Citrix SD-WAN

証明書認証

Citrix SD-WANは、ネットワーク暗号化や仮想パスのIPSecトンネルなどのセキュリティ技術を使用して、SD-WANネットワーク上のアプライアンス間で安全なパスを確立します。Citrix SD-WAN 11.0.2では、既存のセキュリティ対策に加えて、証明書ベースの認証が導入されています。

証明書認証。組織は、プライベート認証局(CA)によって発行された証明書を使用してアプライアンスを認証できます。アプライアンスは、仮想パスを確立する前に認証されます。たとえば、ブランチアプライアンスがデータセンターに接続しようとしたときに、ブランチからの証明書がデータセンターで想定される証明書と一致しない場合、仮想パスは確立されません。

CA によって発行された証明書は、公開鍵をアプライアンスの名前にバインドします。公開キーは、証明書で識別されるアプライアンスが所有する対応する秘密キーで動作します。

アプライアンス認証を有効にするには、構成エディタで「 グローバル」 >「 ネットワーク設定 」に移動し、「アプライアンス認証 の有効化」を選択します

アプライアンス認証の有効化

構成をステージングして適用すると、[ 構成]> [ 仮想 WAN] の下に新しい証明書認証オプションが表示されます

仮想パス認証に使用されるすべての証明書は、[ 証明書の認証 ] ページから管理できます。

証明書認証

アプライアンスソフトウェアを SD-WAN バージョン 11.0 からバージョン 11.1 にアップグレードする場合は、アプライアンス認証 の有効化 オプションのチェックを外し、ソフトウェアのアップグレードを実行します。アップグレード・プロセスが完了したら、「アプライアンス認証 を有効にする」 オプションを選択します。

インストール済みの証明書

インストール済み証明書 」セクションには、アプライアンスにインストールされている証明書の概要が表示されます。アプライアンスは、この証明書を使用してネットワーク内で自身を識別します。

[ 発行先 ] セクションには、証明書の発行先に関する詳細が表示されます。証明書がアプライアンス名にバインドされているため、証明書の共通名はアプライアンスの名前と一致します。[ 発行者 ] セクションには、証明書に署名した証明書署名機関の詳細が表示されます。証明書の詳細には、証明書のフィンガープリント、シリアル番号、および証明書の有効期間が含まれます。

インストール済みの証明書

ID バンドルのアップロード

Identity バンドルには、秘密鍵と秘密鍵に関連付けられた証明書が含まれます。CA によって発行されたアプライアンス証明書をアプライアンスにアップロードできます。証明書バンドルは PKCS 12 ファイルで、拡張子は.p12 です。パスワードで保護することを選択できます。パスワードフィールドを空白のままにすると、パスワード保護なしとして扱われます。

ID バンドルのアップロード

認証局バンドルのアップロード

証明書署名機関に対応する PKCS 12 バンドルをアップロードします。認証局バンドルには、シグネチャの完全なチェーン、ルート、およびすべての中間署名機関が含まれます。

ca バンドルのアップロード

ネットワーク証明書のアップロード

証明書署名リクエストの作成

アプライアンスは、署名されていない証明書を生成し、証明書署名要求(CSR)を作成できます。その後、CA はアプライアンスから CSR をダウンロードし、署名してアプライアンスにアップロードし直すことができます。これは、アプライアンスのアイデンティティ証明書として使用されます。アプライアンスの CSR を作成するには、アプライアンスの共通名、組織の詳細、およびアドレスを指定します。

証明書署名要求

証明書失効リストマネージャ

証明書失効リスト (CRL) は、ネットワークで有効でなくなった証明書のシリアル番号の公開リストです。CRL ファイルは定期的にダウンロードされ、すべてのアプライアンスにローカルに保存されます。証明書が認証されると、応答側は CRL を調べて、イニシエータ証明書がすでに失効しているかどうかを確認します。CRL を有効にするには、[CRL 有効] オプションを選択します。CRL ファイルが維持される場所を指定します。HTTP、HTTPS、および FTP の場所がサポートされています。CRL ファイルを確認およびダウンロードする間隔を指定します。範囲は 1 ~ 1440 分です。

証明書失効リスト

virtua1 パスの再認証期間は 10 ~ 15 分です。CRL 更新間隔が短い期間に設定されている場合、更新された CRL リストには現在アクティブなシリアル番号が含まれる場合があります。アクティブ失効した証明書をネットワークで短期間利用できるようにする。

証明書認証