Citrix SD-WAN WANOP

安全なピアリング

アプライアンスでセキュアピアリングが有効になっている場合、セキュアピア関係がないパートナーとの接続は暗号化または圧縮されませんが、TCPフロー制御アクセラレーションは引き続き使用できます。保護されたパートナーからの圧縮履歴に保存されたデータを保護されていないパートナーと共有できないようにするために、圧縮は無効になっています。

接続の一方の端にあるアプライアンスは、もう一方のアプライアンスでセキュアピアリングが有効になっていることを検出すると、SSLシグナリングトンネルを開こうとします。2つのアプライアンスがこのトンネルを介して相互に正常に認証された場合、それらは安全なピアリング関係にあります。2つのアプライアンス間のすべての高速接続は暗号化され、圧縮が有効になります。

セキュアピアリングが有効になっているアプライアンスは、セキュアでないパートナーへの接続を圧縮しません。同じアプライアンスをセキュアなパートナーとセキュアでないパートナーが混在して正常に使用することは困難です。加速ネットワークを設計するときは、この点に注意してください。

セキュリティパラメータにアクセスするには、キーストアのパスワードが必要です。このキーストアのパスワードは、セキュリティ管理を他のタスクから分離できるように、管理者のパスワードとは異なります。キーストアのパスワードがリセットされると、既存の暗号化されたデータと秘密鍵はすべて失われます。

アプライアンスが盗まれた場合でもデータを保護するには、アプライアンスを再起動するたびにキーストアのパスワードを再入力する必要があります。これが行われるまで、セキュアピアリングと圧縮は無効になります。

セキュリティキーと証明書を生成する

Citrix SD-WAN WANOP製品は、SSLシグナリングトンネルに必要なキーと証明書なしで出荷されます。自分で生成する必要があります。資格情報を生成するための通常のプロセスを介して、または http://www.openssl.orgの「openssl」パッケージを使用して、キーと証明書を生成できます。

テストの目的で、秘密鍵(これも生成します)に基づいて自己署名X509証明書を生成して使用できます。本番環境では、信頼できる認証局を参照する証明書を使用します。次の例では、PCのコマンドラインからopensslを呼び出して、秘密鍵( my.key)と自己署名証明書( my.crt)を生成します。

pre codeblock
# Generate a 2048-bit private key
openssl genrsa -out my.key 2048
# Now create a Certificate Signing Request
openssl req -new -key my.key -out my.csr
# Finally, create a self-signed certificate with a 365-day expiration
openssl x509 -req -days 365 -in my.csr -signkey my.key -out my.crt
<!--NeedCopy-->

本番環境で使用する場合は、組織のセキュリティポリシーを参照してください。

安全なピアリングを構成する

安全なピアリングを確立するには、次の2つの方法があります。

  1. アプライアンスによって生成された資格情報を使用します。

  2. 自分で提供した資格情報を使用します。

    セキュアピアリングが有効になっているアプライアンスは、セキュアピアリング関係にあるパートナーアプライアンスとの接続のみを圧縮するため、この手順はすべてのアプライアンスに同時に適用する必要があります。

安全なピアリングのためにアプライアンスを準備するには:

ネットワーク内の各アプライアンスで次の手順を実行します。

  1. アプライアンスに暗号ライセンスをインストールします。暗号ライセンスがないと、安全なアクセラレーションは利用できません。

    1. まだ行っていない場合は、Citrixから暗号ライセンスを取得してください。

    2. ネットワークライセンスサーバーを使用している場合は、[ 構成 ] > [ アプライアンスの設定 ] > [ ライセンス] に移動します。[ライセンスの追加] セクションで [ 編集] をクリックし、リモートライセンスサーバーを選択して [暗号化ライセンス] を [オン] に設定します。

    3. ローカルライセンスを使用している場合は、[ 構成 ] > [ アプライアンスの設定 ] > [ ライセンス] に移動します。[ ライセンス の追加]ページで、[ローカルライセンスサーバー]オプションをクリックし、[ 追加 ]をクリックしてローカル暗号ライセンスをアップロードします。

    4. 構成 > アプライアンスの設定 > ライセンスページでのライセンスのインストールが成功したことを確認します 。[ライセンス情報]で、暗号化ライセンスがアクティブであり、将来の有効期限が設定されていることを示す必要があります。

  2. 構成 > SecureAcceleration ページに移動します。ページに「セキュア」というラベルの付いたボタンがある場合は、それをクリックします。

    ローカライズされた画像

  3. キーストア設定画面が自動的に表示される場合は、次の手順を実行します。

    1. キーストアのパスワードを2回入力し、[保存]をクリックします。

    2. 画面が更新されて[SecurePeering Certificates and Keys]セクションが表示されたら、[Enable Secure Peering and CA Certificate]をクリックし、[Save]をクリックします。

    3. 手順6にスキップします。

  4. [キーストア設定]画面が自動的に表示されない場合は、[ セキュアピアリング]の下の鉛筆アイコンをクリックしてから、[ キーストア設定]の下の鉛筆アイコンをクリックします。「キーストアステータス」プルダウンメニューで開き、キーストアパスワードを2回入力します。[保存] をクリックします。

  5. 構成 > Secure Acceleration ページに移動して、安全なピアリングを有効にし、 Enable ボタンをクリックします。この段階では警告を無視してください。この設定により、必要な追加構成が完了したときに安全なピアリングが有効になります。

  6. 構成> Secure Acceleration User DataStore に移動して、圧縮履歴の暗号化を有効にし、鉛筆アイコンをクリックします。[ ディスク暗号化を有効にする]をクリックし、[ 保存]をクリックします。ユーザーデータストアの暗号化により、アプライアンスが盗まれたり工場に返送されたりした場合に、ディスクベースの圧縮履歴が不正に読み取られるのを防ぎます。ディスクデータ暗号化のセキュリティは、キーストアのパスワードに依存しています。この機能はAES-256暗号化を使用します。(ディスクデータの暗号化は、ディスク全体を暗号化するのではなく、圧縮履歴のみを暗号化します。)

  7. アプライアンスで生成された資格情報を使用している場合は、次の手順にスキップしてください。独自の資格情報を使用している場合は、次の手順を実行します。

    1. 構成 > Secure Acceleration をクリックし、Secure Peeringの下の鉛筆アイコンをクリックしてから、 Secure Peering Certificates andKeysの下の鉛筆アイコンをクリックします。[ 安全なピアリングと証明書の構成を有効にする]>CA証明書をクリックします。資格情報の指定フィールドが表示されます。

    2. Certificate/Keyペア名で、+アイコンをクリックしてこのアプライアンスのcert/keyペアをアップロードまたは貼り付けます。資格情報で必要な場合は、キーパスワードまたはファイルパスワードも入力します。[作成] をクリックします。

    3. CA Certificate Store Nameで、+アイコンをクリックしてこのアプライアンスのCA Certificateをアップロードまたは貼り付けます。

    4. 組織で特に要求されない限り、[証明書の検証]フィールドと[SSL暗号化仕様]フィールドのデフォルト値を保持します。

    5. [保存] をクリックします。

      ローカライズされた画像

  8. 残りのアプライアンスについても繰り返します。

  9. 自分で指定した資格情報を使用している場合は、安全なピアリングの構成が完了しています。

  10. アプライアンスで生成された資格情報を使用している場合は、次の手順を実行します。

アプライアンスで生成された資格情報で安全なピアリングを使用するには:

  1. 上記の「ピアリングを保護するためのアプライアンスの準備」手順を使用して、この手順のためにアプライアンスを準備します。

  2. 1つのデータセンターアプライアンスで、[ 構成]>Secure Accelerationを選択し 、[ Enable ]ボタンがある場合はそれをクリックして、安全なピアリングを有効にします。

  3. セキュアピアリングの下の鉛筆アイコンをクリックします。キーストアが開いている必要があります。そうでない場合は、今すぐ開きます。

  4. Secure Peering Certificate andKeysの下にある鉛筆アイコンをクリックします。[ セキュアピアリングとプライベートCAを有効にする ]オプションをクリックし、[ 保存]をクリックします。これにより、ローカルの自己署名CA証明書とローカルの証明書とキーのペアが生成されます。

  5. 接続されたピアの下+をクリックします。リモートアプライアンスの1つのIPアドレス、管理者のユーザー名、および管理者のパスワードを入力し、[ 接続]をクリックします。これにより、リモートアプライアンスのCA証明書と証明書とキーのペアが発行され、リモートアプライアンスにコピーされます。

    SD-WAN WANOPアプライアンスの場合、IPアドレスは、Webアクセスが有効になっている任意のインターフェイスのIPアドレスにすることができます。SD-WAN PEアプライアンスの場合、IPアドレスは管理IPアドレスです。

  6. 他のリモートアプライアンスに対してこのプロセスを繰り返します。

  7. データセンターアプライアンスで、[ 監視]>パートナーとプラグイン > 安全なパートナーに移動して 接続を確認します。リモートアプライアンスごとに、[セキュア]フィールドの内容がTrueであり、[接続ステータス]が[接続可能]である必要があります。

安全なピアリング