Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EAP-TLS 認証を使用した証明書ベースの検証

概要 この設定では、(RADIUS サーバーによる)外部ユーザー認証にユーザー名とパスワードを使用し、EAP-TLS 認証方法を使用してユーザー証明書を検証します。

インターフェイス、ゾーン、セキュリティ ポリシーを含む、SRX シリーズ デバイスの基本的な設定を完了したと仮定します(Juniper Secure Connect。

前提条件の詳細については、「 システム要件 」を参照してください

バックエンド認証として PKI(公開鍵基盤)が設定されていることを確認します。この場合、各クライアントにCAのルート証明書と、各クライアント デバイスにユーザー固有の証明書をインストールする必要があります。このシナリオでは、ローカル認証はサポートされていません。

メモ:

デフォルトのシステム生成証明書SRX シリーズ代わりに、署名付き証明書または署名入り証明書のいずれかを使用する必要があります。データ モデルの設定を開始する前Juniper Secure Connect、「ネットワークを導入するための前提条件」の手順 を読Juniper Secure Connect

VPN 設定Juniper Secure Connect構成

J-Web インターフェイスを使用して VPN 設定を構成するには、次の手順に示します。

  1. J-Web インターフェイスをSRX シリーズデバイスにログインします。図 1 は、J-Web ログイン ページを示しています。
    図 1:J-Web アクセスとログイン J-Web Access and Login

    正常にログインすると、 [基本設定] ページに移動します。 図 2 は 、ランディング ページの例を示しています。

    図 2:J-Web ランディング ページ J-Web Landing Page
  2. J-Web 側の画面で、 [ネットワークの管理] に移動> VPN >します
    1. [IPsec VPN] をクリックすると、[IPsec VPN] ページが表示されます。図 3 は、IPsec VPN ページの例を示しています。

      図 3:IPsec VPN ページ IPsec VPN Page
    2. ページの右隅で、 [VPN 作成] を選択 > リモート アクセス > Juniper Secure Connect を選択して、仮想ネットワーク用の IPsec VPN 設定をJuniper Secure Connect。

      次の警告メッセージが表示されます。

      図 4:生成およびバインドされた自己署名証明書を生成する警告メッセージ Warning Message To Generate And Bind Self-signed Certificate

      警告メッセージに記載されている通り、自己署名証明書を作成し、その証明書を仮想デバイスSRX シリーズします。詳細については、「 ネットワーク設定 の準備 」Juniper Secure Connectしてください

      リモート アクセス VPN の作成の詳細については、「 リモート アクセス VPN の作成 — 設定 」を参照Juniper Secure Connect

    3. もう一度、 ネットワーク > VPN > IPsec VPN )に移動し、ページの右隅で [ VPN > リモート アクセス > Juniper Secure Connect の作成] を選択して、Juniper Secure Connect の IPsec VPN 設定を作成します。[Create Remote Access(リモート アクセスJuniper Secure Connect) ページが表示されます。 図 5 は 、リモート アクセス VPN を作成する例を示しています。

      図 5:VPN の作成 - リモート アクセス Create VPN - Remote Access

      図 6 は 、証明書ベースの認証方法を使用した [Create Remote Access]ページの例を示しています。

      図 6:証明書ベースの認証方法のリモート アクセス ページの作成 Create Remote Access Page For Certificate-Based Authentication Method
  3. [Create Remote Access(リモート アクセスの作成Juniper Secure Connect) ページでは、以下を 参照してください(図 7 を参照)。
    1. リモート アクセス接続の名前(Juniper Secure Connect アプリケーションのエンド ユーザー レルム名に表示される名前)と説明を入力します。

    2. デフォルトでは、ルーティング モードは トラフィック セレクター(自動ルート挿入) に設定されています。

    3. 認証方法を選択します。この例では、ドロップダウン リスト から [Certificate Based ]を選択します。

    4. ファイアウォール ポリシーの自動 作成 オプションを使用してファイアウォール ポリシーを自動的に作成するには、 [はい] を選択 します。

    図 7:証明書ベースの認証方法 Certificate-Based Authentication Method
  4. [ リモート ユーザー] アイコンをクリックして、アプリケーション設定Juniper Secure Connectを構成します。
    図 8:リモート ユーザー ページ Remote User Page

    図 8 は 、リモート ユーザー ページの例を示しています。

    [リモート ユーザー] ページでオプションを選択し、 [OK] をクリックして、リモート ユーザー クライアントを設定します

    表 1 は、 リモート ユーザー設定オプションの要約です。

    表 1:リモート ユーザー クライアント設定オプション

    リモート ユーザー クライアント設定

    説明

    デフォルト プロファイル

    デフォルト プロファイルは デフォルトで有効になっています。このプロファイルをデフォルト プロファイルにしたくない場合は、切り替えボタンをクリックします。

    VPN 接続プロファイル のデフォルト プロファイルを有効にした場合、Juniper Secure Connect デフォルト プロファイルがレルム名として自動的に選択されます(この 例では、 https://12.12.12.12/)。この場合、フィールドにレルム名を入力Juniper Secure Connect。

    VPN 接続プロファイルの デフォルト プロファイルを無効にする場合は、ドメイン名にゲートウェイ アドレス(この例では「 https://12.12.12.12/JUNIPER_SECURE_CONNECT」)を入力する必要Juniper Secure Connect。

    接続モード

    手動または自動的にクライアント接続を確立するには、適切なオプションを選択します。

    • [手動] を選択し、Juniper Secure Connect で接続を確立する場合は、切り替えボタンをクリックするか、メニューから [接続>選択する必要があります。

    • [常に] を選択した場合はJuniper Secure Connectを自動的に確立します。

    既知の制限:

    Android デバイス: [常に] を 使用または選択した場合は、最初に使用した SRX デバイスから設定がダウンロードされます。最初の SRX デバイスの設定が変更された場合、または新しい SRX デバイスに接続した場合、その SRX アプリケーションに設定がJuniper Secure Connectされません。

    つまり、Android デバイスを使用して常時モードに接続すると、SRX デバイスの設定変更はデバイスで有効Juniper Secure Connect。

    SSL VPN

    リモート アプリケーションからデバイスへの SSL VPN 接続Juniper Secure ConnectするにはSRX シリーズの切り替えボタンをクリックします。SSL VPN を 有効にすることで、クライアントは複数のデバイスを柔軟にSRX シリーズできます。デフォルトでは 、SSL VPNが 有効になっています。

    バイオメトリクス認証

    このオプションはデフォルトで無効になっています。このオプションを有効にした場合、デバイスで [接続] をクリックJuniper Secure Connect、Juniper Secure Connectプロンプトが表示されます。

    このオプションを使用すると、オペレーティング システムに組み込みのバイオメトリクス認証サポートを使用して、認証情報を保護できます。

    デッドピア検出

    デフォルトで DPD(デッド ピア検出)が有効になっているので、クライアントは SRX シリーズ デバイスに到達できないか検出し、接続の範囲を無効にできます。

    証明 書

    このオプションは、デフォルトで証明書オプションを設定するために有効になっています。

    • 有効期限に関する警告 — このオプションはデフォルトで有効です。有効にすると、証明書の有効期限が近いときに Secure Connect クライアントで証明書の有効期限に関する警告が表示されます。

    • 警告間隔 — 警告が日で表示される間隔を入力します。

    • 接続ごとにピン Req — このオプションはデフォルトで有効です。有効になっている場合は、すべての接続の証明書ピンを入力する必要があります。

    EAP-TLS

    EAP-TLS は デフォルトで有効になっています。

    Windowsログオン

    このオプションを使用すると、確立済みのVPNトンネル(Windowsプレログオンを使用)を介してローカルWindowsシステムにログオンし、中央のWindowsドメインまたは Active Directoryに対して認証できます。

  5. [ ローカル ゲートウェイ] を クリックしてローカル ゲートウェイ設定を構成します。

    図 9 は 、ローカル ゲートウェイ設定の例を示しています。

    図 9:ローカル ゲートウェイの構成 Local Gateway Configuration
    1. ゲートウェイが 仮想ネットワークの背後NATすると、テキスト ボックスが表示されます。テキスト ボックスに、IP アドレスをNATします。サポートされているのは IPv4 アドレスのみです。NATアドレスは外部アドレスです。

    2. ユーザー ID をIKE形式で user@hostname.com します。たとえば、 abc@xyz.com。

    3. [外部インターフェイス] フィールドで、接続するクライアントの IP アドレスを選択します。アプリケーションのゲートウェイ アドレス フィールドに、同じ IP アドレス(この例では https://12.12.12.12/)を入力Juniper Secure Connect必要があります。

      ゲートウェイがゲートウェイ の背後NAT有効にした場合、NAT IP アドレスがゲートウェイ アドレスになります。

    4. トンネル インターフェイス ドロップダウン リスト から、ルートベース VPN にバインドするインターフェイスを選択します。別の方法として [追加] をクリックします。[追加] をクリックすると、[ トンネル インターフェイスの作成] ページ が表示されます。

      図 10 は 、[トンネル インターフェイスの作成] ページの例を示しています。

      図 10:トンネル インターフェイスの作成ページ Create Tunnel Interface Page

      次に使用可能なST0論理インターフェイス番号が [インターフェース ユニット] フィールドに表示され、このインターフェイスの説明を入力できます。このトンネル インターフェイスを追加するゾーンを選択します。[ 自動作成ファイアウォール ポリシー]( [リモート アクセスの作成] ページ)が [はい] に設定されている場合、ファイアウォール ポリシーはこのゾーンを使用します。[ OK] をクリックします。

    5. [ローカル 証明書] フィールド から、既に外部で署名されたローカル証明書のいずれかを選択します。[追加 ] をクリックして新しいローカル証明書を追加するか、 [インポート ] をクリック してローカル証明書をインポートします。

      図 11 は、 設定例のみを示しています。

      図 11:ローカル証明書の証明書ページの生成 Generate Certificate Page For Local certificate
    6. [Trusted CA CA/Group] フィールドから、対応する Trusted CA/Group など、既に外部署名された CA 証明書のいずれかを選択します。これら 1 つも使用しない場合は、 [追加] をクリックCA をクリック し、使用環境に一致する値を入力します。 図 12 は 、PROFILE ページへの追加CA例を示しています。

      図 12:[ADD CA PROFILE] ページ ADD CA PROFILE page
    7. [ユーザー認証] ドロップダウン メニューで既存のアクセス プロファイルを選択するか、 [追加] をクリックして新しいアクセス プロファイルを作成できます。[追加] をクリックすると、[ アクセス プロファイルの作成] ウィンドウが表示されます。

      図 13 は 、[アクセス プロファイルの作成] ページの例を示しています。

      図 13:[Access Profile]ページの作成 Create Access Profile Page

      アクセス プロファイル名を入力します。[アドレスの 割り当て ] ドロップダウン リストから、アドレス プールを選択するか、 [アドレス プールの 作成] をクリックします。[アドレス プールの 作成] をクリックすると、 [アドレス プールの作成] ページが表示されます。

      図 14 は 、アドレス プールの作成 ページの例を示しています。

      図 14:アドレス プールの作成ページ Create Address Pool Page
      • クライアントの VPN ポリシーにあるローカル IP プールの詳細を入力します。IP アドレス プールの名前を入力します。

      • アドレスの割り当てに使用するネットワーク アドレスを入力します。

      • DNS サーバーのアドレスを入力します。必要に応じて、WINS サーバーの詳細を入力します。次に [Add]アイコン(+)をクリックしてアドレス範囲を作成し、IP アドレスをクライアントに割り当てる。

      • 名前と上限を入力します。詳細を入力した後、 [OK] をクリックします

      認証の RADIUS 外部 RADIUS サーバーに保存される [RADIUS] チェック ボックスをオンにします。

      • [追加] アイコン(+)をクリックして、radius サーバーの詳細を構成します。図 15 を参照してください

        図 15:サーバー RADIUSの作成ページ Create RADIUS Server Page
      • Radius サーバーの IP アドレス、送信元の RADIUS 通信用の Radius シークレット、送信元アドレスを入力します。[ OK] をクリックします。

        認証順序 で、[Order 1] ドロップダウン リスト から [ 認証順序] を選択RADIUS。[ OK] を クリックしてアクセス プロファイルの設定を完了します。

        図 16 は 、[アクセス プロファイルの作成] ページの例を示しています。

        図 16:アクセス プロファイルの作成ページ Create Access Profile Page
    8. [SSL VPN プロファイル] ドロップダウン リストから既存のプロファイルを選択するか、 [追加] をクリックして新しい SSL VPN プロファイルを作成します。[追加] をクリックすると、 [SSL VPN プロファイルの追加] ページが表示されます。

      図 17 は 、[SSL VPN プロファイルの追加] ページの例を示しています。

      図 17:SSL VPN プロファイルの追加ページ Add SSL VPN Profile Page

      [ SSL VPN プロファイルの追加] ページ で、SSL VPN プロファイルを設定できます。[名前] フィールドに SSL VPN プロファイル名 入力し、必要に応じて切り替え機能を使用してログを有効にします。[ SSL 終端プロファイル] フィールド で、ドロップダウン リストから SSL 終端プロファイルを選択します。SSL 終端とは、デバイスが SRX シリーズ SSL プロキシー サーバーとして動作し、クライアントからの SSL セッションを終了するプロセスです。新しい SSL 終端プロファイルを作成する場合は、 [追加] を クリックします。[ SSL 終端プロファイルの作成] ページ が表示されます。

      図 18 は 、[SSL 終端プロファイルの作成] ページの例を示しています。

      図 18:SSL 終端プロファイルの作成ページ Create SSL Termination Profile Page
      • SSL 終端プロファイルの名前を入力し、デバイスの SSL 終端に使用するサーバー証明書SRX シリーズします。[追加 ] を クリックして新しいサーバー証明書を追加するか、 [インポート ] をクリック してサーバー証明書をインポートします。サーバー証明書は、ローカル証明書識別子です。サーバー証明書は、サーバーのアイデンティティの認証に使用されます。

      • [ OK] をクリックします。

    9. デフォルト では、[送信元NATトラフィック ] オプションは有効になっています。送信元 トラフィックNATが 有効になっている場合、デフォルトで、Juniper Secure Connectから選択したインターフェイスへの全トラフィックがNATEDされます。切り替えボタンをクリックして、 送信元NATを無効 にします。このオプションが無効になっている場合、リターン トラフィックを正しく処理するために、ネットワークから SRX シリーズ デバイスへのルートが用意されていることを確認する必要があります。

    10. [ 保護されたネットワーク] で、追加アイコン(+)をクリックして、ネットワーク アプリケーションが接続Juniper Secure Connectを選択します。

      図 19 は 、保護されたネットワークの作成 ページの例を示しています。

      図 19:保護されたネットワークの作成ページ Create Protected Networks Page

      デフォルトでは、任意のネットワーク0.0.0.0/0が許可されています。特定のネットワークを設定した場合、アプリケーションの分割トンネリングJuniper Secure Connect有効になります。デフォルト値を保持した場合は、クライアント ネットワークからファイアウォール ポリシーを調整して、定義したネットワークへのアクセスを制限できます。[ OK] をクリックすると、選択したネットワークが保護されたネットワークのリストに表示されます。[ OK] を クリックしてローカル ゲートウェイの設定を完了します。

      図 20 は 、リモート ユーザーおよびローカル ゲートウェイがリモート アクセス設定を正常に完了した例を示しています。

      図 20:完全なリモート アクセス設定 Complete Remote Access Configuration

      IKE設定と IPsec 設定 は高度なオプションです。J-Web は、デフォルト値の IKE設定済みです。これらの設定を構成する必要は必須ではありません。

  6. これで、リモート ユーザーが接続するための URL を見つけ出す必要があります。この URL をコピーして保存して、リモート ユーザーと共有しましょう。この設定がデフォルト プロファイルではない場合は、 /xxxx 情報のみを必要とします。

    図 21 は、リモート アクセス接続を確立するためにリモート ユーザーがリモート アクセスアプリケーションのゲートウェイ アドレス フィールドに入力Juniper Secure Connectする URL を強調しています。

    図 21:Commit Remote Access Configuration Commit Remote Access Configuration
    1. [ 保存] をクリックして、自動Juniper Secure Connectオプションが選択されている場合は、 [保存] をクリックして VPN 設定と関連ポリシーの設定を完了します。

    2. ハイライト表示されている [コミット] ボタン([フィードバック ボタン] の横のページの上部上部)をクリックして、設定をコミットします。

クライアント マシン上にJuniper Secure Connectしてインストールします。Juniper Secure Connectを起動し、デバイスのゲートウェイ アドレスSRX シリーズします。アプリケーションをインストールしたCA対応するプラットフォームの適切なディレクトリに、ルート 証明書とユーザー証明書Juniper Secure Connectする必要があります。詳細 については、「 Juniper Secure Connect ガイド 」 を参照してください。