$Date: 2023/07/06 20:22:18 $
IKEv2で行う認証において、PKI証明書を利用したデジタル署名方式、およびEAP-MD5認証に対応します。
PKI証明書を利用するための仕様は次の通りです。
また、対応するRFCは次の通りです。
・RFC4306 : | Internet Key Exchange (IKEv2) Protocol |
・RFC4718 : | IKEv2 Clarifications and Implementation Guidelines |
・RFC3748 : | Extensible Authentication Protocol (EAP) |
・RFC3280 : | Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile |
本機能に対応する機種、およびファームウェアリビジョンは以下の通りです。機種によって、PKIファイルの保存方法が異なるので注意してください。
機種 | ファームウェア | PKIファイルの保存先 |
---|---|---|
RTX3510 | すべてのリビジョン | 外部メモリ、RTFS |
RTX1300 | 外部メモリ、RTFS | |
RTX1220 | 外部メモリ、RTFS | |
RTX830 | 外部メモリ、RTFS | |
RTX1210 | 外部メモリ、RTFS | |
RTX5000 | 外部メモリ、RTFS | |
RTX3500 | 外部メモリ、RTFS | |
FWX120 | 外部メモリ、RTFS | |
RTX810 | 外部メモリ、RTFS | |
RTX1200 | Rev.10.01.22以降 | 外部メモリ、RTFS |
RTX3000 | Rev.9.00.50以降 | 内蔵フラッシュROM |
ルーターで使用可能なPKIファイルの形式は、ファイルの種類によって次のようになります。
※ | CA証明書ファイルは、EAP-MD5による認証を行う場合に始動側が応答側の証明書をチェックするために使用します。 |
PKIファイルの保存先として利用できる場所は機種毎に異なります。詳しくは対応する機種とファームウェアリビジョンの対応表をご覧ください。
外部メモリ | USBメモリやmicroSDメモリカード上へ保存することができます。
参考:外部メモリの利用 |
RTFS | ルーターの内蔵フラッシュROM上に構築されるRTFS領域へ保存することができます。 TFTPを使用して転送する場合は、バイナリモードで転送してください。 参考:RTFS |
保存したファイルをPKIファイルとして利用するための設定を行います。
PKCS#12形式のファイルではファイル形式と共に暗号化されたファイルを復号するためのパスワードを設定します。
証明書ファイルのファイル名を /cert.p12 (RTFS領域のルートディレクトリ下)、パスワードを password とします。 # pki certificate file 1 /cert.p12 pkcs12 password
show pki certificate summaryコマンドで証明書の内容を表示して、正常にファイルが復号されたか確認することができます。
# show pki certificate summary 1 /cert.p12: 機器証明書 Subject:C=JP, CN=yamaha routerA SubjectAltName:FQDN:test.example.com 使用期間(開始):2008/06/16 10:00:00 使用期間(終了):2010/06/16 10:30:00 CA証明書 Subject:C=JP, O=Example, OU=Example CA 使用期間(開始):2008/01/01 00:00:00 使用期間(終了):2028/01/01 00:30:00 #
以下のコマンドでCRLファイルを設定します。
CRLファイルのファイル名を /crl.pem (RTFS領域のルートディレクトリ下)とします。 # pki crl file 1 /crl.pem
設定したCRLファイルの内容は、show pki crlコマンドで確認することができます。
# show pki crl 1 /crl.pem: 発行者: c=JP, o=YAMAHA Corpration 更新日時: 2009/08/01 20:37:22 次回の更新日時: 2009/08/08 20:37:22 #
IKEv2で使用するPKIファイルは、ipsec ike pki fileコマンドで設定します。certificate=、crl=に続けて、それぞれ pki certificate fileコマンド、およびpki crl fileコマンドで指定したファイル識別子を指定します。
# ipsec ike pki file 1 certificate=1 crl=1
ipsec ike pki fileコマンドで指定されているファイルを上書きしたときに、既にIPsecによる通信が行われていた場合、次回の接続またはIKEの再認証から上書きしたファイルが使用されます。
証明書には使用可能な期間が記述されています。使用期間を過ぎた証明書はIKEのネゴシエーション時に相手側の認証で無効と判定され、IPsecの接続ができなくなります。証明書の使用可能な期間は、show pki certificate summaryコマンドで確認することができますので、使用期間を過ぎてIPsecの接続ができなくなることがないよう、証明書の再取得を行ってください。
証明書の使用期間を過ぎてから証明書を参照したときに、ログを出力して証明書の有効期限切れを通知します。
IKEの認証方式を設定する。
METHODにautoを設定した場合、以下の条件にしたがって認証方式が決定される。
上記、認証方式を決定する条件のうち、複数の条件に合致する場合、次の順番で認証方式が優先される。
METHODにauto以外を指定した場合、上記の認証方式を決定する条件にかかわらず、METHODに指定した方式による認証を行う。
本コマンドはIKEv2でのみ有効であり、IKEv1の動作に影響を与えない。
IKEv2の認証に使用するPKIファイルを設定する。
デジタル署名方式の認証を行う場合、CERT_IDに使用する証明書が保存されているファイルの識別子を指定する。
EAP-MD5認証を行う場合、始動側は相手の証明書を検証するためにCERT_IDにCA証明書が保存されているファイルの識別子を指定し、応答側はCERT_IDに自分の証明書が保存されているファイルの識別子を指定する。
本コマンドはIKEv2でのみ有効であり、IKEv1の動作に影響を与えない。
証明書ファイルを設定する。
PKIファイルを内蔵フラッシュROMの専用領域へ保存する機種と、外部メモリやRTFS領域へ保存する機種によってFILEの指定形式が異なるので注意する必要がある。
内蔵フラッシュROMの専用領域へ保存する機種の場合、証明書ファイル番号は show file list internal コマンドで確認できる。
外部メモリやRTFS領域が利用可能な機種でFILEに相対パスを指定する場合、setコマンドの環境変数PWDで指定したディレクトリからの相対パスを指定する。
TYPEに'pkcs12'を指定した場合、ファイルを復号するためのPASSWORDを指定する必要がある。
CRLファイルを設定する。
PKIファイルを内蔵フラッシュROMの専用領域へ保存する機種と、外部メモリやRTFS領域へ保存する機種によってFILEの指定形式が異なるので注意する必要がある。
内蔵フラッシュROMの専用領域へ保存する機種の場合、CRLファイル番号は show file list internal コマンドで確認できる。
外部メモリやRTFS領域が利用可能な機種でFILEに相対パスを指定する場合、setコマンドの環境変数PWDで指定したディレクトリからの相対パスを指定する。
証明書の情報を表示する
表示される内容は以下の通り。
CERT_IDを指定した場合、指定したファイル識別子の証明書の情報だけを表示する。
CRLファイルの情報を表示する
表示される内容は以下の通り。
EAP-MD5認証を要求されたときに使用する名前とパスワードを設定する。
本コマンドはIKEv2でのみ有効であり、IKEv1の動作に影響を与えない。
IKEv2で、EAP-MD5認証をクライアントに要求するか否かを設定する。
GROUP_IDを指定した場合には、該当のユーザグループに含まれるユーザを認証の対象とする。
本コマンドによる設定はルーターが応答側として動作するときにのみ有効であり、始動側のセキュリティゲートウェイから送信されたIKE AUTH交換にAUTHペイロードが含まれない場合にEAP-MD5によるユーザ認証を行う。
本コマンドはIKEv2でのみ有効であり、IKEv1の動作に影響を与えない。
EAP-MD5認証方式の場合、始動側のセキュリティ・ゲートウェイから送信するIKE_AUTH交換に、証明書要求(CERTREQ)ペイロードを含めるか否かを設定する。
本コマンドはIKEv2でのみ有効であり、IKEv1の動作に影響を与えない。
RTX3000は、Rev.9.00.56以降で使用可能。
RTX1200は、Rev.10.01.36以降で使用可能。
RTX810は、Rev.11.01.06以降で使用可能。
指定したPKIファイルを削除する。
証明書ファイル番号、およびCRLファイル番号は show file list internal コマンドで確認できる。
IKEv1のXAUTH認証、またはIKEv2のEAP-MD5認証に使用するユーザIDを設定する。
IKEv1のXAUTH認証、またはIKEv2のEAP-MD5認証に使用するユーザグループを設定する。
IKEv1のXAUTH認証、またはIKEv2のEAP-MD5認証に使用するユーザIDの属性を設定する。
設定できる属性は以下のとおり。
+---------------+----------------------+-------------------------------------------+ | ATTRIBUTE | VALUE | 説明 | +---------------+----------------------+-------------------------------------------+ | xauth | on | IPsec の XAUTH 認証にこの ID を使用する | | +----------------------+-------------------------------------------+ | | off | IPsec の XAUTH 認証にこの ID を使用しない | +---------------+----------------------+-------------------------------------------+ | xauth-address | IP address[/netmask] | IPsec の接続時に、このアドレスを | | | (IPv6 アドレス可) | 内部 IP アドレスとして通知する | +---------------+----------------------+-------------------------------------------+ | xauth-dns | IP address | IPsec の接続時に、このアドレスを | | | (IPv6 アドレス可) | DNS サーバアドレスとして通知する | +---------------+----------------------+-------------------------------------------+ | xauth-wins | IP address | IPsec の接続時に、このアドレスを | | | (IPv6 アドレス可) | WINS サーバアドレスとして通知する | +---------------+----------------------+-------------------------------------------+ | xauth-filter | フィルタセットの | IPsec の接続時に、このフィルタを適用する | | | 名前を表す文字列 | | +---------------+----------------------+-------------------------------------------+ | eap-md5 | on | IKEv2 の EAP-MD5 認証にこの ID を使用する | | +----------------------+-------------------------------------------+ | | off | IKEv2 の EAP-MD5 認証にこの ID を使用しな | | | | い | +---------------+----------------------+-------------------------------------------+
本コマンドにて明示的に設定した属性値は、該当のユーザIDが属しているユーザグループに対して、
# auth user group attribute
コマンドによって設定された属性値に優先して適用される。
xauth | : off |
xauth-address | : 設定なし |
xauth-dns | : 設定なし |
xauth-wins | : 設定なし |
xauth-filter | : 設定なし |
eap-md5 | : off |
IKEv1のXAUTH認証、またはIKEv2のEAP-MD5認証に使用するユーザグループの属性を設定する。
設定できる属性は以下のとおり。
+--------------------+-------------------+------------------------------------------+ | ATTRIBUTE | VALUE | 説明 | +--------------------+-------------------+------------------------------------------+ | xauth | on | IPsec の XAUTH 認証にこのグループに含ま | | | | れるユーザ ID を使用する | | +-------------------+------------------------------------------+ | | off | IPsec の XAUTH 認証にこのグループに含ま | | | | れるユーザ ID を使用しない | +--------------------+-------------------+------------------------------------------+ | xauth-address-pool | IP アドレスの範囲 | IPsec の接続時に、このアドレスプールから | | | (IPv6 アドレス可) | アドレスを選択し、内部 IP アドレスとして | | | | 通知する | +--------------------+-------------------+------------------------------------------+ | xauth-dns | IP address | IPsec の接続時に、このアドレスを | | | (IPv6 アドレス可) | DNS サーバアドレスとして通知する | +--------------------+-------------------+------------------------------------------+ | xauth-wins | IP address | IPsec の接続時に、このアドレスを | | | (IPv6 アドレス可) | WINS サーバアドレスとして通知する | +--------------------+-------------------+------------------------------------------+ | xauth-filter | フィルタセットの | IPsec の接続時に、このフィルタを適用する | | | 名前を表す文字列 | | +--------------------+-------------------+------------------------------------------+ | eap-md5 | on | IPsec の EAP-MD5 認証にこのグループに含 | | | | まれるユーザ ID を使用する | | +-------------------+------------------------------------------+ | | off | IPsec の EAP-MD5 認証にこのグループに含 | | | | まれるユーザ ID を使用しない | +--------------------+-------------------+------------------------------------------+
xauth-address-pool の属性値である IP アドレスの範囲は、以下のいずれかの書式にて記述する。
本コマンドで設定した属性値は、該当のユーザグループに含まれるすべてのユーザに対して有効となる。
xauth | : off |
xauth-address-pool | : 設定なし |
xauth-dns | : 設定なし |
xauth-wins | : 設定なし |
xauth-filter | : 設定なし |
eap-md5 | : off |
証明書 | CRLファイル | ID (タイプ) | |||
---|---|---|---|---|---|
ファイル名 | ファイル形式 | パスワード | |||
RT(1) | /pki/cert1.p12 | PKCS #12 | password1 | 使用しない | rt1.example.com (ID_FQDN) |
RT(2) | /pki/cert2.p12 | PKCS #12 | password2 | /pki/crl.pem | rt2.example.com (ID_FQDN) |
| | | | +-------+ | | +-----| RT(1) |--------+ | | .1+-------+.2 | +---PC PC---+ | +-------+ | | +---------| RT(2) |-----+ | | .1+-------+.1 | PC---+ | +---PC | | | | | | 192.168.100.0/24 10.0.0.0/24 192.168.0.0/24 |
・RT(1) # IPsecの設定 ip route default gateway tunnel 1 ip lan1 address 192.168.100.1/24 ip lan2 address 10.0.0.2/24 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp ipsec ike version 1 2 ipsec ike local address 1 10.0.0.2 ipsec ike local name 1 rt1.example.com fqdn ipsec ike remote address 1 10.0.0.1 ipsec ike remote name 1 rt2.example.com fqdn ipsec ike auth method 1 certificate # 認証方法を指定 ipsec ike pki file 1 certificate=1 # 使用する証明書ファイルを指定 tunnel enable 1 ipsec auto refresh on # PKI関連の設定 pki certificate file 1 /pki/cert1.p12 pkcs12 password1 # 証明書のファイル形式とパスワードを指定 ・RT(2) # IPsecの設定 ip route 192.168.100.0/24 gateway tunnel 1 ip lan1 address 192.168.0.1/24 ip lan2 address 10.0.0.1/24 tunnel select 1 ipsec tunnel 1 ipsec ike version 1 2 ipsec sa policy 1 1 esp ipsec ike local address 1 10.0.0.1 ipsec ike local name 1 rt2.example.com fqdn ipsec ike remote address 1 10.0.0.2 ipsec ike remote name 1 rt1.example.com fqdn ipsec ike auth method 1 certificate # 認証方法を指定 ipsec ike pki file 1 certificate=1 crl=1 # 使用する証明書およびCRLファイルを指定 tunnel enable 1 ipsec auto refresh on # PKI関連の設定 pki certificate file 1 /pki/cert2.p12 pkcs12 password2 # 証明書のファイル形式とパスワードを指定 pki crl file 1 /pki/crl.pem
証明書 | CRLファイル | ID (タイプ) | |||
---|---|---|---|---|---|
ファイル名 | ファイル形式 | パスワード | |||
RT(1) | /pki/ca.pem | X.509 PEM | /pki/crl.pem | rt1.example.com (ID_FQDN) | |
RT(2) | /pki/cert.p12 | PKCS #12 | cert_pwd | 使用しない | rt2.example.com (ID_FQDN) |
| | | | +-------+ | | +-----| RT(1) |--------+ | | .1+-------+(*) | +---PC PC---+ | +-------+ | | +---------| RT(2) |-----+ | | .1+-------+.1 | PC---+ | +---PC | | | | | | 192.168.100.0/24 10.0.0.0/24 192.168.0.0/24 (*)IPアドレスは不定(DHCPサーバから自動取得) |
・RT(1) # IPsecの設定 ip route default gateway tunnel 1 ip lan1 address 192.168.100.1/24 ip lan2 address dhcp tunnel select 1 ipsec tunnel 1 ipsec ike version 1 2 ipsec sa policy 1 1 esp ipsec ike local address 1 192.168.100.1 ipsec ike local name 1 rt1.example.com fqdn ipsec ike remote address 1 10.0.0.1 ipsec ike remote name 1 rt2.example.com fqdn ipsec ike auth method 1 eap-md5 ipsec ike pki file 1 certificate=1 crl=1 # 相手の証明書を検証するためのCA証明書 ipsec ike eap myname 1 rt1 password # EAP-MD5認証で使用する自分の名前とパスワード tunnel enable 1 ipsec auto refresh on # PKI関連の設定 pki certificate file 1 /pki/ca.pem x509-pem # 証明書のファイル形式を指定 pki crl file 1 /pki/crl.pem ・RT(2) # IPsecの設定 ip route 192.168.100.0/24 gateway tunnel 1 ip lan1 address 192.168.0.1/24 ip lan2 address 10.0.0.1/24 tunnel select 1 ipsec tunnel 1 ipsec ike version 1 2 ipsec sa policy 1 1 esp ipsec ike local address 1 192.168.0.1 ipsec ike local name 1 rt2.example.com fqdn ipsec ike remote address 1 any ipsec ike remote name 1 rt1.example.com fqdn ipsec ike auth method 1 eap-md5 ipsec ike pki file 1 certificate=1 ipsec ike eap request 1 on 1 # EAPを始動するための設定 tunnel enable 1 ipsec auto refresh on # EAP-MD5認証に使用するユーザの設定 auth user 1 rt1 password # 接続ユーザの名前とパスワード auth user group 1 1 # ユーザグループ設定 auth user group attribute 1 eap-md5=on # 指定したユーザグループをEAP-MD5認証に使用する # PKI関連の設定 pki certificate file 1 /pki/cert.p12 pkcs12 cert_pwd # 証明書のファイル形式とパスワードを指定
# show pki certificate summary 1 /pki/cert.p12: 機器証明書 Subject: C=JP, CN=yamaha routerA SubjectAltName: DNS:test.example.com 使用期間(開始): 2008/06/16 10:00:00 使用期間(終了): 2010/06/16 10:30:00 CA証明書 Subject: C=JP, O=Example, OU=Example CA 使用期間(開始): 2008/01/01 00:00:00 使用期間(終了): 2028/01/01 00:30:00 #
# show pki crl 1 /pki/crl.pem: 発行者: c=JP, o=YAMAHA Corpration 更新日時: 2008/07/01 20:37:22 次回の更新日時: 2008/07/08 20:37:22 #
本機能で出力されるSYSLOGの一覧です。
すべてDEBUGレベルで出力されます。
SYSLOG | 説明 |
---|---|
Host certificate expired CA certificate expired |
ホスト証明書/CA証明書の使用期限が切れている。 |
CRL expired | CRLの使用期限が切れている。 |
Cannot open certificate(N) file | 証明書ファイルのオープンに失敗した。Nはファイル識別子を表す。 |
Public key algorithm is not supported | 公開鍵に使用されているアルゴリズムをサポートしていない。 |
keyUsage is not digitalSignature or nonRepudiation | keyUsageの値がdigitalSignatureまたはnonRepudiationではない。 |
Verify error: XXXXX | 証明書の検証エラー。XXXXXは各種エラー原因を表す。 |
Certificate read error | 証明書の読み込みエラー。 |
Mac verify error | PKCS#12ファイルのMAC検証エラー。 |
Error outputting keys and certificates | PKCS#12ファイルからの証明書および鍵の取り出しに失敗した。 |
Warning unsupported bag type | PKIファイル中にサポートしていない形式のデータが含まれている。 |
Invalid cerfiticate type | 指定された証明書のエンコーディングが不正。 |
unsupported Cert type | 指定された証明書のエンコーディングをサポートしていない。 |
Certificate is not authenticated by CA | 証明書の内容または形式が不正。 |
received CERTREQ for unknown ca | 未知のCA情報を含むCERTREQペイロードを受信した。 |
unmatched auth method | 認証方法が一致しない。 |
unmatched auth data | 認証データが一致しない。 |
EAP Authentication failure | EAP認証に失敗した。 |
EAP: Invalid message id | メッセージIDが不正。 |
EAP: Received unsupported EAP code | サポートしていないEAPコードを受信した。 |
EAP: Received unexpected EAP message type | 予期しないEAPメッセージタイプを受信した。 |