Branch Office VPN (BOVPN) トンネル認証の証明書
BOVPN トンネルが作成されると、 IPSec プロトコルは、事前共有キー (PSK) または Firebox にインポートおよび保存された証明書のいずれかを使用して、各 endpoint のアイデンティティーを確認します。
新しい BOVPN ゲートウェイを追加して、証明書の認証メソッドを選択すると、「IP セキュリティ IKE 中間」(OID 1.3.6.1.5.5.8.2.2) と呼ばれる拡張キー使用法 (EKU) 識別子が含まれる証明書のリストが表示されます。EKU 識別子により、証明書の目的が指定されます。
Fireware v12.5 以降では、BOVPN 構成で ECDSA 証明書を指定できます。ECDSA 証明書は、EC 証明書とも呼ばれています。証明書の詳細については、次を参照してください:楕円曲線 DSA (楕円曲線デジタル署名アルゴリズム/ECDSA) 証明書について。
Fireware v12.6.2 以降では、認証用の証明書を選択する際に、VPN ピア検証用のルートまたは中間 CA 証明書を指定することができます。Firebox は、その CA 証明書を使って VPN ピアから受信した証明書を検証します。VPN ピアからの証明書は、指定されたルートまたは中間 CA 証明書を含む証明書チェーンの一部でなければなりません。ピア証明書がチェーンの一部ではない場合、Firebox はフェーズ 1 トンネル交渉を拒否します。
認証に証明書を使用する場合は、証明書の有効期限を追跡することが重要です。これにより、VPN などの重要なサービスの中断を回避することができます。
BOVPN トンネルに証明書を使用する
BOVPN トンネル認証に証明書を使用するには、Fireware Web UI から次の手順を実行します:
- VPN > Branch Office VPN の順に選択します。
- ゲートウェイ セクションで、追加 をクリックして新しいゲートウェイを作成します。
または、既存の Gateway を選択して、編集 をクリックします。 - IPSec Firebox 証明書を使用 を選択します。
「IP セキュリティ IKE 中間」(OID 1.3.6.1.5.5.8.2.2) と呼ばれる拡張キー使用法 (EKU) 識別子が含まれるデバイスの証明書が表示されます。 - 他の利用可能な証明書を表示するには、すべての証明書を表示 を選択します。
使用可能な証明書がすべて表示されます。これには、EKU が含まれていない証明書も含まれます。 - 使用する証明書を選択します。
- 必要に応じて他の設定を構成します。
- (Fireware v12.6.2 以降) ピア検証用のルートまたは中間 CA 証明書を指定するには、以下の手順を実行します:
- 追加 > 詳細 の順に選択します。または、既存のゲートウェイを選択して、編集 > 詳細 の順に選択します。
- リモート endpoint 検証用に CA 証明書を指定する を選択します。
- CA 証明書 ドロップダウン リストから証明書を選択し、OK をクリックします。
- 保存 をクリックします。
BOVPN 認証に証明書を使用する場合は、Fireware Web UI から次の手順を実行します:
- 詳細については、デバイス証明書を管理する (Web UI) を参照してください。
- 証明書は IPSec タイプの証明書として認識される必要があります。
- 各ゲートウェイ endpoint のデバイスで証明書が同じアルゴリズムを使用していることを確認してください。両方の endpoint が DSS、RSA、または EC のいずれかを使用する必要があります。証明書のアルゴリズムは、Gateway リストの Branch Office VPN ページに表示されます。
- サードパーティまたは自己署名証明書がない場合は、WatchGuard Management Server の認証機関を使用する必要があります。
BOVPN トンネル認証に証明書を使用するには、Policy Manager から次の手順を実行します:
- VPN > Branch Office ゲートウェイ の順に選択します。
- 新しい Gateway を作成するには、追加する をクリックしてください。
または、既存の Gateway を選択して、編集 をクリックします。 - IPSec Firebox 証明書を使用 を選択します。
「IP セキュリティ IKE 中間」(OID 1.3.6.1.5.5.8.2.2) と呼ばれる拡張キー使用法 (EKU) 識別子が含まれるデバイスの証明書が表示されます。 - 他の利用可能な証明書を表示するには、すべての証明書を表示 を選択します。
使用可能な証明書がすべて表示されます。これには、EKU が含まれていない証明書も含まれます。 - 使用する証明書を選択します。
- 必要に応じて他の設定を構成します。
- (Fireware v12.6.2 以降) ピア検証用のルートまたは中間 CA 証明書を指定するには、以下の手順を実行します:
- 追加 > 詳細 の順に選択します。または、既存のゲートウェイを選択して、編集 > 詳細 の順に選択します。
- リモート endpoint 検証用に CA 証明書を指定する を選択します。
- CA 証明書 ドロップダウン リストから証明書を選択します。
- OK をクリックします。
- OK をクリックします。
BOVPN 認証に証明書を使用する場合は、Policy Manager から次の手順を実行します:
- まず、証明書をインポートする必要があります。
詳細については、デバイス証明書を管理する (WSM) を参照してください。 - 証明書は IPSec タイプの証明書として認識される必要があります。
- 各ゲートウェイ endpoint のデバイスで証明書が同じアルゴリズムを使用していることを確認してください。両方の endpoint が DSS、RSA、または EC のいずれかを使用する必要があります。証明書のアルゴリズムは、Firebox System Manager の中の 新しいゲートウェイ ダイアログ ボックスのテーブルに表示され、そして WatchGuard System Manager の 証明書 ダイアログ ボックスにも表示されます。
- サードパーティまたは自己署名証明書がない場合は、WatchGuard Management Server の認証機関を使用する必要があります。
詳細については、Management Server で認証機関を構成する を参照してください。
証明書を確認する
証明書を検証するには、Fireware Web UI から次の手順を実行します:
- システム > 証明書 の順に選択します。
証明書 ページが表示されます。 - 種類 の列が、IPSec または IPSec/Web になっていることを確認します。
証明書を検証するには、Fireware System Manager から次の手順を実行します:
- 表示 > 証明書 の順に選択します。
証明書 ダイアログ ボックスが表示されます。 - 種類 の列が、IPSec または IPSec/Web になっていることを確認します。
LDAP サーバーを使用した VPN 証明書の検証
サーバーにアクセスできる場合は、VPN 認証に使用された証明書を自動的に確認するために、LDAP サーバーを使用できます。この機能を使用するには、サードパーティの CA サービスから提供された LDAP アカウント情報が必要になります。
証明書を検証するには、Fireware Web UI から次の手順を実行します:
- VPN > グローバル設定 の順に選択します。
グローバル VPN 設定 ページが表示されます。
- 証明書の確認に対して LDAP サーバーを有効にする チェックボックスをオンにします。
- サーバー テキスト ボックスに、LDAP サーバーの名前とアドレスを入力します。
- (任意)ポート 番号を入力します。
- 構成を保存します。
トンネル認証が要求されると、Firebox では LDAP サーバーに保管されている CRL がチェックされます。
証明書を検証するには、Policy Manager から次の手順を実行します:
- VPN > VPN設定 の順に選択します。
VPN 設定 ダイアログ ボックスが表示されます。
- 証明書の確認に対して LDAP サーバーを有効にする チェックボックスをオンにします。
- サーバー テキスト ボックスに、LDAP サーバーの名前とアドレスを入力します。
- (任意)ポート 番号を入力します。
- 構成を保存します。
トンネル認証が要求されると、Firebox では LDAP サーバーに保管されている CRL がチェックされます。