Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

証明書失効ステータス用の OCSP を使用した IPsec VPN の設定

この例では、オンライン証明書ステータスプロトコル(OCSP)を使用して2つのピアを設定し、IPsec VPNトンネルのフェーズ1ネゴシエーションで使用される証明書の失効ステータスを確認することにより、セキュリティを強化する方法を示します。

要件

各デバイスで:

  • ローカル証明書を取得して登録します。これは、手動で行うことも、簡易証明書登録プロトコル (SCEP) を使用して行うこともできます。

  • 必要に応じて、ローカル証明書の自動更新を有効にします。

  • セキュリティポリシーを設定して、ピアデバイスとの間のトラフィックを許可します。

概要

両方のピアで、認証局(CA)プロファイル OCSP-ROOT が以下のオプションで設定されます。

  • CA 名は OCSP-ROOT です。

  • 登録 URL は http://10.1.1.1:8080/scep/OCSP-ROOT/ です。これは、CA への SCEP 要求が送信される URL です。

  • OCSP サーバーの URL は http://10.157.88.56:8210/OCSP-ROOT/ です。

  • OCSP は、証明書の失効状態を確認するために最初に使用されます。OCSP サーバーから応答がない場合は、証明書失効リスト (CRL) を使用して状態を確認します。CRL の URL は http://10.1.1.1:8080/crl-as-der/currentcrl-45.crlid=45 です。

  • OCSP 応答で受信した CA 証明書は、証明書の失効についてチェックされません。OCSP 応答で受信した証明書は、通常、有効期間が短く、失効チェックは必要ありません。

表 1 は、この例で使用されているフェーズ1のオプションを示しています。

表 1: フェーズ 1 のオプション OCSP の設定例

オプション

ピア A

ピア B

IKEプロポーザル

ike_prop

ike_prop

認証方法

RSA シグネチャ

RSA シグネチャ

DH グループ

group2

group2

認証アルゴリズム

SHA 1

SHA 1

暗号化アルゴリズム

3DES CBC

3DES CBC

IKEポリシー

ike_policy

ike_policy

モード

アグレッシブ

アグレッシブ

プロポーザル

ike_prop

ike_prop

証書

ローカル証明書 localcert1

ローカル証明書 localcert1

IKE ゲートウェイ

jsr_gateway

jsr_gateway

ポリシー

ike_policy

ike_policy

ゲートウェイ アドレス

198.51.100.50

192.0.2.50

リモートID

localcert11.example.net

-

ローカルID

-

localcert11.example.net

外部インターフェイス

レス1

ge-0/0/2.0

バージョン

v2

v2

表 2 は、この例で使用されているフェーズ 2 のオプションを示しています。

表 2: フェーズ 2 のオプション OCSP の設定例

オプション

ピア A

ピア B

IPsecプロポーザル

ipsec_prop

ipsec_prop

プロトコル

ESP

ESP

認証アルゴリズム

HMAC SHA1-96

HMAC SHA1-96

暗号化アルゴリズム

3DES CBC

3DES CBC

ライフタイム秒

1200

1200

ライフタイムキロバイト

150,000

150,000

IPsecポリシー

ipsec_policy

ipsec_policy

PFC キー

group2

group2

プロポーザル

ipsec_prop

ipsec_prop

VPN

test_vpn

test_vpn

バインド インターフェイス

st0.1

st0.1

IKE ゲートウェイ

jsr_gateway

jsr_gateway

ポリシー

ipsec_policy

ipsec_policy

トンネルの確立

-

直ちに

トポロジー

図 1 は、この例で設定されているピアデバイスを示しています。

図 1: OCSP の設定例OCSP の設定例

設定

ピア A の設定

CLIクイック構成

OCSP を使用するように VPN ピア A を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit] 階層レベルで CLI にコマンドをコピーして貼り付け、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、Junos OS CLI ユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

OCSP を使用するように VPN ピア A を設定するには、以下を行います。

  1. インターフェイスを設定します。

  2. CA プロファイルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

結果

設定モードから、show interfacesshow security pki ca-profile OCSP-ROOTshow security ike、およびshow security ipsec のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

ピア B の設定

CLIクイック構成

OCSP を使用するように VPN ピア B を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit] 階層レベルで CLI にコマンドをコピーして貼り付け、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、Junos OS CLI ユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

VPN ピア B が OCSP を使用するように設定するには、次の手順に従います。

  1. インターフェイスを設定します。

  2. CA プロファイルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

結果

設定モードから、show interfacesshow security pki ca-profile OCSP-ROOTshow security ike、およびshow security ipsec のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

CA 証明書の検証

目的

各ピアデバイスでの CA 証明書の有効性を検証します。

アクション

動作モードから、 show security pki ca-certificate ca-profile OCSP-ROOT または show security pki ca-certificate ca-profile OCSP-ROOT detail コマンドを入力します。

この例では、CA プロファイル構成の URL で IP アドレスが使用されています。CA が発行した証明書や CA 証明書で IP アドレスを使用しない場合は、デバイスの設定で DNS を設定する必要があります。DNS は、ディストリビューション CRL および CA プロファイル構成の CA URL でホストを解決できる必要があります。さらに、失効チェックを受信するには、同じホストへのネットワーク到達可能性が必要です。

意味

出力には、各ピアの CA 証明書の詳細と有効性が次のように表示されます。

  • C- 国。

  • O- 組織。

  • CN- 共通名。

  • Not before- 有効開始日。

  • Not after- 有効期間の終了日。

ローカル証明書の検証

目的

各ピアデバイスでローカル証明書の有効性を確認します。

アクション

動作モードからshow security pki local-certificate certificate-id localcert1 detailコマンドを入力します。

意味

出力には、各ピアのローカル証明書の詳細と有効性が次のように表示されます。

  • DC- ドメインコンポーネント。

  • CN- 共通名。

  • OU- 組織単位。

  • O- 組織。

  • L—地域

  • ST- 状態。

  • C- 国。

  • Not before- 有効開始日。

  • Not after- 有効期間の終了日。

IKEフェーズ1ステータスの確認

目的

各ピアデバイスのIKEフェーズ1ステータスを確認します。

アクション

動作モードからshow security ike security-associationsコマンドを入力します。

動作モードからshow security ike security-associations detailコマンドを入力します。

意味

出力の flags フィールドは、IKE セキュリティ アソシエーションが作成されたことを示しています。

IPsecフェーズ2ステータスの確認

目的

各ピア デバイスで IPsec フェーズ 2 のステータスを確認します。

アクション

動作モードからshow security ipsec security-associationsコマンドを入力します。

動作モードからshow security ipsec security-associations detailコマンドを入力します。

意味

出力は、ipsecセキュリティアソシエーションの詳細を示しています。

関連項目