CSDの証明書チェック機能に関して

この質問は 進行中です
7月 29th, 2011

http://www.cisco.com/en/US/docs/security/csd/csd36/configuration/guide/CSDcrite.html#wp1054781 上記URLのマニュアルによると、 CSDのPrelogin Assessment機能にて、クライアントのデバイス証明書をチェックできるようなのですが、このチェックでは、CA証明書による検証や有効期限の検証は行われないのでしょうか。 ASDMでの設定項目にIssuerの記述やCNの記述があるため、単に証明書内の値をチェックするだけのような気がしています。 また、ユーザ証明書での認証では、VPN接続時にどの証明書を使うかユーザ側が選択できますが、デバイス証明書での認証でも同様のことはできるのでしょうか。

I have this problem too.
得票数:0
tatskoba 水, 09/21/2011 - 04:02

遅いコメントにて失礼します。

ご理解されているとおり、単に証明書内の値の存在をチェックする機能になります。

ユーザ証明書でもデバイス証明書でも利用できますが、First Matchingになり、任意の証明書を

エンドユーザが意識的に選択することはできません。

j-suyama 水, 09/21/2011 - 16:54

コメントありがとうございます。

質問後、Windows7とMac OS Xで、動作検証をして、一応動くことは確認できました。

デバイス証明書をチェックできるのは大きなセールスポイントになるのですが、

きちんとCA署名のチェックができないので、結局はファイルチェックやレジストリ

チェックとセキュリティ強度は同等になってしまいますね。

とは言え、お客様への説明の仕方次第だとは思いますので、製品比較などでは

うまく活用したいと思います。