※この記事は以下の記事の日本語訳です。
Certificate config for GlobalProtect - (SSL/TLS, Client cert profiles, client/machine cert)
この文書はGlobalProtectセットアップにおける証明書の設定の基礎について説明します。この文書でカバーされないGlobalProtect用の証明書の展開方法もありうることを、ご承知おきください。
A. SSL/TLS サービス プロファイル - ポータル/ゲートウェイのサーバー証明書用。ポータル/ゲートウェイはこれを一つ必要とします。
B. 証明書プロファイル(必要に応じて) - ポータル/ゲートウェイがクライアント/マシン証明書を要求するために使用します。
C. クライアント機器へのクライアント/マシン証明書のインストール
A. SSL/TLS サービス プロファイル
GlobalProtectの枠組みにおいて、このプロファイルはGlobalProtectポータル/ゲートウェイの"サーバー証明書"と、SSL/TLSプロトコルのバージョン範囲の規定に使用されます。同じインターフェイスがポータルとゲートウェイ両方に使われている場合、同じSSL/TLS サービス プロファイルをポータル/ゲートウェイに使用できます。異なるインターフェイスでポータル/ゲートウェイを通して提供する場合、証明書が両方のポータル/ゲートウェイのIP/FQDNをそのサブジェクト代替名(SAN)に含んでいれば同じSSL/TLS サービス プロファイルを使用できます。含んでいない場合は、ポータルとゲートウェイにそれぞれ異なるプロファイル作成します。
SSL/TLS サービス プロファイルに"サーバー証明書"とそのチェーンをインポート/生成するには、以下のとおり操作します。
- 外部で作成した証明書をインポートするには、Device > 証明書の管理 > 証明書 に移動し、下部にある'インポート'をクリックします。
- ファイアウォールで証明書を生成するには、Device > 証明書の管理 > 証明書 に移動し、下部にある'生成'をクリックします。
サーバー証明書が公なサードパーティ認証局や内部のPKIサーバーによって署名されている場合
1. ルート認証局証明書をインポートします(秘密鍵のインポートはオプションです)。
2. 中間認証局証明書がある場合はインポートします(秘密鍵のインポートはオプションです)。
3. 上記の認証局によって署名された証明書を秘密鍵とともにインポートします。
重要!
- サブジェクト代替名(SAN)がない証明書の場合:この証明書の共通名(CN)はポータル/ゲートウェイのIPまたはFQDNにマッチしなければなりません。
- サブジェクト代替名が1つ以上存在する場合、そのポータル/ゲートウェイで使用されるIPかFQDNは、SANのリストの中の一つにマッチしなければなりません。
- 認証局であってはなりません。エンド エンティティでなければなりません。
- ベスト プラクティスとして、IPよりFQDNの使用が望ましいです。設定上、およびエンドユーザーによるGlobalProtect クライアント上での"ポータル:"欄での入力において、FQDN/IPを一貫して使用するようにしてください。例えば、ポータル/ゲートウェイがFQDN 'vpn.xyz.com' かIP '1.1.1.1'で到達できるとします。証明書の参照が'vpn.xyz.com'であれば、ユーザーは1.1.1.1ではなく、'vpn.xyz.com'を使用しなければなりません。
4. SSL/TLS サービス プロファイル
( Device > 証明書の管理 > SSL/TLS サービス プロファイルにあります)
- 名前 - 任意の名前を入力します
- 証明書 - 前述の手順3のサーバー証明書を参照します
- プロトコル設定 - クライアント サーバー間のsslトランザクションで使用されるssl/tlsの最小と最大のバージョンを選択します
5. このSSL/TLS サービス プロファイルを、必要なポータル/ゲートウェイで参照します。
サーバー証明書をPalo Alto Networksファイアウォールで生成する必要がある場合
1. ルート証明書をユニークな共通名(ポータル/ゲートウェイのIP、FQDN以外)で生成します
( Device > 証明書の管理 > 証明書にて下部の "生成"をクリックします)
2. (オプション)上記のルート証明書で署名をした中間証明書を生成します。共通名はユニークなもの(ポータル/ゲートウェイのIP、FQDN以外)にします。
3. 上記の中間証明書で署名されたサーバー証明書を生成
a. この証明書の共通名は、サブジェクト代替名(SAN)が存在しない場合、ポータル/ゲートウェイのIPかFQDNにマッチ思案ければなりません。Palo Alto Networks ファイアウォールではSANは'証明書の属性'のタイプを'Host Name'、'IP'、'Email'で作成できます。
b. 一つ以上のSANがある場合、ポータル/ゲートウェイで使用するIPかFQDNがSANのリストに存在しなければなりません。
c. 認証局であってはいけません。
d. 実践においては、IPではなくFQDNの使用が望ましいです。設定上、およびエンドユーザーによるGlobalProtect クライアント上での"ポータル:"欄での入力において、FQDN/IPを一貫して使用するようにしてください。例えば、ポータル/ゲートウェイがFQDN 'vpn.xyz.com' かIP '1.1.1.1'で到達できるとします。証明書の参照が'vpn.xyz.com'であれば、ユーザーは1.1.1.1ではなく、'vpn.xyz.com'を使用しなければなりません。
4. SSL/TLS サービス プロファイル
( Device > 証明書の管理 > SSL/TLS サービス プロファイルにあります)
- 名前 - 任意の名前を入力します
- 証明書 - 前述の手順3のサーバー証明書を参照します
- プロトコル設定 - クライアント サーバー間のsslトランザクションで使用されるssl/tlsの最小と最大のバージョンを選択します
5. このSSL/TLS サービス プロファイルを、必要なポータル/ゲートウェイで参照します。
B. 証明書プロファイル
( Device > 証明書の管理 > 証明書プロファイルにあります)
証明書プロファイルは認証局と中間認証局のリストを定義します。証明書プロファイルが設定上で適用されると、ポータル/ゲートウエイは、証明書プロファイルの認証局または中間認証局で署名されたクライアント/マシン証明書クライアント証明書を、クライアントに要求します。このプロファイルにはルート認証局だけでなく、中間認証局も設定することを奨めます。
重要!
- 'user-logon’/'on-demand'が接続方式となっているとクライアント証明書はユーザーの証明書となり、ユーザーの認証に使用されます。
- 'pre-logon'が接続方式となっているとクライアント証明書はマシン証明書となり、ユーザーではなく、機器の認証に使用されます。
1. クライアント/マシン証明書を署名したルート認証局をDevice > 証明書の管理 > 証明書 にてインポートします(秘密鍵はオプション)。
2. クライアント/マシン証明書を署名した中間認証局がある場合は、Device > 証明書の管理 > 証明書 にてインポートします(秘密鍵はオプション)。
3. Device > 証明書の管理 > 証明書プロファイル に移動して、追加をクリックします。
4. プロファイルの名前を入力します。
5. 手順1と2のルート認証局証明書と中間認証局証明書を追加します。
6. 注: ユーザー名フィールドはデフォルトで'None'となっており、典型的なセットアップではLDAP/RADIUS認証から引用されるので、'None'のままとしておくことができます。一方、証明書のみによる認証の場合(つまりポータル/ゲートウェイが使用するRADIUS/LDAPがない場合)、ユーザー名フィールドはユーザー名をクライアント証明書の共通名またはEmail/プリンシパル名から抽出するために'None'から'サブジェクト'または'サブジェクト代替名'に変更しなければなりません。さもないとCommit失敗となります。
7. (オプション)CRLまたはOSCPによるクライアント/マシン証明書の無効化ステータスの確認が必要な場合、'証明書状態が不明な場合にセッションをブロック'をチェックしていると、クライアントの接続に失敗しますのでご注意ください。
8. この証明書プロファイルを必要なポータル/ゲートウェイから参照します。
C. クライアント/マシン証明書をクライアント端末にインストール
クライアント/マシン証明書をインポートする際、秘密鍵を含むPKCSフォーマットでインポートを行ってください。
Windows での手順を以下に説明します。
1.スタート > ファイル名を指定して実行にてmmcを入力して、Microsoft 管理コンソールを開きます:
2. ファイル > スナップインの追加と削除をクリックします。
重要!
3. 証明書 > 追加 を行い、以下のどちらか、ないしは両方を行います:
a. クライアント(ユーザー)証明書を'ユーザー アカウント'を選択して追加します。これは 'user-logon'と'on-demand'でユーザーを認証するためです。
b. マシン(機器)証明書を'コンピューター アカウント'を選択して追加します。これは 'pre-logon' でマシンを認証するためです。
4. クライアント/マシン証明書をmmcにインポートします。
a. クライアント証明書をインポートする場合、'証明書-現在のユーザー'下の'個人'フォルダにインポートします。
b. マシン証明書をインポートする場合、'証明書(ローカル コンピューター)'下の'個人'フォルダにインポートします。
5. 同様にルート認証局証明書を'信頼されたルート証明機関'に、(あれば)中間認証局証明書を'中間証明機関'にインポートします。
重要!
6. 一旦インポートしたら、インポートしたクライアント/マシン証明書をダブルクリックして、以下を確認します。
a. 秘密鍵(訳注:日本語版Windowsでは"秘密キー"と表記されます)を持っているか。
b. ルート認証局までの完全な証明書チェーンがあるか。もしルート認証局や中間認証局までのチェーンに欠落がある場合は、手順5での説明に従い、それらの認証局証明書を該当するフォルダーにインポートします。
7.この時点で証明書はクライアントにインストールされていますので、mmcコンソールをセーブすることなくクローズして構いません。
