F5 ネットワークス社製 SSL-VPN FirePass と Net'Attest EPS/Net'Attest ...

F5 ネットワークス社製 SSL-VPN FirePass と Net’Attest EPS/Net’Attest CA との連携ディベロプメントガイド

2008 年 6 月 株式会社ソリトンシステムズ

1

目次 第 1 章.

本資料の目的 ........................................................................................................ 3

第 2 章.

検証構成図 1 Net’Attest EPS-FirePass 連携 ................................................... 4

第 3 章.

検証構成図 2 Net’Attest EPS および Net’Attest CA と FirePass 連携 .......... 4

第 4 章.

機器設定内容 ........................................................................................................ 5

Net’Attest EPS の設定 ....................................................................................................... 5 Net’Attest CA の設定 ......................................................................................................... 6 FirePass の設定.................................................................................................................. 7 クライアント PC 設定 ........................................................................................................ 8 第 5 章.

検証手順 ............................................................................................................... 9

Net’Attest EPS で証明機関および RADIUS を兼用する場合 .......................................... 9 証明機関として Net’Attest CA を利用する場合 .............................................................. 10 第 6 章.

試験結果 ..............................................................................................................11

Net’Attest EPS で証明機関および RADIUS を兼用する場合 .........................................11 証明機関として Net’Attest CA を利用する場合 .............................................................. 13 第 7 章.

結論 .................................................................................................................... 16

第 8 章.

【付録】機器設定手順 ....................................................................................... 17

設定手順概要 .................................................................................................................... 17 FirePass 設定手順 ............................................................................................................ 18 Net’Attest EPS 設定手順 ................................................................................................. 22 Net’Attest CA 設定手順 ................................................................................................... 23

2

第1章. 本資料の目的 本書により下記の情報を提供いたします。 ➢ F5 FirePass による SSL-VPN 認証試験情報 1. Net’Attest EPS から発行したサーバーサーバー証明書/クライアント証明書に より FirePass での SSL-VPN 認証に適用できるかの動作確認を実施します。 2. Net’Attest CA から発行したサーバー証明書/クライアント証明書により FirePass での SSL-VPN に適用できるかの動作確認を実施します。

注意！ 注意！ ・本資料の情報は、当該の試験を実施したことを示すものです。 ・本資料の情報を持ってすべての実案件に無検証で適用できることを保 証するものではありません。

3

第2章. 検証構成図 1

Net’Attest EPS-FirePass 連携

第3章. 検証構成図 2

Net’Attest EPS および Net’Attest CA と FirePass 連携

4

第4章. 機器設定内容 Net’Attest EPS の設定 大項目

中項目

設定値 証明機関の名前(CN) ：Soliton EPS Root CA 国(C)

：JP

証明機関

都道府県(S)

：Tokyo-to

基本設定

市区町村(L)

：Shinjhyku-ku

会社名(O)

：Soliton Systems K.K.

部署(OU)

：Tech ADV

証明期間設定 CRL 配布ポイ

IP アドレスベース

ントの指定 CRL の 有効期限

1日 （動作確認試験時は手動で最新の状態に 範囲得させる) 認証ポート：1812

基本設定 RADIUS サ ー

アカウンティングポート：1813 （PAP 認証時にはパスワードをログに残す。 ）

バー設定 RADIUS クラ

F5 FirePass を指定 (192.168.1.1)

イアント 作成ユーザー ユーザーアカウ ント

証明書の 失効処理

使用機材

EPS-ST03

User01 失効証明書での認証否認確認時にユーザー（User01） の証明書を失効処理する。 （EPS 内部の失効リストは手 動で最新状態に反映させる） バージョン V3.4.3

5

Net’Attest CA の設定 大項目

中項目

設定値 証明機関の名前(CN)：Soliton NACA Root CA 国(C)

：JP

証明機関基本設定

都道府県(S)

：Tokyo-to

（ルート CA）

市区町村(L)

：Shinjhyku-ku

会社名(O)

：Soliton Systems K.K

部署(OU)

：Tech ADV

証明期間設定 CRL 配布ポイント

IP アドレスベース

の指定 CRL の有効期限

1 日 （動作確認試験時は手動で最新の状態に反映 させる) Web サーバー証明書プロファイルを用いて発行す

FirePass 用

る。 PKCS#10 形式の CSR をインポートして申請。CSR は FirePass より新規で取得する。

配布証明書

クライアント証明書プロファイルを用いて発行さ PC 用

れたクライアント証明書。 証明書申請は WebGUI より実施する。

使用機材

CA-ST03

バージョン V1.0.2

6

FirePass の設定 大項目

ネットワー

中項目

設定値

IP アドレス

192.168.1.1/24

FQDN

firepass.soliton.jp

サフィックス

soliton.jp

ク設定 DNS サーバー指定

未使用（暫定で 192.168.1.254)と指定

Cn=firepass.soliton.jp C=JP CSR

記 述 内 容

（EPS/CA とも）

S=Tokyo-to L=Shinjyuku-ku O=Soliton Systems K.K

証明書関連

OU=TechADV

設定

[email protected] FirePass より出力した上記内容の CSR を含む 証明機関への提示

ZIP ファイルを解凍後、PKCS#10 形式 CSR を 取り出し EPS/CA への申請に使用する。

失効リストの更新

認証方式

認証設定

HTTP による自動更新設定、URL は手動設定。 SSL に よ る 証 明 書 認 証 +RADIUS を 用 い た ID/Pass 認証の 2 ファクタ認証

RADIUS サーバー設定

IP:192.168.1.2、シークレット：secret、

クライアント証明書の

有効

リクエスト 使用機材

F5 社製 Firepass1200

バージョン V6.0.2、URM-6.0.2-20071001

7

クライアント PC 設定 大項目

中項目

設定値

松下電器産業製

CF-T4

搭載 CPU/メモリ

Pentium M 1.2GHz / 1024MB

搭載 OS

WindowsXP SP2 Build2600

ブラウザ

InternetExproler V6.0 (6.0.2900.2180)

証明書格納先

クライアント証明書ストアを使用。

ハードウエア

OS ソフトウエア

8

第5章. 検証手順 Net’Attest EPS で証明機関および RADIUS を兼用する場合 順序

1

2

3

4

実行主体

実施内容

備考

Firepass

サーバー証明書発行要求の

1200

生成、取得

Net’Attest EPS

指定項目は「FirePass の設定」項に 準じる。出力に CSR と秘密鍵が ZIP 形式で含まれる。 “1.”で取得した PKCS#10 形式の CSR

サーバー証明書発行

を使用する。

サーバー証明書、CA 証明

インポートは PEM 形式テキスト貼り

書のインポート及び CRL

付け。CRL は HTTP 経由インポート

取得設定

設定とする。

Net’Attest

アカウント作成及びクライ

ユ ー ザ ー ID:EPSSol01

EPS

アント証明書発行

ド：password

Firepass 1200

パスワー

取 得 し た 証 明 書 フ ァ イ ル (.p12) を 5

クライア ント PC

Windows 標準のインポートウィザー

証明書のインポート

ドを用いる。同時に CA 証明書もイン ポート。 “5.” の ア カ ウ ン ト の 証 明 書 及 び

6

クライア ント PC

ID/pass で認証成功を確認。 クライアント認証試験

認証成否は FirePass の[レポート]-[ロ グオン]メニュー、EPS の認証ログに より確認。

7

8

Net’Attest

EPSSol01 用クライアント

証明書失効処理後 EPS,FirePass 双方

EPS

証明書失効

の CRL を強制更新させる。

クライア ント PC

クライアント認証試験

9

“6.”と同様に実施し、認証失敗を確認 する。

証明機関として Net’Attest CA を利用する場合 順序

1

実行主体

実施内容

備考

FirePass

サーバー証明書発行要求

指定項目は「FirePass の設定」項に

1200

の生成、取得

準じる。出力に CSR と秘密鍵が ZIP 形式で含まれる。

2

3

4

5

Net’Attest

サーバー証明書発行

管理者用申請 WebGUI にて申請し、 証明書が正しく生成できる。

CA FirePass

サーバー証明書、CA 証明

インポートは PEM 形式テキスト貼り

1200

書のインポート及び CRL

付け。CRL は HTTP 経由インポート

取得設定

設定とする。

Net’Attest

アカウント作成及びクラ

ユーザーID:CASol02

EPS

イアント証明書発行

password

クライア

証明書の申請、インポート

利用者用 WebGUI より申請、Web エ

ント PC クライア

パスワード：

ンロールにてインポートする。 クライアント認証試験

ント PC

“5.” の ア カ ウ ン ト の 証 明 書 及 び ID/pass で認証成功を確認。 認証正否は FirePass の[レポート]-[ロ

6

グオン]メニュー、EPS の認証ログに より確認。 7

8

9

Net’Attest

CASol02 用クライアント

証明書失効処理後 EPS,FirePass 双方

EPS

証明書失効

の CRL を強制更新させる。

クライア

クライアント認証試験

“6.”と同様に実施し、認証失敗を確認

ント PC

する。

FirePass

OCSP による証明書有効確

OCSP を用いて認証の都度 Net’Attest

1200

認動作試験

CA への問合せ可否を確認

10

第6章. 試験結果 Net’Attest EPS で証明機関および RADIUS を兼用する場合 試験番号

試験内容

試験結果

01

FirePass 生成の CSR を元に EPS がサーバー証明書を生成できる

○

02

03

04

05

06

07

試験番号 01 で生成したサーバー証明書、EPS の CA 証明書を FirePass へ正常にインポートできる FirePass から HTTP にて EPS より CRL を取得、更新ができる。 EPS 発行クライアント証明書をクライアント PC のユーザースト アにインポートできる クライアント PC と FirePass 間の SSL 証明書認証、RADIUS PAP にて正常に完了できる 試験番号 05 にて使用した証明書を失効し、EPS、FirePass ともに CRL 更新後、FirePass 内に取り込まれた CRL に追加される。 失効された証明書を使用し試験番号 05 と同様のに認証を試行し、 クライアント PC と FirePass 間の SSL 証明書認証に失敗する。

［参考］各試験における FirePass での状態表示 【試験番号 05】FirePass での認証成功ログ

11

○

○

○

○

○

○

【試験番号 07】証明書失効による認証失敗表示

【試験番号 07】FirePass での認証失敗ログ、RADIUS 認証には成功。証明書検証の 結果、失効を確認

12

証明機関として Net’Attest CA を利用する場合 試験番号

01

02

03

試験内容 FirePass 生成の CSR を元に NACA にてサーバー証明書の申請、取 得に成功する 試験番号 01 で生成したサーバー証明書、NACA の CA 証明書を FirePass へ正常にインポートできる FirePass から HTTP にて NACA より CRL を取得、更新ができる。

試験結 果 ○

○

○

クライアントの Web ブラウザより NACA へ申請、発行されたクラ 04

イアント証明書及び CA 証明書を Web エンロールにてクライアント

○

PC のユーザーストアにインポートできる 05

06

07

08

クライアント PC と FirePass 間の SSL 証明書認証、及び EPS との RADIUS PAP 認証に成功する 試験番号 05 にて使用した証明書を失効し、NACA、FirePass とも に CRL 更新後、FirePass 内に取り込まれた CRL に追加される。 失効された証明書を使用し試験番号 05 と同様のに認証を試行し、ク ライアント PC と FirePass 間の SSL 証明書認証に失敗する。 FirePass にて証明書有効確認を OCSP に切り替え、再度有効な証明 書を生成の上試験番号 05～試験番号 07 相当の動作確認を実施する。

13

○

○

○

○

［参考］各試験における FirePass での状態表示 【試験番号 05】FirePass での認証成功ログ

【試験番号 07】証明書失効による認証失敗表示

14

【試験番号 07】FirePass での認証失敗ログ。認証に使用した証明書の失効理由での 認証失敗 RADIUS 認証には成功している。

【試験番号 09】FirePass での認証失敗ログ。OCSP を用いて Net’Attest CA を参照し、 証明書が失効済みとの応答を得ている。

15

第7章. 結論


Net’Attest EPS および CA は FirePass との連動が可能である。 

Net’Attest EPS および CA が実装する証明機関は FirePass の外部証明機関として 利用可能である。


FirePass で生成した CSR を Net’Attest EPS、CA ともに受け入れ、サーバー 証明書の発行が可能である。




Net’Attest EPS、CA 発行のサーバー証明書、CA 証明書は FirePass に正常 にインポートし運用可能である。




クライアント認証時に FirePass は Net’Attest EPS、CA から取得した CRL を用いた証明書失効確認に成功し、失効済み証明書による認証要求に否認す ることが可能である。また、Net’Attest CA との OCSP による証明書の有効 性確認にも成功している。



Net’Attest EPS は FirePass の RADIUS サーバーとして利用可能である。


Net’Attest EPS は FirePass からの RADIUS 認証要求を正しく処理している。

16

第8章. 【付録】機器設定手順 設定手順概要


FirePass 

主な手順 1. RADIUS 認証を実施するグループ作成 2. サーバー証明書要求の生成 3. Net’Attest EPS または CA から発行された証明書のインポート 4. 証明書認証の設定 5. CRL、OCSP 参照設定




Net’Attest EPS 

主な手順 1. CSR のインポート 2. サーバー証明書発行




Net’Attest CA 

主な手順 1. サーバー証明書申請 2. サーバー証明書発行管理者承認 3. サーバー証明書発行

注意！ 注意！ ・本付録は、本検証にて実施した設定操作のうち証明書認証および RADIUS 認証に 伴う設定手順を参考のために抜粋すして掲載するものです。証明書認証および RADIUS 認証に伴わない設定は省略しております。

17

FirePass 設定手順 1.

RADIUS 認証を実施するグループ作成 1-1. RADIUS 認証用グループの作成 ・認証方法

：RADIUS

・グループのユーザー

：外部

・［ユーザー］-［グループ］-［マスターグループ］ より［新しいグループを作成］ボタンをクリック 1-2. RADIUS 認証用グループの作成 ・本検証では、EPS の IP アドレスおよび RADIUS シークレットを指定 ・［ユーザーログオンにクライアント証明書が必要］ チェックボックスを”On”にする ・［ユーザー］-［グループ］-［マスターグループ］ より［認証］タブをクリック 2.

サーバー証明書要求の生成 2-1.

サーバー証明書の要求 ・認証方法

：RADIUS

・グループのユーザー

：外部

・ ［デバイス管理］-［セキュリティ］-［証明書］ より［作成］リンクをクリック

18

2-2.

証明書要求の作成 ・事前に決定したパラメータを投入する ・ 「2-1」の操作を実行すると自動的に表示される

2-3.

証明書要求の取得 ・証明書要求は、ZIP 形式圧縮ファイルとして 供給される ・ZIP 解凍により CSR(PKCS#10 形式)を取り出す ・秘密鍵ファイルも一緒になている ・ ［デバイス管理］-［セキュリティ］-［証明書］ よりリンククリックで取得

2-4.

証明機関への証明書要求 ・Net’Attest EPS、CA に「2-3」で取得した CSR のみを投入し、サーバー証明書の発行を受けます。 ・EPS、CA 各機器の操作は、後述します。 ・証明機関の証明書も併せて取得します。 ・取得する証明書の形式は PEM 形式で取得します。

19

3.

Net’Attest EPS または CA から発行された証明書のインポート 3-1.

FirePass サーバー証明書のインポート ・PEM 形式のサーバー証明書をテキストで 貼り付ける。 ・ 「2-3」で取得した秘密鍵、パスフレーズも 同様に張り付ける ・ ［デバイス管理］-［セキュリティ］-［証明書］

4.

証明書認証の設定 4-1.

証明機関の証明書のインポート ・PEM 形式のファイルを指定するか テキストエディタで開いたものをコピー& ペーストする。 ・［デバイス管理］-［セキュリティ］-［証明書］ -［クライアントルート証明書］

5.

CRL、OCSP 参照設定 5-1.

CRL 自動参照設定 ・ ［URL から CRL を自動取得］欄に チェックすると、URL 指定用チェック ボックスが表示される。 ・表示されるダイアログボックスに CDP の場所を指定する。 ・ ［デバイス管理］-［セキュリティ］-［証明書］ -［クライアント CRL オンライン更新］ 20

5-2.

OCSP による証明書状態参照設定 ・［OCSP サーバー証明書の状態をリクエスト］欄にチェックし、 表示されるダイアログに OCSP レスポンダの場所を指定する。 ・［デバイス管理］-［セキュリティ］-［証明書］ -［クライアント証明書 OCSP 設定］

21

Net’Attest EPS 設定手順 1. EPS でのサーバー証明書発行処理 ・「FirePass2-3」手順で取得した要求ファイルのみを使用。 ・EPS に指定するサーバー名、証明書有効期限は任意に指定。 ・［発行］ボタンクリック後自動的に証明書発行処理が開始される。 ・［証明機関］-［新規外部サーバー証明書の発行］

2. 発行されたサーバー証明書の取得 ・FirePass 用途にはサーバー証明書、証明機関の証明書とも PEM 形式の証明書 を取得する。 ・表示の PEM 形式の［ダウンロード］ボタンをクリック

22

Net’Attest CA 設定手順 1. 証明書発行要求 ・事前に管理者用証明書申請 Web にアクセスし、仮証明書を取得の上、再接続す る。 ・本申請には、 「Web サーバー証明書」プロファイルを使用する。 ・「PKCS#10 形式による証明書要求」を選択し、FirePass から取得した CSR の みを投入する。 ・［証明書要求］-［Web サーバー証明書］

2. サーバー証明書発行処理 ・証明書管理用アカウントで CA にログインする。 ・保留状態の証明書発行要求をチェックし、証明書の有効期限を指定の上、 ［発行］ ボタンをクリックする。 ・［要求管理］

23

3. サーバー証明書の取得 ・発行処理後、管理者用申請画面にアクセス。 ・［タスク］欄の［ダウンロード］ボタンの右側マーク部を左クリックし、［ダウ ンロード］を選択する。 ・［証明書確認］-［ダウンロード］で PEM 形式の証明書を取得。

4. 証明機関の証明書の取得 ・管理者用証明書申請画面より取得できる。 ・リンクをクリックすると PEM 形式の証明書のダウンロードが開始する。 ・［ダウンロード］-［CA 証明書ダウンロード］

24