「一般」画面でのVPN AP サーバの設定

VPN AP サーバの「一般」を設定するには、以下の手順に従います。

1. 「名前」フィールドに、VPN ポリシーに対するわかりやすい名前を入力します。

2. 「認証方式」では、次のどちらかを選択します。

   • 事前共有鍵 – 次に入力する VPN 自動プロビジョニング クライアント ID と共有鍵を使用します。このオプションは、既定では選択されています。ステップ 3 に進みます。

   • 証明書 – 次のステップで選択する X.509 証明書を使用します (この証明書は前もって装置に保存されている必要があります)。ステップ 9 に進みます。

     VPN AP サーバ ポリシーを (ハブアンドスポーク型の配備と同じように) 共有する必要がある場合、SonicWall では本来の認証を提供して中間者攻撃を防ぐために X.509 証明書を使用することを推奨します。

3. 「認証方式」で「事前共有鍵」を選択した場合は、「SonicWall 設定」の下にある「VPN AP クライアント ID」フィールドに VPN 自動プロビジョニング クライアント ID を入力します。このフィールドには「名前」フィールドに入力した値が自動的に設定されますが、変更可能です。

   この VPN ポリシー値は AP サーバ側と AP クライアント側の双方で一致している必要があります。また、単一の AP サーバ ポリシーを使用して複数の AP クライアントを終端することもできます。

4. VPN AP クライアントがすべての SonicWall 装置に知られている既定の鍵を最初のセキュリティ関連付けに使用できるようにするには、「既定のプロビジョニング鍵を使用する」ボックスを選択します。この SA が確立されると、VPN AP サーバで設定されている事前共有鍵が今後の使用のために VPN AP クライアントに対してプロビジョニングされます。

   このチェックボックスが選択されていない場合、VPN AP クライアントは設定されている共有鍵を使用する必要があります。これにより、管理者は VPN AP サーバでのみ設定されている共有鍵を変更したうえで、新しい共有鍵の値を用いて VPN AP クライアントを更新するために既定のプロビジョニング鍵の使用を簡単に許可することができます。

   最高のセキュリティを得るために、SonicWall では、VPN AP クライアントがその共有鍵でプロビジョニングを行い、管理社の精査が可能な短い期間についてのみ、「既定のプロビジョニング鍵」オプションを有効にすることを推奨します。

5. 必要に応じて、「共有鍵」フィールドに何らかの入力を行う前に、「共有鍵を隠す」チェックボックスの選択を解除します。このチェックボックスは既定で選択されており、その場合は入力した文字が非表示になります。このチェックボックスを再び選択すると、「共有鍵」フィールドの値が「共有鍵の確認」フィールドに自動的にコピーされます。

6. 「共有鍵」フィールドに共有鍵を入力します。少なくとも 4 文字を入力する必要があります。

   「既定のプロビジョニング鍵を使用する」が選択されている場合、VPN AP サーバで設定されている「事前共有鍵」が VPN AP クライアントに対してプロビジョニングされます。「既定のプロビジョニング鍵を使用する」の選択が解除されている場合は、この共有鍵が VPN AP クライアントでも設定されている必要があります。

7. 「共有鍵の確認」フィールドに共有鍵をもう一度入力します。この値は「共有鍵」フィールドに入力したものと一致している必要があります。
8. ステップ 12 に進みます。

9. 「認証方式」で「証明書」を選択した場合は、「SonicWall 設定」の下にある「ローカル証明書」ドロップダウン メニューから適切な証明書を選択します。

   

10. 「VPN AP クライアント ID 種別」ドロップダウン メニューから次のいずれかを選択します。

    • 識別名 (DN)
    • 電子メール ID (ユーザ FQDN)
    • ドメイン名 (FQDN)

    • IP アドレス (IPv4)

11. 「VPN AP クライアント ID フィルタ」には、クライアントを検証するための IKE ネゴシエーション時に提示される証明書 ID に適用する一致文字列またはフィルタを入力します。

12. 続きは「「ネットワーク」での VPN AP サーバの設定」で説明します。