IPSec によるコンピュータの認証
コンピュータの認証は、まずリモート アクセス クライアントとサーバー間の L2TP/IPSec
接続中に実行されます。クライアントとサーバー間にセキュリティ チャネルが確立されると、ユーザーの認証と承認が試行されます。
IPSec によるコンピュータの認証は、事前共有キーまたはコンピュータ証明書を使用して実行されます。推奨される認証方法は、PKI
または証明書を使用した方法です。証明書を使用する場合は、L2TP/IPSec ベースの VPN 接続におけるインターネット キー交換 (IKE)
ネゴシエーション中に、コンピュータ証明書による IPSec の信頼を確立する必要があります。
接続の信頼を確立するには、同一の信頼されるエンタープライズ ルート CA
が発行したコンピュータ証明書が両方のコンピュータに含まれている必要があります。信頼されるルート CA が発行した証明書を両方のコンピュータが持ち、IPSec
ネゴシエーション中にそれが交換されると、信頼が互いの相手まで拡張され、セキュリティ アソシエーションが確立されます。
VPN サーバーによる証明書の使用方法
L2TP/IPSec VPN 接続が VPN クライアントと VPN サーバー間で試行されるとき、スマート カードまたはローカル
コンピュータの証明書ストアにある VPN クライアントの証明書が EKU 拡張内のクライアント認証目的を使用して構成されておらず、VPN サーバーの証明書が
EKU 拡張内のサーバー認証目的を使用して構成されていないと、コンピュータの認証は失敗します。IPSec はクライアント証明書に関して EKU
拡張内を確認し、クライアント認証目的のオブジェクト識別子が存在するかどうかを判断します。EKU
拡張にクライアント認証目的のオブジェクト識別子が含まれている場合、IPSec はその証明書を使用して認証ができます。同様に、クライアントは VPN
サーバー証明書に関し、EKU 拡張内にサーバー認証目的のオブジェクト識別子があるかどうかを確認します。
リモート ユーザーとの接続を終了する VPN サーバーは、EKU 拡張内のみにあるサーバー認証目的を使用して構成されている必要がありますが、別の VPN
サーバーとの VPN 接続のエンド ポイントとして使用される VPN サーバーは、クライアントとして VPN 接続を生成し、サーバーとして VPN
接続を終了します。このため、これらのサーバーにある証明書には、サーバー認証の目的とクライアント認証の目的の両方が EKU
拡張に含まれている必要があります。また、証明書の自動選択が機能する方法により、サーバー認証とクライアント認証の両方の目的が同じ証明書に含まれている必要があります。
証明書の自動選択によって、信頼されるエンタープライズ ルート CA
につながっている証明書ストアにある証明書には、証明書に含まれている目的にかかわらず、IPSec が提供されます。2
つの証明書、つまりクライアント認証の目的を含む 1 つの証明書とサーバー認証の目的を含む 1
つの証明書がサーバーにインストールされている場合、証明書の自動選択によって誤った証明書が認証に使用される可能性があります。たとえば、クライアント認証の目的を持つ証明書が必要であるのに、証明書の自動選択によって提供された証明書にはサーバー認証の目的が含まれていることがあります。このような場合、コンピュータの認証は失敗に終わります。
・・・・と思っていたけど読んでしまった。
Windowsの説明はどうにもWindowsによるPKIを構築することを前提に書かれているので、別のPKIを使っている場合には酷く不十分な説明になっている気が・・・。
0 件のコメント:
コメントを投稿