Citrix SD-WAN

証明書認証

Citrix SD-WAN は、ネットワーク暗号化や仮想パスIPsecトンネルなどのセキュリティ技術を使用して、SD-WANネットワークのアプライアンス間でセキュアなパスを確立します。既存のセキュリティ対策に加えて、証明書ベースの認証もCitrix SD-WAN 11.0.2で導入されています。

証明書認証:組織は、プライベート認証局(CA)によって発行された証明書を使用してアプライアンスを認証できます。アプライアンスは、仮想パスを確立する前に認証されます。たとえば、ブランチアプライアンスがデータセンターに接続しようとしたときに、ブランチアプライアンスからの証明書がデータセンターで想定される証明書と一致しない場合、仮想パスは確立されません。

CA によって発行された証明書は、公開鍵をアプライアンスの名前にバインドします。公開キーは、証明書によって識別されるアプライアンスが所有している対応する秘密キーで動作します。

アプライアンス認証を有効にするには、構成エディターで [ グローバル ] > [ ネットワーク設定 ] に移動し、[ アプライアンス認証を有効にする] を選択します。

アプライアンス認証の有効化

構成をステージングして適用すると、[ 構成 ] > [ 仮想 WAN ] の下に新しい 証明書認証オプションが表示されます。

[証明書認証] ページから、仮想パス認証に使用されるすべての 証明書 を管理できます。

証明書認証

アプライアンス・ソフトウェアをSD-WANバージョン11.0からバージョン11.1にアップグレードする場合は、 アプライアンス認証の有効化 オプションのチェックを外して、ソフトウェアのアップグレードを実行します。アップグレード・プロセスが完了したら、「 アプライアンス認証を有効にする 」オプションを選択します。

インストール済みの証明書

インストールされた証明書 」セクションには、アプライアンスにインストールされている証明書の概要が表示されます。アプライアンスは、この証明書を使用してネットワーク内で自身を識別します。

[ 発行先 ] セクションには、証明書の発行元に関する詳細が表示されます。証明書はアプライアンス 名にバインドされているため、証明書の共通 名はアプライアンスの名前と一致します。[ 発行者 ] セクションには、証明書に署名した認証局の詳細が表示されます。証明書の詳細には、証明書のフィンガープリント、シリアル番号、および証明書の有効期間が含まれます。

インストール済みの証明書

ID バンドルをアップロード

ID バンドルには、秘密キーと、秘密キーに関連付けられた証明書が含まれます。CA によって発行されたアプライアンス証明書をアプライアンスにアップロードできます。証明書バンドルは PKCS 12 ファイルで、拡張子は.p12 です。パスワードで保護することを選択できます。パスワードフィールドを空白のままにすると、パスワード保護なしとして扱われます。

ID バンドルをアップロード

認証局バンドルのアップロード

証明書署名機関に対応する PKCS 12 バンドルをアップロードします。認証局バンドルには、署名の完全なチェーン、ルート、およびすべての中間署名機関が含まれます。

CA バンドルをアップロード

ネットワーク証明書のアップロード

証明書署名要求の作成

アプライアンスは、署名されていない証明書を生成し、証明書署名要求(CSR)を作成できます。その後、CA はアプライアンスから CSR をダウンロードし、署名して、アプライアンスにアップロードし直すことができます。これは、アプライアンスのアイデンティティ証明書として使用されます。アプライアンスの CSR を作成するには、アプライアンスの共通名、組織の詳細、およびアドレスを指定します。

証明書署名要求

証明書失効リストマネージャ

証明書失効リスト (CRL) は、ネットワーク内で有効ではなくなった証明書のシリアル番号の公開リストです。CRL ファイルは定期的にダウンロードされ、すべてのアプライアンスにローカルに保存されます。証明書が認証されると、応答側は CRL を調べて、イニシエータ証明書がすでに失効しているかどうかを確認します。 CRL を有効にするには、[CRL 有効化] オプションを選択します。CRL ファイルが維持される場所を指定します。HTTP、HTTPS、および FTP の場所がサポートされています。CRL ファイルをチェックしてダウンロードする時間間隔を指定します。範囲は 1 ~ 1440 分です。

証明書失効リスト

virtua1 パスの再認証期間は 10 ~ 15 分です。CRL の更新間隔が短い期間に設定されている場合、更新された CRL リストには、現在アクティブなシリアル番号が含まれる場合があります。アクティブ失効した証明書をネットワーク内で短時間利用できるようにする。

証明書認証