Mobile VPN with L2TP トンネル認証用の証明書

Mobile VPN with L2TP トンネルが作成されると、各 endpoint のアイデンティティーはキーで検証する必要があります。このキーには、両方の endpoint により認識されているパスフレーズまたは事前共有キー (PKS)、サードパーティ証明書か自己署名証明書、または Management Server からの証明書を用いることができます。

Mobile VPN with L2TP トンネル認証に証明書を使用する

  • まず、証明書をインポートする必要があります。
  • サーバー証明書には、subjectAltName の一部として、サーバーのホスト名 (DNS=<サーバー FQDN>) またはサーバー IP アドレス (IP=<サーバーの IP アドレス>) が入っている必要があります。
  • 各ゲートウェイ endpoint のデバイスで証明書が同じアルゴリズムを使用していることを確認してください。両方の endpoint が DSS または RSA のどちらかを使用する必要があります。
  • 第三者または自己署名証明書がない場合は、WSM Management Server の認証機関を使用する必要があります。Mobile VPN 認証で Management Server CA 証明書を使用するように、Management Server により Firebox が管理されている必要があります。詳細については、Management Server で認証機関を構成する を参照してください。

認証に証明書を使用する場合は、証明書の有効期限を追跡することが重要です。これにより、VPN などの重要なサービスの中断を回避することができます。

IPSec の拡張キー使用法 (EKU) 識別子の有無にかかわらず、証明書を選択することができます。EKU 識別子により、証明書の目的が指定されます。IPSec Firebox Certificate を使用する を選択すると、IPSec EKU を 1 つだけ含む証明書のリストが表示されます。EKU 識別子を含まない利用可能な証明書のリストを表示するには、すべての証明書を表示 を選択します。

インポートされた Management Server CA 証明書に正しいホスト名または IP アドレスが含まれていないと、Firebox から一部の L2TP IPSec クライアント(たとえば、macOS のクライアント)に接続できない可能性があります。正しいホスト名または IP アドレスを使用して新しい証明書を作成し、L2TP IPSec 接続を使用することをお勧めします。

新しい Mobile VPN with IPSec トンネルに対して証明書を使用するには、Fireware Web UI から次の手順を実行します:

  1. VPN > Mobile VPN の順に選択します。
    Mobile VPN ページが表示されます。
  2. ウィザードの起動をlクリックします。
    WatchGuard L2TP Setup Wizard が表示されます。
  3. ウィザードを完了するための手順については、次を参照してください:WatchGuard L2TP Setup Wizard を使用する
  4. トンネルの認証方法を選択する のぺージで、IPSec Firebox 証明書を使用する を選択し、リストから RSA 証明書を選択してください。証明書が表示されない場合は、すべての証明書を表示 チェックボックスを選択します。
  5. ウィザードを終了します。

認証に証明書を使用する既存の Mobile VPN トンネルを変更するには、Fireware Web UI から次の手順を実行します:

  1. VPN > Mobile VPN の順に選択します。
    Mobile VPN ページが表示されます。
  2. L2TP セクションで、構成 をクリックします。
  3. IPSec タブを選択します。
  4. IPSec Firebox 証明書の使用 を選択して、リストから RSA 証明書を選択します。証明書が表示されない場合は、すべての証明書を表示 チェックボックスを選択します。
  5. 保存 をクリックします。

証明書を使用するための新しい Mobile VPN with L2TP トンネルを設定するには、Policy Manager から次の手順を実行します:

  1. VPN > Mobile VPN > L2TP > アクティブ化 の順に選択します。
    Mobile VPN with L2TP セットアップ ウィザードが表示されます。
  2. ウィザードを完了するための手順については、次を参照してください:WatchGuard L2TP Setup Wizard を使用する
  3. トンネルの認証方法を選択する のぺージで、IPSec 証明書の使用 を選択し、リストから RSA 証明書を選択します。証明書が表示されない場合は、すべての証明書を表示 チェックボックスを選択します。
  4. ウィザードを終了します。

認証に証明書を使用するための既存の Mobile VPN with L2TP トンネルを設定するには、Policy Manager から次の手順を実行します:

  1. VPN > Mobile VPN > L2TP > 設定する の順に選択します。

    Mobile VPN with L2TP 構成ダイアログ ボックスが表示されます。
  2. IPSec タブを選択します。
  3. IPSec 証明書の使用 を選択して、リストから RSA 証明書を選択します。証明書が表示されない場合は、すべての証明書を表示 チェックボックスを選択します。
  4. OK をクリックします。

Mobile VPN with L2TP についての詳細は、次を参照してください:Mobile VPN with L2TP

LDAP サーバーを使用して VPN 証明書を認証する

サーバーにアクセスできる場合は、VPN 認証に使用された証明書を自動的に確認するために、LDAP サーバーを使用できます。この機能を使用するには、サードパーティの CA サービスから提供された LDAP アカウント情報が必要になります。

LDAP サーバーを使用した VPN証明書を検証するには、Fireware Web UI から次の手順を実行します:

  1. VPN > グローバル設定 の順に選択します。
    グローバル VPN 設定 ページが表示されます。

[グローバル VPN 設定]ダイアログ ボックスのスクリーンショット

  1. 証明書の確認に対して LDAP サーバーを有効化する チェックボックスをオンにします。
  2. サーバー テキスト ボックスに、LDAP サーバーの名前または IP アドレスを入力してください。
  3. (任意) ポート 番号を入力または選択します。
  4. OK をクリックします。
    トンネル認証が要求されると、Firebox では LDAP サーバーに保管されている CRL がチェックされます。

LDAP サーバーを使用した VPN 証明書を検証するには、Policy Manager から次の手順を実行します:

  1. Policy Manager から、VPN > VPN 設定 の順に選択します。

    VPN 設定 ダイアログ ボックスが表示されます。

VPN設定 ダイアログ ボックスのスクリーンショット

  1. 証明書の確認に対して LDAP サーバーを有効化する チェックボックスをオンにします。
  2. サーバー テキスト ボックスに、LDAP サーバーの名前または IP アドレスを入力してください。
  3. (任意) ポート 番号を入力または選択します。
  4. OK をクリックします。
    トンネル認証が要求されると、Firebox では LDAP サーバーに保管されている CRL がチェックされます。

関連情報:

証明書について

WatchGuard L2TP Setup Wizard を使用する

Management Server で認証機関を構成する