はじめに
Secure Client (AnyConnect)のCertificate Matching機能についてご紹介します。
証明書認証を使用した VPN 接続の場合、デフォルトでは証明書の選択方式は自動となります。
但し PC に複数の使用可能な証明書が存在する場合、Certificate Matching機能を使用すれば、
特定のクライアント証明書を指定することができます。
本ドキュメントは以下のソフトウェアバージョンを用いて確認、作成しております。
ASA 9.16.4.19
Windows 11
Secure Client 5.0.02075
本機能にて、指定したいクライアント証明書の"Key Usage"、
"Extended Key Usage"、"Distinguished Name"のマッチ条件が選択できます。
今回の例では、PCに二つのクライアント証明書「CN=user1」と「CN=user2」があるとします。
上記 2 つの証明書で何れも認証可能ですが、強制的には「CN=user2」の証明書を使用するように指定します。
設定方法
1. ASDMにて該当するClient profileを開き、Certificate Matchingをクリックします。
Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile
2. "Distinguished Name" > Add >
Name = CN, Pattern = user2, Operator = Equal と入力します。
3. 該当group-policyに適用することを確認し、Apply をクリックします。
結果確認
ASA Syslogで結果を確認することができます。
Jun 02 2023 15:23:04: %ASA-7-717029: Identified client certificate within certificate chain. serial number: 01CDF0A65EB858F5, subject name: CN=user2.
Jun 02 2023 15:23:04: %ASA-6-717022: Certificate was successfully validated. serial number: 01CDF0A65EB858F5, subject name: CN=user2.
参考情報
Cisco Secure Client (including AnyConnect) Administrator Guide, Release 5
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
