Mobile VPN トンネルを作成される場合、各 endpoint のアイデンティティーを確認する必要があります。このキーには、双方の endpoint によって知られているパスフレーズまたは事前共有キー (PSK) や、Management Server から提供される証明書を使用できます。Mobile VPN認証に証明書を使用するためにFirebox は管理対象デバイスである必要があります。
認証に証明書を使用する場合は、証明書の有効期限を追跡することが重要です。これにより、VPN などの重要なサービスの中断を回避することができます。
証明書を使用するよう新しい Mobile VPN with IPSec トンネルを構成するには、Policy Manager から次の手順を実行します:
- VPN > Mobile VPN > IPSec の順に選択します。
Mobile VPN with IPSec 構成ダイアログ ボックスが表示されます。 - 追加 をクリックします。
Mobile VPN with IPSec Wizard が表示されます。 - 次へ をクリックします。
- ユーザー認証サーバーの選択 ページを完了します。次へ をクリックします。
- WatchGuard Management Server が発行する RSA 証明書の使用 を選択します。
- Management Server の IP アドレスと管理パスフレーズを入力します。
- ウィザードを終了します。
証明書を使用するように既存の Mobile VPN with IPSec トンネルを構成するには、Policy Manager から次の手順を実行します:
- VPN > Mobile VPN > IPSec の順に選択します。
- 変更する Mobile VPN トンネルを選択します。編集 をクリックします。
- IPSec トンネル タブを選択します。
- 証明書の使用 を選択します。
- Management Server または認証機関の IP アドレス を入力します。必要に応じて、接続タイムアウトを調整します。
- OK をクリックします。
証明書を使用する場合、各 Mobile VPN ユーザーに次の 3 つのファイルを提供する必要があります。
- エンドユーザー プロファイル (.wgx)
- クライアント証明書 (.p12)
- CA ルート証明書 (.pem)
.p12 ファイルを追加して構成する方法の詳細については、次を参照してください:証明書を選択し PIN を入力する。
Mobile VPN with IPSec の詳細については、次を参照してください:Mobile VPN with IPSec。
Mobile VPN ユーザーに配布する証明書ファイルをエクスポートするエンドユーザー プロファイルを生成する手順は、次を参照してください:Mobile VPN with IPSec 構成ファイルを生成する。
LDAP サーバーを使用して VPN 証明書を認証する
サーバーにアクセスできる場合は、VPN 認証に使用された証明書を自動的に確認するために、LDAP サーバーを使用できます。この機能を使用するには、サードパーティの CA サービスから提供された LDAP アカウント情報が必要になります。
- Policy Manager から、VPN > VPN 設定 の順に選択します。
VPN 設定 ダイアログ ボックスが開きます。
- 証明書の確認に対して LDAP サーバーを有効にする チェックボックスをオンにします。
- サーバー テキスト ボックスに、LDAP サーバーの名前または IP アドレスを入力してください。
- (任意) ポート 番号を入力または選択します。
- OK をクリックします。
トンネル認証が要求されると、Firebox では LDAP サーバーに保管されている CRL がチェックされます。