2023-02-03 04:15 PM
ASA バージョン: 9.12.4(30),AntConnect 4.x を利用しております。
AnyConnect VPN 接続でクライアント毎に異なる CA 局発行のクライアント証明書を使用しています。
クライアントに証明書はいずれかの CA 局から発行されたクライアント証明書が1枚導入されております。
ASA で複数 CA 局から CLR を取得して、該当クライアント証明書を正しく認証(失効リストを検査)することは可能でしょうか
CLR プールは CA 局単位になっているのでしょうか、また可能な場合、CA 局の数的な上限はあるのでしょうか?
よろしくお願いいたします。
解決済! 解決策の投稿を見る。
2023-02-08 09:21 PM
こんにちは!
既に確認されているかもですが、複数証明書の認証は以下ドキュメントが詳しいです。以下ドキュメントでも異なるCA局を使っています。
また、各CAは「Trustpoint」にインポートされますが、各TrustpointのCRLは個別設定・管理できるので、問題ないのではと思います。 また、「show crypto ca certificate」コマンドで各CAのCRL配布先、「show crypto ca crls」コマンドでキャッシュされてるCRLを確認できます。
! TrustPoint for User CA certificate
crypto ca trustpoint UserCA
enrollment terminal
crl configure
!
! Trustpoint for Machine CA certificate
crypto ca trustpoint MachineCA
enrollment terminal
crl configure
!
CA局の設定上限は設定ガイドとかに「Limitation」の記載がなければ非公開かと思います。 例えば以下の設定ガイド見る限りは、「Limitation」は特に明記されていないような。 また、Trustpointは4~5個 設定されてるお客様も見たことあるので、標準的なCA利用数では問題ないのでは、と思います。おそらく。
2023-02-08 09:21 PM
こんにちは!
既に確認されているかもですが、複数証明書の認証は以下ドキュメントが詳しいです。以下ドキュメントでも異なるCA局を使っています。
また、各CAは「Trustpoint」にインポートされますが、各TrustpointのCRLは個別設定・管理できるので、問題ないのではと思います。 また、「show crypto ca certificate」コマンドで各CAのCRL配布先、「show crypto ca crls」コマンドでキャッシュされてるCRLを確認できます。
! TrustPoint for User CA certificate
crypto ca trustpoint UserCA
enrollment terminal
crl configure
!
! Trustpoint for Machine CA certificate
crypto ca trustpoint MachineCA
enrollment terminal
crl configure
!
CA局の設定上限は設定ガイドとかに「Limitation」の記載がなければ非公開かと思います。 例えば以下の設定ガイド見る限りは、「Limitation」は特に明記されていないような。 また、Trustpointは4~5個 設定されてるお客様も見たことあるので、標準的なCA利用数では問題ないのでは、と思います。おそらく。
2023-02-14 08:40 AM
ご回答ありがとうごさいます。
確認遅くなり申し訳ございません。
アドバイス頂いたサイトで詳細を確認します。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド
下記より関連するコンテンツにアクセスできます