認証, 許可, アカウンティング (AAA)のトピックRe: IKE 証明書の入手先と取得内容

IKE 証明書の入手先と取得先

Translator — Fri, 17 Sep 2021 19:12:15 GMT

おはよう, R340 上のサイト VPN にクライアントを構成し、IKEV2 で証明書認証を行うことを決定してきました。これに全く新しい、いくつかの質問をしたいと思います

私たちは、1つのドメインを持つ1ウェブサイト会社を持っています。

いくつかのCAの権限を見て(デジサート、セクティゴ、ゴダディ)

どの証明書を購入する必要がありますか?

(ドメイン検証) DV SLL を持つ TLS/SSL 証明書ですか?

また、私たちは、購入し、署名された証明書を取得したら、認証は、署名された後、ルータRV340にインストールされると信じています。しかし、VPN CLient(ワークステーション)について、同じ証明書をロードするか、クライアントのために証明書を購入する必要がありますか?

クライアントに対してどの証明書を購入する必要がある場合。

どんな助けも感謝します

Re: IKE 証明書の取得場所と取得内容

Translator — Fri, 17 Sep 2021 19:12:45 GMT

こんにちは

クライアント認証の場合、クライアントごとに 1 つの証明書が必要です。あなたには必要です
クライアントごとに証明書を生成する CA サーバーを持つ。あなたは買うことはできません
パブリック CA からのクライアントごとの証明書。これは実用的ではありません。

SCEP プロキシ機能を備えた内部 CA サーバを使用して、
クライアント用の証明書を使用し、認証に使用します。

役に立つ投稿を評価することを忘れないでください

Re: IKE 証明書の取得場所と取得内容

Translator — Fri, 17 Sep 2021 19:12:50 GMT

追加情報の追加:
しかし、VPN CLient(ワークステーション)について、同じ証明書をロードするか、クライアントのために証明書を購入する必要がありますか?

-各クライアントは、ネゴシエーション中にオンボーディングプロセス中に使用できる/使用できる独自の個人 ID 証明書に登録します。クライアントは、外部クライアントの ID 証明書が信頼されるように、証明書チェーン (ルート/中間証明書) を信頼ストアに適切にインポートする必要があります。これは、証明書を使用して、物事がどのように動作するかを全体的な考え方をよりよく理解するのに役立ちます。これを覗く:ISE でデジタル証明書を実装する方法 - Cisco コミュニティ

Re: IKE 証明書の取得場所と取得内容

Translator — Fri, 17 Sep 2021 19:12:54 GMT

こんにちは

まず、@Mohammedアルバカリが言ったことは絶対に正しい。VPN トンネリング要件に対して独自の "内部" PKI 証明書インフラストラクチャを用意する方が理にかなっています。

a)商業購入のCertsで複数のクライアントを管理することは「面倒」で非常に「高価」になります

b) 各 VPN クライアント (ワークステーション) は、そのワークステーションのマシン証明書ストアにインストールする必要がある個別の証明書 (コンピュータ証明書ではなく、ユーザー証明書) を必要とします。

注: Windows と MacOS の両方に、ローカルマシン証明書 (IPsec-VPN 用) 用と汎用のユーザー証明書ストア (ブラウザ/sslvpn クライアントなどで使用される) 用の証明書ストアが個別に用意されています。そのため、ipsec 用の証明書をマシンストアにのみインストールする必要があります

2. RV340 の C2S-IKEv2-VPN-サーバーに接続する予定の ikev2 ipsec クライアントの数はいくつですか。

- これは、商用証明書サイトから購入するか、独自の内部CAサーバーを持っているかどうか、上記のポイント1bを決定します

3. 使用している IKEv2-VPN クライアント(ワークステーション)の種類 - すべてのWindows-IKEv2-ネイティブクライアント(Windows-ラップトップ/PC上)、またはMacOS/iOSクライアント、グリーンボウ-IKEv2-VPNクライアントも???

- vpn-server-gateway(RV340)に使用する証明書の特定の設定を必要とするWindows /macos /iosクライアントに組み込まれている特定の実装の癖があるので、iamはクライアントタイプについて尋ねる

4. 組織のドメイン名が「example.com」の場合は、次の点に注意してください。

a) RV340 のパブリック dns-name/FQDN 完全修飾ドメイン名が「rv340gw.example.com」と言われている場合は、RV340/vpn-server (商用 CA または内部 CA) のデバイス証明書を取得する場合は、CSR で共通名/CN=rv340gw.example を設定する必要があります.comまた、サブジェクトの Alt-name を設定する必要があります rv340gw.example.com

b) 証明書/EAP を使用した windows-ikev2 クライアント構成では、

- VPN サーバ証明書に署名した RootCA 証明書をインストールし、

- サーバーアドレスを「rv340gw.example.com」と言う必要があります(これは、windowsクライアントが使用するDNSサーバーによって、RV340のwan1/ wan2インターフェイスのパブリックipaddressに解決されます)

- また、IKE ネゴシエーション中に vpn-server が証明書を windows クライアントに送信すると、クライアントはサーバー証明書の CN/共通名フィールドまたはサーバー証明書の subject-alt-name フィールドでサーバーアドレス (dns-name/fqdn) を照合しようとするので、ポイント 4a が重要になります。そのうちの1つが一致する必要があり、それ以外の場合、ike-ネゴシエーションはクライアントによって停止されます

- 同様のプロセスは、証明書/EAP を使用して MacOS/ioS ikev2 クライアントで発生します。

注: これは RV340 (または他の IKEv2-vpn-server) にはないクライアントでの風変わりな動作です、これらのクライアントはこのように実装されます

Re: IKE 証明書の取得場所と取得内容

Translator — Fri, 17 Sep 2021 19:12:59 GMT

答えをありがとう、しかし、私は2つの質問があります。

1.私たちは、VPNを必要とする最も少なくとも10人未満で必要な小さな組織ですが、それはまだ実用的ではありません、我々はまだ内部CAサーバーを行う必要がありますか?

2. 答えると、正しく決められていないかもしれないことに気がつく。私たちの場合、PSKは証明書と同じくらい安全でしょうか? 私の心の中で証明書の大きな利点は、CAを通して証明書を期限切れ/無効にすることができますが、私たちの10と1サイトがあれば、私は簡単にPSKをキャンセルまたは変更することができます。どう思いますか。再び答えをありがとう

Re: IKE 証明書の入手先と取得内容

Translator — Fri, 17 Sep 2021 19:13:04 GMT

答えnagrajkのおかげで、私はまだあなたが言っていることの多くを理解しようとしています。ビュートは私にいくつかの答えをさせてください

- RV340 の C2S-IKEv2-VPN-サーバーに接続する予定の ikev2 ipsec クライアントはいくつありますか?

クライアントは 10 未満になります

- すべてのWindows-IKEv2-ネイティブクライアント(Windowsラップトップ/PC上)、またはMacOS/iOSクライアント、グリーンボウ-IKEv2-VPN-クライアントも使用するIKEv2-VPN-クライアント(ワークステーション)の種類????

それはすべてのウィンドウになります - ラップトップ/PC。

まだVPNクライアントを決定しますが、Greenbowは私たちがそれを動作させる方法を知っているようです

Re: IKE 証明書の入手先と取得内容

Translator — Fri, 17 Sep 2021 19:13:09 GMT

こんにちは

>>>私たちはVPNを必要とする最も少なくとも10人未満しか必要としない小さな組織ですが、それはまだ実用的ではありません>>>内部CAサーバーを実行する必要がありますか?

1. まあ、それは依存します。VPN サーバーと 10 VPN クライアントの個別の証明書を購入するためのコスト/予算/費用に問題がない場合は、先に進んで商用 CA から証明書を調達し、RV340 および 10 クライアントにこれらの証明書をインストールできます。

2. しかし、どちらかの方法 (商用 CA から調達するか、内部マシンに独自の内部 CA をインストールして独自の証明書を作成) 1 つのことを覚えておく必要があります。

- VPN サーバー (RV34X) 上の証明書については、次の手順に従います。

a) 「共通名/CN」fieild 値は、vpnservergw.example.com 登録された DNS ドメイン名 (rv34x.example.com などの"example.com"を前提とします) などの vpn-server の FQDN/DNS 名に設定され、dyns-dns サーバーを使用している場合は、rv34x.dyndns.org または vpnservergw.dyndns.org

b) CN/CommonName の同じ FQDN も証明書の "サブジェクト Alt-名前" として設定する必要があります。

DNS:rv34x.例.com

又は

DNS:vpnservergw.の例.com

又は

DNS:rv34x.dyndns.org

- 10 のクライアント証明書の場合、各クライアント証明書の各サブジェクト代替名フィールドの値が、以下のように電子メール ID の形式でクライアント証明書のサブジェクト代替名フィールドに個別に設定されていることを確認します (登録済みのドメイン名「example.com」を使用していると仮定します。

client1 証明書の場合、サブジェクトの alt-name は次のように設定client1@example.com

client2 証明書の場合、サブジェクトの alt-name は次のように設定する必要があります client2@example.com

client3 証明書の場合、サブジェクトの alt-name は次のように設定client3@example.com

....などなど

>>>>答えると、私たちは正しく決定していないかもしれないことに気づきます。私たちの場合、PSKは証明書と同じくらい安全でしょうか? 私の>>>心証明書の大きな利点は、CAを通じて認証を期限切れ/無効にすることができるということですが、私たちの10と1つのサイトがあれば >>>、私は簡単にPSKをキャンセルまたは変更することができます。どう思いますか。

IKEv2-VPN-クライアント用の IKEv2-VPN サーバを参照して、次の情報を知っておく必要があります。

打ち明ける/設定できる方法はさまざまですが、標準的な基本構成では、VPN クライアントに対して IKEv2-vpn-server を混同/使用する方法が 3 つあります。

1. 認証に PSK を使用する IKEv2 vpn サーバ

-ここでの psk 認証は、vpn-server と vpn クライアントを ipsec ピアとして相互に認証するため、このトンネルの確立に関与するユーザ名とパスワードはありません。

- このメソッドをサポートするのはグリーンボウクライアントと MacOS/iOS IKEv2 クライアントのみです

- ネイティブウィンドウ IKev2 クライアントは PSK ベースの ikev2 認証をサポートしていません(証明書のみ、およびユーザー名/パスド、および EAP-TLS を使用した EAP-Mschapv2 のみ)

2. IKE 認証用の証明書を使用した IKEv2 VPN サーバ

a) ここでも、IpSec ピア (サーバーとクライアント) の相互認証に VPN サーバーとクライアントの両方で証明書のみが使用されます。

- 拡張認証にユーザー名/パスワードを使用しない

- ネイティブの Windows-IKEv2 クライアントはこれをサポートしています (クライアント構成セクションで「マシン証明書」ラジオボタンを選択する必要があります)

- グリーンボウおよび MacOS/iOS クライアントもこの機能をサポートしています。

この場合、サーバとクライアントの両方が、ピアの相互 IKEv2 認証を行うために使用される独自の証明書を持っている必要があります。

b) では、各クライアントタイプはどのようにして証明書を使用して ikev2 認証を行うのでしょうか?

ネイティブ IKEv2 クライアントの場合

----------------------------

- ネイティブの windows-ikev2-client に関しては、クライアント証明書のサブジェクト alt 名の値を設定/選択する構成はありません。

- したがって、Windows の最初のサーバーは、以前にクライアントにインポートされたサーバー証明書の Root-CA 証明書を使用して、Windows クライアントで検証/認証されるサーバー証明書を送信します。次に、Windows クライアント自体は、クライアント証明書のサブジェクト名フィールド (DN フィールドまたは単に ASN1DN と呼ばれます) を vpn-server に送信し、クライアント証明書に署名した rootCA-cert を使用して VPN サーバー上で検証および検証を行います。

グリーンボウクライアントで

-------------------

- このクライアントでは、クライアント証明書の U-FQDN 値をローカル ID として使用することが望ましいでしょう。

- そして、最初にサーバー証明書に署名したルート CA 証明書を使用して証明書を認証します。

- 次に、GB クライアントはサーバーに証明書を送信し、構成に応じて vpn-server はクライアント証明書のサブジェクト・フィールドを使用するか、クライアント証明書の U-FQDN 値 (clientX@example.com) のサブジェクト・アルトネームをチェックし、VPN サーバーで構成されたリモート識別子の値に一致します。

MacOS クライアントで

---------------

- ここでは、この macOS にインストールされているクライアント証明書のサブジェクト alt-name フィールドに UFQDN 値を設定します。

- この値は macOS クライアントでローカル ID として設定されます。

- Vpn-server 証明書が RootCA 証明書を使用して Mac クライアントで認証を受け、クライアントがサーバーに設定されたリモート ID フィールドの値に基づいて認証を受けるプロセス。必須/関連 ID は、クライアント証明書の subject-alt-name フィールドでチェックされます。

3. EAP 方式を使用する IKEv2 VPN サーバー (ユーザー名/パスドを使用した EAP-Mschapv2 など)

- この場合、vpn-server はクライアントに送信されるサーバー証明書を使用して認証されます (クライアントで最初にクライアントにインポートした RootCA 証明書を使用して検証されます)。

- クライアントには証明書がインストールされていません。

- クライアントは EAP を使用して認証を行います (この場合、クライアントで設定されたユーザ名 passwd を使用して EAP-Mschapv2 になります)

Re: IKE 証明書の入手先と取得内容

Translator — Fri, 17 Sep 2021 19:13:14 GMT

だから、RV34X vpn-server上で適用/設定する必要があるサンプル設定を添付してください(RV260/160ルータでも同じです)

Re: IKE 証明書の入手先と取得内容

Translator — Fri, 17 Sep 2021 19:13:22 GMT

ナグラジク ,

ありがとう、あなたはとても役に立つ、最後の1つの質問は私が証明書を購入しようとしているが、私はどれがどれであるか分からないほど多くの選択があります。

あなたが私と一緒に耐えることができる場合は、このウェブサイトを見てください

どれを買ったらいいの?

私はサーバーのために基本的なOV TLS / SSL証明書が必要だと信じています。

https://www.digicert.com/tls-ssl/business-tls-ssl-certificates

しかし、クライアントのために、私たちは同じ基本的なOV証明書を取得するクライアントを得るのですか?

Re: IKE 証明書の入手先と取得内容

Translator — Fri, 17 Sep 2021 19:13:26 GMT

こんにちは

>>>私はサーバーのために基本的なOV TLS /SSL証明書が必要だと信じています

わかりました。しかし、署名された証明書の以下の設定を確認してみてください

a) CN/共通名が VPN サーバの fqdn/dns 名に設定され(rv34x.cisconet.local など)、subjectAltName が同じ fqdn/dnsname に設定されていることを確認します。

b) サーバー証明書で次の追加設定/パラメータ(拡張キー使用 - EKU)を要求(または、その利用できる場合は自分で選択する)

IPSec エンドシステムでは、OID 1.3.6.1.5.5.5.7.3.5 が使用されます。

や

IP セキュリティ IKE 中間" OID を使用した EKU 1.3.6.1.5.5.5.8.2.2

>>>>しかし、クライアントのために何をクライアントを得るのですか、私たちは同じ基本的なOV証明書を得るのですか?

- servergwと同じですが、ここでも:

a) 共通名/CN がクライアント名に設定されていることを確認します。

そして

- 各クライアント証明書に対して subjectAltName が U-FQDN 形式 (client1@example.com など) で個別に設定されていることを確認します。

- また、クライアント証明書に上記の(EKUで)の設定を要求することを確認し、