購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
10245
閲覧回数
15
いいね!
3
コメント

ASA 9.3(2)以降: TLS 1.2のサポートについて

Taisuke Nakamura
Cisco Employee
Cisco Employee

‎2015-06-21 07:30 AM ‎2017-08-31 10:44 AM 更新

 


はじめに

ASA バージョン 9.3(2)より、Transport Layer Security(TLS) バージョン 1.2のサポートを開始しました。TLS 1.2は、TLS 1.1のサポートを含みます。

TLSは、ASDM管理時や、Clientless SSL VPN、AnyConnect VPN接続時に利用されます。

本ドキュメントでは、ASAバージョン 9.3(2)以前と以降のTLSバージョンの確認方法、及び ASA9.3(2)以降にてTLS 1.0とTLS 1.1でのASAに接続を不可とする設定方法について紹介します。

 

cautCaution:
TLSバージョンの制限を行う場合は、事前に全ての接続元や接続先がそのTLSバージョンに対応していることを入念に確認して下さい。

 

tipTip:
ASA バージョン 9.2以下での TLS 1.2のサポート予定は、2015年6月現在 ありません。TLS 1.2のサポートには 大きな機能拡張が必要であり、影響が大きいためです。


 

TLSバージョンの確認方法

show sslコマンドにて確認可能です。以下は各バージョン毎の出力です。


ASA バージョン 8.2(5) - TLS 1.2 非サポート
ASA# show version | in Ver
Cisco Adaptive Security Appliance Software Version 8.2(5)
Device Manager Version 7.2(1)

ASA# show ssl
Accept connections using SSLv2, SSLv3 or TLSv1 and negotiate to SSLv3 or TLSv1
Start connections using SSLv3 and negotiate to SSLv3 or TLSv1
Enabled cipher order: rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
Disabled ciphers: des-sha1 rc4-md5 null-sha1
SSL trust-points:
  manage interface: ASDM_TrustPoint0
Certificate authentication is not enabled

 

ASA バージョン 9.3(1) - TLS 1.2 非サポート
TAC-ASA# show version | in Ver
Cisco Adaptive Security Appliance Software Version 9.3(1)1
Device Manager Version 7.3(2)
Baseboard Management Controller (revision 0x1) Firmware Version: 2.4

TAC-ASA# show ssl
Accept connections using SSLv2 or greater and negotiate to TLSv1
Start connections using TLSv1 only and negotiate to TLSv1 only
Enabled cipher order: rc4-sha1 dhe-aes128-sha1 dhe-aes256-sha1 aes128-sha1 aes256-sha1 3des-sha1

No SSL trust-points configured
Certificate authentication is not enabled

ASA バージョン 9.3(2) - TLS 1.2 サポート
TAC-ASA# show version | in Ver
Cisco Adaptive Security Appliance Software Version 9.3(2)
Device Manager Version 7.3(2)
Baseboard Management Controller (revision 0x1) Firmware Version: 2.4

TAC-ASA# show ssl
Accept connections using SSLv2 or greater and negotiate to TLSv1 or greater
Start connections using TLSv1 and negotiate to TLSv1 or greater
SSL DH Group: group2

SSL trust-points:
  Self-signed RSA certificate available
Certificate authentication is not enabled

 

 

TLS 1.0とTLS 1.1 でのASA接続不可設定

ASA バージョン 9.3(2)以降にて、TLSバージョン 1.0と1.1を、ASAにて終端不可とする設定方法について、以下に示します。

CLIの場合:

TAC-ASA# conf t
TAC-ASA(config)# ssl server-version ?

configure mode commands/options:
  any         Enter this keyword to accept SSLv2 ClientHellos and negotiate the
              highest common version - DEPRECATED; use 'tlsv1' instead
  sslv3       Enter this keyword to accept SSLv2 ClientHellos and negotiate
              SSLv3 (or greater) - DEPRECATED; use 'tlsv1' instead
  sslv3-only  Enter this keyword to accept SSLv2 ClientHellos and negotiate
              SSLv3 (or greater) - DEPRECATED; use 'tlsv1' instead
  tlsv1       Enter this keyword to accept SSLv2 ClientHellos and negotiate
              TLSv1 (or greater)
  tlsv1-only  Enter this keyword to accept SSLv2 ClientHellos and negotiate
              TLSv1 (or greater) - DEPRECATED; same as 'tlsv1'
  tlsv1.1     Enter this keyword to accept SSLv2 ClientHellos and negotiate
              TLSv1.1 (or greater)
  tlsv1.2     Enter this keyword to accept SSLv2 ClientHellos and negotiate
              TLSv1.2 (or greater)

TAC-ASA(config)# ssl server-version tlsv1.2    <--- TLS 1.1以下は拒否する
TAC-ASA(config)#
TAC-ASA(config)# show ssl
Accept connections using SSLv2 or greater and negotiate to TLSv1.2 or greater
Start connections using TLSv1 and negotiate to TLSv1 or greater
SSL DH Group: group2

SSL trust-points:
  Self-signed RSA certificate available
Certificate authentication is not enabled


ASDMからの場合:

Configuration > Device Management > Advanced > SSL Settings

ASDM-SSL-20150621


 

参考情報

New Features in ASA 9.3(2)/ASDM 7.3(2)
http://www.cisco.com/c/en/us/td/docs/security/asa/roadmap/asa_new_features.html#pgfId-157788

Cisco ASA Series Command Reference, S Commands - ssl server-version
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s16.html#pgfId-1562315

Cisco Bug: CSCus79188 - Support SHA2/TLS 1.2 in 9.1.x code for ASA Benetton platforms
https://tools.cisco.com/quickview/bug/CSCus79188

コメント
GonDad04010
Level 1
Level 1
‎2021-02-16 04:42 PM

いつも有用な情報を公開していただきありがとうございます。
1点質問させてください。

 

Anyconnect クライアントが、どの TLS バージョンを使用してネゴシエーションを試みるかは、ASA/Anyconnect の設定は関係なく、

クライアントのOS側の動作に依存する、という理解でよろしいでしょうか。

 

Windows10でレジストリを変更したらTLSのバージョンが変わったため、上記理解としております。

Taisuke Nakamura
Cisco Employee
Cisco Employee
‎2021-02-23 09:19 PM

こんばんは。いつもシスココミュニティをご利用頂きまして有難うございます。

一般的には、TLSバージョンは Serverと Client間のネゴシエーションで決定されるため、クライアント側、ASAサーバー側、双方の設定やバージョンなどの影響をうけるかと思います。例えば、(かなり古いバージョンですが) AnyConnect 3.x以前の場合は TLS 1.2がサポートされてなかったため、ASA側でTLS1.2のみ受付可能にすると AnyConnect 3.xからのTLS1.0接続ができなくなくなったはずです。

なお、AnyConnect 4.x以降は TLS1.2をサポートしてるため、AnyConnect 4.xをご利用の場合は、ASAサーバー側のTLSバージョンの設定状況やバージョンは特に気にする必要は特にないかと思います。

TAYA
Level 1
Level 1
‎2024-03-26 08:29 AM 
TAC-ASA(config)# ssl server-version tlsv1.2

 上記のコマンドを入力する際の注意点として、コマンド入力直前の時点で接続していたSSL-VPNやIPsec-VPNの通信に影響はありませんでしょうか?

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents