Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

EAP-TLS認証を使用した証明書ベースの検証(CLI手順)

概要

この構成では、EAP-TLS 認証方法を使用してユーザー証明書を検証します。RADIUSサーバーを使用した外部ユーザー認証に引き続きユーザー名とパスワードを使用し、SRXシリーズファイアウォールから初期設定をダウンロードします。

図1に示すように、インターフェイス、ゾーン、セキュリティポリシーなど、SRXシリーズファイアウォールの基本的な設定が完了していることを前提としています。

図 1: トポロジー Topology

前提条件については、「 Juniper Secure Connect のシステム要件」を参照してください。

公開キー基盤 (PKI) がバックエンド認証として構成されていることを確認します。この場合、CAのルート証明書を各クライアントにインストールし、ユーザー固有の証明書を各クライアントデバイスにインストールする必要があります。このシナリオでは、ローカル認証はサポートされないことに注意してください。

SRXシリーズファイアウォールは、デフォルトのシステム生成証明書ではなく、署名付き証明書または自己署名証明書のいずれかを使用していることを確認する必要があります。Juniper Secure Connectの設定を開始する前に、次のコマンドを実行して、証明書をSRXシリーズファイアウォールにバインドする必要があります。

例えば:

ここで、SRX_Certificate は自己署名証明書です。

CLIクイック構成

お使いのSRXシリーズファイアウォールでこの例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを[edit]階層レベルのCLIにコピー&ペーストしてください。

ステップバイステップの手順

コマンドライン インターフェイスを使用して VPN 設定を構成するには:

  1. コマンドラインインターフェイス(CLI)を使用して、SRXシリーズファイアウォールにログインします。
  2. 設定モードにします。
  3. リモート アクセス VPN を構成します。

    Juniper Secure Connectを導入するには、自己署名証明書を作成し、その証明書をSRXシリーズファイアウォールにバインドする必要があります。詳細については、「 Juniper Secure Connectの開始」を参照してください。

    IKE 設定:

    1. IKE の提案を構成します。

      認証方法として rsa-signatures を設定し、証明書ベースの認証を設定します。

      認証プロセスでこのオプションを有効にします。IKEv2 では、ユーザー認証に EAP が必要です。SRXシリーズファイアウォールはEAPサーバーとして機能できません。IKEv2 EAP で EAP 認証を行うには、外部 RADIUS サーバーを使用する必要があります。SRXはパススルー認証システムとして機能し、Juniper Secure ConnectクライアントとRADIUSサーバー間でEAPメッセージを中継します。

      EAP-TLS は、証明書ベースの認証方法を選択すると、デフォルトで有効になります。

      IKE の提案、認証方法、Diffie-Hellman グループ、認証アルゴリズムを定義します。
      プロポーザル(セキュリティIKE)を参照してください。
    2. IKEポリシーを構成します。

      IKEフェーズ1ポリシーモード、IKE の提案への参照、およびIKEフェーズ1ポリシー認証方法を設定します。

      ポリシー(セキュリティ IKE)を参照してください。
      ローカル証明書をロードするには、ローカルデバイスに複数の証明書がロードされている場合に、 set security ike policy policy-name certificate local-certificate certificate-id コマンドを使用して特定のローカル証明書を指定します。すでに外部で署名されているローカル証明書の 1 つを選択できます。この例では、 SRX_Certificate はポリシー用に読み込まれ JUNIPER_SECURE_CONNECT 既存のローカル証明書です。
      既存のローカル証明書がない場合は、次の手順に従って作成できます。
      ローカル証明書を作成したら、 set security ike policy policy-name certificate local-certificate certificate-id コマンドを使用して証明書を IKE ポリシーにアタッチできます。
    3. IKEゲートウェイオプションを設定します。動的 (dynamic を参照)。

      DPD 値とバージョン情報を設定しない場合、Junos OS がこれらのオプションのデフォルト値を割り当てます。 dead-peer-detectionを参照してください。

      クライアントが接続する外部インターフェースのIPアドレスを設定します。Juniper Secure Connect アプリケーションの [ゲートウェイ アドレス(Gateway Address )] フィールドに、これと同じ IP アドレス(この例では https://192.0.2.0)を入力する必要があります。 ゲートウェイ (gateway) を参照。

    IPsec 設定:

    1. IPsecプロポーザルを設定します。
      IPsecフェーズ2のプロポーザルプロトコル、暗号化アルゴリズム、その他のフェーズ2のオプションを指定します。
      プロポーザル(セキュリティ IPsec)を参照してください。
    2. IPsecポリシーを構成します。
      • IPsecフェーズ2のPFSがDiffie-Hellman group 19を使用するよう指定します。
      • IPsecフェーズ2のプロポーザルリファレンスを指定します。
      ポリシー(セキュリティ IPsec)を参照してください。

    IPSec VPN 設定:

    1. IPSec VPNパラメータを設定します。vpn(セキュリティ)を参照してください。
    2. VPNトラフィックセレクターを設定します。トラフィックセレクターを参照してください。
  4. リモート・ユーザー・クライアント・オプションを構成します。
    1. リモートアクセスプロファイルを設定します。「リモートアクセス」を参照してください。
    2. リモート アクセス クライアント構成を構成します。client-configを参照してください。

    表 1 は、リモート ユーザー設定オプションをまとめたものです。

    表 1:リモート ユーザー設定オプション

    リモートユーザー設定

    形容

    接続モード

    クライアント接続を手動または自動で確立するには、適切なオプションを設定します。

    • 手動オプションを設定した場合、Juniper Secure Connectアプリケーションで接続を確立するには、クリックしをクリックするか、メニューから接続>接続を選択する必要があります。

    • [Always]オプションを設定すると、Juniper Secure Connectが自動的に接続を確立します。

    既知の制限:

    Android デバイス: [常時(Always)] を使用または選択すると、設定は最初に使用されたSRX デバイスからダウンロードされます。最初のSRXシリーズファイアウォールの構成が変更された場合、または新しいSRX デバイスに接続した場合、構成はJuniper Secure Connectアプリケーションにダウンロードされません。

    つまり、Androidデバイスを使用して 常時 モードで接続すると、SRXシリーズファイアウォールで設定を変更してもJuniper Secure Connectには反映されません。

    デッドピア検出

    デッドピア検出(DPD)はデフォルトで有効になっており、SRXシリーズファイアウォールに到達可能かどうかをクライアントが検出できます。デバイスに到達できない場合は、到達可能性が回復するまで接続を無効にします。

    デフォルト -プロファイル

    VPN 接続プロファイルをデフォルトプロファイルとして設定する場合は、Juniper Secure Connect アプリケーションのゲートウェイアドレスのみを入力する必要があります。Juniper Secure Connect アプリケーションでは、デフォルトのプロファイルがレルム名として自動的に選択されるため、レルム名を入力するかどうかは任意です。この例では、Juniper Secure Connect アプリケーションの [ゲートウェイ アドレス(Gateway Address)] フィールドに ra.example.com と入力します。

    手記:

    Junos OS リリース 23.1R1 以降、[edit security remote-access] 階層レベルで default-profile オプションを非表示にしました 。Junos OS リリース 23.1R1 より前のリリースでは、このオプションを使用して、リモートアクセス プロファイルの 1 つを Juniper Secure Connect のデフォルト プロファイルとして指定します。しかし、リモートアクセスプロファイル名の形式が変更されたため、default-profileオプションは不要になりました。

    default-profile オプションはすぐに削除するのではなく、非推奨にしました。これは、下位互換性を確保し、既存の構成を変更された構成に適合させる機会を提供するためです。設定で default-profile オプションを引き続き使用する と、警告メッセージが表示されます。ただし、現在の設定を変更しても、既存の展開は影響を受けません。default-profile (Juniper Secure Connect)を参照してください。
  5. ローカルゲートウェイを設定します。
    1. クライアントの動的IP割り当て用のアドレスプールを作成します。address-assignment (アクセス)を参照してください。

      • アドレス割り当てに使用するネットワーク アドレスを入力します。

      • DNS サーバー アドレスを入力します。必要に応じて、WINSサーバーの詳細を入力します。クライアントにIPアドレスを割り当てるためのアドレス範囲を作成します。

      • 名前と、下限と上限を入力します。

    2. アクセス プロファイルを作成。

      外部ユーザー認証の場合は、RADIUS通信の送信元となるRADIUSサーバー IP アドレス、RADIUSシークレット、送信元アドレスを指定します。認証順序のradiusを設定します。

    3. 公開カギ基盤(PKI)の属性を設定します。pkiを参照してください。
    4. SSL 終端プロファイルを作成します。SSL終端は、SRXシリーズファイアウォールがSSLプロキシサーバーとして機能し、クライアントからのSSLセッションを終了するプロセスです。SSL終端プロファイルの名前を入力し、SRXシリーズファイアウォールでSSL終端に使用するサーバー証明書を選択します。サーバー証明書は、ローカル証明書識別子です。サーバー証明書は、サーバーの ID を認証するために使用されます。
    5. SSL VPN プロファイルを作成します。tcp-encapを参照してください
    6. ファイアウォールポリシーを作成します。
      trustゾーンからvpnゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
      vpnゾーンからtrustゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
  6. イーサネット インターフェイス情報を設定します。

    ファミリーをinetに設定してst0インターフェイスを設定します。

  7. セキュリティ ゾーンを設定します。
  8. リモートユーザーとローカルゲートウェイを使用したリモートアクセス構成は正常に構成されています。
  9. Juniper Secure Connectアプリケーションを起動し、Juniper Secure Connectアプリケーションの[ゲートウェイアドレス]フィールドに外部IPアドレスとして設定したものと同じIPアドレスを入力します。

    この例では、クライアントが接続する外部インターフェース IP アドレスとして https://192.0.2.0/ を構成しています。Juniper Secure Connect アプリケーションの [ゲートウェイ アドレス(Gateway Address )] フィールドに、これと同じ IP アドレス(https://192.0.2.0/)を入力する必要があります。

結果

動作モードから、 show securityshow access、および show security pki コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスでの機能の設定が完了したら、設定モードから「commit」と入力します。

関連資料