シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel

ASA 9.3(2)以降: TLS 1.2のサポートについて

 


はじめに

ASA バージョン 9.3(2)より、Transport Layer Security(TLS) バージョン 1.2のサポートを開始しました。TLS 1.2は、TLS 1.1のサポートを含みます。

TLSは、ASDM管理時や、Clientless SSL VPN、AnyConnect VPN接続時に利用されます。

本ドキュメントでは、ASAバージョン 9.3(2)以前と以降のTLSバージョンの確認方法、及び ASA9.3(2)以降にてTLS 1.0とTLS 1.1でのASAに接続を不可とする設定方法について紹介します。

 

cautCaution:
TLSバージョンの制限を行う場合は、事前に全ての接続元や接続先がそのTLSバージョンに対応していることを入念に確認して下さい。

 

tipTip:
ASA バージョン 9.2以下での TLS 1.2のサポート予定は、2015年6月現在 ありません。TLS 1.2のサポートには 大きな機能拡張が必要であり、影響が大きいためです。


 

TLSバージョンの確認方法

show sslコマンドにて確認可能です。以下は各バージョン毎の出力です。


ASA バージョン 8.2(5) - TLS 1.2 非サポート
ASA# show version | in Ver
Cisco Adaptive Security Appliance Software Version 8.2(5)
Device Manager Version 7.2(1)

ASA# show ssl
Accept connections using SSLv2, SSLv3 or TLSv1 and negotiate to SSLv3 or TLSv1
Start connections using SSLv3 and negotiate to SSLv3 or TLSv1
Enabled cipher order: rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
Disabled ciphers: des-sha1 rc4-md5 null-sha1
SSL trust-points:
  manage interface: ASDM_TrustPoint0
Certificate authentication is not enabled

 

ASA バージョン 9.3(1) - TLS 1.2 非サポート
TAC-ASA# show version | in Ver
Cisco Adaptive Security Appliance Software Version 9.3(1)1
Device Manager Version 7.3(2)
Baseboard Management Controller (revision 0x1) Firmware Version: 2.4

TAC-ASA# show ssl
Accept connections using SSLv2 or greater and negotiate to TLSv1
Start connections using TLSv1 only and negotiate to TLSv1 only
Enabled cipher order: rc4-sha1 dhe-aes128-sha1 dhe-aes256-sha1 aes128-sha1 aes256-sha1 3des-sha1

No SSL trust-points configured
Certificate authentication is not enabled

ASA バージョン 9.3(2) - TLS 1.2 サポート
TAC-ASA# show version | in Ver
Cisco Adaptive Security Appliance Software Version 9.3(2)
Device Manager Version 7.3(2)
Baseboard Management Controller (revision 0x1) Firmware Version: 2.4

TAC-ASA# show ssl
Accept connections using SSLv2 or greater and negotiate to TLSv1 or greater
Start connections using TLSv1 and negotiate to TLSv1 or greater
SSL DH Group: group2

SSL trust-points:
  Self-signed RSA certificate available
Certificate authentication is not enabled

 

 

TLS 1.0とTLS 1.1 でのASA接続不可設定

ASA バージョン 9.3(2)以降にて、TLSバージョン 1.0と1.1を、ASAにて終端不可とする設定方法について、以下に示します。

CLIの場合:

TAC-ASA# conf t
TAC-ASA(config)# ssl server-version ?

configure mode commands/options:
  any         Enter this keyword to accept SSLv2 ClientHellos and negotiate the
              highest common version - DEPRECATED; use 'tlsv1' instead
  sslv3       Enter this keyword to accept SSLv2 ClientHellos and negotiate
              SSLv3 (or greater) - DEPRECATED; use 'tlsv1' instead
  sslv3-only  Enter this keyword to accept SSLv2 ClientHellos and negotiate
              SSLv3 (or greater) - DEPRECATED; use 'tlsv1' instead
  tlsv1       Enter this keyword to accept SSLv2 ClientHellos and negotiate
              TLSv1 (or greater)
  tlsv1-only  Enter this keyword to accept SSLv2 ClientHellos and negotiate
              TLSv1 (or greater) - DEPRECATED; same as 'tlsv1'
  tlsv1.1     Enter this keyword to accept SSLv2 ClientHellos and negotiate
              TLSv1.1 (or greater)
  tlsv1.2     Enter this keyword to accept SSLv2 ClientHellos and negotiate
              TLSv1.2 (or greater)

TAC-ASA(config)# ssl server-version tlsv1.2    <--- TLS 1.1以下は拒否する
TAC-ASA(config)#
TAC-ASA(config)# show ssl
Accept connections using SSLv2 or greater and negotiate to TLSv1.2 or greater
Start connections using TLSv1 and negotiate to TLSv1 or greater
SSL DH Group: group2

SSL trust-points:
  Self-signed RSA certificate available
Certificate authentication is not enabled


ASDMからの場合:

Configuration > Device Management > Advanced > SSL Settings

ASDM-SSL-20150621


 

参考情報

New Features in ASA 9.3(2)/ASDM 7.3(2)
http://www.cisco.com/c/en/us/td/docs/security/asa/roadmap/asa_new_features.html#pgfId-157788

Cisco ASA Series Command Reference, S Commands - ssl server-version
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s16.html#pgfId-1562315

Cisco Bug: CSCus79188 - Support SHA2/TLS 1.2 in 9.1.x code for ASA Benetton platforms
https://tools.cisco.com/quickview/bug/CSCus79188

2309
閲覧回数
10
いいね!
0
コメント