自動鍵交換設定の流れ
自動鍵交換設定で通信相手の認証方法に証明書を使用するときは、機器証明書の導入が必要です。
IPsecの設定後、正しく通信が確立されているかはPingコマンドで確認できます。ただし、ICMPがIPsecの除外対象になっているときはPingコマンドを使用できません。また、鍵交換設定中は応答がないため、通信確立の確認に時間がかかることがあります。
自動鍵交換設定の条件設定で送信相手の認証方式を「証明書」に変更するときは、事前に証明書の導入と割り当てをしてください。証明書の作成・導入については、使用している機種の使用説明書の機器証明書の作成方法、導入方法を参照してください。導入した証明書をIPsecに割り当てる方法は、証明書を選択するを参照してください。
Web Image Monitorからネットワーク管理者がログインします。
ログイン方法は、使用している機種の使用説明書を参照してください。[機器の管理]をポイントし、[設定]をクリックします。
「セキュリティー」の[IPsec]をクリックします。
「自動鍵交換設定」の[編集]をクリックします。
「個別設定1」で自動鍵交換設定の条件を設定します。
複数の個別設定条件を設定するときは、個別設定番号を切り替えて追加設定します。[OK]をクリックします。
「IPsec」の「IPsec」で[有効]を選択します。
「HTTPS通信の除外」でHTTPS通信をIPsecの除外対象とするときは[有効]を選択します。
[OK]をクリックします。
「設定の書き換え中」画面が表示されます。1~2分経過してから[OK]をクリックします。
[OK]をクリックしても画面が表示されないときは、しばらく待ってからWebブラウザーの[更新]ボタンをクリックします。ログアウトします。
あらかじめ本機で作成、導入した機器証明書からIPsecで使用する証明書を選択します。機器証明書の作成、導入については使用している機種の使用説明書を参照してください。
Web Image Monitorからネットワーク管理者がログインします。
ログイン方法は、使用している機種の使用説明書を参照してください。[機器の管理]をポイントし、[設定]をクリックします。
「セキュリティー」の[機器証明書]をクリックします。
「利用する証明書」の「IPsec」の欄で、使用する証明書を選択します。
[OK]をクリックします。
「設定の書き換え中」画面が表示されます。1~2分経過してから[OK]をクリックします。
[OK]をクリックしても画面が表示されないときは、しばらく待ってからWebブラウザーの[更新]ボタンをクリックします。ログアウトします。
機器で選択したセキュリティーレベルのIPsec SA設定と同一の条件をPC側で設定します。設定方法はOSによって異なります。ここではセキュリティーレベルで「認証と暗号化(低)」を選択したときのWindows 10側の設定を例に説明します。
[スタート]ボタンを右クリックし、[設定]-[コントロールパネル]-[システムとセキュリティ]-[管理ツール]をクリックします。
Windows 7のときは、[スタート]メニューから[コントロールパネル]-[システムとセキュリティ]-[管理ツール]をクリックします。[ローカルセキュリティポリシー]をダブルクリックします。
[IPセキュリティポリシー(ローカルコンピュータ)]を右クリックします。
Windows 7のときは、[IPセキュリティーポリシー(ローカルコンピュータ)]をダブルクリックします。[IPセキュリティポリシーの作成]をクリックします。
Windows 7のときは、[操作]メニューから[IPセキュリティポリシーの作成]をクリックします。
[IPセキュリティポリシーウィザード]が表示されます。[次へ]をクリックします。
任意のIPセキュリティポリシー名を入力し、[次へ]をクリックします。
「既定の応答規則をアクティブにする」のチェックを外し、[次へ]をクリックします。
「プロパティを編集する」にチェックを付け、[完了]をクリックします。
[全般]タブを選択し、[設定]をクリックします。
「新しいキーを認証して生成する間隔」に機器の自動鍵交換設定のフェーズ1で設定した有効期間を分単位で入力し、[メソッド]をクリックします。
機器の自動鍵交換設定のフェーズ1で選択されている「暗号化」(暗号化アルゴリズム)、「整合性」(ハッシュアルゴリズム)、「Diffie-Hellmanグループ」の組み合わせが[セキュリティメソッドの優先順位]に存在しているか確認します。
存在しないときは[追加]をクリックし作成します。[OK]を2回クリックします。
[規則]タブを選択し、[追加]をクリックします。
「セキュリティの規則ウィザード」が表示されます。[次へ]をクリックします。
「この規則ではトンネルを指定しない」を選択し、[次へ]をクリックします。
IPsecを適用するネットワークの種類を選択し、[次へ]をクリックします。
「IPフィルター一覧」で[追加]をクリックします。
「名前」に任意のIPフィルター名を入力し、[追加]をクリックします。
「IPフィルターウィザード」が表示されます。[次へ]をクリックします。
必要に応じてIPフィルターの説明を入力し、[次へ]をクリックします。
「発信元アドレス」で「このコンピューターのIPアドレス」を選択し、[次へ]をクリックします。
「宛先アドレス」で「特定のIPアドレスまたはサブネット」を選択し、機器のIPアドレスを入力して[次へ]をクリックします。
IPsecの対象とするプロトコルを選択し、[次へ]をクリックします。
「TCP」または「UDP」を選択したときは、「IPプロトコルポートの設定」で発信ポートと宛先ポートを指定し、[次へ]をクリックします。[完了]をクリックします。
[OK]をクリックします。
設定したIPフィルターを選択し、[次へ]をクリックします。
[追加]をクリックします。
「フィルター操作ウィザード」が表示されます。[次へ]をクリックします。
任意のフィルター操作名を入力し、[次へ]をクリックします。
[セキュリティのネゴシエート]を選択し、[次へ]をクリックします。
[セキュリティで保護された接続が確立できない場合、保護されていない通信を許可する]を選択し、[次へ]をクリックします。
「カスタム」を選択し、[設定]をクリックします。
「整合性アルゴリズム」で機器の自動鍵交換設定のフェーズ2で選択されている認証アルゴリズムを選択します。
「暗号化アルゴリズム」で機器の自動鍵交換設定のフェーズ2で選択されている暗号化アルゴリズムを選択します。
「セッションのキーの設定」で「新しいキーの生成間隔(R)」にチェックを付け、機器の自動鍵交換設定のフェーズ2で設定した有効期間を秒単位で入力します。
[OK]をクリックします。
[次へ]をクリックします。
[完了]をクリックします。
作成したフィルター操作を選択し、[次へ]をクリックします。
自動鍵交換設定でセキュリティーレベルを「認証と暗号化(高)」に指定するときは、作成したフィルター操作を選択し[編集]をクリックします。フィルター操作のプロパティ画面で[セッションキーのPFS (Perfect Forward Secrecy)を使う]をチェックします。WindowsでPFSを使用するときは、自動鍵交換設定のフェーズ2で使用されるPFSグループ番号は、手順11にあるDiffie-Hellmanグループ番号から自動的に変換されます。このため、機器の自動鍵交換設定で指定されたセキュリティーレベルを変更し、「ユーザー設定」が表示される状況でIPsecを有効にするには、機器の「Diffie-Hellmanグループフェーズ1」と「PFSフェーズ2」のグループ番号を同じにします。認証方法を選択して[次へ]をクリックします。
機器の自動鍵交換設定の認証方法で証明書を選択しているときは、機器証明書を設定します。PSKを選択しているときは、事前共有キーとして機器で設定したPSKと同じ文字列を入力します。[完了]をクリックします。
IPv6を使用するときは、もう一度手順13から操作してICMPv6の除外設定を追加してください。
そのとき、手順23では対象とするプロトコルで[その他]のプロトコル番号[58]を選択し、[セキュリティのネゴシエート]を許可する設定にしてください。[OK]をクリックします。
新しいIPセキュリティポリシー(IPsec設定)が設定されます。設定したセキュリティポリシー名を選択し、右クリックして[割り当て]をクリックします。
PCのIPsec設定が有効になります。[割り当ての解除]をクリックすると、PCのIPsec設定が無効になります。