楕円曲線 DSA (楕円曲線デジタル署名アルゴリズム/ECDSA) 証明書について

Fireware v12.3 U1 以降では、Firebox は 楕円曲線DSA (楕円曲線デジタル署名アルゴリズム/ECDSA) 証明書をサポートしています。ECDSA 証明書は RSA と同等のセキュリティを提供しますが、キーはより小さく、効率が上がっています。一部の国では、規制準拠のために政府から ECDSA 証明書の使用が義務付けられています。

Fireware v12.6.2 以降では、Firebox は ECDSA による証明書署名要求 (CSR) をサポートしています。v12.6.2 以前の Fireware では、EC 証明書をインポートする必要があります。Firebox は、EC 証明書の証明書署名要求を生成しません。証明書をインポートするには次の手順を実行します:デバイス証明書を管理する (Web UI) または デバイス証明書を管理する (WSM)

Fireware v12.4.1 以下では、Firebox は BOVPN、BOVPN 仮想インターフェイス、または Mobile VPN with IKEv2 の EC 証明書をサポートしていません。

BOVPN および BOVPN 仮想インターフェイスの EC 証明書

Fireware v12.5 以降では、BOVPN または BOVPN 仮想インターフェイスに ECDSA 証明書を指定できます。ECDSA 証明書は、EC 証明書とも呼ばれています。1 つの BOVPN ピアが EC 証明書を使用する場合、もう一方のピアも EC 証明書を使用する必要があります。BOVPN ピアは、異なる楕円曲線を持つ EC 証明書を持つことができます。

IKEv1 トンネル

IKEv1 を使用している BOVPN トンネルの場合、VPN 接続を開始するピアが認証方法を決定します。EC 証明書が、ハッシュアルゴリズムを決定します。例えば、SHA256-AES256-DH14 をフェーズ 1 の変換として選択し、ECDSA-384 証明書を指定した場合、ハッシュアルゴリズムは SHA256 ではなく SHA384 になります。

IKEv2 トンネル

IKEv2 を使用している BOVPN トンネルの場合、各ピアは、EC 証明書に応じて独自の認証方法を決定します。これは、ピアごとに異なる認証方法を使用できることを意味します。

Firebox は、BOVPN および BOVPN 仮想インターフェイスで次の楕円曲線のみサポートします。

  • Prime256v1
  • Secp384r1
  • Secp521r1

BOVPN または BOVPN 仮想インターフェイスに EC 証明書を指定するには、次を参照してください:Branch Office VPN (BOVPN) トンネル認証の証明書

Mobile VPN with IKEv2 用の EC 証明書

Fireware v12.5 以降では、Firebox は Mobile VPN with IKEv2 の EC 証明書をサポートしてています。IKEv2 クライアントで EC 証明書がサポートされている必要があります。サポート対象は、オペレーティング システムによって異なります。

  • Windows 10 — 部分的にサポート (ECDSA-256 および ECDSA-384 のみ)
  • Android — オープンソースクライアントである strongSwan のサポート
  • macOS および iOS — サポートなし

Firebox は、Mobile VPN with IKEv2 で次の楕円曲線のみサポートします。

  • Prime256v1
  • Secp384r1
  • Secp521r1

Firebox Mobile VPN with IKEv2 構成で EC 証明書を指定するには、次を参照してくださいMobile VPN with IKEv2 構成を編集する

関連情報:

証明書について