ニフクラ リモートアクセスVPNゲートウェイ:認証
ご利用可能な認証設定
設定可能な認証方法
パスワード認証に加え、CA証明書を設定することでクライアント証明書認証をあわせて利用出来ます。
| 認証方法の組み合わせ | パスワード認証 | パスワード認証 + クライアント証明書認証 |
標準で有効な認証機能
リモートアクセスVPNゲートウェイはHMAC認証が標準で有効になっています。
リモートアクセスVPNゲートウェイとクライアント端末の間で事前共有鍵を用いたHMAC署名を行い、不正な通信を破棄します。
事前共有鍵はクライアントの設定ファイルに含まれています。
| HMAC認証 | 有効 |
注意事項
- クライアント証明書認証を設定するには、CA証明書の設定が必要です。
- 機能・サービス:CA証明書
- クライアント証明書認証を無効にする場合はCA証明書を設定しないください。
- 利用可能な証明書についてはリモートアクセスVPNゲートウェイ:証明書をご確認ください。
- クライアント証明書には以下が設定されている必要があります。
- X509v3 Key Usageに「Digital Signature」が設定されていること。
- X509v3 Extended Key Usageに「TLS WWW client authentication」が設定されていること。
- クライアント証明書の有効期限が切れている場合、VPN接続ができなくなります。有効期限内のクライアント証明書をご利用ください。
接続プロトコル仕様
接続プロトコル仕様は以下の通りです。
プロトコルバージョンは指定された暗号化スイートによって決定されます。
| 認証 | プロトコルバージョン |
|---|---|
| パスワード認証 | TLS 1.2, TLS 1.3 |
| パスワード認証 + クライアント証明書認証 | TLS 1.2, TLS 1.3 |
暗号化スイート
指定された暗号化スイートで認証を行います。
暗号化スイートによってTLSバージョンが決定され、暗号化スイートの指定によって単一または複数のTLSバージョンが利用出来ます。
| 選択可能なパラメーター | Cipher Suite | プロトコルバージョン |
|---|---|---|
| AES128-GCM-SHA256 | TLS_RSA_WITH_AES_128_GCM_SHA256 | TLS 1.3 |
| AES256-GCM-SHA384 | TLS_RSA_WITH_AES_256_GCM_SHA384 | TLS 1.3 |
| ECDHE-RSA-AES128-GCM-SHA256 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | TLS 1.2 |
| ECDHE-RSA-AES256-GCM-SHA384 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | TLS 1.2 |
注意事項
- 暗号化スイートを複数選択した場合は、より強度の高い暗号化スイートから使用されます。
