ニフクラ リモートアクセスVPNゲートウェイ:証明書
リモートアクセスVPNゲートウェイにはサーバー証明書および、クライアント証明書認証を有効にする場合にCA証明書の設定が必要です。
CA証明書
リモートアクセスVPNゲートウェイにCA証明書を設定することで、クライアント証明書認証が利用できます。
CA証明書で署名されたクライアント証明書を接続ユーザーが持ち、リモートアクセスVPNゲートウェイへの接続時にクライアント証明書認証を利用する事でより強固な認証を行う事ができます。
認証についての詳細な仕様はリモートアクセスVPNゲートウェイ:認証をご確認ください。
設定可能なCA証明書
- 鍵長が「2048bit」もしくは「3072bit」であること
- 鍵暗号の種類がRSAであること
- Common Nameが設定されていること
有効期限切れ時の動作
- CA証明書の有効期限が切れている場合、VPN接続ができなくなります。有効期限内のCA証明書をご利用ください。
注意事項
- 他のCAからチェーンされているCA証明書はクライアント証明書認証に利用する事はできません。CA証明書はルート証明書をご利用ください。
- クライアント証明書認証には、VPNクライアントにてリモートアクセスVPNゲートウェイで設定するCA証明書で署名したクライアント証明書を設定する必要があります。
- クライアント証明書には以下が設定されている必要があります。
・ X509v3 Key Usageに「Digital Signature」が設定されていること
・ X509v3 Extended Key Usageに「TLS WWW client authentication」が設定されていること - クライアント証明書の有効期限が切れている場合、VPN接続ができなくなります。有効期限内のクライアント証明書をご利用ください。
- クライアント証明書には以下が設定されている必要があります。
サーバー証明書
リモートアクセスVPNゲートウェイにサーバー証明書を設定し、クライアント端末の設定ファイルにサーバー証明書を署名したCA証明書を指定することで、
リモートアクセスVPNゲートウェイへのクライアントアプリケーションの接続時にサーバー証明書の検証を行うことができます。
設定可能なサーバー証明書
- 証明書・キー(秘密鍵) の鍵長が「2048bit」もしくは「3072bit」であること
- CA(中間証明書)の鍵長が「2048bit」「3072bit」「4096bit」のいずれかであること
- 鍵暗号の種類がRSAであること
- Common Nameが設定されていること
- X509v3 Key Usageに「Digital Signature, Key Encipherment」が設定されていること
- X509v3 Extended Key Usageに「TLS WWW server authentication」が設定されていること
- 秘密鍵にパスフレーズが設定されていないこと
有効期限切れ時の動作
- サーバー証明書の有効期限が切れている場合、VPN接続ができなくなります。有効期限内のサーバー証明書をご利用ください。
注意事項
- リモートアクセスVPNゲートウェイを作成する際に、サーバー証明書を指定する必要があります。
- サーバー証明書のx509v3 拡張属性に「TLS WWW server authentication」が設定されていない場合、VPN接続に失敗しますので必ず設定してください。
- 公的なCAで署名されたサーバー証明書の場合、公的CAのルート証明書は一般公開されているため、第三者が公開されているルート証明書で接続を試行でき、
サーバー証明書の認証機能として形骸化します。このため独自CAで署名されたサーバー証明書のご利用を推奨します。 - VPNクライアントにてリモートアクセスVPNゲートウェイで設定するサーバー証明書を署名したCA証明書を設定する必要があります。
- サーバー証明書のCommon NameにFQDNを指定する場合、必要に応じてリモートアクセスVPNゲートウェイのグローバルIPアドレスに紐づくDNS設定をしてください。
証明書のアップロード方法
コントロールパネルからアップロードしてください。アップロード方法の詳細は以下をご確認ください。
クラウドヘルプ(サーバー証明書:アップロード)
クラウドヘルプ(CA証明書:アップロード)
注意事項
- アップロード時に、以下をご確認ください。
-----BEGIN xxx-----で始まり、-----END xxx-----で終わっていること
- 証明書や証明書署名要求、秘密鍵など異なる種類の
BEGINやENDが連結されていないこと
