デジタル証明書を使用して接続エントリを作成する場合は、ユーザは事前に、公開キー インフラストラクチャに登録済みであること、認証機関(CA)から承認を得ていること、およびシステムに 1 つまたは複数の証明書をインストールしてあることが必要です。これに該当しない場合は、デジタル証明書を取得する必要があります。多くの場合、ユーザが所属する企業または団体のネットワーク管理者から証明書を入手できます。ネットワーク管理者から証明書を入手できない場合は、Certificate Manager アプリケーションを使用して、直接 PKI に登録して証明書を入手するか、Entrust Entelligence を使用して Entrust プロファイルを入手できます。現在、シスコでは次の PKI をサポートしています。
上記のリスト内のカッコで囲まれている Web サイトには、各 PKI が提供するデジタル証明書についての情報が記載されています。PKI への登録、または証明書のインポートを行う最も簡単な方法は、Certificate Manager を使用するか(「証明書の登録と管理」を参照)、Entrust Entelligence を使用する(Entrust の資料を参照)ことです。
注 VPN Client では、証明書を使用して接続するたびに、証明書の期限が切れていないかどうかが確認されます。証明書の期限切れから 1 か月以内の場合は、ユーザが接続を行うとき、または [プロパティ] オプションを使用するときに、メッセージが表示されます。このメッセージには、証明書の通常名、有効になる日、無効になる日、および証明書が切れるまでの日数、または期限が切れてからの日数が表示されます。
[接続] ボタンを押すとどうなるかは、証明書の秘密鍵保護レベルによって異なります。証明書がパスワードで保護されている場合は、パスワードを入力するように求められます。
注 各証明書は接続プロファイルと関連付けられているため、さまざまな証明書を使用してさまざまな接続プロファイルを作成できます。
ここでは、特定の条件下での Entrust 証明書を使用した接続で予測される事柄について、重要な情報を記述しています。
まだログインしてない場合は、次の手順を実行して Entrust Entelligence にログインし、Entrust Entelligence 証明書のプロファイルにアクセスします。
VPN Client のメイン ウィンドウ上で [接続] を選択すると、Entrust のログイン ウィンドウが表示されます。
ユーザの組織のネットワーク管理者が、Entrust Entelligence を使用して、ユーザ用に 1 つ、または複数のプロファイルを事前に設定していることがあります。システムにソフトウェアがインストールされているが、使用できるプロファイルがない場合は、ネットワーク管理者からプロファイルを入手するか、Entrust を使用して直接入手する必要があります。プロファイルを入手する手順については、『Entrust Entelligence Quick Start Guide』を参照してください。『VPN Client アドミニストレータ ガイド』に補完的な設定情報が記載されています。
プロファイルを選択した後、Entrust パスワードを入力します。
Entrust PKI に接続せずに Entrust Entelligence を使用するには、[Work offline] フィールドにチェックマークを付けます。[Work offline] にチェックマークを付けて [OK] をクリックすると、Entrust ウィザードによって、状況メッセージが表示されます。
このメッセージは無視して構いません。ユーザは、既存の証明書プロファイルを使用して、ユーザが所属する組織のプライベート ネットワークに接続しているので、Entrust PKI との通信は行われていません。このメッセージが表示されたら、[OK] をクリックして、次に進みます。
[Entrust Login] ウィンドウに入力し終えたら、[OK] をクリックします。
Entrust によって安全に関する警告メッセージが表示されることがあります。この警告は、アプリケーションが最初に Entelligence プロファイルにアクセスしようとしたとき、または VPN Client ソフトウェアの更新後にユーザがログインするときなどに表示されます。このメッセージが表示されるのは、Entrust では、VPN Client からユーザの Entrust プロファイルへのアクセスが許可されていることを確認する必要があるためです。
セキュア接続が維持されている場合に、システム トレイの Entelligence アイコンの横に錠のマークがに表示されているときには、Entelligence がタイムアウトを起こしています。ただし、接続は失われていません。Entelligence アイコンの近くに X が表示されている場合は、Entrust からログアウトしていて、当初からセキュア接続はしていません。新たに接続するには、最初から開始する必要があります("ユーザのプロファイルへのアクセス"を参照)。
Entrust SignOn は、オプションの Entrust アプリケーションです。このアプリケーションにより、ユーザは Microsoft Windows および Entrust アプリケーションに 1 つのログイン パスワードを使用してアクセスできます。このアプリケーションは、start before logon と類似しています。start before logon は、Windows NT にログオンする前にダイヤルインできる VPN Client 機能です。start before logon に関する情報については、「Windows NT プラットフォームへのログオン前の接続開始」を参照してください。
これらの 2 つの機能を同時に使用するときは、VPN Client をインストールする前に Entrust SignOn モジュールを持つ Entrust Entelligence をインストールしてあることを確認する必要があります。Entrust SignOn のインストールについては、Entrust の資料、および『VPN Client アドミニストレータ ガイド』の第 1 章を参照してください。
Entrust SignOn および start before logon の機能を同時に使用する手順は、次のとおりです。
SignOn オプションがインストールされていると、Entrust 自体の Ctrl Alt Delete ウィンドウが表示されます。
[Entrust Options] ウィンドウと [VPN Client] ログイン ウィンドウの 2 つが表示されます。 [VPN Client] ウィンドウがアクティブになっています。
VPN Client によりユーザの証明書が認証され、オプションとしてバナーおよび通知(あるいはどちらか一方)が表示されます。必要に応じて、バナーまたは通知への応答を入力します。これにより、Windows NT のログオン ウィンドウがアクティブになります。
接続を完了するには、Windows のログオン ウィンドウにユーザの Windows NT ログオン証明を入力します。これで終了です。
VPN Client では、スマート カード、または電子式トークンを使用するデジタル証明書による認証をサポートします。スマート カードとトークンは、いくつかのベンダーから提供されています。VPN Client で現在サポートされているベンダーの最新リストについては、「サポートされているスマート カード」を参照してください。スマートカードのサポートは、Microsoft Cryptographic API(MS CAPI)により行われています。ユーザが使用するいずれの CryptoService プロバイダーも、CRYPT_NOHASHOID との契約をサポートする必要があります。
注 通常スマート カードでは、証明書に秘密鍵しか関連付けられていないため、スマート カードが挿入されていない場合でも、個々の証明書認証プロファイルを作成できます。 ただし、認証プロセスを完了するにはスマート カードを挿入する必要があります。
ユーザまたはネットワーク管理者が、スマート カードで提供される Microsoft Certificate を使用する接続エントリを設定してあるときは、スマート カードをカード受け口に挿入する必要があります。ユーザが接続を開始するとき、ユーザは、ベンダーに応じたパスワードまたは PIN を入力するように求められます。
この例では、[Enter PIN code] フィールドに PIN コードを入力し、[OK] をクリックします。
次の例は、Aladdin を使用して eToken にログインする方法を示しています。[eToken Name] 列にあるトークンを選択し、[User Password] フィールドにパスワードを入力し、[OK] をクリックします。
注 スマート カードまたはトークンが挿入されてない場合は、認証プログラムによりエラー メッセージが表示されます。このメッセージが表示されたら、スマート カードまたはトークンを挿入して、やり直してください。
Copyright © 2003, Cisco Systems, Inc. All rights reserved.