PKI の証明書登録に関する情報
証明書を要求して PKI に登録するようにピアを設定する前に、次の概念を理解しておく必要があります。
• 「CA とは」
• 「CA の認証」
• 「サポートされる証明書の登録方式」
• 「登録局」
• 「自動証明書登録」
• 「証明書登録プロファイル」
CA とは
CA は他の通信相手が使用できるデジタル証明書を発行するエンティティです。これが、信頼できる第三者の例です。CA は多くの PKI スキームの特性です。
CA は証明書要求を管理し、参加ネットワーク装置に証明書を発行します。これらのサービスでは、身元情報を検証してデジタル証明書を作成するために、参加装置のキーを一元的に管理します。PKI の動作を開始する前に、CA は独自の公開キー ペアを生成し、自己署名 CA 証明書を作成します。その後、CA は、証明書要求に署名し、PKI に対してピア登録を開始できます。
Cisco IOS 証明書サーバまたはサードパーティの CA ベンダーが指定する CA を使用できます。
複数の CA のためのフレームワーク
PKI は、複数の CA をサポートするために階層型フレームワーク内に設定できます。階層構造の最上位はルート CA で、ここに自己署名証明書が保持されます。階層構造全体における信頼性は、ルート CA の RSA キー ペアから得られます。階層構造内の下位 CA は、ルート CA または別の下位 CA に登録できます。CA の複数の階層が、ルート CA または別の下位 CA で設定されます。階層型 PKI 内では、登録されているすべてのピアが信頼できるルート CA 証明書または共通の下位 CA を共有している場合、証明書を相互に検証できます。
複数 CA を使用する場合
複数 CA を使用することにより、柔軟性および信頼性が向上します。たとえば、ルート CA を本社オフィスに配置し、下位 CA をブランチ オフィスに配置できます。また、CA ごとに異なる許可ポリシーを実行できるため、階層構造内の、ある CA では各証明書要求を手動で許可する必要があるように、別の CA では証明書要求を自動的に許可するように設定できます。
少なくとも 2 階層の CA が推奨されるシナリオは、次のとおりです。
• 多数の証明書が失効し、再発行される大規模かつ非常にアクティブなネットワーク。複数の階層を使用することにより、CA は Certificate Revocation List(CRL; 証明書失効リスト)のサイズを制御しやすくなります。
• 下位の CA 証明書を発行する場合を除いて、オンラインの登録プロトコルが使用されているときは、ルート CA をオフラインにしておくことができます。このシナリオでは、ルート CA のセキュリティが向上します。
CA の認証
装置に自身の証明書が発行されて証明書登録が発生する前に、CA の証明書が認証される必要があります。CA の認証は通常、ルータで PKI サポートを初期設定するときにだけ実行されます。CA を認証するには、 crypto pki authenticate コマンドを発行します。これにより、CA の公開キーが組み込まれた CA の自己署名証明書が取得されて CA がルータに対して認証されます。
fingerprint コマンドによる認証
Cisco IOS Release 12.3(12) 以降では、 fingerprint コマンド を発行して、認証時に CA 証明書のフィンガープリントと照合するフィンガープリントを事前入力できます。
フィンガープリントがトラスト ポイントにあらかじめ入力されていない場合や、認証要求がインタラクティブでない場合は、CA 証明書の認証時に表示されるフィンガープリントを検証する必要があります。認証要求がインタラクティブでない場合、事前入力フィンガープリントがないと、証明書は拒否されます。
(注) 認証要求が Command-Line Interface(CLI; コマンドライン インターフェイス)を使用して行われる場合、その要求はインタラクティブな要求です。認証要求が HTTP または別の管理ツールを使用して行われる場合、その要求はインタラクティブでない要求です。
サポートされる証明書の登録方式
Cisco IOS ソフトウェアは、CA から証明書を取得するために次の方式をサポートしています。
• Simple Certificate Enrollment Protocol(SCEP):HTTP を使用して CA または Registration Authority(RA; 登録局)と通信する、シスコシステムズが開発した登録プロトコル。SCEP は、要求および証明書の送受信用に最も一般的に使用される方式です。
(注) 自動証明書およびキー ロールオーバー機能を活用するには、ロールオーバーをサポートする CA を実行する必要があります。また、クライアント登録方式として SCEP を使用する必要があります。
Cisco IOS CA を実行する場合は、ロールオーバーをサポートするために Cisco IOS Release 12.4(2)T 以降のリリースを実行する必要があります。
• PKCS12:ルータは、外部のサーバから証明書を PKCS12 形式でインポートします。
• IOS File System(IFS; IOS ファイル システム):ルータは、Cisco IOS ソフトウェアでサポートされるファイル システム(TFTP、FTP、フラッシュ、および NVRAM など)を使用して証明書要求を送信し、発行された証明書を受信します。ユーザの CA が SCEP をサポートしない場合、IFS 証明書登録をイネーブルにできます。
(注) Cisco IOS Release 12.3(4)T 以前のリリースでは、IFS 内で TFTP ファイル システムだけがサポートされます。
• 手動でのカットアンドペースト:ルータはコンソール端末に証明書要求を表示し、ユーザはコンソール端末で発行された証明書を入力できます。ルータと CA の間にネットワーク接続がない場合、ユーザは証明書要求および証明書を手動でカットアンドペーストできます。
• 登録プロファイル:ルータは、HTTP ベースの登録要求を RA モードの Certificate Server(CS; 証明書サーバ)ではなく、CA サーバに直接送信します。CA サーバが SCEP をサポートしない場合に、登録プロファイルを使用できます。
• トラストポイントの自己署名証明書登録:セキュア HTTP(HTTPS)サーバは、Secure Socket Layer(SSL; セキュア ソケット レイヤ)ハンドシェイク時に使用される自己署名証明書を生成し、HTTPS サーバとクライアントの間にセキュアな接続を確立します。自己署名証明書は、ルータのスタートアップ コンフィギュレーション(NVRAM)に保存されます。保存された自己署名証明書は、将来の SSL ハンドシェイクに使用できます。これにより、ルータがリロードされる度に、証明書を受け入れるために必要だったユーザによる介入が不要になります。
(注) 自動登録および自動再登録を活用するには、登録方式として、TFTP または手動でのカットアンドペースト登録を使用しないでください。TFTP およびカットアンドペーストによる手動での登録方式は手動の登録プロセスでは、ユーザによる入力が必要です。
PKI の証明書登録のための Cisco IOS Suite-B サポート
Suite B の要件は、IKE および IPSec で使用するための暗号化アルゴリズムの 4 つのユーザ インターフェイス スイートで構成され、RFC 4869 に記述されています。各スイートは、暗号化アルゴリズム、デジタル署名アルゴリズム、キー合意アルゴリズム、ハッシュまたはメッセージ ダイジェスト アルゴリズムで構成されています。
Suite-B によって、PKI の証明書登録に次のサポートが追加されます。
• X.509 証明書内の署名操作で、Elliptic Curve Digital Signature Algorithm(ECDSA; 楕円曲線デジタル署名アルゴリズム)(256 ビットおよび 384 ビットの曲線)が使用されます。
• ECDSA の署名を使用した X.509 証明書の確認で PKI がサポートされます。
• ECDSA の署名を使用した証明書要求の生成、および発行された証明書の IOS へのインポートで、PKI がサポートされます。
Cisco IOS での Suite-B サポートに関する詳細については、『 Configuring Security for VPNs with IPsec 』フィーチャ モジュールを参照してください。
登録局
Cisco IOS 証明書サーバは、RA モードで実行できるように設定できます。RA は、CA から認証および認可責任をオフロードします。RA が SCEP または手動での登録要求を受信すると、管理者はローカル ポリシーごとに要求を拒否または許可できます。要求が許可された場合、その要求は発行元 CA に転送されます。また、自動的に証明書を生成して、証明書を RA に返すように CA を設定できます。クライアントは、許可された証明書を RA から後で取得できます。
自動証明書登録
証明書自動登録を使用すると、CA クライアントは、CA サーバから証明書を自動的に要求できます。この自動ルータ要求では、登録要求が CA サーバに送信された時点で、オペレータによる介入が不要になります。自動登録は、設定済みの、有効なクライアント証明書を持っていないトラストポイント CA の起動時に実行されます。証明書が失効すると、新しい証明書が自動的に要求されます。
(注) 自動登録が設定されると、クライアントは自動的にクライアント証明書を要求します。CA サーバは、独自の許可チェックを実行します。このチェックに証明書を自動的に発行するポリシーが含まれている場合は、すべてのクライアントが自動的に証明書を受信しますが、これはそれほど安全ではありません。そのため、自動証明書登録を追加の認証および許可メカニズム(既存の証明書およびワンタイム パスワードを活用した Secure Device Provisioning(SDP)など)と組み合せる必要があります。
自動クライアント証明書およびキー ロールオーバー
デフォルトでは、自動証明書登録機能により、クライアントの現在の証明書が失効する前に、CS から新しいクライアント証明書とキーが要求されます。証明書およびキー ロールオーバーにより、新しいキーおよび証明書、ロールオーバー、証明書が利用可能になるまで、現在のキーおよび証明書を保持して証明書が失効する前に証明書更新ロールオーバー要求を行うことができます。指定された時間が経過すると、ロールオーバー証明書およびキーがアクティブになります。失効した証明書およびキーは、ロールオーバー時にただちに削除され、証明書チェーンおよび CRL から削除されます。
自動ロールオーバーのセットアップは 2 段階で行われます。まず CA クライアントが自動的に登録され、クライアントの CA が自動的に登録される必要があります。さらに auto-rollover コマンドがイネーブルになる必要があります。CA サーバを自動証明書ロールオーバー用に設定する場合の詳細については、『 Cisco IOS Security Configuration Guide: Secure Connectivity 』の「 Configuring and Managing a Cisco IOS Certificate Server for PKI Deployment 」の章にある「Automatic CA Certificate and Key Rollover」の項を参照してください。
任意の renewal percentage パラメータを auto-enroll コマンドと一緒に使用すると、証明書の指定されたパーセンテージの有効期間が経過したときに、新しい証明書を要求できます。たとえば、更新パーセンテージが 90 に設定され、証明書の有効期間が 1 年の場合は、古い証明書が失効する 36.5 日前に新しい証明書が要求されます。自動ロールオーバーが発生するには、更新パーセンテージが 100 未満である必要があります。指定するパーセント値は、10 以上でなくてはなりません。CA 証明書の失効が差し迫っているため、有効設定期間よりも短い期間のクライアント証明書を発行する場合、その期間の残り日数に対してロールオーバー証明書が発行されます。最低でも、設定されている有効期間の 10 % と、ロールオーバーが機能するのに十分な時間(絶対最小値:3 分)を見込んでおく必要があります。
ヒント CA 自動登録がイネーブルになっておらず、現在のクライアント証明書の有効期間が、対応する CA 証明書の有効期間と同じか、それよりも長い場合は、crypto pki enroll コマンドを使用して既存のクライアント上で手動でロールオーバーを開始できます。
クライアントはロールオーバー プロセスを開始しますが、このプロセスは、サーバが自動ロールオーバーに設定され、利用可能なロールオーバー サーバ証明書を保持している場合にだけ発生します。
(注) キー ペアが auto-enroll re-generate コマンドおよびキーワードによって設定されている場合は、キー ペアも送信されます。新しいキー ペアは、セキュリティ上の問題に対処するために発行することを推奨します。
証明書登録プロファイル
登録プロファイルを使用すると、証明書認証、登録および再登録の各パラメータを指定するよう求められたときにユーザは、これらのパラメータを指定できます。これらのパラメータ値は、プロファイルを構成する 2 つのテンプレートによって参照されます。このうち、1 つのテンプレートには、CA の証明書を取得するために CA サーバに送られる HTTP 要求のパラメータ(証明書認証としても知られる)が含まれ、もう 1 つのテンプレートには、証明書を登録するために CA に送られる HTTP 要求のパラメータが含まれます。
2 つのテンプレートを設定すると、ユーザは、証明書の認証と登録用に異なる URL または方法を指定できます。たとえば、認証(CA の証明書の取得)を TFTP によって( authentication url コマンドを使用して)実行できる一方で、( enrollment terminal コマンドを使用して)登録を手動で実行できます。
Cisco IOS Release 12.3(11)T 以前のリリースでは、証明書要求は PKCS10 形式でしか送信できませんでしたが、現在では、プロファイルにパラメータが追加されたことにより、証明書更新要求用に PKCS7 形式を指定できるようになりました。
(注) 1 つの登録プロファイルには、タスクごとに最大 3 つのセクション(証明書の認証、登録および再登録)を指定できます。
PKI の証明書登録を設定する方法
ここでは、次の登録の任意手順について説明します。登録または自動登録を設定する(最初の作業)場合は、手動での証明書登録を設定できません。また、TFTP またはカットアンドペーストによる手動での証明書登録を設定した場合、自動登録、自動再登録、登録プロファイルは設定できず、自動 CA 証明書ロールオーバー機能も利用できません。
• 「証明書登録または自動登録の設定」
• 「手動での証明書登録の設定」
• 「登録用の永続的自己署名証明書の SSL による設定」
• 「登録または再登録用の証明書登録プロファイルの設定」
証明書登録または自動登録の設定
PKI に参加しているクライアントの証明書登録を設定するには、次の作業を実行します。
自動登録の前提条件
自動証明書登録要求を設定する前に、必要な登録情報がすべて設定されていることを確認する必要があります。
自動クライアント証明書およびキー ロールオーバーをイネーブルにするための前提条件
自動登録を使用するときには、証明書ロールオーバーの CA クライアント サポートが自動的にイネーブルになります。自動 CA 証明書ロールオーバーを正常に実行するには、次の前提条件が適用されます。
• ネットワーク装置はシャドウ PKI をサポートしている必要があります。
• クライアントは Cisco IOS Release 12.4(2)T 以降のリリースを実行している必要があります。
• クライアントの CS は自動ロールオーバーをサポートする必要があります。CA サーバの自動ロールオーバー設定コンフィギュレーションに関する詳細については、『 Cisco IOS Security Configuration Guide: Secure Connectivity 』「 Configuring and Managing a Cisco IOS Certificate Server for PKI Deployment 」の章にある「Automatic CA Certificate and Key Rollover」を参照してください。
自動登録の初期キー生成場所を指定するための前提条件
自動登録の初期キー生成場所を指定するには、Cisco IOS Release 12.4(11)T 以降のリリースを実行する必要があります。
自動登録の制約事項
自動登録の RSA キー ペアに関する制約事項
regenerate コマンドまたは auto-enroll コマンドの regenerate キーワードを使用して新しいキー ペアを生成するように設定されたトラストポイントは、他のトラストポイントとキー ペアを共有してはなりません。各トラストポイントに独自のキー ペアを付与するには、CA トラストポイント コンフィギュレーション モードで rsakeypair コマンドを使用します。再生トラストポイント間でのキー ペアの共有がサポートされていない場合にキー ペアを共有すると、キーと証明書が一致しなくなるため、トラストポイントの一部のサービスが失われます。
自動クライアント証明書およびキー ロールオーバーに関する制約事項
クライアントが自動 CA 証明書ロールオーバーを正常に実行するには、次の制約事項が適用されます。
• SCEP を使用してロールオーバーをサポートする必要があります。SCEP の代わりに証明書管理プロトコルまたはメカニズム(登録プロファイル、手動での登録、または TFTP による登録など)を使用して、PKI に登録する装置では、SCEP で提供されているロールオーバー機能を利用できません。
• シャドウ証明書の生成後に、設定をスタートアップ コンフィギュレーションに保存できない場合、ロールオーバーは発生しません。
手順の概要
1. enable
2. configure terminal
3. crypto pki trustpoint name [ sign | verify ]
4. enrollment [ mode ] [ retry period minutes ] [ retry count number ] url url [ pem ]
5. eckeypair label
6. subject-name [ x.500-name ]
7. ip address { ip-address | interface | none }
8. serial-number [ none ]
9. auto-enroll [ percent ] [ regenerate ]
10. usage method1 [ method2 [ method3 ]]
11. password string
12. rsakeypair key-label [ key-size [ encryption-key-size ]]
13. fingerprint ca-fingerprint
14. on devicename :
15. exit
16. crypto pki authenticate name
17. exit
18. copy system:running-config nvram:startup-config
19. show crypto pki certificates
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto pki trustpoint name
Router(config)# crypto pki trustpoint mytp |
トラストポイントおよび設定された名前を宣言して、CA トラストポイント コンフィギュレーション モードを開始します。 |
ステップ 4 |
enrollment [mode] [retry period minutes] [retry count number] url url [pem]
Router(ca-trustpoint)# enrollment url http://cat.example.com |
ルータが証明書要求を送信する CA の URL を指定します。 • mode :CA システムが RA を提供する場合は、RA モードを指定します。 • retry period minutes :証明書要求を再試行するまでの待機時間を指定します。デフォルトでは、1 分間隔で再試行します。 • retry count number :直前の要求に対する応答をルータが受信しないとき、ルータが証明書要求を再送信する回数を指定します(1 ~ 100 回の範囲で指定できます)。 • url url : ルータが証明書要求を送信するファイル システムの URL。登録方式のオプションについては 、 『 Cisco IOS Security Command Reference 』の enrollment コマ ンド を参照してください。 • pem : 証明書要求に Privacy Enhanced Mail(PEM)の境界を追加します。 (注) 自動登録をサポートするには、TFTP または手動でのカットアンドペースト以外の登録方式を設定する必要があります。 |
ステップ 5 |
eckeypair label
Router(ca-trustpoint)# eckeypair Router_1_Key |
(任意)ECDSA の署名を使用して証明書要求を生成する Elliptic Curve(EC)キーを使用するように、トラストポイントを設定します。 label 引数には、EC キーのラベルを指定します。このラベルは、グローバル コンフィギュレーション モードで crypto key generate rsa または crypto key generate ec keysize コマンドを使用して設定します。詳細については、『 Configuring Internet Key Exchange for IPsec VPNs 』フィーチャ モジュールを参照してください。 (注) トラストポイントの設定を使用せずに ECDSA の署名を持つ証明書をインポートする場合、ラベルにはデフォルトで FQDN の値が使用されます。 |
ステップ 6 |
subject-name [x.500-name]
Router(ca-trustpoint)# subject-name cat |
(任意)証明書要求で使用される件名を指定します。 • x.500-name :この名前が指定されていない場合、Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)が使用されます。FQDN はデフォルトの件名です。 |
ステップ 7 |
ip address {ip-address | interface | none}
Router(ca-trustpoint)# ip address 192.168.1.66 |
(任意)指定されたインターフェイスの IP アドレスを証明書要求に含めます。 • IP アドレスを含めない場合は、 none キーワードを発行します。 (注) このコマンドがイネーブルになっている場合、このトラストポイントの登録時に IP アドレスのプロンプトは表示されません。 |
ステップ 8 |
serial-number [none]
Router(ca-trustpoint)# serial-number |
(任意) none キーワードが発行 されない限り、 証明書要求で ルータのシリアル番号を指定します。 • none キーワードを発行し、シリアル番号が証明書要求に含まれないことを指定します。 |
ステップ 9 |
auto-enroll [percent] [regenerate]
Router(ca-trustpoint)# auto-enroll regenerate |
(任意)自動登録をイネーブルにします。これにより、クライアントは CA から自動的にロールオーバー証明書を要求できます。 • 自動登録イネーブルでない場合、証明書の失効時にクライアントを手動で PKI に再登録する必要があります。 • デフォルトでは、 ルータの Domain Name System(DNS; ドメイン ネーム システム)名だけが証明書に含められます 。 • 現行の証明書の有効期間が指定のパーセンテージに達したときに、新しい証明書が要求されるように指定するには、 percent 引数を使用します。 • 名前付きのキーがすでに存在する場合でも、証明書の新しいキーを生成するには、 regenerate キーワードを使用します。 「!RSA key pair associated with trustpoint is exportable.」 (注) 新しいキー ペアは、セキュリティ上の問題に対処するために生成することを推奨します。 |
ステップ 10 |
usage method1 [ method2 [ method3 ]]
Router(ca-trustpoint)# usage ssl-client |
(任意)証明書の目的の用途を指定します。 • 指定可能なオプションは ike 、 ssl-client 、および ssl-server です。デフォルトは ike です。 |
ステップ 11 |
password string
Router(ca-trustpoint)# password string1 |
(任意)証明書の失効パスワードを指定します。 • このコマンドがイネーブルになっている場合、このトラストポイントの登録時にパスワードは求められません。 (注) SCEP が使用されている場合、このパスワードを使用して証明書要求を認可できます(多くの場合、ワンタイム パスワードまたは類似のメカニズムによって行われます)。 |
ステップ 12 |
rsakeypair key-label [ key-size [ encryption-key-size ]]
Router(ca-trustpoint)# rsakeypair cat |
(任意)証明書に関連付けるキー ペアを指定します。 • key-label 付きの キー ペア がまだ存在しない、あるいは auto-enroll regenerate コマンドが発行された場合は、登録時にキー ラベル付きのキー ペアが生成されます。 • キーを生成するための key-size 引数を指定し、 encryption-key-size 引数を指定して、個別の暗号化、署名キー、および証明書を要求します。 (注) このコマンドがイネーブルでない場合に、FQDN キー ペアが使用されます。 |
ステップ 13 |
fingerprint ca-fingerprint
Router(ca-trustpoint)# fingerprint 12EF53FA 355CD23E 12EF53FA 355CD23E |
(任意)認証時に CA 証明書のフィンガープリントと照合するフィンガープリントを指定します。 (注) フィンガープリントが指定されておらず、CA 証明書の認証がインタラクティブな場合、フィンガープリントは検証用に表示されます。 |
ステップ 14 |
on devicename :
Router(ca-trustpoint)# on usbtoken0: |
(任意)自動登録の初期キー生成時に、RSA キーが指定された装置に対して作成されるよう指定します。 • 指定可能な装置には、NVRAM、ローカル ディスク、および Universal Serial Bus(USB; ユニバーサル シリアル バス)トークンがあります。USB トークンは、ストレージ デバイス以外に、暗号化装置として使用できます。USB トークンを暗号化装置として使用すると、トークンでキー生成、署名、認証などの RSA 操作を実行できます。 |
ステップ 15 |
exit
Router(ca-trustpoint)# exit |
CA トラストポイント コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
ステップ 16 |
crypto pki authenticate name
Router(config)# crypto pki authenticate mytp |
CA 証明書を取得して、認証します。 • 証明書フィンガープリントをチェックするよう求められた場合、証明書フィンガープリントをチェックします。 |
ステップ 17 |
exit
Router(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
ステップ 18 |
copy system:running-config nvram:startup-config
Router# copy system:running-config nvram:startup-config |
(任意)実行コンフィギュレーションを NVRAM スタートアップ コンフィギュレーションにコピーします。 (注) 実行コンフィギュレーションが変更されていても NVRAM に書き込まれていない場合は、自動登録によって NVRAM が更新されません。 |
ステップ 19 |
show crypto pki certificates
Router# show crypto pki certificates |
(任意)ロールオーバー証明書などの、証明書に関する情報を表示します。 |
証明書登録要求用の PEM 形式ファイル
証明書要求用の PEM 形式ファイルは、端末またはプロファイルベースの登録を使用して CA サーバから証明書を要求する場合に役立ちます。PEM 形式ファイルを使用すると、Cisco IOS ルータで既存の証明書を直接使用できます。
手動での証明書登録に関する制約事項
SCEP の制約事項
SCEP が使用されている場合、URL を切り替えることは推奨しません。つまり、登録 URL が「http://myca」である場合、CA 証明書を取得した後と証明書を登録する前で、登録 URL を変更しないでください。ユーザは、TFTP と手動でのカットアンドペーストを切り替えることができます。
キー再生に関する制約事項
crypto key generate コマンドを使用して、キーを手動で再生しないでください。キーの再生は、 regenerate キーワードを指定して crypto pki enroll コマンドを発行します。
カットアンドペーストによる証明書登録の設定
この作業は、カットアンドペーストによる証明書登録を設定するために実行します。PKI に参加しているピアに対してカットアンドペースト方式による手動での証明書登録を設定するには、次の作業を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto pki trustpoint name
4. enrollment terminal [ pem ]
5. fingerprint ca-fingerprint
6. exit
7. crypto pki authenticate name
8. crypto pki enroll name
9. crypto pki import name certificate
10. exit
11. show crypto pki certificates
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto pki trustpoint name
Router(config)# crypto pki trustpoint mytp |
トラストポイントおよび設定された名前を宣言して、CA トラストポイント コンフィギュレーション モードを開始します。 |
ステップ 4 |
enrollment terminal [ pem ]
Router(ca-trustpoint)# enrollment terminal |
カットアンドペーストによる手動での証明書登録方式を指定します。 • 証明書要求は、手動でコピー(または切り取り)できるように、コンソール端末上に表示されます。 • pem :PEM 形式の証明書要求をコンソール端末に対して生成するようトラストポイントを設定します。 |
ステップ 5 |
fingerprint ca-fingerprint
Router(ca-trustpoint)# fingerprint 12EF53FA 355CD23E 12EF53FA 355CD23E |
(任意)認証時に CA 証明書のフィンガープリントと照合するフィンガープリントを指定します。 (注) フィンガープリントが指定されていない場合は、フィンガープリントは検証用に表示されます。 |
ステップ 6 |
exit
Router(ca-trustpoint)# exit |
CA トラストポイント コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
ステップ 7 |
crypto pki authenticate name
Router(config)# crypto pki authenticate mytp |
CA 証明書を取得して、認証します。 |
ステップ 8 |
crypto pki enroll name
Router(config)# crypto pki enroll mytp |
証明書要求を生成し、証明書サーバにコピーおよびペーストするために要求を表示します。 • 証明書要求にルータの FQDN および IP アドレスを含めるかどうかなどの登録情報を求められます。コンソール端末に対して証明書要求を表示するかについても選択できます。 • 必要に応じて、Base 64 符号化証明書を PEM ヘッダーを付けて、または付けずに表示します。 |
ステップ 9 |
crypto pki import name certificate
Router(config)# crypto pki import mytp certificate |
コンソール端末で証明書を手動でインポートします(貼り付けます)。 • Base 64 符号化証明書はコンソール端末から受け取られ、内部証明書データベースに挿入されます。 (注) 用途キー、署名キー、および暗号キーを使用する場合は、このコマンドを 2 度入力する必要があります。このコマンドが初めて入力されたとき、証明書の 1 つがルータにペーストされます。このコマンドが 2 回目に入力されたとき、もう 1 つの証明書がルータにペーストされます。どちらの証明書が先にペーストされても問題ありません。 (注) 一部の CA は、証明書要求の用途キー情報を無視し、汎用目的の証明書を発行します。ご使用の認証局がこれに該当する場合は、汎用目的の証明書をインポートしてください。ルータは、生成される 2 つのキー ペアのいずれも使用しません。 |
ステップ 10 |
exit
Router(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
ステップ 11 |
show crypto pki certificates
Router# show crypto pki certificates |
(任意)証明書、CA の証明書、および RA 証明書に関する情報を表示します。 |
TFTP による証明書登録の設定
この作業は、TFTP による証明書登録を設定するために実行します。この作業を実行すると、TFTP サーバを使用して手動で証明書登録を設定できます。
TFTP による証明書登録の前提条件
• TFTP によって証明書登録を設定する場合は、使用する適切な URL がわかっている必要があります。
• ルータは、 crypto pki enroll コマンドで TFTP サーバにファイルを書き込むことができる必要があります。
• ファイル指定と共に enrollment コマンドを使用する場合、ファイルには、バイナリ フォーマットまたは Base 64 符号化の CA 証明書が含まれている必要があります。
• ご使用の CA が証明書要求内のキーの用途情報を無視し、汎用目的の証明書だけを発行するかどうかを知っておく必要があります。
注意 一部の TFTP サーバでは、サーバが書き込み可能になる前に、ファイルがサーバ上に存在している必要があります。
ほとんどの TFTP サーバでは、ファイルを上書きできる必要があります。任意のルータまたは他の装置によって証明書要求が書き込まれたり、上書きされることがあるため、この要件によって危険が生じる可能性があります。そのため、証明書要求を許可する前に、まず登録要求フィンガープリントをチェックする必要がある CA 管理者は交換証明書要求を使用しません。
手順の概要
1. enable
2. configure terminal
3. crypto pki trustpoint name
4. enrollment [ mode ] [ retry period minutes ] [ retry count number ] url url [ pem ]
5. fingerprint ca-fingerprint
6. exit
7. crypto pki authenticate name
8. crypto pki enroll name
9. crypto pki import name certificate
10. exit
11. show crypto pki certificates
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto pki trustpoint name
Router(config)# crypto pki trustpoint mytp |
トラストポイントおよび設定された名前を宣言して、CA トラストポイント コンフィギュレーション モードを開始します。 |
ステップ 4 |
enrollment [ mode ] [ retry period minutes] [ retry count number] url url [ pem ]
Router(ca-trustpoint)# enrollment url tftp://certserver/file_specification |
登録要求を送信して、CA 証明書とルータ証明書および任意のオプションのパラメータを取得するための登録方式として TFTP を指定します。 (注) TFTP 登録の場合、URL は TFTP URL(tftp://example_tftp_url)として設定する必要があります。 • TFTP URL には、任意のファイル指定ファイル名を使用できます。ファイル指定が含まれていない場合は、FQDN が使用されます。ファイル指定が含まれている場合は、ルータは指定されたファイル名に「.ca」という拡張子を付加します。 |
ステップ 5 |
fingerprint ca-fingerprint
Router(ca-trustpoint)# fingerprint 12EF53FA 355CD23E 12EF53FA 355CD23E |
(任意)CA 管理者からアウトオブバンド方式によって受け取る CA 証明書のフィンガープリントを指定します。 (注) フィンガープリントが指定されていない場合は、フィンガープリントは検証用に表示されます。 |
ステップ 6 |
exit
Router(ca-trustpoint)# exit |
CA トラストポイント コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
ステップ 7 |
crypto pki authenticate name
Router(config)# crypto pki authenticate mytp |
指定された TFTP サーバから CA 証明書を取得して認証します。 |
ステップ 8 |
crypto pki enroll name
Router(config)# crypto pki enroll mytp |
証明書要求を生成し、この要求を TFTP サーバに書き込みます。 • 証明書要求にルータの FQDN および IP アドレスを含めるかどうかなどの登録情報を求められます。コンソール端末に証明書要求を表示するかどうかについて尋ねられます。 • 書き込まれるファイル名には「.req」という拡張子が付加されます。用途キー、署名キー、および暗号キーの場合、2 つの要求が生成されて送信されます。用途キーの要求ファイル名には、拡張子「-sign.req」および「-encr.req」がそれぞれ付加されます。 |
ステップ 9 |
crypto pki import name certificate
Router(config)# crypto pki import mytp certificate |
許可された証明書を取得するコンソール端末で、TFTP によって証明書をインポートします。 • ルータは、拡張子が「.req」から「.crt」に変更されたことを除いて、要求の送信に使用した同じファイル名を使用して、許可された証明書を TFTP によって取得しようと試みます。用途キー証明書の場合、拡張子「-sign.crt」および「-encr.crt」が使用されます。 • ルータは、受信したファイルを解析して証明書を検証し、証明書をルータの内部証明書データベースに挿入します。 (注) 一部の CA は、証明書要求の用途キー情報を無視し、汎用目的の証明書を発行します。ご使用の CA が証明書要求の用途キー情報を無視する場合は、汎用目的の証明書だけをインポートしてください。ルータは、生成される 2 つのキー ペアのいずれも使用しません。 |
ステップ 10 |
exit
Router(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
ステップ 11 |
show crypto pki certificates
Router# show crypto pki certificates |
(任意)証明書、CA の証明書、および RA 証明書に関する情報を表示します。 |
Trend Micro サーバとセキュアな通信を行うための URL リンクの認証
この作業は、Trend Micro サーバとセキュアに通信できるようにする URL フィルタリングで使用されるリンクを認証するために実行します。
手順の概要
1. enable
2. clock set hh : mm : ss date month year
3. configure terminal
4. clock timezone zone hours-offset [ minutes-offset ]
5. ip http server
6. hostname name
7. ip domain-name name
8. crypto key generate rsa general-keys modulus modulus-size
9. crypto pki trustpoint name
10. enrollment terminal
11. crypto ca authenticate name
12. Base 64 符号化の CA 証明書が含まれている次のテキスト部分をコピーし、プロンプトにペーストします。
13. yes と入力し、この証明書を受け入れます。
14. serial-number
15. revocation-check none
16. end
17. trm register
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
clock set hh : mm : ss date month year
Router# clock set 23:22:00 22 Dec 2009 |
ルータのクロックを設定します。 |
ステップ 3 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 4 |
clock timezone zone hours-offset [ minutes-offset ]
Router(config)# clock timezone PST -08 |
時間帯を設定します。 • zone 引数は、時間帯を表す名前(通常は標準的な略語)です。 hours-offset 引数は、使用する時間帯が Universal Time Coordinated(UTC; 協定世界時)から異なる時間数です。 minutes-offset 引数は、使用する時間帯が UTC から異なる分数です。 になります。 |
ステップ 5 |
ip http server
Router(config)# ip http server
|
HTTP サーバをイネーブルにします。 |
ステップ 6 |
hostname name
Router(config)# hostname hostname1 |
ルータのホスト名を設定します。 |
ステップ 7 |
ip domain-name name
Router(config)# ip domain-name example.com |
ルータのドメイン名を定義します。 |
ステップ 8 |
crypto key generate rsa general-keys modulus modulus-size
Router(config)# crypto key generate rsa general-keys modulus general |
暗号キーを生成します。 • general-keys キーワードは、汎用のキー ペアが生成されることを指定します。これがデフォルトです。 • modulus キーワードと modulus-size 引数は、キーのモジュラスの IP サイズを指定します。デフォルトでは、CA キーのモジュラス サイズは 1024 ビットです。汎用キーのモジュラスのサイズを 360 ~ 2048 の範囲で選択します。キーのモジュラスのサイズに 512 を超える値を選択した場合、ルータでのコマンド処理に数分かかることがあります。 (注) 生成される汎用キーの名前は、手順 7 で設定したドメイン名に基づきます。たとえば、キーの名前は「example.com」になります。 |
ステップ 9 |
crypto pki trustpoint name
Router(config)# crypto pki trustpoint mytp |
ルータが使用する CA を宣言し、CA トラストポイント コンフィギュレーション モードを開始します。 コマンドに置き換えられました。 |
ステップ 10 |
enrollment terminal
Router(ca-trustpoint)# enrollment terminal |
カットアンドペーストによる手動での証明書登録方式を指定します。 • 証明書要求は、手動でコピー(または切り取り)できるように、コンソール端末上に表示されます。 |
ステップ 11 |
crypto ca authenticate name
Router(ca-trustpoint)# crypto ca authenticate mytp
|
CA の名前を引数として取得し、これを認証します。 • 次のコマンドの出力が表示されます。
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself.
|
ステップ 12 |
Base 64 符号化の CA 証明書が含まれている右のテキスト部分をコピーし、プロンプトにペーストします。 |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 次のコマンドの出力が表示されます。
Certificate has the following attributes:
Fingerprint MD5: 67CB9DC0 13248A82 9BB2171E D11BECD4
Fingerprint SHA1: D23209AD 23D31423 2174E40D 7F9D6213 9786633A
|
ステップ 13 |
yes と入力し、この証明書を受け入れます。 |
% Do you accept this certificate? [yes/no]: yes
次のコマンドの出力が表示されます。
Trustpoint CA certificate accepted.
% Certificate successfully imported
|
ステップ 14 |
serial-number
hostname1(ca-trustpoint)# serial-number |
ルータのシリアル番号を 証明書要求で 指定します。 |
ステップ 15 |
revocation-check none
hostname1(ca-trustpoint)# revocation-check none |
証明書の確認が無視されることを指定します。 |
ステップ 16 |
end
hostname1(ca-trustpoint)# end |
CA トラストポイント コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
ステップ 17 |
trm register
hostname1# trm register |
Trend Micro サーバ登録プロセスを手動で開始します。 |
永続的自己署名証明書の概要
SSL プロトコルは、HTTPS サーバとクライアント(Web ブラウザ)の間でセキュアな接続を確立するために使用されます。SSL ハンドシェイクの間、クライアントは、すでに所有している証明書を使用して SSL サーバの証明書が検証可能であると想定します。
Cisco IOS ソフトウェアが HTTP サーバで使用できる証明書を保持していない場合、サーバは、PKI Application Programming Interface(API; アプリケーション プログラミング インターフェイス)を呼び出して自己署名証明書を生成します。クライアントがこの自己署名証明書を受け取ったにもかかわらず、検証できない場合、ユーザによる介入が必要です。クライアントは、証明書を受け入れるか、あとで使用するために保存するかどうかを尋ねます。証明書を受け入れると、SSL ハンドシェイクは続行されます。
それ以降、同じクライアントとサーバ間の SSL ハンドシェイクでは、同じ証明書が使用されます。ただし、ルータをリロードすると、自己署名証明書は失われます。その場合、HTTPS サーバは新しい自己署名証明書を作成する必要があります。この新しい自己署名証明書は前の証明書と一致しないため、この自己署名証明書を受け入れるかどうか再度確認されます。
ルータがリロードするたびにルータの証明書を受け入れるかどうか確認されると、この確認中に、攻撃者に不正な証明書を使用する機会を与えてしまうことがあります。永続的自己署名証明書では、ルータのスタートアップ コンフィギュレーションに証明書を保存することにより、これらの制約をすべて解消しています。
制約事項
1 つの永続的自己署名証明書には、トラストポイントを 1 つだけ設定できます。
(注) 自己署名証明書の作成後は、ルータの IP ドメイン名またはホスト名を変更しないでください。いずれかの名前を変更すると、自己署名証明書の再生がトリガーされて、設定済みのトラストポイントが上書きされます。WebVPN は、SSL トラストポイント名を WebVPN ゲートウェイ設定に結合します。新しい自己署名証明書がトリガーされると、新しいトラストポイント名が WebVPN 設定と一致しなくなり、WebVPN 接続は失敗します。
トラストポイントの設定および自己署名証明書パラメータの指定
トラストポイントを設定し、自己署名証明書パラメータを指定するには、次の作業を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto pki trustpoint name
4. enrollment selfsigned
5. subject-name [ x.500-name ]
6. rsakeypair key-label [ key-size [ encryption-key-size ]]
7. crypto pki enroll name
8. end
9. show crypto pki certificates [ trustpoint-name [ verbose ]]
10. show crypto pki trustpoints [ status | label [ status ]]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto pki trustpoint name
Router(config)# crypto pki trustpoint local |
ルータが使用する CA を宣言し、CA トラストポイント コンフィギュレーション モードを開始します。 コマンドに置き換えられました。 |
ステップ 4 |
enrollment selfsigned
Router(ca-trustpoint)# enrollment selfsigned |
自己署名登録を指定します。 |
ステップ 5 |
subject-name [
x.500-name ]
Router(ca-trustpoint)# subject-name
|
(任意)証明書要求に使用する要求件名を指定します。 • x-500-name 引数を指定しない場合、デフォルト件名である FQDN が使用されます。 |
ステップ 6 |
rsakeypair
key-label [key-size [encryption-key-size]]
Router(ca-trustpoint)# rsakeypair examplekeys 1024 1024
|
(任意)証明書に関連付けるキー ペアを指定します。 • key-label 引数がまだ存在しない、あるいは auto-enroll regenerate コマンドが発行された場合は、 key-label 引数の値は登録時に生成されます。 • キーを生成するための key-size 引数を指定し、 encryption-key-size 引数を指定して、個別の暗号化、署名キー、および証明書を要求します。 (注) このコマンドがイネーブルでない場合に、FQDN キー ペアが使用されます。 |
ステップ 7 |
Router(ca-trustpoint)# crypto pki enroll local
|
永続的自己署名証明書を生成するようルータに指示します。 |
ステップ 8 |
end
Router(ca-trustpoint)# end
|
(任意)CA トラストポイント コンフィギュレーション モードを終了します。 • グローバル コンフィギュレーション モードを終了するため、このコマンドをもう一度入力します。 |
ステップ 9 |
show crypto pki certificates [ trustpoint-name [ verbose ]]
Router# show crypto pki certificates local verbose |
証明書、認証局証明書、および任意の登録認局証明書に関する情報を表示します。 |
ステップ 10 |
show crypto pki trustpoints [ status | label [ status ]]
Router# show crypto pki trustpoints status |
ルータに設定されているトラストポイントを表示します。 |
HTTPS サーバのイネーブル化
HTTPS サーバをイネーブルにするには、次の作業を実行します。
前提条件
パラメータを指定するには、トラストポイントを作成し、設定する必要があります。デフォルト値を使用するには、すべての既存の自己署名トラストポイントを削除します。自己署名トラストポイントをすべて削除すると、HTTPS サーバがイネーブルになるとただちに、サーバはデフォルト値を使用して永続的自己署名証明書を生成します。
手順の概要
1. enable
2. configure terminal
3. ip http secure-server
4. end
5. copy system:running-config nvram: startup-config
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
Router(config)# ip http secure-server |
HTTPS Web サーバをイネーブルにします。 (注) キー ペア(Modulus 1024)および証明書が生成されます。 |
ステップ 4 |
end
Router(config)# end |
グローバル コンフィギュレーション モードを終了します。 |
ステップ 5 |
copy system:running-config nvram: startup-config
Router# copy system:running-config nvram: startup-config |
イネーブルになっているモードで自己署名証明書および HTTPS サーバを保存します。 |
登録または再登録用の証明書登録プロファイルの設定
この作業は、登録または再登録用の証明書登録プロファイルを設定するために実行します。この作業は、サードパーティ ベンダー製 CA にすでに登録されている証明書またはルータを Cisco IOS CA に登録または再登録するための登録プロファイルを設定するのに役立ちます。
登録要求が自動的に許可されるように、サードパーティ ベンダー製 CA に登録されているルータを Cisco IOS 証明書サーバに登録するには、このルータをイネーブルにして、その既存の証明書を使用します。この機能をイネーブルにするには、 enrollment credential コマンドを発行する必要があります。また、手動による証明書登録は設定できません。
前提条件
次の作業は、サードパーティ ベンダー製 CA にすでに登録されているクライアント ルータの証明書登録プロファイルを設定する前に、クライアント ルータで実行します。これにより、そのルータを Cisco IOS 証明書サーバに再登録できます。
• サードパーティ ベンダー製 CA をポイントするトラストポイントの定義
• サードパーティ ベンダー製 CA でのクライアント ルータの認証および登録
制約事項
• 証明書プロファイルを使用するには、ネットワークに、CA への HTTP インターフェイスが設定されている必要があります。
• 登録プロファイルが指定されている場合、トラストポイント設定に登録 URL が指定されていないことがあります。両方のコマンドがサポートされていても、トラストポイントに使用できるコマンドは一度に 1 つだけです。
• 各 CA で使用される HTTP コマンドには規格がないため、ユーザは使用している CA に適したコマンドを入力する必要があります。
手順の概要
1. enable
2. configure terminal
3. crypto pki trustpoint name
4. enrollment profile label
5. exit
6. crypto pki profile enrollment label
7. authentication url url
または
authentication terminal
8. authentication command
9. enrollment url url
または
enrollment terminal
10. enrollment credential label
11. enrollment command
12. parameter number { value value | prompt string }
13. exit
14. show crypto pki certificates
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto pki trustpoint name
Router(config)# crypto pki trustpoint Entrust |
トラストポイントおよび設定された名前を宣言して、CA トラストポイント コンフィギュレーション モードを開始します。 |
ステップ 4 |
enrollment profile label
Router(ca-trustpoint)# enrollment profile E |
登録プロファイルが証明書認証および登録用に使用されるように指定します。 |
ステップ 5 |
exit
Router(ca-trustpoint)# exit |
CA トラストポイント コンフィギュレーション モードを終了します。 |
ステップ 6 |
crypto pki profile enrollment label
Router(config)# crypto pki profile enrollment E |
登録プロファイルを定義し、ca-profile-enroll コンフィギュレーション モードを開始します。 • label :登録プロファイルの名前。登録プロファイル名は、 enrollment profile コマンドで指定された名前と同じである必要があります。 |
ステップ 7 |
authentication url url または authentication terminal
Router(ca-profile-enroll)# authentication url http://entrust:81 または Router(ca-profile-enroll)# authentication terminal |
証明書認証要求の送信先となる CA サーバの URL を指定します。 • url :ルータが認証要求を送信する CA サーバの URL。 HTTP を使用する場合、URL は「http://CA_name」という形式にする必要があります。ここで、CA_name は CA のホスト DNS 名または IP アドレスです。 TFTP を使用する場合、URL は「tftp://certserver/file_specification」という形式にする必要があります(URL にファイル指定が含まれない場合、ルータの FQDN が使用されます)。 カットアンドペーストによる手動での証明書認証を指定します。 |
ステップ 8 |
authentication command
Router(ca-profile-enroll)# authentication command |
- (任意)認証のために CA に送信される HTTP コマンドを指定します。
|
ステップ 9 |
enrollment url url または enrollment terminal
Router(ca-profile-enroll)# enrollment url http://entrust:81/cda-cgi/clientcgi.exe または Router(ca-profile-enroll)# enrollment terminal |
証明書登録要求を HTTP または TFTP によって送信する CA サーバの URL を指定します。 カットアンドペーストによる手動での証明書登録を指定します。 |
ステップ 10 |
enrollment credential label
Router(ca-profile-enroll)# enrollment credential Entrust |
(任意)Cisco IOS CA に登録される サードパーティ ベンダー製 CA トラストポイントを指定します。 (注) 手動での証明書登録が使用されている場合、このコマンドは発行できません。 |
ステップ 11 |
enrollment command
Router(ca-profile-enroll)# enrollment command |
(任意)登録のために CA に送信される HTTP コマンドを指定します。 |
ステップ 12 |
parameter number { value value | prompt string }
Router(ca-profile-enroll)# parameter 1 value aaaa-bbbb-cccc |
(任意)登録プロファイルのパラメータを指定します。 • このコマンドを繰り返して使用すると、複数の値を指定できます。 |
ステップ 13 |
exit
Router(ca-profile-enroll)# exit |
(任意)ca-profile-enroll コンフィギュレーション モードを終了します。 • グローバル コンフィギュレーション モードを終了するため、このコマンドをもう一度入力します。 |
ステップ 14 |
show crypto pki certificates
Router# show crypto pki certificates |
(任意)証明書、CA の証明書、および RA 証明書に関する情報を表示します。 |
次の作業
Cisco IOS CA に再登録するようにルータを設定した場合に この機能を活用するには、指定されたサードパーティ ベンダー製 CA トラストポイントに登録されたクライアントからだけ登録要求を受け入れるように Cisco IOS 証明書サーバを設定する必要があります。詳細については、 「PKI 展開での Cisco IOS 証明書サーバの設定および管理」を参照してください。
PKI 証明書登録要求の設定例
ここでは、次の設定例を示します。
• 「証明書登録または自動登録の設定例」
• 「自動登録の設定例」
• 「証明書自動登録とキー再生の設定例」
• 「カットアンドペーストによる証明書登録の設定例」
• 「キー再生を使用した手動での証明書登録の設定例」
• 「永続的自己署名の証明書の作成および検証例」
• 「HTTP による直接登録の設定例」
証明書登録または自動登録の設定例
次の例では、「mytp-A」証明書サーバおよび関連付けられたトラストポイントの設定を示します。この例では、トラストポイントの初期の自動登録によって生成された RSA キーが USB トークン「usbtoken0」に保管されます。
issuer-name CN=company, L=city, C=country
! Specifies that certificate requests will be granted automatically.
crypto pki trustpoint mytp-A
! Specifies that keys will be stored on usbtoken0:.
! Specifies that keys generated on initial auto enroll will be generated on and stored on ! usbtoken0:
自動登録の設定例
次の例では、自動ロールオーバーをイネーブルにして、ルータが起動時に自動的に CA に登録されるように設定する方法、および必要なすべての登録情報を設定に指定する方法を示します。
crypto pki trustpoint trustpt1
enrollment url http://trustpt1.example.com//
subject-name OU=Spiral Dept., O=example.com
crypto pki certificate chain trustpt1
30820293 3082023D A0030201 0202010B 300D0609 2A864886 F70D0101 04050030
79310B30 09060355 04061302 5553310B 30090603 55040813 02434131 15301306
0355040A 130C4369 73636F20 53797374 656D3120 301E0603 55040B13 17737562
6F726420 746F206B 6168756C 75692049 50495355 31243022 06035504 03131B79
6E692D75 31302043 65727469 66696361 7465204D 616E6167 6572301E 170D3030
30373134 32303536 32355A17 0D303130 37313430 31323834 335A3032 310E300C
06035504 0A130543 6973636F 3120301E 06092A86 4886F70D 01090216 11706B69
2D343562 2E636973 636F2E63 6F6D305C 300D0609 2A864886 F70D0101 01050003
4B003048 024100B3 0512A201 3B4243E1 378A9703 8AC5E3CE F77AF987 B5A422C4
15E947F6 70997393 70CF34D6 63A86B9C 4347A81A 0551FC02 ABA62360 01EF7DD2
6C136AEB 3C6C3902 03010001 A381F630 81F3300B 0603551D 0F040403 02052030
1C060355 1D110415 30138211 706B692D 3435622E 63697363 6F2E636F 6D301D06
03551D0E 04160414 247D9558 169B9A21 23D289CC 2DDA2A9A 4F77C616 301F0603
551D2304 18301680 14BD742C E892E819 1D551D91 683F6DB2 D8847A6C 73308185
0603551D 1F047E30 7C307AA0 3CA03AA4 38303631 0E300C06 0355040A 13054369
73636F31 24302206 03550403 131B796E 692D7531 30204365 72746966 69636174
65204D61 6E616765 72A23AA4 38303631 0E300C06 0355040A 13054369 73636F31
24302206 03550403 131B796E 692D7531 30204365 72746966 69636174 65204D61
6E616765 72300D06 092A8648 86F70D01 01040500 03410015 BC7CECF9 696697DF
E887007F 7A8DA24F 1ED5A785 C5C60452 47860061 0C18093D 08958A77 5737246B
0A25550A 25910E27 8B8B428E 32F8D948 3DD1784F 954C70
(注) この例では、キーは再生もロールオーバーもされません。
証明書自動登録とキー再生の設定例
次の例では、ルータが起動時に「trustme1」という CA に自動的に登録され、自動ロールオーバーがイネーブルになるように設定する方法を示します。 regenerate キーワードが発行されるため、自動ロールオーバー プロセスが開始されると、新しいキーが証明書に対して生成され、再発行されます。更新パーセンテージが 90 に設定されているため、証明書の有効期間が 1 年の場合は、古い証明書が失効する 36.5 日前に新しい証明書が要求されます。実行コンフィギュレーションを変更しても、NVRAM に書き込まないかぎり自動登録によって NVRAM が更新されないため、実行コンフィギュレーションの変更は NVRAM スタートアップ コンフィギュレーションに保存されます。
crypto pki trustpoint trustme1
enrollment url http://trustme1.example.com/
subject-name OU=Spiral Dept., O=example.com
auto-enroll 90 regenerate
crypto pki authenticate trustme1
copy system:running-config nvram:startup-config
カットアンドペーストによる証明書登録の設定例
次の例では、カットアンドペーストによる手動での登録方式を使用して、証明書登録を設定する方法を示します。
Router(config)#
crypto pki trustpoint TP
Router(ca-trustpoint)#
enrollment terminal
Router(ca-trustpoint)#
crypto pki authenticate TP
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint: D6C12961 CD78808A 4E02193C 0790082A
% Do you accept this certificate? [yes/no]:
y
Trustpoint CA certificate accepted.
% Certificate successfully imported
Router(config)#
crypto pki enroll TP
% Start certificate enrollment..
% The subject name in the certificate will be:
Router.example.com
% Include the router serial number in the subject name? [yes/no]:
n
% Include an IP address in the subject name? [no]:
n
Display Certificate Request to terminal? [yes/no]:
y
Signature key certificate request -
Certificate Request follows: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 enrollment request? [yes/no]:
Encryption key certificate request -
Certificate Request follows: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 enrollment request? [yes/no]:
n
Router(config)#
crypto pki import TP certificate
Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself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% Router Certificate successfully imported
Router(config)#
crypto pki import TP cert
Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself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% Router Certificate successfully imported
証明書が正常にインポートされたかどうかを確認するには、 show crypto pki certificates コマンドを発行します。
Router# show crypto pki certificates
Certificate Serial Number: 14DECE05000000000C48
Certificate Usage: Encryption
OID.1.2.840.113549.1.9.2 = Router.example.com
http://tpca-root/CertEnroll/tpca-root.crl
start date: 18:16:45 PDT Jun 7 2002
end date: 18:26:45 PDT Jun 7 2003
renew date: 16:00:00 PST Dec 31 1969
Associated Trustpoints: TP
Certificate Serial Number: 14DEC2E9000000000C47
Certificate Usage: Signature
OID.1.2.840.113549.1.9.2 = Router.example.com
http://tpca-root/CertEnroll/tpca-root.crl
start date: 18:16:42 PDT Jun 7 2002
end date: 18:26:42 PDT Jun 7 2003
renew date: 16:00:00 PST Dec 31 1969
Associated Trustpoints: TP
Certificate Serial Number: 3AC0A65E9547C2874AAF2468A942D5EE
Certificate Usage: Signature
http://tpca-root/CertEnroll/tpca-root.crl
start date: 16:46:01 PST Feb 13 2002
end date: 16:54:48 PST Feb 13 2007
Associated Trustpoints: TP
キー再生を使用した手動での証明書登録の設定例
次の例では、「trustme2」という名前の CA から手動で証明書を登録して、新しいキーを再生する方法を示します。
crypto pki trustpoint trustme2
enrollment url http://trustme2.example.com/
subject-name OU=Spiral Dept., O=example.com
rsakeypair trustme2 2048s
crypto pki authenticate trustme2
crypto pki enroll trustme2
永続的自己署名の証明書の作成および検証例
次の例では、「local」という名前のトラストポイントを宣言して登録し、IP アドレスを含む自己署名証明書を生成する方法を示します。
crypto pki trustpoint local
Enter configuration commands, one per line. End with CNTL/Z.
Nov 29 20:51:13.067: %SSH-5-ENABLED: SSH 1.99 has been enabled
Nov 29 20:51:13.267: %CRYPTO-6-AUTOGEN: Generated new 512 bit key pair
% Include the router serial number in the subject name? [yes/no]: yes
% Include an IP address in the subject name? [no]: yes
Enter Interface name or IP Address[]: ethernet 0
Generate Self Signed Router Certificate? [yes/no]: yes
Router Self Signed Certificate successfully created
(注) ルータに設定できる自己署名証明書は 1 つだけです。自己署名証明書がすでに存在する場合に、別の自己署名証明書用に設定されたトラストポイントを登録しようとすると、通知が表示され、自己署名証明書を置き換えるかどうか尋ねられます。置き換える場合は、新しい自己署名証明書が生成され、既存の自己署名証明書と置き換えられます。
HTTPS サーバのイネーブル化の例
次の例では、以前に HTTPS サーバが設定されていなかったため、HTTPS サーバをイネーブルにし、デフォルト トラストポイントを生成する方法を示します。
Enter configuration commands, one per line. End with CNTL/Z.
% Generating 1024 bit RSA keys ...[OK]
*Dec 21 19:14:15.421:%PKI-4-NOAUTOSAVE:Configuration was modified. Issue "write memory" to save new certificate
(注) 自己署名証明書を保持し、次にルータをリロードしたときに HTTPS サーバをイネーブルにする場合は、コンフィギュレーションを NVRAM に保存する必要があります。
次のメッセージも表示されます。
*Dec 21 19:14:10.441:%SSH-5-ENABLED:SSH 1.99 has been enabled
(注) 自己署名証明書で使用されたキー ペアを作成すると、Secure Shell(SSH)サーバが起動します。この動作は抑制できません。ご使用の Access Control List(ACL; アクセス制御リスト)を変更して、ルータへの SSH アクセスを許可または拒否できます。ip ssh rsa keypair-name unexisting-key-pair-name コマンドを使用し、SSH サーバをディセーブルにできます。
自己署名証明書設定の検証例
次の例では、作成した自己署名証明書に関する情報を表示します。
Router# show crypto pki certificates
Router Self-Signed Certificate
Certificate Serial Number: 01
Certificate Usage: General Purpose
cn=IOS-Self-Signed-Certificate-3326000105
Name: IOS-Self-Signed-Certificate-3326000105
cn=IOS-Self-Signed-Certificate-3326000105
start date: 19:14:14 GMT Dec 21 2004
end date: 00:00:00 GMT Jan 1 2020
Associated Trustpoints: TP-self-signed-3326000105
(注) 上記の 3326000105 という数値はルータのシリアル番号で、これはルータの実際のシリアル番号によって異なります。
次の例では、自己署名証明書に対応するキー ペアに関する情報を表示します。
Router# show crypto key mypubkey rsa
% Key pair was generated at: 19:14:10 GMT Dec 21 2004
Key name: TP-self-signed-3326000105
Usage: General Purpose Key
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00B88F70
6BC78B6D 67D6CFF3 135C1D91 8F360292 CA44A032 5AC1A8FD 095E4865 F8C95A2B
BFD1C2B7 E64A3804 9BBD7326 207BD456 19BAB78B D075E78E 00D2560C B09289AE
6DECB8B0 6672FB3A 5CDAEE92 9D4C4F71 F3BCB269 214F6293 4BA8FABF 9486BCFC
2B941BCA 550999A7 2EFE12A5 6B7B669A 2D88AB77 39B38E0E AA23CB8C B7020301 0001
% Key pair was generated at: 19:14:13 GMT Dec 21 2004
Key name: TP-self-signed-3326000105.server
307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00C5680E 89777B42
463E5783 FE96EA9E F446DC7B 70499AF3 EA266651 56EE29F4 5B003D93 2FC9F81D
8A46E12F 3FBAC2F3 046ED9DD C5F27C20 1BBA6B9B 08F16E45 C34D6337 F863D605
34E30F0E B4921BC5 DAC9EBBA 50C54AA0 BF551BDD 88453F50 61020301 0001
(注) TP-self-signed-3326000105.server という 2 番目のキー ペアは、SSH キー ペアです。ルータに任意のキー ペアが作成されて SSH が起動すると、生成されます。
次の例では、「local」というトラストポイントに関する情報を表示します。
Router# show crypto pki trustpoints
serialNumber=C63EBBE9+ipaddress=10.3.0.18+hostname=test.example.com
Persistent self-signed certificate trust point
HTTP による直接登録の設定例
次の例では、HTTP による CA サーバへの直接登録ための登録プロファイルを設定する方法を示します。
crypto pki trustpoint Entrust
crypto pki profile enrollment E
authentication url http://entrust:81
authentication command GET /certs/cacert.der
enrollment url http://entrust:81/cda-cgi/clientcgi.exe
enrollment command POST reference_number=$P2&authcode=$P1
&retrievedAs=rawDER&action=getServerCert&pkcs10Request=$REQ
parameter 1 value aaaa-bbbb-cccc