購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
1219
閲覧回数
5
いいね!
2
返信

ASA 複数認証局からの CLR 動作についてご教示ください。

解決策を見る
Ryouji Fujii
Level 1
Level 1

‎2023-02-03 04:15 PM

ASA バージョン: 9.12.4(30),AntConnect 4.x を利用しております。
AnyConnect VPN 接続でクライアント毎に異なる CA 局発行のクライアント証明書を使用しています。
クライアントに証明書はいずれかの CA 局から発行されたクライアント証明書が1枚導入されております。
ASA で複数 CA 局から CLR を取得して、該当クライアント証明書を正しく認証(失効リストを検査)することは可能でしょうか
CLR プールは CA 局単位になっているのでしょうか、また可能な場合、CA 局の数的な上限はあるのでしょうか?

よろしくお願いいたします。

ラベル:
0 いいね!
1 件の受理された解決策

受理された解決策

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2023-02-08 09:21 PM

こんにちは!

既に確認されているかもですが、複数証明書の認証は以下ドキュメントが詳しいです。以下ドキュメントでも異なるCA局を使っています。

https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/212483-configure-asa-as-the-ssl-gateway-for-any.html

また、各CAは「Trustpoint」にインポートされますが、各TrustpointのCRLは個別設定・管理できるので、問題ないのではと思います。 また、「show crypto ca certificate」コマンドで各CAのCRL配布先、「show crypto ca crls」コマンドでキャッシュされてるCRLを確認できます。

! TrustPoint for User CA certificate
crypto ca trustpoint UserCA
 enrollment terminal
 crl configure
!
! Trustpoint for Machine CA certificate
crypto ca trustpoint MachineCA
 enrollment terminal
 crl configure
!

 
CA局の設定上限は設定ガイドとかに「Limitation」の記載がなければ非公開かと思います。 例えば以下の設定ガイド見る限りは、「Limitation」は特に明記されていないような。 また、Trustpointは4~5個 設定されてるお客様も見たことあるので、標準的なCA利用数では問題ないのでは、と思います。おそらく。

https://www.cisco.com/c/en/us/td/docs/security/asa/asa916/configuration/general/asa-916-general-config/basic-certs.html#ID-2129-00000060

元の投稿で解決策を見る

2件の返信2

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2023-02-08 09:21 PM

こんにちは!

既に確認されているかもですが、複数証明書の認証は以下ドキュメントが詳しいです。以下ドキュメントでも異なるCA局を使っています。

https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/212483-configure-asa-as-the-ssl-gateway-for-any.html

また、各CAは「Trustpoint」にインポートされますが、各TrustpointのCRLは個別設定・管理できるので、問題ないのではと思います。 また、「show crypto ca certificate」コマンドで各CAのCRL配布先、「show crypto ca crls」コマンドでキャッシュされてるCRLを確認できます。

! TrustPoint for User CA certificate
crypto ca trustpoint UserCA
 enrollment terminal
 crl configure
!
! Trustpoint for Machine CA certificate
crypto ca trustpoint MachineCA
 enrollment terminal
 crl configure
!

 
CA局の設定上限は設定ガイドとかに「Limitation」の記載がなければ非公開かと思います。 例えば以下の設定ガイド見る限りは、「Limitation」は特に明記されていないような。 また、Trustpointは4~5個 設定されてるお客様も見たことあるので、標準的なCA利用数では問題ないのでは、と思います。おそらく。

https://www.cisco.com/c/en/us/td/docs/security/asa/asa916/configuration/general/asa-916-general-config/basic-certs.html#ID-2129-00000060

解決策を見る
Ryouji Fujii
Level 1
Level 1
Akira Muranakaに対する応答

‎2023-02-14 08:40 AM

ご回答ありがとうごさいます。

確認遅くなり申し訳ございません。

アドバイス頂いたサイトで詳細を確認します。

0 いいね!
Customers Also Viewed These Support Documents