解決済み: お世話になります

cja56910tf · ‎2017-01-26

PCまたはスマートデバイスのAnyConncetから、CiscoASAにSSL-VPN接続を行います。

現状環境では、社内にドメイン環境が構築されており、ASAはADサーバーにIDとパスワードを問い合わせにいくという、単純なID/Password認証方式を採用しています。

ただ、ID/Passwordが漏れた場合を想定して、ID/Passwordだけでなく、クライアント証明書を有するPCまたはスマートデバイスでないとログインできないようにしたいという要望が上がりましたので、技術的に可能かどうなのかを調査しております。

①まず、上記のような要望をCiscoASA+AnyConncetで満たすことが可能でしょうか？

②クライアント証明書はADサーバーで発行させるプライベートＣＡ方式を採用しようと検討していますが、その場合、ADサーバーのルート証明書？CA証明書？のようなものを何かASAにインストールする必要があるのでしょうか？

③参考になるサンプルコンフィグまたはCisco.comのURLをご教授いただけないでしょうか。

証明書認証について無知で恐縮ですが、もしご存知の方がおられましたら、①～③のいずれか１つでも結構ですので、ご回答いただけますと大変助かります。

Shinpei Kono · ‎2017-03-21

お世話になります。投稿いただいてから大分時間が経過しているので解決済みかもしれませんが、以下の資料はいかがでしょうか。

ASA AnyConnect Double Authentication with Certificate Validation, Mapping, and Pre-Fill Configuration Guide
http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/116111-11611-config-double-authen-00.html
ご質問の②については、「Certificate Installation on ASA」という段落、③は「ASA Configuration for Double Authentication and Certificate Validation」が該当するかと思います。

元の投稿で解決策を見る

Shinpei Kono · ‎2017-03-21

お世話になります。投稿いただいてから大分時間が経過しているので解決済みかもしれませんが、以下の資料はいかがでしょうか。

ASA AnyConnect Double Authentication with Certificate Validation, Mapping, and Pre-Fill Configuration Guide
http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/116111-11611-config-double-authen-00.html
ご質問の②については、「Certificate Installation on ASA」という段落、③は「ASA Configuration for Double Authentication and Certificate Validation」が該当するかと思います。

cja56910tf · ‎2017-03-22

Shinpei Kono 様

ご回答ありがとうございます。

まだ解決しておらず絶賛検証中ですので、いただいた情報は大変助かります。

ccoの内容を熟読した上で、検証に活かしたいと思います。

丁寧なご回答、ありがとうございました。

AnyConnectのログイン認証でID/Password + クライアント証明書を使いたい