Mobile VPN with IPSec トンネル認証の証明書を使用する
Mobile VPN with IPSec を構成するときに、事前共有キーの代わりに証明書を使用してトンネル認証を行うようにトンネルを構成することができます。クライアントがクライアント名とパスワードを送信してユーザー認証を行う前に、WatchGuard Management Server で生成される証明書を使用してトンネルを認証します。
WatchGuard Management Server で生成された IPSec 証明書は、1 年間有効です。Firebox が新しい IPSec 証明書を要求すると、証明書を更新するように Management Server に自動的に通知されます。有効期限切れの警告が表示されても、手動で証明書を更新する必要はありません。それでも手動で証明書を更新する場合は、Management Server の CA Manager から新しい証明書を生成することができます。詳細については、Management Server で証明書を管理する を参照してください。
Mobile VPN with IPSec トンネル認証に証明書を使用するには、以下の手順を実行します:
- Firebox は WatchGuard Management Server で管理する必要があります。
- ユーザーに配布する構成プロファイルと証明書ファイルは、Policy Manager で生成する必要があります。
- モバイル ユーザーは、Windows または macOS 用の WatchGuard IPSec Mobile VPN クライアントをインストールする必要があります。
Firebox で Mobile VPN with IPSec が証明書を使用するように構成する
証明書を使用してトンネル認証を行うように Mobile VPN with IPSec 構成する前に、Management Server のルート証明書が自分の管理コンピュータに自動インストールされるように、少なくとも一度は WatchGuard System Manager から Management Server に接続する必要があります。
Policy Manager では、証明書を使用する Mobile VPN with IPSec グループを新たに構成することも、既存のトンネルを編集して証明書の使用を有効にすることもできます。
- VPN > Mobile VPN > IPSec の順に選択します。
- 追加 をクリックし、Add Mobile VPN with IPSec Wizard を開始します。
- 次のセクションの説明に従い、認証サーバーとグループを構成します: Mobile VPN with IPSec 用に Firebox を構成する。
- トンネル認証方法の選択 ステップで、WatchGuard Management Server が発行する RSA 証明書の使用 を選択します。
- IP アドレス テキスト ボックスに、WatchGuard Management Server の IP アドレスを入力します。
- パスフレーズ テキスト ボックスに、Management Server の管理ユーザーのパスフレーズを入力します。
- 次へ をクリックします。ヒント!
ウィザードは Management Server に接続し、モバイルユーザーの構成に必要な証明書を生成します。 - 次のセクションの説明に従い、残りのウィザード設定を完了します: Mobile VPN with IPSec 用に Firebox を構成する。
- VPN > Mobile VPN > IPSec の順に選択します。
- 既存の Mobile VPN 構成を選択し、編集 をクリックします。
- IPSec トンネル タブを選択します。
- 証明書の使用 を選択します。
- CA IP アドレス テキスト ボックスに、Management Server の IP アドレスを入力します。
- パスフレーズ テキスト ボックスに、Management Server の管理ユーザーのパスフレーズを入力します。
- タイムアウト テキスト ボックスに、認証機関から応答がない場合に Firebox が Mobile VPN with IPSec トンネル認証を停止するまで待機する時間を秒単位で入力します。この値は、既定のまま維持することをお勧めします。
- OK をクリックします。
Management Server Configuration ダイアログ ボックスが表示されます。
- IP アドレス テキスト ボックスに、Management Server に接続する側の IP アドレスを入力します。
- パスフレーズ テキスト ボックスに、Management Server の管理ユーザー アカウントのパスフレーズを入力します。
- OK をクリックします。ヒント!
Policy Manager は Management Server に接続し、モバイル ユーザーの構成に必要な証明書を生成します。
- (Fireware v12.3 以降) VPN > Mobile VPN の順に選択します。
- IPSec セクションで、構成 を選択します。
Mobile VPN with IPSec ページが表示されます。 - (Fireware v12.2.1 以前) VPN > Mobile VPN with IPSec の順に選択します。
Mobile VPN with IPSec ページが表示されます。 - 追加 をクリックして新しい VPN グループ構成を追加します。または、既存グループを選択して 編集 をクリックします。
- IPSec トンネル タブを選択します。
- 証明書の使用 を選択します。
- CA IPアドレス テキスト ボックスに、Management Server の IP アドレスを入力します。
- タイムアウト テキスト ボックスに、認証機関から応答がない場合に Firebox が Mobile VPN with IPSec トンネル認証を停止するまで待機する時間を秒単位で入力します。この値は、既定のまま維持することをお勧めします。
- 次のセクションの説明に従い、全般 および リソース タブで設定を構成します: Mobile VPN with IPSec 用に Firebox を構成する。
既存ユーザーのトンネル認証を変更した場合は、新しいプロファイルと証明書を生成してモバイル ユーザーに配布する必要があります。
証明書とエンドユーザー プロファイルを生成する
証明書によりトンネル認証を行うように Mobile VPN with IPSec プロファイルを構成した後、Policy Manager で .wgx 構成プロファイルと証明書を生成し、モバイル ユーザーに送信する必要があります。
グループのエンド ユーザー プロファイル ファイルを生成するには、Policy Manager で以下の手順を実行します。
- VPN > Mobile VPN > IPSec の順に選択します。
- Mobile VPN グループを選択します。
- 生成 をクリックします。
Management Server Configuration ダイアログ ボックスが表示されます。
- IP アドレス テキスト ボックスに、Management Server に接続する側の IP アドレスを入力します。ここに指定する IP アドレスは、Management Server への接続に使う管理コンピュータのアドレスであることが必要です。Firebox が Management Server への接続に使う構成ファイルに指定するアドレスと異なる可能性があります。
- パスフレーズ テキスト ボックスに、Management Server の管理ユーザー アカウントのパスフレーズを入力します。
- OK をクリックします。ヒント!
Policy Manager は構成ファイルと証明書ファイルを生成し、それらのファイルの保存場所を示します。。
暗号化されたエンドユーザー プロファイル (.wgx ファイル) と PKCS12 証明書 (.p12 ファイル) を、WatchGuard IPSec Mobile VPN クライアントを使用するモバイル ユーザーに安全な方法で配布します。
VPN クライアントを構成する
エンドユーザーは IPSec Mobile VPN クライアントにプロファイルと証明書をインポートする必要があります。これを行う方法の詳細については、次を参照してください:
Management Server で証明書を管理する
Management Server にある証明書を表示および管理するには、WatchGuard WebCenter ツールの CA Manager を使用できます。証明書の一般名は、Mobile VPN with IPSec プロファイルの名前です。
詳細については、Management Server で証明書を管理する を参照してください。