IPsec/IKE デジタル署名、EAP-MD5認証対応

$Date: 2017/10/11 12:06:57 $

  1. 概要
  2. 注意事項
  3. 対応する機種とファームウェアリビジョン
  4. 詳細
  5. コマンド
  6. 設定例
  7. SYSLOG一覧
  8. 関連文書

概要

IKEv2で行う認証において、PKI証明書を利用したデジタル署名方式、およびEAP-MD5認証に対応します。

PKI証明書を利用するための仕様は次の通りです。

また、対応するRFCは次の通りです。

・RFC4306 : Internet Key Exchange (IKEv2) Protocol
・RFC4718 : IKEv2 Clarifications and Implementation Guidelines
・RFC3748 : Extensible Authentication Protocol (EAP)
・RFC3280 : Internet X.509 Public Key Infrastructure
Certificate and Certificate Revocation List (CRL) Profile

注意事項


対応する機種とファームウェアリビジョン

本機能に対応する機種、およびファームウェアリビジョンは以下の通りです。機種によって、PKIファイルの保存方法が異なるので注意してください。

機種 ファームウェア PKIファイルの保存先
RTX830 Rev.15.02.01以降 外部メモリ、RTFS
RTX1210 Rev.14.01.05以降 外部メモリ、RTFS
RTX5000 Rev.14.00.08以降 外部メモリ、RTFS
RTX3500 Rev.14.00.08以降 外部メモリ、RTFS
FWX120 Rev.11.03.02以降 外部メモリ、RTFS
RTX810 Rev.11.01.04以降 外部メモリ、RTFS
RTX1200 Rev.10.01.22以降 外部メモリ、RTFS
RTX3000 Rev.9.00.50以降 内蔵フラッシュROM

詳細

PKIファイルの形式

ルーターで使用可能なPKIファイルの形式は、ファイルの種類によって次のようになります。

CA証明書ファイルは、EAP-MD5による認証を行う場合に始動側が応答側の証明書をチェックするために使用します。

PKIファイルを保存する

PKIファイルの保存先として利用できる場所は機種毎に異なります。詳しくは対応する機種とファームウェアリビジョンの対応表をご覧ください。

外部メモリ USBメモリやmicroSDメモリカード上へ保存することができます。
参考:外部メモリの利用
RTFS ルーターの内蔵フラッシュROM上に構築されるRTFS領域へ保存することができます。
参考:RTFS
内蔵フラッシュROM ルーターの内蔵フラッシュROM上に用意された専用領域へ保存することができます。この領域へはTFTPを使用して設定ファイルやファームウェアファイルと同様の手順で書き込みます。
書き込み先として指定可能なファイル名は以下の通りです。
certificateN (certNでも可) ..... 証明書ファイルの保存先 (N = 0..1)
crlN ..... CRLファイルの保存先 (N = 0..1)
なお、保存したPKIファイルをTFTPで読み出すことはできません。

PKIファイルを利用する

保存したファイルをPKIファイルとして利用するための設定を行います。

IKEv2で使用するPKIファイルは、ipsec ike pki fileコマンドで設定します。certificate=、crl=に続けて、それぞれ pki certificate fileコマンド、およびpki crl fileコマンドで指定したファイル識別子を指定します。

# ipsec ike pki file 1 certificate=1 crl=1

ipsec ike pki fileコマンドで指定されているファイルを上書きしたときに、既にIPsecによる通信が行われていた場合、次回の接続またはIKEの再認証から上書きしたファイルが使用されます。

証明書の有効期限

証明書には使用可能な期間が記述されています。使用期間を過ぎた証明書はIKEのネゴシエーション時に相手側の認証で無効と判定され、IPsecの接続ができなくなります。証明書の使用可能な期間は、show pki certificate summaryコマンドで確認することができますので、使用期間を過ぎてIPsecの接続ができなくなることがないよう、証明書の再取得を行ってください。

証明書の使用期間を過ぎてから証明書を参照したときに、ログを出力して証明書の有効期限切れを通知します。


コマンド

新規コマンド

変更したコマンド


設定例


SYSLOG一覧

本機能で出力されるSYSLOGの一覧です。
すべてDEBUGレベルで出力されます。

SYSLOG 説明
Host certificate expired
CA certificate expired
ホスト証明書/CA証明書の使用期限が切れている。
CRL expired CRLの使用期限が切れている。
Cannot open certificate(N) file 証明書ファイルのオープンに失敗した。Nはファイル識別子を表す。
Public key algorithm is not supported 公開鍵に使用されているアルゴリズムをサポートしていない。
keyUsage is not digitalSignature or nonRepudiation keyUsageの値がdigitalSignatureまたはnonRepudiationではない。
Verify error: XXXXX 証明書の検証エラー。XXXXXは各種エラー原因を表す。
Certificate read error 証明書の読み込みエラー。
Mac verify error PKCS#12ファイルのMAC検証エラー。
Error outputting keys and certificates PKCS#12ファイルからの証明書および鍵の取り出しに失敗した。
Warning unsupported bag type PKIファイル中にサポートしていない形式のデータが含まれている。
Invalid cerfiticate type 指定された証明書のエンコーディングが不正。
unsupported Cert type 指定された証明書のエンコーディングをサポートしていない。
Certificate is not authenticated by CA 証明書の内容または形式が不正。
received CERTREQ for unknown ca 未知のCA情報を含むCERTREQペイロードを受信した。
unmatched auth method 認証方法が一致しない。
unmatched auth data 認証データが一致しない。
EAP Authentication failure EAP認証に失敗した。
EAP: Invalid message id メッセージIDが不正。
EAP: Received unsupported EAP code サポートしていないEAPコードを受信した。
EAP: Received unexpected EAP message type 予期しないEAPメッセージタイプを受信した。

関連文書