EAP-TLS認証を使用した証明書ベースの検証

正常にログインした後、基本設定ページに移動します。 図 2 は、ランディング ページの例を示しています。

1. [IPsec VPN] をクリックすると、[IPsec VPN] ページが表示されます。図 3 は、IPsec VPN ページの例を示しています。

   図 3:IPsec VPN ページ

2. ページの右側にある [ VPN >リモート アクセスの作成> Juniper Secure Connect を選択し、Juniper Secure Connect の IPsec VPN 設定を作成します。

   次の警告メッセージが表示されます。

   図 4: 自己署名証明書 を生成およびバインドするための警告メッセージ

   警告メッセージに記載されているように、自己署名証明書を作成し、証明書をSRXシリーズファイアウォールにバインドします。詳細については、 Juniper Secure Connect設定の準備を参照してください。

   リモートアクセスVPNの作成の詳細については、「 リモートアクセスVPN-Juniper Secure Connectの作成」を参照してください。

3. [Network > VPN > IPsec VPN] に再度移動し、ページの右側隅にある [VPN >リモート アクセスの作成> Juniper Secure Connect を選択して、Juniper Secure Connect の IPsec VPN 設定を作成します。「リモートアクセスの作成(Juniper Secure Connect)」ページが表示されます。図 5 は、リモート アクセス VPN を作成する例を示しています。

   図 5:VPN の作成 - リモート アクセス

   図 6 は、「証明書ベースの認証方法を使用したリモート アクセスの作成」ページの例を示しています。

   図 6: 証明書ベースの認証方法 のリモート アクセス ページの作成

1. リモートアクセス接続の名前(Juniper Secure Connectアプリケーションのエンドユーザーレルム名に表示される名前)と説明を入力します。

2. ルーティングモードは、デフォルトで トラフィックセレクター(自動ルート挿入) に設定されています。

3. 認証方法を選択します。この例では、ドロップダウン リストから [証明書ベース ]を選択します。

4. [ はい ] を選択すると、ファイアウォール ポリシーの自動作成オプションを使用してファイアウォール ポリシーが自動的に 作成されます 。

図 8 は、リモート ユーザー ページの例を示しています。

[リモート ユーザー] ページでオプションを選択し、[OK] をクリックして 、リモート ユーザー クライアントを構成 します 。

表 1 は 、リモート ユーザー設定オプションをまとめたものです。

表 1:リモート ユーザー クライアント設定オプション

リモートユーザークライアント設定	説明
デフォルト プロファイル	デフォルトプロファイルは、デフォルトで有効になっています。このプロファイルをデフォルト プロファイルにしない場合は、切り替えボタンをクリックします。 VPN 接続 プロファイルのデフォルト プロファイル を有効にした場合、Juniper Secure Connect はデフォルト プロファイルをレルム名として自動的に選択します(この例では 、https://12.12.12.12/)。この場合、Juniper Secure Connect にレルム名を入力するのはオプションです。 VPN接続 プロファイルのデフォルトプロファイル を無効にする場合、Juniper Secure Connectにゲートウェイアドレス(この例では https://12.12.12.12/JUNIPER_SECURE_CONNECT)と一緒にレルム名を入力する必要があります。 メモ： Junos OS 23.1R1 リリース以降、J-Web ではデフォルト プロファイルは非推奨となりました。ただし、CLIでは、すぐに削除するのではなく、後方互換性を確保し、既存の設定を変更された設定に適合させる機会を提供します。構成で default-profile オプションを引き続き使用すると、警告メッセージが表示されます。ただし、CLIを使用して現在の設定を変更した場合、既存の導入には影響しません。default-profile(Juniper Secure)を見る
接続モード	クライアント接続を手動または自動で確立するには、適切なオプションを選択します。 [ 手動] を選択し、Juniper Secure Connect アプリケーションで接続を確立するには、切り替えボタンをクリックするか、メニューから [ 接続>接続 ] を選択する必要があります。 [常時]を選択すると、Juniper Secure Connectが自動的に接続を確立します。 既知の制限: Android デバイス: [ 常時] を選択した場合は、最初に使用した SRX デバイスから構成がダウンロードされます。最初のSRXシリーズファイアウォールの設定が変更された場合、または新しいSRXデバイスに接続した場合、設定はJuniper Secure Connectアプリケーションにダウンロードされません。 つまり、Android デバイスを使用して常時モードで接続すると、SRX シリーズ ファイアウォールの設定変更は Juniper Secure Connect には反映されません。
SSL VPN	Juniper Secure ConnectアプリケーションからSRXシリーズファイアウォールへのSSL VPN接続のサポートを有効にするには、切り替えボタンをクリックします。 SSL VPN を有効にすることで、クライアントは SRX シリーズ ファイアウォールを柔軟に接続できます。デフォルトでは、 SSL VPN は有効になっています。
バイオメトリクス認証	このオプションは、デフォルトでは無効になっています。このオプションを有効にすると、Juniper Secure Connectで[接続]をクリックすると、Juniper Secure Connectに認証プロンプトが表示されます。 このオプションにより、オペレーティングシステムに組み込まれたバイオメトリクス認証サポートを使用して、認証情報を保護できます。
デッドピア検出	デッドピア検出(DPD)はデフォルトで有効になっており、SRXシリーズファイアウォールに到達できないかどうかをクライアントが検出し、到達可能性が回復するまで接続を無効にします。
証明 書	このオプションは、証明書オプションを設定するためにデフォルトで有効になっています。 期限切れ警告— このオプションはデフォルトで有効になっています。有効にすると、証明書が期限切れになると、Secure Connectクライアントに証明書の有効期限に関する警告が表示されます。 警告間隔 — 警告が日で表示される間隔を入力します。 接続ごとのピン Req —このオプションはデフォルトで有効になっています。有効になっている場合は、すべての接続の証明書ピンを入力する必要があります。
EAP-TLS	EAP-TLS はデフォルトで有効になっています。
Windowsログオン	このオプションにより、ユーザーは(Windowsプレログオンを使用して)既に確立されたVPNトンネルを介してローカルWindowsシステムにログオンし、セントラルWindowsドメインまたはActive Directoryに認証できます。

図 9 は、ローカル ゲートウェイの構成設定の例を示しています。

1. [ゲートウェイが NAT の背後にある] を有効にすると、テキスト ボックスが表示されます。テキスト ボックスに NAT IP アドレスを入力します。IPv4アドレスのみをサポートしています。NAT アドレスは外部アドレスです。

2. IKE IDを user@hostname.com 形式で入力します。例えば、 abc@xyz.com。

3. [外部インターフェイス] フィールドで、接続するクライアントの IP アドレスを選択します。Juniper Secure Connectアプリケーションのゲートウェイアドレスフィールドに、この同じIPアドレス(この例では https://12.12.12.12/)を入力する必要があります。

   [ゲートウェイが NAT の背後にある] を有効にすると、NAT IP アドレスがゲートウェイ アドレスになります。

4. トンネル インターフェイス ドロップダウン リストから、ルートベース VPN にバインドするインターフェイスを選択します。または、[追加] をクリックします。[追加] をクリックすると、[トンネル インターフェイスの作成] ページが表示されます。

   図 10 は 、トンネル インターフェイスの作成ページの例を示しています。

   図 10:トンネル インターフェイス ページ の作成

   次に利用可能なST0論理インターフェイス番号が インターフェイスユニットフィールドに表示され、このインターフェイスの説明を入力できます。このトンネル インターフェイスを に追加するゾーンを選択します。[リモート アクセス の作成] ページで [ファイアウォール ポリシーの自動作成 ] が [はい] に設定されている場合、ファイアウォール ポリシーはこのゾーンを使用します。[ OK] をクリックします。

5. [ ローカル証明書 ] フィールドから、すでに外部署名されたローカル証明書のいずれかを選択します。[ 追加] をクリックして新しいローカル証明書を追加するか、[ インポート ] をクリックしてローカル証明書をインポートします。

   図11は 、構成例のみを示している。

   図 11: ローカル証明書 の証明書ページの生成

6. CA 証明書の場合、[Trusted CA/Group] フィールドから、一致する Trusted CA/Group を含む、すでに外部署名された CA 証明書のいずれかを選択します。これらのいずれもない場合は、 [ CA プロファイルの追加 ] をクリックし、環境に一致する値を入力します。 図 12 は 、CA PROFILE ページの追加の例を示しています。

   図 12:CA PROFILE の追加ページ

7. [ ユーザー認証 ] ドロップダウン メニューで、既存のアクセス プロファイルを選択するか、または [ 追加 ] をクリックして新しいアクセス プロファイルを作成できます。 [追加] をクリックすると、[ アクセス プロファイルの作成] ウィンドウが表示されます。

   図 13 は 、[アクセス プロファイルの作成] ページの例を示しています。

   図 13:アクセス プロファイル ページ の作成

   アクセス プロファイル名を入力します。 [アドレス割り当て] ドロップダウン リストから、アドレス プールを選択するか、 [ アドレス プールの作成] をクリックします。[ アドレス プールの作成] をクリックすると、[アドレス プールの作成] ページが表示されます。

   図 14 は、アドレス プールの作成ページの例を示しています。

   図 14:アドレス プール ページ の作成

   • クライアントのVPNポリシーにあるローカルIPプールの詳細を入力します。IP アドレス プールの名前を入力します。

   • アドレス割り当てに使用するネットワーク アドレスを入力します。

   • DNS サーバーのアドレスを入力します。必要に応じて、WINS サーバーの詳細を入力します。次に[追加]アイコン(+)をクリックして、クライアントにIPアドレスを割り当てるアドレス範囲を作成します。

   • 名前と、下限と上限を入力します。詳細を入力した後、[OK] をクリック します。

   すべての認証の詳細が外部 RADIUS サーバーに保存される RADIUS チェック ボックスをオンにします。

   • 追加アイコン(+)をクリックして、radiusサーバーの詳細を設定します。 図 15 を参照してください。

     図 15:RADIUS サーバー ページ の作成

   • 送信元となる radius 通信の Radius サーバー IP アドレス、Radius シークレット、送信元アドレスを入力します。[ OK] をクリックします。

     認証順序で、順序 1 ドロップダウン リストから RADIUS を選択して下さい。[OK] をクリックしてアクセス プロファイルの設定を完了します。

     図 16 は、アクセス プロファイル ページの作成の例を示しています。

     図 16:アクセス プロファイル ページ の作成

8. [SSL VPN Profile] ドロップダウン リストから、既存のプロファイルを選択するか、または [追加] をクリックして新しい SSL VPN プロファイルを作成します。[追加] をクリックすると、[SSL VPN プロファイルの追加] ページが表示されます。

   図 17 は 、[SSL VPN プロファイルの追加] ページの例を示しています。

   図 17:SSL VPN プロファイル ページ の追加

   [ SSL VPN プロファイルの追加] ページで、SSL VPN プロファイルを設定できます。 [名前 ] フィールドに SSL VPN プロファイル名を入力し、必要に応じて[切り替え]を使用してログを有効にします。「 SSL 終端プロファイル」 フィールドで、ドロップダウンから SSL 終端プロファイルを選択します。SSL 終端は、SRX シリーズ ファイアウォールが SSL プロキシー サーバーとして機能し、クライアントからの SSL セッションを終了するプロセスです。新しい SSL 終端プロファイルを作成する場合は、[ 追加] をクリックします。 [SSL 終端プロファイルの作成] ページが表示されます。

   図 18 は 、[SSL 終端プロファイルの作成] ページの例を示しています。

   図 18: SSL 終端プロファイル ページ の作成

   • SSL 終端プロファイルの名前を入力し、SRX シリーズ ファイアウォールの SSL 終端に使用するサーバー証明書を選択します。[ 追加] をクリックして新しいサーバー証明書を追加するか、 [ インポート ] をクリックしてサーバー証明書をインポートします。サーバー証明書はローカル証明書識別子です。サーバー証明書は、サーバーの ID の認証に使用されます。

   • [ OK] をクリックします。

9. ソースNATトラフィックオプションはデフォルトで有効になっています。ソースNATトラフィックが有効になっている場合、Juniper Secure Connectアプリケーションから選択したインターフェイスへのすべてのトラフィックがデフォルトでNATedされます。[ソース NAT トラフィック] オプションを無効にするには、切り替えボタンをクリックします。オプションが無効になっている場合、リターントラフィックを正しく処理するために、SRXシリーズファイアウォールを指し示すネットワークからのルートがあることを確認する必要があります。

10. 保護 されたネットワークで、追加アイコン(+)をクリックして、Juniper Secure Connectアプリケーションが接続できるネットワークを選択します。

    図 19 は 、「保護されたネットワークの作成」ページの例を示しています。

    図 19:保護されたネットワーク ページ の作成

    デフォルトでは、任意のネットワーク 0.0.0.0/0 が許可されています。特定のネットワークを設定した場合、Juniper Secure Connectアプリケーションの分割トンネリングが有効になります。デフォルト値を保持する場合、クライアントネットワークからファイアウォールポリシーを調整することで、定義されたネットワークへのアクセスを制限できます。 [OK] をクリックすると、選択したネットワークが保護されたネットワークのリストに表示されます。 [OK] を クリックして、ローカル ゲートウェイの構成を完了します。

    図 20 は 、リモート ユーザーおよびローカル ゲートウェイを使用したリモート アクセス設定の正常な完了例を示しています。

    図 20:完全なリモート アクセス設定

    IKE設定 と IPsec設定 は高度なオプションです。J-Web は、IKE および IPsec パラメーターのデフォルト値ですでに構成されています。これらの設定は必須ではありません。

図 21 は、リモート アクセス接続を確立するために、リモート ユーザーが Juniper Secure Connect アプリケーションの [ゲートウェイ アドレス ] フィールドに入力する必要がある URL を示しています。

1. [ 保存 ] をクリックして、自動ポリシー作成オプションを選択した場合は、Juniper Secure Connect VPN 設定と関連するポリシーを完了します。

2. ハイライトされた [Commit](コミット )ボタン([Feedback Button](フィードバック ボタンの横のページの右上))をクリックして、設定をコミットします。