Firepower Threat Defense VPN 証明書の注意事項と制約事項
-
証明書登録オブジェクトがデバイスに関連付けられ、デバイスにインストールされるとすぐに、証明書登録プロセスが開始されます。プロセスは、自己署名および SCEP 登録タイプの場合は自動的に行われます。つまり、管理者による追加のアクションは必要ありません。手動証明書登録では、さらに管理者の操作が必要になります。
-
登録が完了すると、証明書の登録オブジェクト と同じ名前のトラストポイントがデバイス上に生成されます。VPN 認証方式の設定でこのトラストポイントを使用します。
-
FTD デバイスは、Microsoft CA サービスと、Cisco 適応型セキュリティ アプライアンス(ASA)および Cisco IOS ルータで提供される CA サービスを使用した証明書の登録をサポートしており、検証済みです。
-
FTD デバイスは、CA として設定することはできません。
-
証明書の登録は、子ドメインまたは親ドメインで行うことができます。
-
親ドメインからの登録が完了したら、証明書の登録オブジェクトもそのドメイン内に存在する必要があります。デバイスのトラストポイントが子ドメインで上書きされた場合、上書きされた値がデバイスに展開されます。
-
リーフ ドメインのデバイスで証明書の登録が行われる場合、その登録は親ドメインまたは他の子ドメインに表示されます。また、証明書を追加することもできます。
-
リーフ ドメインが削除されると、含まれているデバイス上の証明書の登録が自動的に削除されます。
-
あるドメインに登録されている証明書を持つデバイスは、他のドメインに登録できます。他のドメインに証明書を追加できます。
-
あるドメインから別のドメインにデバイスを移動すると、証明書もそれに応じて移動します。これらのデバイスの登録を削除するための警告が表示されます。