Mobile VPN With IPSec トンネル認証の証明書 (Web UI)
Mobile VPN トンネルを作成する場合、各 endpoint のアイデンティティーをキーで確認する必要があります。このキーには、双方の endpoint によって知られているパスフレーズまたは事前共有キー (PSK) や、Management Server から提供される証明書を使用できます。Mobile VPN認証に証明書を使用するためにFirebox は管理対象デバイスである必要があります。管理対象デバイスとして Firebox を設定するには WatchGuard System Manager を使用する必要があります。
認証に証明書を使用する場合は、証明書の有効期限を追跡することが重要です。これにより、VPN などの重要なサービスの中断を回避することができます。
WatchGuard System Manager の詳細ついては、WatchGuard System Manager について を参照してください。
証明書を使用するよう新しい Mobile VPN with IPSec トンネルを設定するには、Web UI から次の手順を実行します:
- VPN > Mobile VPN の順に選択します。
Fireware v12.2.1 以前では、VPN > Mobile VPN with IPSec の順に選択して、手順 2 をスキップします。 - IPSec セクションで、構成 をクリックします。
- 追加 をクリックします。
- IPSec トンネル タブを選択します。
- IPSec トンネルセクションで、証明書の使用.を選択します。
- CA IP アドレス テキスト ボックスに、Management Server の IP アドレスを入力します。
- タイムアウト テキスト ボックスに、Mobile VPN with IPSec クライアントが接続試行を停止する前に認証機関からの応答を待機する時間を秒単位で入力または選択します。この値は、既定 (25 秒) から変更しないことをお勧めします。
- Mobile VPN グループの構成を完了します。
Mobile VPN with IPSec の構成手順については、次を参照してください:Mobile VPN with IPSec 用に Firebox を構成する。
証明書を使用するよう既存の Mobile VPN with IPSec トンネルを構成するには、Web UI から次の手順を実行します:
- VPN > Mobile VPN with IPSec の順に選択します。
Fireware v12.2.1 以前では、VPN > Mobile VPN with IPSec の順に選択して、手順 2 をスキップします。 - 構成 をクリックします。
- 変更する Mobile VPN グループを選択します。編集 をクリックします。
- IPSec トンネル タブを選択します。
- IPSec トンネルセクションで、証明書の使用.を選択します。
- CA IP アドレス テキスト ボックスに、Management Server の IP アドレスを入力します。
- タイムアウト テキスト ボックスに、Mobile VPN with IPSec クライアントが接続試行を停止する前に認証機関からの応答を待機する時間を秒単位で入力または選択します。この値は、既定 (25 秒) から変更しないことをお勧めします。
- 保存 をクリックします。
証明書を使用する場合、各 Mobile VPN ユーザーに次の 3 つのファイルを提供する必要があります。
- エンドユーザー プロファイル (.wgx)
- クライアント証明書 (.p12)
- CA ルート証明書 (.pem)
すべてのファイルを同じディレクトリにコピーします。.p12 ファイルを追加して構成する方法の詳細については、次を参照してください:証明書を選択し PIN を入力する。
Mobile VPN with IPSec の一般情報については、次を参照してください:Mobile VPN with IPSec。
LDAP サーバーを使用して VPN 証明書を認証する
サーバーにアクセスできる場合は、VPN 認証に使用された証明書を自動的に確認するために、LDAP サーバーを使用できます。この機能を使用するには、サードパーティの CA サービスから提供された LDAP アカウント情報が必要になります。
- VPN > グローバル設定 の順に選択します。
グローバル VPN 設定 ページが開きます。
- 証明書の確認に対して LDAP サーバーを有効化する チェックボックスをオンにします。
- サーバー テキスト ボックスに、LDAP サーバーの名前または IP アドレスを入力してください。
- (任意) ポート 番号を入力または選択します。
- OK をクリックします。
トンネル認証が要求されると、Firebox では LDAP サーバーに保管されている 証明書失効リスト (CRL) がチェックされます。