SonicOS/X 7 IPSec VPN

Technical Documentation>  サイト間 VPN>  サイト間 VPN ポリシーの作成>  サードパーティ証明書を使った設定
Table of Contents

サードパーティ証明書を使った設定

サードパーティ証明書を使用した IKE で VPN ポリシーを設定する前に、サードパーティ証明書認定局からの有効な証明書を SonicWall にインストールしなくてはなりません。

SonicWall ファイアウォールでは、SonicWall認証サービスの代わりに、サードパーティ証明書を認証に使うことも選択できます。サードパーティのプロバイダが提供する証明書やローカル証明書を使用するときは多くの手作業が生じます。そのため、デジタル証明書の主要な要素を理解する意味でも PKI (Public Key Infrastructure) の実装経験が必須です。

SonicWall は次の証明書プロバイダをサポートします。

  • VeriSign
  • Entrust

IKE およびサードパーティの証明書を使用して VPN SA を作成するには、次の手順に従います。

  1. ネットワーク | IPSec VPN > ルールと設定」に移動します。
  2. + 追加」を選択して新しいポリシーを作成するか、「編集」アイコンを選択して既存のポリシーを更新します。

  3. 認証方式」フィールドで、「IKE (サード パーティ証明書を使用) 」を選択します。「VPN ポリシー」ウィンドウの「IKE 認証」セクションに、サードパーティ証明書オプションが表示されます。

  4. 名前」フィールドに SA 名を入力します。

  5. SonicWallプライマリ IPSec ゲートウェイ名またはアドレス」フィールドにプライマリのリモート の IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。

  6. セカンダリのリモート SonicWall がある場合、「セカンダリ IPSec ゲートウェイ名またはアドレス」フィールドにリモート対象先の IP アドレスまたは完全修飾ドメイン名を入力します。

  7. IKE 認証」で、「ローカル証明書」リストからサードパーティ証明書を選択します。このオプションを選択する前に、ローカル証明書をインポートする必要があります。

  8. ローカル IKE ID 種別」の既定値は「証明書からの既定 ID」です。または、次のいずれかを選択します。

    • 識別名 (DN)
    • 電子メール ID (ユーザ FQDN)
    • ドメイン名 (FQDN)
    • IP アドレス (IPv4)

    これらの代替選択は、次のステップで説明する「ピア IKE ID 種別」の選択と同じです。

  9. ピア IKE ID 種別」メニューから次のピア ID 種別のいずれかを選択します。

    ピア IKE ID 種別オプション 定義
    証明書からの既定 ID 認証は、証明書の既定 ID から取られました。
    識別名 (DN) 既定ですべての証明書に含まれている、証明書の「サブジェクト識別名」フィールドに基づいています。サイト間 VPN の場合は、完全な識別名を入力する必要があります。ワイルド カード文字はサポートされていません。「サブジェクト識別名」の形式は、発行元の認証局によって決定されます。一般的なフィールドは、国 (C=)、組織 (O=)、組織の単位 (OU=)、一般名 (CN=)、住所 (L=) などですが、発行元の認証局ごとに異なります。実際の X509 証明書の「サブジェクト識別名」フィールドはバイナリ オブジェクトであるため、目的に応じて文字列に変換する必要があります。フィールドは、次の例のようにフォワード スラッシュで区切られます。/C=US/O=SonicWall, Inc./OU=TechPubs/CN=Joe Pub
    電子メール ID (ユーザ FQDN) 電子メール ID (ユーザ FQDN) に基づく認証種別は、既定ではすべての証明書に含まれて いない 証明書のサブジェクト代替名 フィールドに基づいています。証明書に「サブジェクト代替名」が含まれている場合、その値を使用する必要があります。サイト間 VPN の場合、ワイルドカード文字は使用できません。電子メールの完全な値を入力する必要があります。Group VPN は複数のピアに接続することが想定されますが、サイト間 VPN は 1 つのピアに接続すると想定されるためです。
    ドメイン名 (FQDN) ドメイン名 (FQDN) に基づく認証種別は、既定ではすべての証明書に含まれていない証明書のサブジェクト代替名 フィールドに基づいています。証明書に「サブジェクト代替名」が含まれている場合、その値を使用する必要があります。サイト間 VPN の場合、ワイルドカード文字は使用できません。ドメイン名の完全な値を入力する必要があります。グループ VPN は複数のピアに接続することが想定されますが、サイト間 VPN は 1 つのピアに接続すると想定されるためです。
    IP アドレス (IPv4) IPv4 IP アドレスに基づきます。

    証明書の詳細 (サブジェクト代替名、識別名など) を参照するには、「デバイス | 設定> 証明書」ページに移動します。

  10. 「ピア IKE ID」フィールドに ID 文字列を入力します。

  11. ネットワーク」をクリックします。

  12. ローカル ネットワーク」の下で、次のオプションのいずれかを選択します。

    • 特定のローカル ネットワークが VPN トンネルにアクセス可能である場合は、「ローカル ネットワークをリストより選択」ドロップダウン メニューからローカル ネットワークを選択します。
    • 任意のローカル ネットワークからトラフィックを発信できる場合は、「すべてのアドレス」を選択します。このオプションは、ピアで「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」が選択されている場合に使用します。保護ゾーンと VPN ゾーンの間に、自動追加のルールが作成されます。

  13. リモート ネットワーク」で、次のオプションのいずれかを選択します。

    • ローカル ユーザからの暗号化されていないトラフィックが から発信できない場合は、「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を選択します。

      この設定を使用する場合は、SA を 1 つだけ設定できます。

    • あるいは、「対象先ネットワークをリストより選択」を選択して、アドレス オブジェクトまたはグループをドロップダウン メニューから選択します。
    • IKEv2 設定ペイロードをサポートして、アドレス オブジェクトまたは IP プール ネットワークをドロップダウン メニューから選択したい場合、「IKEv2 IP プールを使用する」を選択します。

  14. プロポーザル」を選択します。

  15. 「IKE (フェーズ 1) プロポーザル」セクションで、次の設定を選択します。

    メイン モード IKEv1 フェーズ 1 プロポーザルを IPsec フェーズ 2 プロポーザルとともに使用します。Suite B 暗号化オプションは、IKE フェー�� 1 設定の「DH グループ」と IPsec フェーズ 2 設定の「暗号化」で使用できます。
    アグレッシブ モード 通常は WAN アドレッシングが動的に割り当てられる場合に使用されます。IKEv1 フェーズ 1 プロポーザルを IPsec フェーズ 2 プロポーザルとともに使用します。Suite B 暗号化オプションは、IKE フェーズ 1 設定の「DH グループ」と IPsec フェーズ 2 設定の「暗号化」で使用できます。
    IKEv2 モード

    すべてのネゴシエーションを、IKEv1 のフレーズよりも IKEv2 プロトコルで実行するようにします。

    IKE v2 モードを選択する場合は、VPN トンネルの両端で IKE v2 を使用する必要があります。選択されると、「DH グループ」、「暗号化」、および「認証」フィールドは淡色表示となり、定義できなくなります。

  16. IKE (フェーズ 1) プロポーザル」の下の、残りのオプションの数値を設定します。「DH グループ」、「暗号化」、「認証」、および「存続期間」の既定値はほとんどの VPN 設定に使用できます。

    鍵交換モード」フィールドにおいて「IKEv2 モード」が選択されている場合、「DH グループ」、「暗号化」、および「認証」フィールドは淡色表示となり、これらのオプションに対する選択はできません。

    トンネルの反対側のフェーズ 1 の値が一致するように設定してください。

    1. メイン モード」または「アグレッシブ モード」の場合、「DH グループ」に対して、いくつかの Diffie-Hellman 鍵交換から選択できます。

      Suite B 暗号に含まれる Diffie-Hellman グループ その他の Diffie-Hellman オプション
      256 ビット ランダム ECP グループ グループ 1
      384 ビット ランダム ECP グループ グループ 2
      521 ビット ランダム ECP グループ グループ 5
      192 ビット ランダム ECP グループ グループ 14
      224 ビット ランダム ECP グループ  

    2. メイン モード」または「アグレッシブ モード」を選択した場合は、「暗号化」フィールドでドロップダウン メニューから「DES」、「3DES」、「AES-128」 (既定)、「AES-192」、または「AES-256」を選択します。

    3. メイン モード」または「アグレッシブ モード」が選択されている場合、「認証」フィールドに対して、高度な認証セキュリティのために「MD5」、「SHA-1」(既定)、「SHA256」、「SHA384」、または「 SHA512」を選択します。

  17. すべての「鍵交換」モードについて、「存続期間 (秒)」を入力します。既定の「28800」により、トンネルは 8 時間ごとに鍵の再ネゴシエートと交換を行います。

  18. Ipsec (フェーズ 2) プロポーザル」セクションで、オプションを設定します。「プロトコル」、「暗号化」、「認証」、「Perfect Forward Secrecy を有効にする」、および「存続期間 (秒)」の既定値は、ほとんどの VPN SA 設定に使用できます。

    トンネルの反対側のフェーズ 2 の値が一致するように設定してください。

    1. プロトコル」で、目的のプロトコルを選択します。

      プロトコル」フィールドで「ESP」を選択した場合は、「暗号化」フィールドで、Suite B 暗号化に含まれる以下の 6 つの暗号化アルゴリズムを選択できます。

      Suite B 暗号化オプション その他のオプション
      AESGCM16-128 DES
      AESGCM16-192 3DES
      AESGCM16-256 AES-128
      AESGMAC-128 AES-192
      AESGMAC-192 AES-256
      AESGMAC-256 なし

      プロトコル」フィールドで「AH」を選択した場合、「暗号化」フィールドは淡色表示になり、オプションは選択できません。

    2. 認証」で、使用する認証方式を選択します。選択肢は、「MD5」、「SHA1」 (既定)、「SHA256」、「SHA384」、「SHA512」、「AES-XCBC」、または「なし」です。

    3. 追加のセキュリティ層として Diffie-Helman 鍵交換を追加する場合は、「Perfect Forward Secrecy を有効にする」を選択します。そして、「DH グループ」から「グループ 2」を選択します。

    4. 存続期間 (秒)」フィールドに値を入力します。既定の「28800」により、トンネルは 8 時間ごとに鍵の再ネゴシエートと交換を行います。

  19. 詳細」を選択します。

  20. VPN ポリシーに適用する設定オプションを選択します。

    詳細設定
    オプション メイン モードまたはアグレッシブ モード IKEv2 モード
    キープ アライブを有効にする

    この VPN トンネルでピア間のハートビート メッセージを使用する場合に選択します。トンネルの一方の側が失敗した場合、キープアライブ ハートビートを使用することにより、両サイドが再び利用可能になった後でトンネルの自動的な再ネゴシエートが可能になります。提案された存続期間が期限切れになるまで待つ必要はありません。

    キープ アライブのオプションは、VPN ポリシーが VPN を越えた DHCP のセントラル ゲートウェイとして設定されている場合、または、プライマリ ゲートウェイ名またはアドレスが 0.0.0.0 である場合は、無効になります。

    		 IKEv2 モードでは選択できません。
    この VPN ポリシーに対してアクセス ルールを自動生成しない 選択しない (既定) と、付随するアクセス ルールが自動的に作成されます。詳細については、「VPN が自動的に追加するアクセス ルール コントロール」を参照してください。 選択しない (既定) と、付随するアクセス ルールが自動的に作成されます。詳細については、「VPN が自動的に追加するアクセス ルール コントロール」を参照してください。
    IPsec アンチリプレイを無効にする IPsec アンチリプレイは、部分的なシーケンス整合性を確保するための機能の 1 つで、(制約されたウィンドウ内の) 重複する IP データグラムの到着を検出します。 IPsec アンチリプレイは、部分的なシーケンス整合性を確保するための機能の 1 つで、(制約されたウィンドウ内の) 重複する IP データグラムの到着を検出します。
    XAUTH を利用した VPN クライアントの認証を要求する この VPN ポリシーのすべての受信トラフィックは、XAUTH/RADIUS で認証されたユーザからのものである必要があります。認証されていないトラフィックは VPN トンネルでは許可されません。 IKEv2 モードでは使用できません。
    Windows ネットワーキング (NetBIOS) ブロードキャストを有効にする ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできるようにします。 ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできるようにします。
    マルチキャストを有効にする 選択すると、IP マルチキャスト トラフィック (音声 (VoIP など)/ 映像アプリケーション) が VPN トンネルを通過できるようにします。 選択すると、IP マルチキャスト トラフィック (音声 (VoIP など)/ 映像アプリケーション) が VPN トンネルを通過できるようにします。
    WXA グループ なし」(既定値) または「グループ 1」を選択します。 なし」(既定値) または「グループ 1」を選択します。
    Suite B 互換アルゴリズムのみを表示する Suite B 互換アルゴリズムのみを表示したい場合に選択します。 Suite B 互換アルゴリズムのみを表示したい場合に選択します。
    NAT ポリシーを適用する

    ファイアウォールでローカル ネットワーク、リモート ネットワーク、または両方のネットワーク通信を VPN トンネル経由で変換したい場合に選択します。選択した場合、「変換されたローカル ネットワーク」または「変換されたリモート ネットワーク」を選択するか、あるいは 2 つのドロップダウン メニューから 1 つずつを選択してください。

    通常は、トンネルで NAT が必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NAT ポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。

    ファイアウォールでローカル ネットワーク、リモート ネットワーク、または両方のネットワーク通信を VPN トンネル経由で変換したい場合に選択します。選択した場合、「変換されたローカル ネットワーク」または「変換されたリモート ネットワーク」を選択するか、あるいは 2 つのドロップダウン メニューから 1 つずつを選択してください。

    通常は、トンネルで NAT が必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NAT ポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。
    OCSP 確認を有効にする

    VPN 認証状況を確認したい場合に選択します。フィールドにはOCSP 確認用 URL を入力します。

    VPN 認証状況を確認したい場合に選択します。フィールドにはOCSP 確認用 URL を入力します。
    この SA を経由しての管理 ローカル ファイアウォール を VPN トンネル経由で管理するには、「HTTPS」、「SSH」、「SNMPSonicWall」、またはこの 3 つを組み合わせて選択します。 ローカル ファイアウォール を VPN トンネル経由で管理するには、「HTTPS」、「SSH」、「SNMPSonicWall」、またはこの 3 つを組み合わせて選択します。
    この SA を経由してのユーザ ログイン

    HTTP」、「HTTPS」、またはその両方を選択すると、SA を使用したログインがユーザに許可されます。

    リモート認証を使用した HTTP ユーザ ログインは許可されません。

    HTTP」、「HTTPS」、またはその両方を選択すると、SA を使用したログインがユーザに許可されます。

    リモート認証を使用した HTTP ユーザ ログインは許可されません。
    デフォルト LAN ゲートウェイ (オプション) トンネルに入る前の LAN を通じて未知のサブネットに向けたトラフィックをルーティングしたい場合、このオプションを選択してください。例えば、「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」 (「リモート ネットワーク」の下の、このページの「ネットワーク」表示) が選択されている場合、ルータのアドレスを入力してください。 トンネルに入る前の LAN を通じて未知のサブネットに向けたトラフィックをルーティングしたい場合、このオプションを選択してください。例えば、「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」 (「リモート ネットワーク」の下の、このページの「ネットワーク」表示) が選択されている場合、ルータのアドレスを入力してください。
    VPN ポリシーの適用先

    ドロップダウン メニューからインターフェースかゾーンを選択します。WAN の負荷分散を使用していて、VPN でいずれかの WAN インターフェースを使用する場合は、ゾーン WAN が推奨される選択です。

    VPN ゲートウェイの IP アドレスが両方で同じ場合、ドロップダウン メニューから 2 つの異なる WAN インターフェースを選択することはできません。

    ドロップダウン メニューからインターフェースかゾーンを選択します。WAN の負荷分散を使用していて、VPN でいずれかの WAN インターフェースを使用する場合は、ゾーン WAN が推奨される選択です。

    VPN ゲートウェイの IP アドレスが両方で同じ場合、ドロップダウン メニューから 2 つの異なる WAN インターフェースを選択することはできません。
    セカンダリ ゲートウェイを先制する 指定した時間の後に 2 番目のゲートウェイを先制 (プリエンプト) するには、このチェックボックスをオンにし、「プライマリ ゲートウェイ検知間隔 (秒)」オプションで目的の時間を設定します。既定の時間は 28800 秒、つまり 8 時間です。 指定した時間の後に 2 番目のゲートウェイを先制 (プリエンプト) するには、このチェックボックスをオンにし、「プライマリ ゲートウェイ検知間隔 (秒)」オプションで目的の時間を設定します。既定の時間は 28800 秒、つまり 8 時間です。
    IKEv2 設定
    IKE SA ネゴシエーション中に、トリガー パケットを送信しない メイン モードまたはアグレッシブ モードでは使用できません。 選択されてい「ない」 (既定) ピアがトリガー パケットを処理できない場合の相互運用性のために必要な場合のみ、オンにしてください。セキュリティ ポリシー データベースから適切な保護 IP アドレス範囲を選択できるように IKEv2 応答側を支援するためにトリガー パケットを含めることをお勧めします。すべての実装でこの機能がサポートされているわけではないので、IKE ピアによってはトリガー パケットを含めないのが適切な場合があります。
    ハッシュと URL 証明書種別を受け入れる メイン モードまたはアグレッシブ モードでは使用できません。 お使いの機器が証明書自体ではなくハッシュと証明書の URL を送信して処理できる場合は、このオプションを選択します。選択されると、相手の機器に対して HTTP 証明書検索がサポートされているというメッセージを送信します。
    ハッシュと URL 証明書種別を送信する メイン モードまたはアグレッシブ モードでは使用できません。 お使いの機器が証明書自体ではなくハッシュと証明書の URL を送信して処理できる場合は、このオプションを選択します。選択されると、相手の機器からのメッセージに応答して、 HTTP 証明書検索がサポートされているという内容を確認します。

  21. OK」をクリックします。

  22. ネットワーク | IPSec VPN > ルールと設定」ページで、「適用」を選択して、VPN ポリシーを更新します。