。そのため、障害試験の前に、試験端末からTOKYO-ASAにアクセスしプロファイルをダウンロードした後 AnyConnectを切断します。Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile にアクセスし Addボタンをクリックします。十数秒後、AnyConnect端末は プライマリと通信ができないため、バックアップサーバーIP宛の接続に切り替えます。AnyConnect設定ファイルの保存先の、Profileフォルダ内に保存されます。作成した クライアントプロファイルを選択し、Edit ボタンをクリックします。プロファイル自動ダウンロードに成功すると、AnyConnectの接続先が、サーバーリストで設定した Hostnameにかわっている事を確認できます。プリマリサーバーが電源断や回線ダウンなどの影響でダウンした場合に、バックアップサーバーに自動で切り替わるかの試験を行います。本ドキュメントでは、ASA 9.12(3)9と ASDM 7.13(1)と AnyConnect 4.7 を利用し確認、作成しております。例えば以下の構成のように、関東地区のユーザーは TOKYO-ASA-01を、東海地区のユーザは TOKYO-ASA-02を、関西地区のユーザは OSAKA-ASA を 各プライマリサーバとして利用し、他ASAをバックアップサーバとして指定することで、各ASAで負荷分散と、万が一障害時の冗長性を確保できます。以下のようなポップアップがあるため、Primary Server 枠内の Display Name 欄に 任意名称の設定と Primary Serverの FQDN もしくは IPアドレスを設定します。次に、Backup Servers 欄に、Backup Server の FQDN もしくは IPアドレスを入力した後 Addボタンをクリックし、バックアップサーバーを登録します。最後にOKボタンをクリックします。障害試験のため プライマリのリモートアクセスVPNサーバである TOKYO-ASAの電源をダウンします。端末から、TOKYO-ASAにAnyConnect再接続を行います。作成したプロファイルをクリックし Exportボタンをクリックすることで、Xmlファイルの取り出しが可能です。以下は当ドキュメントの手順で作成したクライアントプロファイルの Xmlファイルの中身です。AnyConnect Client Profile の管理画面に戻るため、Applyボタンをクリックし 設定したプロファイルを ASAに適用します。複数台のASAをリモートアクセスVPNサーバとして運用時、地域や人数などで接続先を分けることで、簡易的なActive/Active構成として各ASAを運用可能です。本ドキュメントでは、リモートアクセスVPNサーバーのPrimary機が電源断でダウンしアクセスできない場合に、Backup機に自動接続するための、ASDMの設定例と確認例を紹介します。バックアップサーバーに接続成功後、Advanced Window などから、OSAKA-ASAのIPアドレスに接続できていることを確認できます。
Windows CA の証明書発行用のページにアクセスします。 設定に依存すると思いますが、基本的には、以下のいずれかでアクセスできるはずです。CSR が発行されたら、それを CA 業者や、PKI の担当者に渡して署名した証明書を受け取る、というフローが必要となりますが、今回の例では、Windows 2008 R2 サーバで立てた CA にて、当該 CSR にサインする際の手順の例を紹介します。上記の設定までで、ASA がクライアントに提示するサーバ証明書は、新しく CA に署名させた証明書に切り替わっています。 しかしながら、前回の例で作成した AnyConnect の Client Profile では、接続先の ASA が、IP アドレスで指定されていました。 そのため、このまま接続を行うと、接続使用している ASA(10.1.1.12) と、その ASA が提示している証明書の Subject Name が異なるため、警告が出力されます。それと同時に、作成していた Group-URL の値も変更する必要があります。なぜならば、クライアントがアクセスするときに使用する URL が、Client Profile の変更に伴い変更されるからです。上記が今までの設定を終えた段階での、Trustpoint の設定画面となります。Group-URL を変更している関係で、以前の例で使用した Profile を使用しての接続はできませんので、一度接続が確立されれば、クライアント上の Client Profile も ASA 上で変更したものに更新されますので、次回は AnyCOnnect のアプリケーションから直接接続を実施しても、警告なしで接続可能になります。この画面での、Trustpoint Name とは名前の通り Trustpoint の名前となりますが、Trustpoint という概念について、簡単に説明させて頂きます。このドキュメントでは、以下ドキュメントにて紹介した構成に対して、ASA ID 証明書(サーバ証明書)を自己署名のものではなく、CA で署名したものを使用する際の設定例について紹介させて頂きます。Install from a file にて、先ほど CA で作成した証明書ファイルを選択してください。まず最初に、証明書を発行する前に、ASA に対して hostname と、domain name の設定をしてください。advanced certificate request をクリックします。CSR の発行が完了し、CA の署名待ちという状況になりますので、ステータスは、Pending になります。この例では、シンプルに、CN=asa5512.domain1.local をいう Subject Name を指定しています。一度ブラウザを使用して、WebLaunch してください。その際には、新しく設定した Group URL を指定します。この状態で、"Add Certificate" をクリックすると、CSR をローカル PC に保存できます。Submit a certificate request by using a base-64-encoded CMC or PKCS#10 file, or submit a revewalrequest by using a base-64-encoded PKCS#7 file. リモート アクセス ssl vpn を使用すると、自宅や外出先からインターネット経由で社内ネットワークに接続し、たとえば在宅勤務中でも、会社の共有フォルダにある資料をダウンロードできます。通信は暗号化されるため( ssl )、情報漏洩の心配はありません。 Cisco SSL-VPNの種類: いわゆる: 説明: クライアントレスSSL-VPN: リバースプロキシ クライアントにはWebブラウザがさえあればOK。このアクセス方式で CIFSでのWindowsファイルのブラウズとWebアクセス、FTPが利用可。 AnyConnect VPN: L2ポート フォワーディング AnyConnect設定ファイルの保存先の、Profileフォルダ内に保存されます。 Windows 10/ 8 / 7 / Vista C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile •ファイル形式:AnyConnectは、ファイル名でOnConnectスクリプトおよびonDisconnect スクリプトを識別します。また、ファイル拡張子に関係なく、OnConnectまたは OnDisconnectで始まるファイルを検索します。照合プレフィックスに関連する最初のスク
Cisco AnyConnect Secure Mobility Client のイメージの指定、ロード. はじめに このドキュメントでは、以下ドキュメントにて紹介した構成に対して、ASA ID 証明書(サーバ証明書)を自己署名のものではなく、CA で署名したものを使用する際の設定例について紹介させて頂きます。 Cisco AnyConnect Secure Mobility Client を使用して Remote Access VPN を行う際の設定 …