この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章は、次の項で構成されています。
証明書署名要求(CSR)を生成して新しい証明書を取得し、新しい証明書をCisco IMCにアップロードして現在のサーバ証明書と交換することができます。サーバ証明書は、Verisign のようなパブリック認証局(CA)、または独自に使用している認証局のいずれかによって署名されます。生成された証明書のキー長は 2048 ビットです。
(注) | この章に記載されている以下のタスクを実行する前に、Cisco IMC の時刻が現在の時刻に設定されていることを確認します。 |
(注) | これらのコマンドは、Cisco IMCではなく、OpenSSL パッケージを使用している Linux サーバで入力します。 |
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | openssl genrsa -outCA_keyfilenamekeysize 例: # openssl genrsa -out ca.key 2048 |
指定されたファイル名には、指定されたサイズの RSA キーが含まれています。 | ||
ステップ 2 | openssl req -new -x509 -daysnumdays-keyCA_keyfilename-outCA_certfilename 例: # openssl req -new -x509 -days 365 -key ca.key -out ca.crt |
このコマンドは、指定されたキーを使用して、CA の自己署名証明書を新規に作成します。証明書は指定された期間有効になります。このコマンドは、ユーザに証明書の追加情報を求めるプロンプトを表示します。 証明書サーバは、アクティブな CA です。 | ||
ステップ 3 | echo "nsCertType = server" > openssl.conf 例: # echo "nsCertType = server" > openssl.conf |
このコマンドは、証明書がサーバ限定の証明書であることを指定する行を OpenSSL 設定ファイルに追加します。この指定により、認証されたクライアントがサーバになりすます man-in-the-middle 攻撃を防御できます。 OpenSSL 設定ファイル openssl.conf には、"nsCertType = server" という文が含まれています。 | ||
ステップ 4 | openssl x509 -req -daysnumdays-inCSR_filename-CACA_certfilename-set_serial 04 -CAkeyCA_keyfilename-outserver_certfilename-extfile openssl.conf 例: # openssl x509 -req -days 365 -in csr.txt -CA ca.crt -set_serial 04 -CAkey ca.key -out myserver05.crt -extfile openssl.conf |
このコマンドは、CA が CSR ファイルを使用してサーバ証明書を生成するように指示します。 サーバ証明書は、出力ファイルに含まれています。 | ||
ステップ 5 | openssl x509 -noout -text -purpose -in <cert file> 例: openssl x509 -noout -text -purpose -in <cert file> | 生成された証明書のタイプが [Server] であることを確認します。
| ||
ステップ 6 | 生成された証明書に正しい使用期限が設定されていない場合は、Cisco IMC の時刻が現在の時刻に設定されていることを確認し、手順 1 ~ 5 を繰り返して証明書を再生成します。 | (任意) 正しい使用期限が設定された証明書が作成されます。 |
この例は、CA の作成方法、および新規に作成された CA が署名するサーバ証明書の生成方法を示します。これらのコマンドは、OpenSSL を実行している Linux サーバで入力します。
# /usr/bin/openssl genrsa -out ca.key 2048 Generating RSA private key, 2048 bit long modulus .............++++++ .....++++++ e is 65537 (0x10001) # /usr/bin/openssl req -new -x509 -days 365 -key ca.key -out ca.crt You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [GB]:US State or Province Name (full name) [Berkshire]:California Locality Name (eg, city) [Newbury]:San Jose Organization Name (eg, company) [My Company Ltd]:Example Incorporated Organizational Unit Name (eg, section) []:Unit A Common Name (eg, your name or your server's hostname) []:example.com Email Address []:admin@example.com # echo "nsCertType = server" > openssl.conf # /usr/bin/openssl x509 -req -days 365 -in csr.txt -CA ca.crt -set_serial 01 -CAkey ca.key -out server.crt -extfile openssl.conf Signature ok subject=/C=US/ST=California/L=San Jose/O=Example Inc./OU=Unit A/CN=example.com/emailAddress=john@example.com Getting CA Private Key #
新しい証明書をCisco IMCにアップロードします。
ステップ 1 | [IIS Manager] を開いて管理するレベルに移動します。 |
ステップ 2 | [Features] 領域で、[Server Certificate] をダブルクリックします。 |
ステップ 3 | [Action] ペインで、[Create Self-Signed Certificate] をクリックします。 |
ステップ 4 | [Create Self-Signed Certificate] ウィンドウで、[Specify a friendly name for the certificate] フィールドに証明書の名前を入力します。 |
ステップ 5 | [OK] をクリックします。 |
ステップ 6 | (任意)生成された証明書に正しい使用期限が設定されていない場合は、Cisco IMC の時刻が現在の時刻に設定されていることを確認し、手順 1 ~ 5 を繰り返して証明書を再生成します。 正しい使用期限が設定された証明書が作成されます。 |
証明書をアップロードするには、admin 権限を持つユーザとしてログインする必要があります。
アップロードする証明書ファイルは、ローカルにアクセスできるファイル システムに配置されている必要があります。
生成された証明書のタイプが [Server] であることを確認します。
(注) | [Cisco IMC Certificate Management] メニューを使用して最初に CSR を生成してから、その CSR を使用してアップロードする証明書を取得する必要があります。この方法で取得されていない証明書はアップロードしないでください。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||
ステップ 2 | [Admin] タブの [Certificate Management] をクリックします。 | ||||||||
ステップ 3 | [Actions] 領域で、[Upload Server Certificate] をクリックします。
[Upload Certificate] ダイアログボックスが表示されます。 | ||||||||
ステップ 4 | [Upload Certificate] ダイアログボックスで、次のプロパティを更新します。
| ||||||||
ステップ 5 | [Upload Certificate] をクリックします。 |
ローカル ファイル システムからサーバ証明書をアップロードする代わりに、テキスト フィールドに証明書の内容を貼り付けることで新しいサーバ証明書をアップロードすることもできます。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブの [Certificate Management] をクリックします。 |
ステップ 3 | [Actions] 領域で [Paste Server Certificate] をクリックします。
[Paste Server Certificate] ダイアログボックスが表示されます。 |
ステップ 4 | [Paste Server Certificate] ダイアログ ボックスで、[Certificate] テキスト フィールドにサーバ証明書の内容を貼り付け、[Save] をクリックします。
これにより、サーバに証明書がアップロードされます。 |
場合によっては、新しい証明書がシステムで表示されない場合があります。このシナリオでは、次のトラブルシューティング手順を実行し、Cisco IMC をリブートする必要があります。
ステップ 1 | Cisco IMC サーバで新しいセキュア シェル セッションを開始します。 |
ステップ 2 | scope certificate および show detail コマンドをそれぞれ実行し、表示された証明書がアップロードしたものであることを確認します。 |
ステップ 3 | セキュア シェルのコマンドライン インターフェイスを終了します。 |
ステップ 4 | Cisco IMC Web インターフェイスにログインします。 |
ステップ 5 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 6 | [Admin] タブの [Utilities] をクリックします。 |
ステップ 7 | [Utilities] ペインの [Actions] 領域で、[Reboot Cisco IMC] をクリックします。 |
ステップ 8 | [OK] をクリックします。 |
ステップ 9 | Web ブラウザの履歴をクリアします。 |
ステップ 10 | Cisco IMC からログアウトしてから再度ログインし、新しい証明書が使用されていることを確認します。 |