2016-05-06 12:24 PM
インターネットに外部公開しているサーバーでは正当性を認証するためにSSL証明書を導入し、
1年ごとに更新しているのが一般的だと思いますが、世界的に2017年1月以降、
SHA1のSSL証明書が発行されなくなり、SHA2のSSL証明書しか発行されなくなっております。
使用しているASAでも証明書機関でSSL証明書を取得し、導入していますが証明書更新の影響を調査しております。
使用している環境は下記です。
ASA OS 8.4系
anyconnect 3.x系
使用認証手段 ID/PASS ※クライアント証明書などは使用なし
【質問】
①セキュリティの強化は置いておいて一番影響を少ない形での対応を検討しております。
インポートするSSL証明書だけSHA2の証明書に更新し、anyconnectクライアントとの
セキュリティ仕様は変えずに接続することは可能でしょうか?
②証明書有効期限が切れた時に、接続が出来なくなるのでしょうか?
どうなるかご存知の方がいらっしゃれば教えて下さい
③「①」が出来なかった場合、自己証明書に移行など何かいい案があれば教えて下さい。
release note上では8.4系でSHA2対応しているとあるのですが、グローバルのForumなどを見ると、
SHA2対応にはTLS1.2に対応している必要があり、9.3(2)以降でないと更新が出来ないのではないかと危惧しております。
Cisco ASA 5500 シリーズの概要
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/AdaptiveSecurDeviceMGR/CG/006/intro_intro.html?bid=0900e4b182bdeb70#pgfId-1278915
2016-05-13 12:43 PM
こんにちは、①は 9.1 で sha2署名のサーバ証明書に移行したことがありますが、特に問題は起きませんでした。②は AnyConnect 3.x 系のなかで AnyConnectのサーバ証明書に対する実装(挙動)が結構異なっていたと思うので、更新が間に合わないリスクがあるようなら現用環境に模した環境で評価すべきと思います。証明書が無効という警告が出るだけで、そのまま受け入れれば接続ができる可能性もあります。
2016-06-03 03:39 PM
返信ありがとうございます。
TACコールし、下記の回答を得ましたので共有させていただきます。
①このバージョンでsha2の証明書に対応している。
インポート手順はsha1、sha2証明書も同様。
証明書の署名アルゴリズムと暗号化スイートのアルゴリズムは別。暗号化スイートがsha2に対応しているのは9.3(2)以降
②証明書期限が切れると、SSL-VPN接続が出来なくなる
2016-06-21 10:24 PM
こんにちは、返信遅れました。フィードバックありがとうございました。
②はちょっと気になるところでして、期限切れのサーバ証明書では以下の警告が出るようになりましたが、Connect Anyway にすると接続は出来ちゃいますね。。バージョンなどにもよるのかもしれません。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド