PKI への登録のための Secure Device Provisioning(SDP)の設定に関する情報
証明書の登録のために SDP を使用する前に、次の概念を理解しておく必要があります。
• 「SDP の概要」
• 「SDP の機能」
• 「USB トークンを活用している SDP」
• 「SDP による外部 AAA データベースの使用方法」
• 「カスタム テンプレートの SDP での動作」
• 「PKI で SDP が Apple iPhone を導入する方法」
SDP の概要
SDP( Trusted Transitive Introduction(TTI )とも呼ばれている)は、新しいネットワーク デバイスと Virtual Private Network(VPN; バーチャル プライベート ネットワーク)間といった 2 つのエンド エンティティ間の双方向導入を実現する通信プロトコルです。SDP には次の 3 つのエンティティが必要です(図 1 を参照)。
• イントロデューサ:ペティショナをレジストラに紹介する相互に信頼できるデバイス。イントロデューサは、システム管理者などのデバイス ユーザの場合があります。
– イントロデューサは、管理イントロデューサとして設定できます。これにより紹介を行っている管理者は、紹介中のデバイスの名前を提供できます。提供されたデバイス名は、通常の SDP メカニズムにおいてイントロデューサの名前のように使用され、SDP 設定の既存機能を保持します。管理イントロデューサの機能の詳細については、 「管理イントロデューサの認証リストと認可リスト」 の項を参照してください。
• ペティショナ:セキュア ネットワークに紹介されるクライアント、あるいは新しいデバイス。
• レジストラ:ペティショナを認証するサーバ。レジストラは、証明書サーバの場合があります。
図 1 紹介後のセキュア通信
Cisco IOS Release 12.4(20)T 以降のリリースの時点では、ペティショナにあらかじめインターネット接続を確立しなくても、SDP プロセスを起動できます。予備接続段階と接続段階を利用することで、サービス プロバイダー経由のインターネット接続に対してペティショナを設定できます。予備接続段階と接続段階の詳細については、「SDP の機能」を参照してください。
レジストラは、外部 Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバと直接通信し、ペティショナのクレデンシャルを確認し、登録を許可または拒否して、特定のペティショナ設定情報を取得します。ペティショナとレジストラは、エンド ユーザであるイントロデューサへ Web ページを配信します。ペティショナは、イントロデューサの Web ブラウザを使用してリモート管理システムからブートストラップ設定を受信します。
SDP は、予備接続(オプション)、接続、開始(オプション)、ようこそ、紹介、および完了の可能な 6 つの段階により Web ブラウザ上に実装されます。各段階は、Web ページを通してユーザに表示されます。各段階の詳細については、「SDP の機能」を参照してください。
SDP の機能
ここでは、SDP が 2 つのデバイス間で PKI を展開する方法について説明します。
• 「SDP 予備接続段階」
• 「SDP 接続段階」
• 「SDP スタティック段階」
• 「SDP ようこそ段階」
• 「SDP 紹介段階」
• 「SDP 完了段階」
SDP プロセスは、イントロデューサにより Web ブラウザにロードされている 3 つの入口ページのいずれかで起動します。3 つの入口ページは、管理者から受信した SDP 予備接続段階、レジストラからロードされた開始段階、ペティショナからロードされたようこそ段階です。
サンプル図では、ローカル デバイス(ペティショナ)をレジストラのセキュア ドメインに紹介する方法を示しています。「イントロデューサ」は、エンド ユーザとも呼ばれます。
SDP 予備接続段階
予備接続ページはオプションです。予備接続ページがない場合、ペティショナは IP 接続を確立しておく必要があります。
管理者は予備接続テンプレートを設定し、予備接続ページをイントロデューサに送信する必要があります。詳細については、「デフォルトの予備接続テンプレート」を参照してください。
また管理者は、電話、E メール、セキュア E メール、CD、または USB トークンでセキュア ネットワークのユーザ名とパスワードを取得し、イントロデューサに連絡する必要があります。レジストラは、既存の AAA インフラストラクチャ(たとえば、既存の企業ドメインの一部である既存のユーザ名とパスワードのデータベース)を使用してイントロデューサを認証するよう設定できます。SDP 予備接続段階では、一般的な AAA インフラストラクチャで使用されているようなチャレンジ パスワード メカニズムがサポートされています。詳細については、「SDP による外部 AAA データベースの使用方法」を参照してください。
予備接続ページを受信後、イントロデューサはそのページを HTTP ブラウザが動作するコンピュータにロードする必要があります。イントロデューサが予備接続ページをローカル ファイルとして HTTP ブラウザにロードすると、予備接続ページが表示されます(図 2 を参照)。
図 2 SDP 予備接続ページのサンプル
イントロデューサが [Log onto Cisco Device] ボタンをクリックすると、ログイン ダイアログボックスが表示されます(図 3 を参照)。イントロデューサは、シスコ デバイスの出荷時デフォルトのユーザ名(cisco)とパスワード(cisco)を入力します。
図 3 ペティショナ ログイン ダイアログボックスのサンプル
イントロデューサはペティショナを認証し、既知の URL にアクセスすることでインターネット接続をテストします。www.cisco.com(198.133.219.25)へのアクセスがデフォルトでテストされます。管理者は、デフォルト予備接続テンプレートを変更することで、URL をテスト接続用に変更できます。デフォルト テスト URL および管理者が予備接続ページに対して設定できるその他フィールドの詳細については、 「デフォルトの予備接続テンプレート」 の項を参照してください。
(注) 予備接続ページに信頼できないレジストラの IP アドレスが含まれるよう変更されたり、予備接続ページが信頼できない発信元から E メール送信される可能性を減らすため、セキュア E メールなどのセキュアな方法を使用して予備接続ページを送信してください。
インターネット接続が確立されると、管理者により定義された予備接続テンプレート設定によって、開始ページまたはようこそページのいずれかが表示されます。インターネット接続が確立されていない場合は、接続ページが表示されます。
SDP 接続段階
接続ページは、予備接続ページが使用され、予備接続ページの完了時にペティショナの IP 接続がない場合だけ表示されます。接続ページには、Cisco IOS プラットフォームに柔軟性をもたらすため Dynamic Host Configuration Protocol(DHCP)、Point to Point Protocol over Ethernet(PPPoE)、またはスタティック IP アドレス割り当ての 3 つの IP アドレス割り当て方法があります。
(注) インターネット接続を確立する場合、Cisco IOS 設定では SDP 機能は使用されません。SDP 機能には Cisco IOS 設定にシグニチャがあり、送信中の値が変更されないようにします。
DHCP IP アドレス割り当て方法
イントロデューサが IP アドレス割り当て方法オプションとしてデフォルト方法である DHCP を選択すると(図 4 を参照)、[Connect] ボタンをクリックするとペティショナのインターネット接続が設定されます。
図 4 DHCP IP アドレス割り当て方法のサンプル接続ページ
PPPoE IP アドレス割り当て方法
イントロデューサが PPPoE を選択すると、PPPoE ユーザ名およびパスワードの入力フィールドが表示されます(図 5 を参照)。イントロデューサは、Internet Service Provider(ISP; インターネット サービス プロバイダー)により提供されたユーザ名とパスワードを入力し、[Connect] ボタンをクリックする必要があります。これによりペティショナのインターネット接続が設定されます。
図 5 PPPoE IP アドレス割り当て方法のサンプル接続ページ
スタティック IP アドレス割り当て方法
イントロデューサがスタティックを選択すると、IP アドレス、ネットマスク、およびデフォルト ゲートウェイの入力フィールドが表示されます(図 6 を参照)。イントロデューサは、ISP により提供された設定値を入力し、[Connect] ボタンをクリックする必要があります。これによりペティショナのインターネット接続が設定されます。
図 6 スタティック IP アドレス割り当て方法の接続ページ
接続ページ IP アドレス設定
IP アドレス設定後、予備接続テンプレートで管理者により設定された既知の URL(デフォルトで www.cisco.com)にアクセスすることで、インターネット接続を再度テストします。これでインターネット接続が確立されると、管理者により定義された予備接続テンプレート設定によって、開始ページまたはようこそページのいずれかが表示されます。インターネット接続が確立されない場合、イントロデューサは入力された設定を確認するか、管理者に連絡します。
SDP スタティック段階
開始ページはオプションです。SDP 交換中に開始ページがない場合、ようこそページで [Next] ボタンをクリックすると、ユーザはレジストラの紹介ページに送信されます。ユーザはまだレジストラに接続していないので、使用可能な資格情報を使用して(レジストラを設定するたびに)レジストラにログインする必要があります。ユーザがログイン データを入力した後では、レジストラに再接続できないブラウザもあります。Cisco IOS Release 12.4(4)T の時点では、ユーザは、開始ページからレジストラの紹介 URL に連絡することで SDP 交換を開始するようブラウザを設定できます。その後、レジストラはペティショナ デバイスにあるようこそページにユーザを送信できます。SDP トランザクションは、このマニュアルに記載されているように、ようこそ段階から紹介段階を経て、完了段階へと続きます。
レジストラから SDP トランザクションを開始するには、 template http start コマンドを使用してブラウザを設定する必要があります。それ以外の場合、SDP トランザクションはペティショナのようこそページから始まる必要があります。「カスタム テンプレートの SDP での動作」を参照してください。
ようこそページが表示される前に、ユーザは自分のブラウザの開始ページが URL http://registrar/ezsdd/intro を指すように設定する必要があります。ログイン ダイアログボックスが表示されると、エンド ユーザは、管理者により提供されたユーザ名とパスワードを使用してレジストラにログインし、セキュア ネットワークにアクセスできます(図 7 を参照)。
図 7 レジストラ リモート ログイン ダイアログボックス
有効なユーザ名とパスワードを入力すると、開始ページが表示されます(図 8 を参照)。
図 8 サンプル SDP 開始ページ
ユーザは URL http://10.10.10.1/ezsdd/welcome からペティショナにログインする必要があります。ようこそ段階は、開始ページでユーザが [Next] ボタンをクリックすると開始されます。
SDP ようこそ段階
ローカル ログイン ダイアログボックスが表示されたら(図 9 を参照)、エンド ユーザは出荷時デフォルトのユーザ名(cisco)とパスワード(cisco)を使用してローカル デバイスにログインできます。ようこそページが表示されます。
図 9 ペティショナ ローカル ログイン ダイアログボックス
パスワードの入力に成功すると、ペティショナにより処理されるようこそ Web ページが表示されます(図 10 を参照)。
図 10 サンプル SDP ようこそページ
ようこそ Web ページでレジストラの URL(例:http://192.0.2.155/ezsdd/intro)を入力し、[Next] ボタンをクリックすると、SDP 紹介段階が始まり、レジストラにより処理される紹介ページが表示されます。
SDP 紹介段階
紹介ページを表示する前に、開始ページからまだログインしていない場合、エンド ユーザはレジストラにログインする必要があります( 「SDP スタティック段階」 を参照)。ここで外部 AAA データベースを利用します。
外部 AAA データベースがある場合、レジストラのイネーブル パスワードを知らなくても、イントロデューサはデータベースのアカウントを使用して紹介を行うことができます。外部 AAA データベースがない場合、イントロデューサは認証のためレジストラのイネーブル パスワードを使用できます。
(注) レジストラのイネーブル パスワードを使用すると、パスワードがエンド ユーザに公開されます。したがって、イネーブル パスワードは管理テストの目的でだけ使用することを推奨します。
管理イントロデューサは、紹介ページ(または開始ページ)の HTTP 認証で識別され、AAA データベース クエリーによりユーザの管理特権が戻されます。イントロデューサに管理特権がある場合、デバイス名は管理紹介ページに入力された名前になります。イントロデューサに管理特権がない場合、デバイス名はイントロデューサ名になります。既存のデバイス証明書はペティショナの現在の証明書で、Manufacturing Identification Certificate(MIC; 製造識別証明書)の場合があります。この証明書は存在する場合も、しない場合もあります。外部 AAA データベースの機能の詳細については、 「SDP による外部 AAA データベースの使用方法」 を参照してください。
エンド ユーザがパスワードの入力に成功したら、紹介 Web ページが表示されます(図 11 を参照)。
図 11 サンプル SDP 紹介ページ
この時点で、レジストラはデバイス情報を外部管理システムに渡し、ブートストラップ設定ファイルを取得します。カスタマイズされたブートストラップ設定ファイルで使用できるオプションの詳細については、 「カスタム HTML テンプレートの展開ルール」 を参照してください。
紹介ページで [Next] ボタンをクリックすると、エンド ユーザは完了段階に入り、自動的に自分のデバイスに戻ります。
SDP 完了段階
エンド ユーザがペティショナをレジストラに登録したので、ペティショナは完了ページを処理します(図 12 を参照)。
図 12 サンプル SDP 完了ページ
これで SDP 交換が完了しました。ペティショナはレジストラから設定情報を受信したため、まもなくレジストラから証明書を受信するはずです。
USB トークンを活用している SDP
SDP により極めてスケーラブルな配置が実現され、個々のデバイスまたは複数デバイスの配置が簡略化されます。USB トークンによりセキュアな保管と設定の配信が行われます。
Cisco IOS Release 12.4(15)T 以降の時点では、USB トークンは SDP を使用して PKI クレデンシャルを転送する場合に利用でき、SDP は USB トークンの設定に使用できます。USB トークンを使用して、同じ位置にあるデバイスをプロビジョニングしたり、リモート デバイスのプロビジョニングとして使用できる別の場所に USB トークンを転送できます。USB トークンの設定と使用方法の詳細については、 「関連資料」 を参照してください。
USB トークンを使用して PKI クレデンシャルをに転送する SDP 配置の例を図 13 に示します。必要なデバイスとして、USB トークンとデバイスのプロビジョニングに必要な SDP エンティティがあります。これらの SDP エンティティは、イントロデューサ、レジストラ、ローカル位置のペティショナであるペティショナ A、リモート位置でのペティショナであるペティショナ B になります。オプションとして、管理サーバが使用できます。
(注) オプション設定は、1 台のデバイスをレジストラおよびペティショナ両方として設定することです。これは、USB トークンがリモート位置に転送される場合に利点があります。リモート位置では、個別のペティショナ デバイスは必要ありません。
図 13 USB トークンを使用したクレデンシャル転送の SDP 環境例
SDP を使用した USB トークンの設定
SDP 導入の開始前に、USB トークンがペティショナ デバイスに挿入されます。図 13 の設定例では、USB トークンはペティショナ A に挿入されます。ペティショナは、USB トークンにある既存の情報を無視するよう設定できます。通常の SDP 操作の場合のように、USB トークンのスケーラブル設定では、テンプレートの初期設定を作成し、適切なターゲット設定情報を備えた各 SDP デバイスに配置する必要があります。
デバイスのプロビジョニングに使用するファイルは、次のように図 13 の矢印の番号で示す順番で移動します。
1. ペティショナの 1 つ、ペティショナ A はローカル位置にあります。ペティショナ A は SDP 交換に直接関わり、USB トークンの初期設定を行います。USB トークン、バイナリ ファイル、テンプレート ファイルの設定に使用するファイルは、レジストラから取得され、ペティショナ A に移動します。
バイナリ ファイル位置の URL は、レジストラで展開されます。バイナリ ファイルは、テンプレート展開機能では処理されません。テンプレート展開はレジストラで、発信元 URL と宛先 URL の両方に対して行われます。
デフォルトでは、バイナリ ファイルとテンプレート ファイルは NVRAM から取得され、それぞれレジストラとペティショナに保管されます。レジストラのバイナリ ファイル位置とペティショナ A の宛先バイナリ ファイル位置は、 binary file コマンドで指定できます。レジストラのテンプレート ファイル位置とペティショナ A の宛先テンプレート ファイル位置は、 template file コマンドで指定できます。
2. Rivest、Shamir、Adelman(RSA) キーおよび証明書チェーン情報は、ペティショナ A から USB トークンに移動します。
3. USB トークンはリモート位置に転送され、ペティショナ B に挿入されます。
4. USB トークンの設定ファイルは、ローカル デバイスのプロビジョニングに使用されます。USB トークンのファイルは、 crypto key move rsa コマンドでペティショナ B の保管位置に移動できます。
SDP 段階と USB トークン
「SDP の概要」 の項で紹介された同じ SDP フェーズ概念が使用されます。SDP ようこそ段階、SDP 紹介段階、および SDP 完了段階には次のような違いがあります。
SDP ようこそページと USB トークン
ようこそユーザ インターフェイスに接続して紹介が開始される場合、SDP ようこそ段階は通常どおり開始します。USB トークンに既存の証明書がある場合、SDP 交換に署名する場合に使用されます。ローカルな RSA キー ペアではなく、トークンの新しい RSA キー ペアが使用されます。
(注) RSA キー ペアは、キーがトークンで生成される場合、どの場所からでも実質的に 5 分~10 分掛かります。時間の長さは、USB トークンで使用できるハードウェア キー生成により異なります。イントロデューサには、RSA キー ペアが生成されていることを示す情報 Web ページが表示されます。
ペティショナ A で生成された新しいキー ペアは、既存の RSA キー ペアを削除しなくても、USB トークンに追加されます。SDP AV ペアは、トークンが使用中であり、またトークンのセカンダリ設定情報があるかどうか両方を示します。オプションの管理サーバが使用中の場合、AV ペア情報を使用して、特殊なコンフィギュレーション コマンドが必要かどうかを判断します。
SDP 紹介段階と USB トークン
SDP 紹介段階は、レジストラに転送中の AV ペアから開始します。レジストラにより USB トークン関連の AV ペアが検出されると、レジストラがすでに設定されている場合、レジストラは USB トークン宛ての設定情報を作成できます。現在、コンフィギュレーション コマンドは特定の設定ファイルとして送信され、引き続き実行コンフィギュレーションとマージされます。
管理者は通常の SDP コンフィギュレーション コマンドを活用して、USB トークンを設定できます。設定する必要がある USB トークン情報には、証明書、ブートストラップ設定、および PIN 番号設定があります。
SDP 完了段階と USB トークン
完了段階の始めに、紹介はペティショナ(図 13 では、ペティショナ A になります)に転送中の AV ペアに移ります。指定のファイル システム位置には各種ファイルが保管されており、既存の設定ファイル処理が行われます。この順序により、転送された新しいファイルを設定で利用できます。
設定された USB トークンの使用
USB トークンがペティショナ A により設定されたら、その現在位置からリモート位置へと転送されます。リモート位置には、2 番目のペティショナであるペティショナ B が配置されています。USB トークンはターゲット デバイスであるペティショナ B に挿入されます。ペティショナ B では USB トークンの設定と USB トークンの暗号素材が継承されます。リモート位置のエンド ユーザには、USB トークンの PIN 番号がなければなりません。PIN 番号は、出荷時デフォルトの PN 番号、または紹介段階中に管理者が設定した PIN 番号のいずれかになります。
SDP による外部 AAA データベースの使用方法
外部 AAA データベースは、SDP 交換中に 2 回アクセスされます。AAA データベースへの最初のアクセスでは、イントロデューサが認証されます。つまりレジストラで、セキュア HTTP(HTTPS)サーバ経由で紹介要求が受信されると、イントロデューサのユーザ名とパスワードに基づいて AAA 検索が行われ、要求が許可されます。AAA データベースへの 2 番目のアクセスでは、認証情報が取得され、ペティショナ デバイスに発行された設定および証明書に適用されます。つまり、レジストラはペティショナが署名している証明書を使用して要求シグニチャが完全であることを確認します。証明書の題名は AAA データベースで指定でき、最大 9 つの設定テンプレート型変数を指定し、テンプレート設定にまで展開できます。
自己署名証明書と別の CA サーバにより発行された証明書の使用
デフォルトでは、SDP 交換の実施結果では、ペティショナ デバイスに証明書が 1 枚だけ発行されます。発行される証明書は 1 枚だけですが、イントロデューサでは複数デバイスを紹介し、複数の証明書を取得する際の制限はありません。発行されている証明書の題名を指定することで、イントロデューサに関連しているすべての証明書がこのように発行されていることを保証できます。PKI AAA 統合により、さらにこれらの証明書の使用を制限できます。さらに、ユーザごとに 1 つだけ認証および認可の要求を許可するよう、AAA データベースを設定できます。
ペティショナ証明書は自己署名されているため、ペティショナの公開キーを伝送するためだけに使用されます。証明書に対する確認チェックや認可チェックは行われません。したがって、認可はユーザごとに行われ、デバイス単位の情報は使用されません。
デバイス単位の認可を使用した方が好ましい場合もあります。したがって、ペティショナが SDP トランザクションのために他の Certification Authority(CA; 認証機関)サーバにより発行された証明書を使用できる場合、既存の PKI を使用でき、その証明書アトリビュートに対して認可を受けることができます。
証明書を使用して認可を受けるためにペティショナとレジストラを設定すると、展開中の特定のデバイスの認可が受けられます。以前は、イントロデューサとペティショナ間の通信は、イントロデューサとペティショナ デバイス間の物理的なセキュリティだけでその安全が確保されていました。SDP の証明書を使用した認可では、レジストラは紹介を受け入れる前に、現在のデバイス ID を確認できる機会があります。
SDP の認証および認可リスト
SDP レジストラを設定している場合に認証リストと認可リストを指定すると、レジストラではイントロデューサのすべての要求に対して、指定のリストが使用されます。認証リストは、イントロデューサを認証する場合に使用されます(AAA サーバでユーザ名とパスワードを確認して、アカウントが有効かどうか確認されます)。認可リストは、証明書題名およびペティショナに返信される Cisco IOS Command-Line Interface(CLI; コマンドライン インターフェイス)スニペットに展開されるテンプレート型変数のリストの該当認可フィールドを受信する場合に使用されます。認証リストと認可リストは通常、同じ AAA サーバ リストを指しますが、認証と認可に異なるデータベースを使用できます(異なるデータベースへのファイルの保管は推奨しません)。
ペティショナが紹介要求をする場合、複数の照会が RADIUS サーバまたは TACACS+ サーバ上の AAA リスト データベースに送信されます。照会により、次の形式のエントリが検索されます。
user Password <userpassword>
cisco-avpair="ttti:subjectname=<<DN subjectname>>"
cisco-avpair="tti:iosconfig#<<value>>"
cisco-avpair="tti:iosconfig#<<value>>"
cisco-avpair="tti:iosconfig#=<<value>>"
(注) 有効な AAA ユーザ名レコードさえあれば、認証チェックを通過できます。「cisco-avpair=tti」情報は、認可チェックの場合だけ必要です。
認可応答で題名を受信した場合、SDP レジストラによりその題名は登録データベースに保管され、「subjectname」は、ペティショナ デバイスからの以降の証明書要求(PKCS10)で提供される題名より優先されます。
番号が付けられた「tti:iosconfig」値は、ペティショナに送信される SDP Cisco IOS スニペットに展開されます。設定により、あらゆる番号付き($1 ~ $9)のテンプレート型変数が置き換えられます。デフォルト Cisco IOS スニペット テンプレートには変数 $1 ~ $9 が含まれていないため、外部 Cisco IOS スニペット テンプレートを設定しない限り、これらの変数は無視されます。外部設定を指定するには、 template config コマンドを使用します。外部設定の詳細については、 「カスタム設定とファイルのテンプレート型変数のペティショナでの展開ルール」 を参照してください。
(注) テンプレート設定位置には、変数「$n」が含まれている場合があります。この変数はユーザがログインに使用した名前に展開されます。
管理イントロデューサの認証リストと認可リスト
SDP メカニズムでは、イントロデューサとデバイス間に永続的関係があることを前提としています。その結果、イントロデューサのユーザ名はデバイス名の定義に使用されます。
SDP 配置シナリオの中には、イントロデューサが多数のデバイスの紹介を行う、管理者の場合があります。ただし、イントロデューサ(管理者)名を使用してデバイス名を定義すると、複数のデバイスのデバイス名が同じになり、正しく配置されなくなります。代わりに、管理イントロデューサを使用すれば、管理者は紹介中に正しいデバイス名を指定できます。
一般的に言えば、イントロデューサのユーザ名がデータベース レコード ロケータとして使用され、Cisco IOS 設定テンプレート、(AAA データベースから取り出され、テンプレートに展開される)各種テンプレート型変数、およびデバイスに発行された PKI 証明書の該当する題名など、デバイスに関する他のすべての情報が決定されます。簡単にするため、データベース レコード ロケータはユーザ名またはデバイス名と呼びます。
管理イントロデューサは、デバイス名を提供します。そのようにして、管理者は紹介を行う場合に適切なレコード ロケータを提供できます。たとえば、管理者がユーザ名「user1」のデバイスを紹介しようとしている場合、管理者はそのデバイスを PKI ネットワークに紹介し、管理者自身の資格情報を使用してレジストラにログイン後、user1 をレコード ロケータとして提供します。レコード ロケータ user1 がデバイス名になります。紹介に固有の他のすべてのテンプレートおよび PKI 証明書の題名に関する情報が、管理者のレコードではなく、user1 ユーザ名レコードにより提供されます。
レジストラ デバイスでは、ユーザ イントロデューサ名とともに、提供されたユーザ名情報が使用されます。ユーザ名により既存のメカニズムで、変更なくサポートする必要があるユーザの認可、テンプレート、および PKI 証明書の情報が判断できます。
カスタム テンプレートの SDP での動作
カスタム テンプレートを使用して、SDP プロセスを簡略化できます。
• カスタム テンプレートにより、Web ページに必要な開始情報を記入できるため、イントロデューサはレジストラに連絡する必要がなくなり、SDP トランザクションを即座に開始できます。
• カスタム テンプレートにより、カスタマイズされた展開情報を Web ページに表示できるため、ユーザに合せてユーザ エクスペリエンスを調整できます。
デフォルト テンプレートを変更すると、カスタム テンプレートを簡単に定義できます。カスタム テンプレートがない場合、イントロデューサは SDP トランザクションが開始できるための情報をレジストラに問い合せる必要があります。デフォルト テンプレートのリストについては、 「SDP トランザクション Web ページのデフォルト テンプレート」 を参照してください。
(注) カスタム テンプレートを設定するのは、上級の SDP ユーザだけが設定することを推奨します。テンプレートがイントロデューサのブラウザに表示される前に、テンプレートを誤って変更してしまった場合に問題が発生するおそれがあるためです。
カスタム テンプレート型変数の展開
テンプレートには、Cisco IOS SDP レジストラまたはペティショナにより置き換えられる展開変数があります。これらの変数は、次のように展開されます。
• $$:「$」
• $a:AV のペア
• $c:Trusted certificate
• $d:ブラウザのダンプ AV のペア
• $h:ホスト名
• $k:キーラベルまたは「tti」
• $l:トラストポイント ラベル = 「tti」
• $n:HTTP クライアントのユーザ名
• $s:TTI キーのデフォルト サイズ
• $t:トラストポイント設定
• $u:完了 URL
• $1 ~ $9:ユーザ認証中に AAA サーバから取得された変数
カスタム テンプレート型変数の展開ルール
設定とテンプレートは SDP 交換中に使用されます。使用前および配布後、これらのテンプレートは、SDP 通信段階に基づき、次のルールで展開されます。
カスタム HTML テンプレートの展開ルール
HTML テンプレートは HTTP クライアントに送信される前に、即座に展開されます。HTTP テンプレートは次のように展開されます。
• $u:SDP 完了 URL(例: http://10.10.10.1/ezsdd/completion )が入力される完了 URL。この変数は、内部「ウィザード」状態として SDP により内部的に使用されます。通常のウィザード処理のため、SDP 紹介ページには「<FORM action=\"$u\"method=\"post\">」といったようなテキストが含まれている場合があります。
• $n:管理イントロデューサにより入力されたイントロデューサ名またはデバイス名。
• $$:$
• $h:ホスト名
• $a:指定のテンプレート文字があるないにかかわらずすべての AV ペアは、次の HTML フォーム形式に書き出されます(これらの AV ペアは「INPUT type=hidden」でないため、テンプレートまたは SDP プロセスのデバッグのために Web ページに直接表示されます)。
<INPUT type=hidden NAME="attribute string here"
value="variable string here"><BR>
すべての HTML テンプレートに以下のラインがなければなりません。
$d = dump all av pairs in: attribute = value<BR>
URL テンプレートの展開ルール
設定テンプレートの発信元、ファイル テンプレートの発信元、およびファイル宛先には URL が存在します。これらの変数は、レジストラが URL を作成するとき、つまり設定またはファイルを取得する直前に展開されます。ファイル宛先については、これらの変数は、ペティショナによりファイルがファイル宛先にコピーされる直前に展開されます。
• $$:$
• $h:ホスト名
iPhone の導入に関する URL テンプレートの展開ルール
iPhone を導入するために、次のテンプレート展開変数が導入されました。
• $o:チャレンジ パスワード。このテンプレート文字は、SDP レジストラが Simple Certificate Enrollment Protocol(SCEP)サーバからチャレンジ パスワードを取得した後、開始段階で設定プロファイルが iPhone に送信される前に、SDP レジストラによって展開されます。
• $i:iPhone の Unique Device Identifier(UDID; 固有デバイス識別子)。このテンプレート文字は、紹介段階で設定プロファイルが iPhone に送信される前に、SDP レジストラによって所有者名の CN フィールドに展開されます。
• $p:所有者名のディファレンシエータ。このテンプレート文字は、CLI によって設定された値を使用して SDP レジストラによって展開されます。詳細については、「Apple iPhone を導入するための SDP レジストラの設定」を参照してください。この値は、SCEP サーバが iPhone に対して発行する 2 つの証明書を区別するために使用されます。1 つの証明書は完了段階で発行され、もう 1 つの証明書は VPN 確立段階で発行されます。この値を挿入する所有者名の部分またはフィールドを決定します。
詳細については、「PKI で SDP が Apple iPhone を導入する方法」を参照してください。
カスタム設定およびファイルのテンプレート型変数の展開ルール
カスタム設定とファイルのテンプレート型変数は両方とも、レジストラが設定またはファイルのテンプレートを作成する場合、またペティショナが設定またはファイルのテンプレートを受信する場合に展開されます。
カスタム設定とファイルのテンプレート型変数のレジストラでの展開ルール
レジストラが設定またはファイルのテンプレートを展開する場合、Cisco IOS CA により次の変数が使用されます。これらの変数は、SDP ウィザードで送信前に展開されます。
• $$:$
• $h:ホスト名
• $t:クライアントで展開されるよう $l、$k、および $ を組み込んだ単純なトラストポイント デフォルト設定
• $1 ~ $9:ユーザ認証中に AAA サーバから取得された変数(ファイル テンプレートには適用されない)
カスタム設定とファイルのテンプレート型変数のペティショナでの展開ルール
ペティショナが設定またはファイルのテンプレートを展開する場合、次の変数が展開されます。
• $$:$
• $h:ホスト名
• $k:キーラベル
• $l:トラストポイント ラベル
• $s:キーのサイズ
• $c:証明書チェーンに展開
• $n:ユーザ名に展開(ファイル テンプレートには適用されない)
カスタム設定 HTTP テンプレート型変数の展開ルール
カスタム設定 HTTP テンプレートにより、バックエンド Common Gateway Interface(CGI; コモン ゲートウェイ インターフェイス)スクリプトに柔軟性が与えられ、外部管理システムと統合されます。テンプレート URL は、レジストラが外部管理システムからブートストラップ設定を受信する前に、HTTP テンプレートを展開することで実行されます。デバイス情報に基づいて特定のブートストラップ設定ファイルが見つかるようにするため、デバイス名($n)は URL に展開され、外部管理システムへと渡されます。
(注) 表示される HTML テキストの変更だけ行う必要があります。既存の展開変数、Javascript、およびデフォルト テンプレートの形式は、テンプレートのカスタマイズ時には削除しないでください。これらのは SDP が正しく動作するために必要な情報です。
HTTP テンプレートの展開と template config コマンドにより、次のいずれかのファイル タイプを指定して、カスタマイズ ブートストラップ設定ファイルを取得できます。
• デバイス名を使用した設定ファイル(例:template config http://myserver/$n-config-file.conf )
• デバイス名を使用した CGI スクリプト(例:template config http://myserver/cgi-bin/mysdpcgi post)
Cisco IOS Release 12.4(6)T の時点で、ブートストラップ設定がデバイス名だけでなく、タイプ、Cisco IOS 現行バージョン情報、および現行の設定で識別できるよう CGI サポートが拡張されました。この機能では、 post キーワードにより template config コマンドが拡張されています。このキーワードはレジストラに、HTTP または HTTPS プロトコルだけを使用した CGI スクリプトによってこの追加デバイス情報を外部管理システムに送信するよう指示します。
レジストラにより、AV ペア($a)を使用してデバイス情報が外部管理システムに渡されます。AV ペア情報を使用して、管理システムは適切なブートストラップ設定ファイルを識別し、レジストラに返信します。カスタマイズ ブートストラップ設定ファイルを識別するため、拡張 CGI サポートにより送信される追加 AV ペアを 表 1 に示します。
表 1 HTTP ポスト中に外部管理システムに送信される AV ペア
|
|
TTIFixSubjectName |
AAA_AT_TTI_SUBJECTNAME(レルム認証ユーザがレジストラでルート ユーザでない場合だけ送信) |
TTIIosRunningConfig |
show running-config brief の出力 |
TTIKeyHash |
デバイス公開キー上で計算されるダイジェスト |
TTIPrivilege |
AAA_AT_TTI_PRIVILEGE:ユーザが管理者の場合は「admin」、ユーザが管理者でない場合は「user」が送信されます(レルム認証ユーザが管理者で AAA サーバから情報が利用できる場合だけ送信) |
TTISignature |
UserDeviceName および TTISignCert を除く AV ペアすべてで計算されるダイジェスト |
TTISignCert |
デバイスの現在の証明書(デバイスに現在証明書がある場合だけ送信) |
TTITemplateVar |
AAA_AT_TTI_IOSCONFIG(1-9)(レルム認証ユーザがレジストラでルート ユーザでない場合だけ送信) |
TTIUserName |
デバイス名 |
TTIVersion |
TTI バージョンのレジストラ |
UserDeviceName |
管理イントロデューサにより入力されたデバイス名(レルム認証ユーザが管理者の場合だけ送信) |
(注) レジストラでは Cisco IOS Release 12.4(6)T が実行され、template config コマンドは post キーワードを指定して発行する必要があります。また、url 引数には HTTP または HTTPS のいずれかが含まれていなければなりません。拡張 CGI テンプレート機能にはその他のプロトコルはサポートされていません(例:FTP)。
デフォルトの予備接続テンプレート
予備接続テンプレートは、ユーザの環境に応じた値を含めるよう、管理者により変更できます。予備接続ページのフォーマットも、テンプレートに含まれている設定により変更できます。
管理者がカスタマイズする必要があるレジストラの IP アドレスを除き、予備接続テンプレートは次に示すように使用できます。
SDP: Test Internet Connection</title></head>
If you see this message, your browser is not running JavaScript,<br>
which is required by Cisco Secure Device Provisioning.<br>
If you cannot enable JavaScript, please contact your system administrator.
<body style="background-color: rgb(204, 255, 255);">
<div style="text-align: center;"><big><big>
Secure Device Provisioning</big><br>
Test Internet Connection</big><br><br>
<form action="http://10.10.10.1/ezsdd/connect" method="post">
<input type="submit" value="Log onto Cisco Device"><br><br>
Default username/password is cisco/cisco.
<input type="hidden" name="TTIAfterConnectURL"
value="http://10.10.10.1/ezsdd/welcome">
<!-- Note, that for the below, 198.133.219.25 = www.cisco.com. -->
<input type="hidden" name="TTIConnectTestURL" value="http://198.133.219.25">
<input type="hidden" name="TTIInsideAddr" value="10.10.10.1">
<input type="hidden" name="TTIlanport" value="Vlan1">
<input type="hidden" name="TTIwanport" value="FastEthernet4">
</form></div></body></html>
非表示 HTML 形式フィールド
非表示 HTML 形式フィールドにより、初期設定情報が管理者により設定されたとおりにブラウザに送信されますが、署名はされていません。
(注) 「非表示」という用語は、イントロデューサができるだけ混乱しないよう、これらの HTML 形式フィールドが予備接続ページに表示されないことを示します。
管理者は、 表 2 に示すように、予備接続テンプレートの非表示 HTML 形式フィールドを設定できます。
表 2 予備接続段階中に送信される管理者が定義した AV ペア
|
|
TTIAfterConnectURL |
管理者は、TTIAfterConnectURL フィールドをようこそページの URL または開始ページの URL のいずれかに設定できます。ようこそページの URL は、ペティショナの出荷時デフォルト IP アドレスに指定されています。接続後 URL は、インターネット接続確立後に SDP が使用されない場合に任意の有効な URL になることができます。 |
TTIConnectTestURL |
管理者は、TTIConnectTestURL フィールドを、インターネット接続確立時にアクセスできるはずの有効な URL に設定できます。予備接続テンプレートのデフォルト値は、www.cisco.com(198.133.219.25)です。 |
TTIInsideAddr |
管理者は、TTIInsideAddr フィールドをペティショナの出荷時デフォルト IP アドレスに設定できます。Cisco 871 ISR の場合は、IP アドレスは 10.10.10.1 です。 |
TTIlanportx |
管理者は、TTIlanportx フィールドをペティショナ プラットフォームの LAN インターフェイスに設定できます。このフィールドは、Cisco IOS 接続設定の適用に使用できます。Cisco 871 の場合は、フィールド値は「Vlan1」になります。 |
TTIwanport |
管理者は、TTIwanport フィールドをペティショナの WAN インターフェイス名に設定できます。このフィールドは、Cisco IOS 接続設定の適用に使用できます。Cisco 871 の場合は、フィールド値は「FastEthernet4」になります。 |
(注) 接続テンプレートはカスタマイズできません。
デフォルト開始ページ テンプレート
<html><head><title>EZ-Secure Device Deployment Start page on $h</title></head>
If you see this message, your browser is not running JavaScript.<BR>
Cisco Secure Device Deployment requires JavaScript.<BR> Please contact
your system adminstrator.<BR><BR></B></NOSCRIPT>
<SCRIPT LANGUAGE="JavaScript">
function submit_to_url(form){
form.action=form.TTIWelcomeURL.value;return true;}</SCRIPT>
<B>Welcome to Cisco Secure Device Deployment Server $h</B> <FORM
action="" method="post" onSubmit="return submit_to_url(this)"> Your
device:<BR> <INPUT type="text" name="TTIWelcomeURL" size=80
value=\"\"><BR><BR> <INPUT type="submit" value="Next>"><BR>
デフォルトようこそページ テンプレート
<html><head><title>EZ-Secure Device Deployment WELCOME to $h</title></head>
If you see this message, your browser is not running JavaScript.<BR>
Cisco Secure Device Deployment requires JavaScript.<BR> Please contact
your system adminstrator.<BR><BR></B></NOSCRIPT>
<SCRIPT LANGUAGE=\"JavaScript\">
function submit_to_url(form){
natURL=location.href.split(\"/\");
localURL=form.TTICompletionURL.value.split(\"/\");
if(natURL[2]!=localURL[2]){
form.TTICompletionURL.value=localURL[0]+\"//\"+natURL[2]+\"/
form.action=form.vpnserviceurl.value;
<B>Welcome to Cisco Secure Device Deployment for $h</B> <FORM
action=\"\" method=\"post\" onSubmit=\"return submit_to_url (this)\">
To join a Virtual Private Network (VPN) enter the web<BR> site URL
provided by your network administrator:<BR> <INPUT type=\"text\"
name=\"vpnserviceurl\" size=80 value=\"\"><BR><BR><INPUT
type=\"submit\" value=\"Next>\"><BR> $a</FORM></html>
デフォルト紹介ページ テンプレート
<html><head><title>EZ-Secure Device Deployment INTRODUCTION to $h</title>
</head><B>Welcome to the VPN network gateway on $h</B> <FORM
action=\"$u\" method=\"post\"> Your 'username' and 'password' entered
have been accepted.<BR> Your device will now be allowed to
automatically join the VPN network.<BR> <BR>Press Next to complete
automatic configuration of your VPN Device.<BR> <BR><INPUT
type=\"submit\" value=\"Next>\"><BR> $a</P></FORM></html>
デフォルト管理紹介ページ テンプレート
<html><head><title>EZ-Secure Device Deployment ADMINISTRATIVE
INTRODUCTION to $h</title></head> <NOSCRIPT><B> If you see this
message, your browser is not running JavaScript.<BR> Cisco Secure
Device Deployment requires JavaScript.<BR> Please contact your system
adminstrator.<BR><BR></B></NOSCRIPT>
<SCRIPT LANGUAGE=\"JavaScript\">
function submit_to_url(form){
form.introadminurl.value=location.href+\"/admin\";
form.action=form.introadminurl.value;
<B>Welcome to the VPN network gateway on $h</B> <FORM action=\"\"
method=\"post\" onSubmit=\"return submit_to_url (this)\"> Your
administrator 'username' and 'password' entered have been
accepted.<BR> Please provide the name to be associated with this
device:<BR> <INPUT type=\"text\" name=\"userdevicename\" size=64
value=\"\"><BR><BR> <INPUT type=\"submit\" value=\"Next>\"><BR> <INPUT
type=\"hidden\" name=\"introadminurl\" value=\"\"><BR>
デフォルト完了ページ テンプレート
<html><head><title>EZ-Secure Device Deployment COMPLETE on $h</title></head>
<B>Now enrolling $h with the VPN network...</B><BR> Full network VPN
access should be available in a moment.<BR><BR> $d<BR></html>
設定ファイルのデフォルト テンプレート
デフォルト設定のテンプレートを示します。デフォルト設定ファイルは、設定テンプレートが指定されていない、または template config コマンドが post キーワードを指定せずに発行されている場合に使用されます。デフォルト設定テンプレートの使用方法の詳細については、「設定テンプレート ファイルの使用:例」を参照してください。
PKI で SDP が Apple iPhone を導入する方法
Cisco IOS 15.1(2)T および Apple iPhone OS 3.0 リリースが導入されたため、Cisco IOS ネットワーク デバイスで Apple iPhone がサポートされるようになりました。Cisco IOS ルータは SDP レジストラを使用して iPhone を導入し、IPSec VPN、SCEP サーバ、および PKI 証明書の導入テクノロジーを使用してネットワーク アプリケーションに安全にアクセスできるようにします。
Apple iPhone では、XML ベースの「設定プロファイル」の配布と証明書の初期導入を組み合わせて実行します。SDP はこれらの初期の証明書を使用してエンタープライズ アプリケーションへのアクセスを認証し、その後のプロファイルの配布を暗号化します。SDP は、iPhone にデジタル証明書を配布する際に、この登録ソリューションを使用します。
図 14 PKI での SDP レジストラによる iPhone の導入
PKI での SDP レジストラによる Apple iPhone の導入段階
ここでは、PKI で SDP レジストラが iPhone を導入する場合の各段階について説明します。
SDP 導入開始段階
次のステップでは、SDP 導入開始段階について説明します。
(注) SDP 導入開始段階は、『Apple iPhone Enterprise Deployment Guide』で説明する「Begin Enrollment」段階(またはフェーズ 1)と同じです。
ステップ 1 iPhone ユーザは Safari ブラウザを開き、開始ページの HTTPS URL を入力します。たとえばこの HTTPS URL は、社内のネットワーク アドレスなどです。SDP レジストラの HTTPS ページによってプロセスが開始されます。
ステップ 2 ユーザは、ユーザ名とパスワードを入力して Cisco ルータとの認証を開始します。Cisco ルータは SDP レジストラとして動作します。
ステップ 3 SDP レジストラは SCEP サーバに接続し、チャレンジ パスワードを取得します。
ステップ 4 SDP レジストラは、チャレンジ パスワード、SCEP サーバの URL、および iPhone 属性の要求で構成される設定プロファイルを XML 形式で作成します。SCEP サーバの URL は登録要求の送信に使用され、iPhone デバイスの属性は RSA キーを生成する際に iPhone によって使用されます。
次の例は、SDP 導入開始段階で SDP レジストラが iPhone に送信する設定プロファイルを示しています。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Inc//DTD PLIST 1.0//EN" "http://
www.apple.com/DTDs/PropertyList-1.0.dtd">
<key>PayloadContent</key>
<string>https://profileserver.example.com/iphone</string>
<key>DeviceAttributes</key>
<string>optional challenge</string>
ステップ 5 iPhone ユーザは、設定ファイルを iPhone にインストールして、SDP 開始段階を終了します。
SDP 導入ようこそ段階
SDP 導入ようこそ段階は iPhone には適用されません。これは、イントロデューサ(Safari Web ブラウザなど)が SDP ペティショナ(iPhone)で実行されるためです。
SDP 導入紹介段階
次のステップでは、SDP 導入紹介段階について説明します。
(注) SDP 導入紹介段階は、『Apple iPhone Enterprise Deployment Guide』で説明する「Device Authentication」段階(またはフェーズ 2)と同じです。
ステップ 1 iPhone は、要求されたデバイス属性情報とチャレンジ パスワードを含む HTTPS POST を設定プロファイルとしてトリガします。HTTPS POST は、SDP 導入開始段階で取得した設定プロファイルに指定されている HTTPS の URL に送信されます。これは、SDP 導入紹介段階の URL である必要があります。POST データは Apple 社が発行した証明書(組み込みの ID)を使用して iPhone によって署名されます。そしてこの署名が確認され、ID が確認され、デバイス属性が確認されます。
ステップ 2 iPhone によって送信された UDID は SDP レジストラによって取得され、所有者名に追加されます。その後、SDP レジストラによって取得されたデバイス属性は、これが本当に受け入れられるデバイスのタイプであるかどうかを判断するために使用されます。たとえばネットワーク管理者は、3GS の iPhone のみをネットワークで使用できるように許可します。これは、iPhone 3GS にはハードウェアに暗号化された保管場所があるためです。取得されたデバイス属性によって、SDP レジストラは 3GS の iPhone と 3G の iPhone を区別できます。
次の例は、SDP 導入紹介段階で iPhone が送信する設定プロファイルを示しています。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/
DTDs/PropertyList-1.0.dtd">
<key>MAC_ADDRESS_EN0</key>
<string>00:00:00:00:00:00</string>
<data>"base64 encoded data"</data>
ステップ 3 SDP レジストラは、SCEP サーバの HTTP URL、登録要求で送信される所有者名(UDID を含む)、キーのサイズ、キーのタイプ、キーの使用状況、およびチャレンジ パスワードで構成された設定プロファイルを作成して応答します。開始段階がスキップされた場合、SDP レジストラは SCEP サーバに接続し、チャレンジ パスワードを取得します。SDP レジストラが所有者名とチャレンジ パスワードを取得する方法の詳細については、「iPhone の導入に関する URL テンプレートの展開ルール」を参照してください。
(注) SDP レジストラでは RSA のキー タイプのみをサポートしています。
次の例は、SDP 導入紹介段階で SDP レジストラが送信する設定プロファイルを示しています。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Inc//DTD PLIST 1.0//EN" "http://
www.apple.com/DTDs/PropertyList-1.0.dtd">
<key>PayloadContent</key>
<string>https://iphone.vpn.apple.com/pkifoobar.exe</string>
<string>instance_for_getcacert_call</string>
<string>Apple Inc.</string>
<string>CHALLENGE</string>
<key>PayloadDescription</key>
<string>Provides device encryption identity</string>
<string>fd8a6b9e-0fed-406f-9571-8ec98722b713</string>
<string>com.apple.security.scep</string>
<key>PayloadDisplayName</key>
<string>Encryption Identity</string>
<key>PayloadVersion</key>
<key>PayloadOrganization</key>
<string>Apple Inc.</string>
<key>PayloadIdentifier</key>
<string>com.apple.encrypted-profile-service</string>
SDP 導入ポスト紹介段階
次のステップでは、SDP 導入ポスト紹介段階について説明します。
(注) SDP 導入ポスト紹介段階は、『Apple iPhone Enterprise Deployment Guide』で説明する「Certificate Installation」段階(またはフェーズ 3)と同じです。
ステップ 1 iPhone は、SDP 導入紹介段階で SDP レジストラから取得した SCEP 情報を含む設定プロファイルの指定をインストールします。
ステップ 2 iPhone はプロファイルに指定された指示に従ってキーを生成し、HTTP URL がプロファイルに指定されている SCEP サーバに登録要求とチャレンジ パスワードを送信します。
ステップ 3 SCEP サーバはチャレンジ パスワードを確認し、iPhone にデジタル証明書を発行します。
ステップ 4 ユーザはこの証明書を iPhone にインストールし、Cisco IPsec VPN を使用して会社のネットワークに接続できます。
(注) この証明書は、VPN の設定などの会社のその他の設定や Wi-Fi の設定のダウンロードに使用することもできます。
SDP 導入第二紹介段階
次のステップでは、SDP 導入第二紹介段階について説明します。
(注) SDP 導入第二紹介段階は、『Apple iPhone Enterprise Deployment guide』で説明する「Device Configuration」段階(またはフェーズ 4)と同じです。
ステップ 1 iPhone は、次の場合を除き SDP 導入紹介段階を繰り返します。
• iPhone の POST データにチャレンジ パスワードが含まれていない。
• SDP 導入ポスト紹介段階で、SCEP サーバから取得した証明書を使用して、iPhone が POST データに署名している。
ステップ 2 SDP レジストラは、VPN の設定、Wi-Fi の設定、および電子メールの設定などの会社の一般的な設定を含む設定プロファイルを使用して応答します。また、VPN の確立に使用する別の証明書の SCEP の設定も含みます。
2 回目の SDP 導入ポスト紹介段階
2 回目の SDP 導入ポスト紹介段階は、SDP 導入ポスト紹介段階と同じです。iPhone は、2 回目の SDP 導入紹介段階で SDP レジストラが提供する SCEP の設定に基づいて証明書要求を生成し、SCEP サーバに登録します。
SDP 導入完了段階
SDP 導入完了段階は iPhone には適用されません。これは、イントロデューサ(Safari Web ブラウザなど)が SDP ペティショナ(iPhone)で実行されるためです。
PKI への登録のための Secure Device Provisioning(SDP)の設定方法
ここでは、ご使用の PKI に対して SDP を設定する場合に従う次の手順について説明します。レジストラは、レジストラ設定作業のいずれかだけにしたがって設定できます。
• 「SDP ペティショナのイネーブル化」
• 「SDP レジストラのイネーブル化と AAA リストのサーバへの追加」
• 「証明書を使用した認可のための SDP レジストラのイネーブル化」
• 「Apple iPhone を導入するための SDP レジストラの設定」
• 「管理イントロデューサの設定」
• 「カスタム テンプレートの設定」
SDP ペティショナのイネーブル化
ペティショナをイネーブルまたはディセーブルにし、トラストポイントを SDP 交換に関連付ける場合にこの作業を行います。
またこの作業で、証明書および特定のトラストポイントに関連付けられた RSA キーを使用するようペティショナを設定できます。
(注) ペティショナは、暗号イメージを含むシスコ デバイスではデフォルトでイネーブルにされています。したがって、以前にペティショナをディセーブルにしたことがあったり、自動生成されたトラストポイントではなく、既存のトラストポイントを使用する場合は、crypto provisioning petitioner コマンドを発行するだけです。
(注) デフォルトでは、SDP ペティショナ デバイスでは既存の証明書が使用されます。複数の証明書および特定の証明書が 1 つ存在する場合は、どちらか選択するためにこの作業を行います。ただし、デフォルト動作をイネーブルにする場合にはこの作業は必要ありません。
前提条件
• ip http server コマンドを使用して HTTP サーバをイネーブルにする必要があります(HTTP サーバは通常、多数の Cisco IOS 設定ではデフォルトでイネーブルにされています)。
• 証明書および RSA キーを使用するようペティショナを設定している場合、SDP ペティショナ デバイスには既存の製造業者の証明書または第三者の証明書がなければなりません。
手順の概要
1. enable
2. configure terminal
3. crypto provisioning petitioner
4. trustpoint trustpoint-label
または
trustpoint signing trustpoint-label
5. end
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto provisioning petitioner
Router(config)# crypto provisioning petitioner |
SDP ペティショナ デバイスの動作を変更できるようにし、tti-petitioner コンフィギュレーション モードを開始します。 コマンドと置き換えられています。 |
ステップ 4 |
trustpoint trustpoint-label
Router(tti-petitioner)# trustpoint mytrust または trustpoint signing trustpoint-label
Router(tti-petitioner)# trustpoint signing mytrust |
(任意)ペティショナとレジストラ間で SDP 交換と関連付けるトラストポイントを指定します。 には自動的に「tti」のラベルが付きます。 (任意)SDP 交換中にすべての紹介データに署名する場合に使用されるトラストポイントと関連証明書を指定します。 |
ステップ 5 |
end
Router(tti-petitioner)# end |
(任意)tti-petitioner コンフィギュレーション モードを終了します。 |
トラブルシューティングのヒント
SDP 交換が完了したら、「tti」という新しいトラストポイント ラベルができあがります。トラストポイントは、自動的に証明書サーバ(レジストラ)に登録されます。トラストポイントが実際に存在することを確認するには、 show running-config コマンドを使用します。
SDP レジストラのイネーブル化と AAA リストのサーバへの追加
レジストラをイネーブルにし、証明書サーバを SDP 交換と関連付ける場合にこの作業を行います。
また、認証リストと認可リストを RADIUS サーバまたは TACACS+ サーバに追加する場合にもこの作業を行うことができます。
前提条件
レジストラを設定する前に、次の作業を実行します。
• HTTP サーバまたは HTTPS サーバをイネーブルにします。
(注) HTTPS サーバをイネーブルにする前に、標準の HTTP サーバが設定されている場合は、それをディセーブルにるす必要があります。HTTP サーバをディセーブルにするには、no ip http server コマンドを使用します。HTTPS サーバをイネーブルにするには、ip http secure-server コマンドの後に ip http secure-trustpoint コマンドを発行する必要があります。指定のトラストポイントは、レジストラとユーザのブラウザ間の HTTPS 通信に適切なレジストラ ローカル トラストポイントです。
• crypto pki server コマンドを使用して、Cisco IOS 証明書サーバを設定します。
AAA リストを設定する場合、次の作業を完了するだけでなく、レジストラに必要な前提条件を完了する必要があります。
• ユーザ情報を AAA サーバ データベースに追加します。RADIUS サーバまたは TACACS+ AAA サーバを設定するには、『 Cisco IOS Security Configuration Guide 』の「Configuring RADIUS」および「Configuring TACACS+」 の章 を参照してください。
• 新しい AAA リストを設定します。AAA リストを設定するには、『 Cisco IOS Security Configuration Guide 』の「Configuring RADIUS」、「Configuring TACACS+」、「Configuring Authentication」、および「Configuring Authorization」を参照してください 。
制約事項
Cisco IOS CA デバイスの要件
SDP プロセス中、Cisco IOS CA 証明書はピア デバイスに自動的に発行されます。SDP レジストラが第三者のベンダーの CA デバイスで設定されている場合、SDP プロセスは動作しません。
template config コマンド
Cisco IOS 設定変数は 9 つあります。設定でさらに柔軟性が必要な場合、 template config コマンドを使用して、イントロデューサに固有の設定テンプレートを参照できます。設定の柔軟性の詳細については、 「カスタム設定およびファイルのテンプレート型変数の展開ルール」 の項を参照してください。
手順の概要
1. enable
2. configure terminal
3. crypto provisioning registrar
4. pki-server label
5. authentication list list-name
6. authorization list list-name
7. template username name [ password password ]
8. template config url [ post ]
9. end
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto provisioning registrar
Router(config)# crypto provisioning registrar |
デバイスを SDP 交換のレジストラになるよう設定し、tti-registrar コンフィギュレーション モードを開始します。 コマンドと置き換えられています。 |
ステップ 4 |
pki-server label
Router(tti-registrar)# pki-server mycs |
ペティショナとレジストラ間で SDP 交換と関連付ける証明書サーバを指定します。 |
ステップ 5 |
authentication list list-name
Router (tti-registrar)# authentication list authen-tac |
(任意)SDP 交換でイントロデューサを認証します。 |
ステップ 6 |
authorization list list-name
Router (tti-registrar)# authorization list author-rad |
(任意)証明書の題名およびペティショナに返信される Cisco IOS CLI スニペットに展開されるテンプレート型変数のリストに該当する認証フィールドを受信します。 |
ステップ 7 |
template username name [ password password ]
Router(tti-registrar)# template username ftpuser password ftppwd |
(任意)ファイル システムの設定テンプレートにアクセスするためのユーザ名およびパスワードを確立します。 |
ステップ 8 |
template config url [ post ]
Router(tti-registrar)# template config http://myserver/cgi-bin/mycgi post |
(任意)Cisco IOS CLI 設定テンプレートのリモート URL を指定します。 url 引数は設定ファイルを参照し、デバイス名($n)を指定してブートストラップ設定を識別できます。CGI サポートにより HTTP または HTTPS のいずれかを使用して CGI スクリプトを参照でき、デバイス名だけでなく、タイプ、Cisco IOS 現行バージョン情報、および現行の設定でブートストラップ設定を識別できます。 CGI サポートでは post キーワードを使用する必要があります。 (注) 拡張 CGI サポートを利用するには、レジストラは Cisco IOS Release 12.4(6)T 以降を実行している必要があります。レジストラがそれ以前のバージョンの Cisco IOS を実行している場合は、追加デバイス ID 情報は無視されます。 |
ステップ 9 |
end
Router(tti-registrar)# end |
(任意)tti-registrar コンフィギュレーション モードを終了します。 |
例
SDP トランザクションのトラブルシューティングに役立てるため、 debug crypto provisioning コマンドを発行できます。このコマンドにより、ペティショナ デバイスとレジストラ デバイスからの出力が表示されます。
次に debug crypto provisioning コマンドの出力を示します。次に、ペティショナ デバイスとレジストラ デバイスからの出力を示します。
! The user starts the Welcome phase.
Nov 7 03:15:48.171: CRYPTO_PROVISIONING: received welcome get request.
! The router generates a Rivest, Shamir, and Adelman (RSA) keypair for future enrollment.
Nov 7 03:15:48.279: CRYPTO_PROVISIONING: keyhash 'A506BE3B83C6F4B4A6EFCEB3D584AACA'
! The TTI transaction is completed.
Nov 7 03:16:10.607: CRYPTO_PROVISIONING: received completion post request.
!. During the introduction phase, the browser prompts for login information.
06:39:18: CRYPTO_PROVISIONING: received introduction post request.
06:39:18: CRYPTO_PROVISIONING: checking AAA authentication (ipsecca_script_aaalist, ttiuser)
! This happens if the user types in the wrong username or password.
06:39:19: CRYPTO_PROVISIONING: authentication declined by AAA, or AAA server not found - 0x3
06:39:19: CRYPTO_PROVISIONING: aaa query fails!
! The user re-enters login information.
06:39:19: CRYPTO_PROVISIONING: received introduction post request.
06:39:19: CRYPTO_PROVISIONING: checking AAA authentication (ipsecca_script_aaalist, ttiuser)
06:39:20: CRYPTO_PROVISIONING: checking AAA authorization (ipsecca_script_aaalist, ttiuser)
! The login attempt succeeds and authorization information is retrieved from the AAA database.
06:39:21: CRYPTO_PROVISIONING: aaa query ok!
! These attributes are inserted into the configuration template.
06:39:21: CRYPTO_PROVISIONING: building TTI av pairs from AAA attributes
06:39:21: CRYPTO_PROVISIONING: "subjectname" = "CN=user1, O=company, C=US"
06:39:21: CRYPTO_PROVISIONING: "$1" = "ntp server 10.3.0.1"
06:39:21: CRYPTO_PROVISIONING: "$2" = "hostname user1-vpn"
! The registrar stores this subject name and overrides the subject name in the subsequent enrollment request.
06:39:21: CRYPTO_PROVISIONING: subjectname=CN=user1, O=company, C=US
! The registrar stores this key information so that it may be used to automatically grant the subsequent enrollment request.
06:39:21: CRYPTO_PROVISIONING: key_hash=A506BE3B83C6F4B4A6EFCEB3D584AACA
証明書を使用した認可のための SDP レジストラのイネーブル化
SDP レジストラをイネーブルにし、指定されたトラストポイントまたは設定済みのトラストポイントを使用してペティショナ署名証明書を確認し、イントロデューサのユーザ名と証明書名フィールドを使用して認可検索を開始する場合は、この作業を実行します。
前提条件
証明書および特定のトラストポイントに関連付けられた RSA キーを使用するには、SDP ペティショナも設定する必要があります。この作業を完了するには、 「SDP ペティショナのイネーブル化」 の作業の項で示すように、トラストポイント署名コマンドを使用します。
制約事項
RADIUS では認証と認可の区別がされていないため、証明書の認可にはデフォルト パスワードの cisco を使用する必要があります。
手順の概要
1. enable
2. configure terminal
3. crypto provisioning registrar
4. template file sourceURL destinationURL
5. binary file sourceURL destinationURL
6. authentication trustpoint { trustpoint-label | use-any }
7. authorization {login | certificate | login certificate}
8. authorization username { subjectname subjectname }
9. end
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto provisioning registrar
Router(config)# crypto provisioning registrar |
SDP レジストラになるようデバイスを設定し、tti-registrar コンフィギュレーション モードを開始します。 |
ステップ 4 |
template file sourceURL destinationURL
Router(tti-registrar)# template file http://myserver/registrar_file_r1 http://myserver/petitioner_file_p1 |
(任意)レジストラの発信元テンプレート ファイル位置とペティショナの宛先テンプレート ファイル位置を指定します。 (注) このコマンドは、USB トークンを使用してデバイスをプロビジョニングする場合に便利です。 テンプレート展開は、レジストラで発信元 URL とファイル コンテンツの両方について行われます。宛先 URL はペティショナで展開されます。 |
ステップ 5 |
binary file sourceURL destinationURL
Router(tti-registrar)# binary file http://myserver/registrar_file_a1 http://myserver/petitioner_file_b1 |
(任意)レジストラのバイナリ ファイル位置とペティショナの宛先バイナリ ファイル位置を指定します。 (注) このコマンドは、USB トークンを使用してデバイスをプロビジョニングする場合に便利です。 発信元と宛先両方の URL はレジストラで展開されます。また、宛先 URL とファイル コンテンツはペティショナで展開されます。バイナリ ファイルは、テンプレート展開機能では処理されません。 |
ステップ 6 |
authentication trustpoint { trustpoint-label| use-any }
Router(tti-registrar)# authentication trustpoint mytrust |
(任意)SDP ペティショナ デバイスの現在の証明書の認証に使用するトラストポイントを指定します。 • trustpoint-label :特定のトラストポイントを指定します。 • use-any :任意の設定済みトラストポイントを指定します。 (注) トラストポイントを指定するのにこのコマンドを使用しない場合、既存のペティショナ証明書は検証されません(この機能は、自己署名ペティショナ証明書と互換性があります)。 |
ステップ 7 |
authorization {login | certificate | login certificate}
Router(tti-registrar)# authorization login certificate |
(任意)イントロデューサまたは証明書の AAA 認可をイネーブルにします。 • イントロデューサのユーザ名を使用した認可には、 login キーワードを使用します。 • ペティショナの証明書を使用した認可には、 certificate キーワードを使用します。 • イントロデューサのユーザ名およびペティショナの証明書を使用した認可には、 login certificate キーワードを使用します。 |
ステップ 8 |
authorization username subjectname subjectname
Router(tti-registrar)# authorization username subjectname all |
AAA ユーザ名の構築に使用する異なる証明書フィールドのパラメータを設定します。 • all キーワードは、証明書を認可ユーザ名として使用する場合に、題名全体を指定します。 |
ステップ 9 |
end
Router(tti-registrar)# end |
(任意)tti-registrar コンフィギュレーション モードを終了します。 |
Apple iPhone を導入するための SDP レジストラの設定
会社のネットワークに Apple iPhone を導入するために HTTPS を実行するように SDP レジストラを設定する場合は、この作業を実行します。
手順の概要
1. enable
2. configure terminal
3. ip http secure-server
4. crypto provisioning registrar
5. url-profile start profile-name
6. url-profile intro profile-name
7. match url url
8. match authentication trustpoint trustpoint-name(任意)
9. match certificate certificate-map(任意)
10. mime-type mime-type
11. template location location
12. template variable p value(任意)
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
ip http secure-server
Router(config)# ip http secure-server |
HTTPS Web サーバをイネーブルにします。 |
ステップ 4 |
crypto provisioning registrar
Router(config)# crypto provisioning registrar |
デバイスを SDP 交換のレジストラになるよう設定し、tti-registrar コンフィギュレーション モードを開始します。 コマンドと置き換えられています。 |
ステップ 5 |
url-profile start profile-name
Router(tti-registrar)# url-profile start START |
start キーワードを指定して、URL プロファイルが SDP 導入開始段階と関連付けられることを示します。 profile-name 引数には、一意の URL プロファイルの名前を指定します。 (注) SDP 導入紹介段階と SDP 導入開始段階では、いずれも異なるプロファイルを使用したり、同じ URL プロファイルを使用したりすることができます。 |
ステップ 6 |
url-profile intro profile-name
Router(tti-registrar)# url-profile intro INTRO |
intro キーワードを指定して、URL プロファイルが SDP 導入紹介段階と関連付けられることを示します。 profile-name 引数には、一意の URL プロファイルの名前を指定します。 (注) SDP 導入紹介段階と SDP 導入開始段階では、いずれも異なるプロファイルを使用したり、同じ URL プロファイルを使用したりすることができます。 |
ステップ 7 |
match url url
Router(tti-registrar)# match url /sdp/intro |
URL プロファイルに関連付ける URL を指定します。 |
ステップ 8 |
match authentication trustpoint trustpoint-name
Router(tti-registrar)# match authentication trustpoint apple-tp |
(任意)ピアの証明書の認証に使用するトラストポイントの名前を指定します。トラストポイントの名前が指定されていない場合、ピアの証明書の認証には tti-registrar コンフィギュレーション モードで authentication trustpoint コマンド を使用して設定されたトラストポイントが使用されます。詳細については、「証明書を使用した認可のための SDP レジストラのイネーブル化」を参照してください。 |
ステップ 9 |
match certificate certificate-map
Router(tti-registrar)# match certificate cat 10 |
(任意)ピアの証明書の許可に使用される証明書マップの名前を指定します。 |
ステップ 10 |
mime-type mime-type
Router(tti-registrar)# mime-type application/x-apple-aspen-config |
SDP レジストラが URL プロファイルを通して受信した要求への応答に使用する Multipurpose Internet Mail Extensions(MIME; 多目的インターネット メール拡張)タイプを指定します。 |
ステップ 11 |
template location location
Router(tti-registrar)# template location flash:intro.mobileconfig |
SDP レジストラが URL プロファイルを通して受信した要求に応答するときに使用するテンプレートの場所を指定します。 |
ステップ 12 |
template variable p value
Router(tti-registrar)# template variable p iphone-vpn |
(任意)SDP レジストラによって発行されるトラストポイント証明書の所有者名の Organizational Unit(OU; 組織ユニット)フィールドに入力する値を指定します。以下の 「Apple CA サーバのトラストポイント証明書の設定例」 の項に示す証明書のフィールドを参照してください。 |
Apple CA サーバのトラストポイント証明書の設定例
SDP レジストラは、Apple CA サーバの証明書を信頼するために、iPhone のトラストポイント証明書から生成された署名を確認する必要があります。iPhone はトラストポイント証明書を使用してメッセージに署名します。このトラストポイント証明書は、SDP 導入紹介段階で Apple 社の CA サーバによって発行されます。
次の例では、Apple 社の CA 証明書をカットアンドペーストして手動で登録する方式を使用して、証明書登録を設定する方法を示します。
(注) トラストポイント証明書の設定の詳細については、『Configuring Certificate Enrollment for a PKI』フィーチャ モジュールの「How to Configure Certificate Enrollment for a PKI」の項も参照してください。
ステップ 1 グローバル コンフィギュレーション モードで crypto pki trustpoint コマンドを入力してトラストポイントおよび設定された名前を宣言し、CA トラストポイント コンフィギュレーション モードを開始します。
Router(config)# crypto pki trustpoint apple-tp
ステップ 2 カットアンドペーストして手動で証明書を登録するように指定するには、 enrollment terminal コマンドを入力します。
Router(ca-trustpoint)# enrollment terminal
ステップ 3 crypto pki authenticate コマンドを使用して、指定された TFTP サーバから CA 証明書を取得して認証します。
Router(ca-trustpoint)# crypto pki authenticate apple-tp
ステップ 4 Base 64 符号化の信頼できる Apple CA 証明書が含まれている次のテキスト部分をコピーし、プロンプトにペーストします。
localKeyID: 7C 29 15 15 12 C9 CF F6 15 2B 5B 25 70 3D A7 9A 98 14 36 06
subject=/C=US/O=Apple Inc./OU=Apple iPhone/CN=Apple iPhone Device CA
issuer=/C=US/O=Apple Inc./OU=Apple Certification Authority/CN=Apple iPhone Certification Authority
-----BEGIN CERTIFICATE-----
MIIDaTCCAlGgAwIBAgIBATANBgkqhkiG9w0BAQUFADB5MQswCQYDVQQGEwJVUzET
MBEGA1UEChMKQXBwbGUgSW5jLjEmMCQGA1UECxMdQXBwbGUgQ2VydGlmaWNhdGlv
biBBdXRob3JpdHkxLTArBgNVBAMTJEFwcGxlIGlQaG9uZSBDZXJ0aWZpY2F0aW9u
IEF1dGhvcml0eTAeFw0wNzA0MTYyMjU0NDZaFw0xNDA0MTYyMjU0NDZaMFoxCzAJ
BgNVBAYTAlVTMRMwEQYDVQQKEwpBcHBsZSBJbmMuMRUwEwYDVQQLEwxBcHBsZSBp
UGhvbmUxHzAdBgNVBAMTFkFwcGxlIGlQaG9uZSBEZXZpY2UgQ0EwgZ8wDQYJKoZI
hvcNAQEBBQADgY0AMIGJAoGBAPGUSsnquloYYK3Lok1NTlQZaRdZB2bLl+hmmkdf
Rq5nerVKc1SxywT2vTa4DFU4ioSDMVJl+TPhl3ecK0wmsCU/6TKqewh0lOzBSzgd
Z04IUpRai1mjXNeT9KD+VYW7TEaXXm6yd0UvZ1y8Cxi/WblshvcqdXbSGXH0KWO5
JQuvAgMBAAGjgZ4wgZswDgYDVR0PAQH/BAQDAgGGMA8GA1UdEwEB/wQFMAMBAf8w
HQYDVR0OBBYEFLL+ISNEhpVqedWBJo5zENinTI50MB8GA1UdIwQYMBaAFOc0Ki4i
3jlga7SUzneDYS8xoHw1MDgGA1UdHwQxMC8wLaAroCmGJ2h0dHA6Ly93d3cuYXBw
bGUuY29tL2FwcGxlY2EvaXBob25lLmNybDANBgkqhkiG9w0BAQUFAAOCAQEAd13P
Z3pMViukVHe9WUg8Hum+0I/0kHKvjhwVd/IMwGlXyU7DhUYWdja2X/zqj7W24Aq5
7dEKm3fqqxK5XCFVGY5HI0cRsdENyTP7lxSiiTRYj2mlPedheCn+k6T5y0U4Xr40
FXwWb2nWqCF1AgIudhgvVbxlvqcxUm8Zz7yDeJ0JFovXQhyO5fLUHRLCQFssAbf8
B4i8rYYsBUhYTspVJcxVpIIltkYpdIRSIARA49HNvKK4hzjzMS/OhKQpVKw+OCEZ
xptCVeN2pjbdt9uzi175oVo/u6B2ArKAW17u6XEHIdDMOe7cb33peVI6TD15W4MI
-----END CERTIFICATE-----
ステップ 5 exit コマンドを使用して CA トラストポイント コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。
Router(ca-trustpoint)# exit
ステップ 6 グローバル コンフィギュレーション モードで crypto provisioning registrar コマンドを入力し、SDP 交換用のレジストラになるルータを指定して、tti-registrar 設定モードを開始します。
Router(config)# crypto provisioning registrar
ステップ 7 tti-registrar コンフィギュレーション モードで url-profile コマンドと intro キーワードを入力し、SDP 導入紹介段階に関連付けられる一意の URL プロファイルの名前を指定します。
Router(tti-registrar)# url-profile intro INTRO
ステップ 8 tti-registrar コンフィギュレーション モードで match authentication trustpoint コマンドを入力し、ピアの証明書の認証に使用するトラストポイントの名前を指定します。
Router(tti-registrar)# match authentication trustpoint apple-tp
これで、SDP レジストラは iPhone の署名を確認する際に、「apple-tp」という名前の Apple CA トラストポイント証明書を使用できます。
管理イントロデューサの設定
管理者の認証リストと認可リストを使用して、管理イントロデューサを設定するには、次の作業を行います。
前提条件
管理イントロデューサは、クライアント デバイスの特権およびサーバの管理者特権をイネーブルにしておく必要があります。
制約事項
RADIUS を使用する場合、管理イントロデューサにより紹介される必要があるユーザまたはデバイスのパスワードとして常に cisco を使用する必要があります。TACACS+ にはこの制限はありません。ユーザまたはデバイスはどのパスワードを使用しても、管理イントロデューサにより紹介されます。
手順の概要
1. enable
2. configure terminal
3. crypto provisioning registrar
4. administrator authentication list list-name
5. administrator authorization list list-name
6. end
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto provisioning registrar
Router(config)# crypto provisioning registrar |
SDP レジストラになるようデバイスを設定し、tti-registrar コンフィギュレーション モードを開始します。 |
ステップ 4 |
administrator authentication list list-name
Router(tti-registrar)# administrator authentication list authen-tac |
紹介中に管理者を認証場合に使用する AAA リストを設定します。 |
ステップ 5 |
administrator authorization list list-name
Router(tti-registrar)# administrator authorization list author-tac |
紹介中に管理者の認可情報を取得する場合に使用する AAA リストを設定します。取得できる情報として、証明書の題名またはペティショナに返信される Cisco IOS CLI スニペットに展開されるテンプレート型変数のリストがあります。 |
ステップ 6 |
end
Router(tti-registrar)# end |
(任意)tti-registrar コンフィギュレーション モードを終了します。 |
例
show running-config コマンドの次の例では、認証リストと認可リストを使用した管理イントロデューサが作成されたことを確認できます。
Router# show running-config
Building configuration...
Current configuration : 2700 bytes
! Last configuration change at 01:22:26 GMT Fri Feb 4 2005
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
enable secret 5 $1$tpBS$PXnBDTIDXfX5pWa//1JX20
no ip dhcp use vrf connected
ip domain name company.com
ip host router.company.com 10.3.0.6
no ip ips deny-action ips-interface
no ftp-server write-enable
crypto pki trustpoint mycs
crypto pki trustpoint tti
crypto pki trustpoint mic
enrollment url http://router:80
crypto pki trustpoint cat
crypto pki certificate map cat 10
crypto pki certificate chain mycs
crypto pki certificate chain tti
crypto pki certificate chain mic
crypto pki certificate chain cat
crypto provisioning registrar <---------- !SDP registrar device parameters!
administrator authentication list authen-tac
administrator authorization list author-tac
no crypto engine onboard 0
username qa privilege 15 password 0 lab
カスタム テンプレートの設定
カスタム テンプレートを作成および設定するには、次の作業を行います。
手順の概要
1. enable
2. configure terminal
3. crypto provisioning registrar
4. template http start URL
5. template http welcome URL
6. template http introduction URL
7. template http admin-introduction URL
8. template http completion URL
9. template http error URL
10. end
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto provisioning registrar
Router(config)# crypto provisioning registrar |
SDP レジストラになるようデバイスを設定し、tti-registrar コンフィギュレーション モードを開始します。 |
ステップ 4 |
template http start URL
Router(tti-registrar)# template http start tftp:// registrar.company .com/start.html |
カスタム開始ページ テンプレートを使用するよう TTI レジストラに指示します。 (注) このコマンドは、開始ページ機能を使用する場合に必要です。このコマンドが発行されていない場合、ようこそページがイントロデューサとペティショナの最初の通信になります。 |
ステップ 5 |
template http welcome URL
Router(tti-registrar)# template http welcome tftp://registrar.company.com/welcome.html |
(任意)デフォルト テンプレートではなく、カスタムようこそテンプレートを使用します。 |
ステップ 6 |
template http introduction URL
Router(tti-registrar)# template http introduction tftp://registrar.company.com/intro.html |
(任意)デフォルト テンプレートではなく、カスタム紹介テンプレートを使用します。 |
ステップ 7 |
template http admin-introduction URL
Router(tti-registrar)# template http admin-introduction tftp://registrar.company.com/admin-intro.html |
(任意)デフォルト テンプレートではなく、カスタム管理紹介テンプレートを使用します。 |
ステップ 8 |
template http completion URL
Router(tti-registrar)# template http completion tftp://registrar.company.com/completion.html |
(任意)デフォルト テンプレートではなく、カスタム完了テンプレートを使用します。 |
ステップ 9 |
template http error URL
Router(tti-registrar)# template http error tftp://registrar.company.com/error.html |
(任意)デフォルト テンプレートではなく、カスタム エラー テンプレートを使用します。 |
ステップ 10 |
end
Router(tti-registrar)# end |
(任意)tti-registrar コンフィギュレーション モードを終了します。 |
例
次に、開始、紹介、および完了の各テンプレートを使用した例を示します。
template http start tftp://registrar.company.com/start.html
template http introduction tftp://registrar.company.com/intro.html
template http completion tftp://registrar.company.com/completion.html