アプリケーション ネットワーキング サービス : Cisco CSS 11500 シリーズ コンテンツ サービス スイッチ

CSS11500 でのサーバ証明書の要求とインストール

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

コンテンツ サービス スイッチ(CSS)の既存のキーと証明書がない場合、それらを CSS で生成できます。 CSS には、秘密キー、証明書署名要求(CSR)、および自己署名仮証明書を生成するプロセスを簡略化するための一連の証明書と秘密キーの管理ユーティリティが含まれています。 このドキュメントでは、認証局(CA)から新しい証明書を取得して、CSS にインストールする手順について説明します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメントの表記法の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

設定

このドキュメントでは次に示す設定を使用しています。

  • Rivest、Shamir、Adelman(RSA)キー ペアの生成

  • RSA キー ペア ファイルの関連付け

  • CSR の生成

  • CA からの証明書の取得

  • チェーン証明書ファイルのインポート

  • 証明書ファイルの関連付け

  • SSL プロキシ リストの設定

  • セキュア ソケット レイヤ(SSL)サービスとコンテンツ ルールの設定

Rivest、Shamir、Adelman(RSA)キー ペアの生成
ssl genrsa コマンドを発行して、非対称暗号化用に RSA 秘密鍵/公開鍵キー ペアを生成します。 CSS は CSS でファイルとして生成された RSA キー ペアを保存します。 たとえば、RSA キー ペア myrsakey.pem を生成するには、次のように入力します。
 
CSS11500(config) # ssl genrsa myrsakey.pem 1024 “passwd123”

Please be patient this could take a few minutes

RSA のキー ペア ファイルの関連付け
ssl associate rsakey コマンドを発行し、生成された RSA キー ペアに RSA キー ペア名を関連付けます。 たとえば、生成された RSA キー ペア ファイル myrsakey.pem に RSA キー名 myrsakey1 を関連付けるには、次のように入力します。
 
CSS11500(config) # ssl associate rsakey myrsakey1 myrsakey.pem

CSR の生成
ssl gencsr rsakey コマンドを発行し、関連付けをした RSA キー ペア ファイルの CSR ファイルを生成します。 この CSR は、署名用に CA に送信されます。 たとえば、RSA キー ペア myrsakey1 に基づいて CSR を生成するには、次のように入力します。
 
CSS11503(config)# ssl gencsr myrsakey1

You are about to be asked to enter information
that will be incorporated into your certificate
request. What you are about to enter is what is
called a Distinguished Name or a DN.
For some fields there will be a default value,
If you enter '.', the field will be left blank.
Country Name (2 letter code) [US] US
State or Province (full name) [SomeState] CA
Locality Name (city) [SomeCity] San Jose
Organization Name (company name) [Acme Inc]Cisco Systems, Inc.
Organizational Unit Name (section) [Web Administration] Web Admin
Common Name (your domain name) [www.acme.com] www.cisco.com
Email address [webadmin@acme.com] webadmin@cisco.com
ssl gencsr コマンドにより、画面に CSR および出力が生成されます。 ほとんどの主要な CA には、画面に証明書リクエストをカット アンド ペーストすることを求める Web ベースのアプリケーションが実装されています。
 
-----BEGIN CERTIFICATE REQUEST-----
MIIBWDCCAQICAQAwgZwxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJNQTETMBEGA1UE
BxMKQm94Ym9yb3VnaDEcMBoGA1UEChMTQ2lzY28gU3lzdGVtcywgSW5jLjESMBAG
A1UECxMJV2ViIEFkbWluMRYwFAYDVQQDEw13d3cuY2lzY28uY29tMSEwHwYJKoZI
hvcNAQkBFhJra3JvZWJlckBjaXNjby5jb20wXDANBgkqhkiG9w0BAQEFAANLADBI
AkEAqHXjtQUVXvmo6tAWPiMpe6oYhZbJUDgTxbW4VMCygzGZn2wUJTgLrifDB6N3
v+1tKFndE686BhKqfyOidml3wQIDAQABoAAwDQYJKoZIhvcNAQEEBQADQQA94yC3
4SUJJ4UQEnO2OqRGLOZpAElc4+IV9aTWK6NmiZsM9Gt0vPhIkLx5jjhVRLlb27Ak
H6D5omXa0SPJan5x
-----END CERTIFICATE REQUEST-----

CA によって、署名した CSR が返されます。この処理は、通常、CSR で提供される電子メール アドレスを使用して行われます。

CA からの証明書の取得
CA に CSR を送信した後、1 ~ 7 営業日の間に、署名済み証明書が届きます。 所要日数は、CA によって異なります。 CA が署名して提供した証明書は、CSS に追加できます。

チェーン証明書ファイルのインポート
CA によって CSR への署名が行われると、「証明書」と呼ばれるものが完成します。 証明書ファイルは CSS にインポートする必要があります。 copy ssl コマンドを発行して、CSS からの証明書および秘密鍵のインポート、または CSS への証明書および秘密鍵のエクスポートを実行します。 CSS は、インポートされたすべてのファイルを、CSS 上の安全な場所に保存します。 このコマンドは、SuperUser モードに限り使用できます。 たとえば、リモート サーバから CSS に mychainedrsacert.pem 証明書をインポートするには、次のように入力します。
 
CSS11500# copy ssl sftp ssl_record import mychainedrsacert.pem PEM “passwd123”

Connecting 
Completed successfully 

証明書ファイルの関連付け
ssl associate cert コマンドを発行して、証明書名をインポートされた証明書に関連付けます。 たとえば、証明書名 mychainedrsacert1 をインポートされた証明書ファイル mychainedrsacert.pem に関連付けるには、次のように入力します。
 
CSS11500(config)# ssl associate cert mychainedrsacert1 mychainedrsacert.pem 

SSL プロキシ リストの設定
ssl-proxy-list コマンドを発行し、SSL プロキシ リストを変更します。 SSL プロキシ リストは、SSL サービスに関連付けられている、関連する仮想 SSL サーバまたはバックエンド SSL サーバのグループです。 SSL プロキシ リストには、各仮想 SSL サーバに関するすべての設定情報が含まれます。 この情報には、SSL サーバの作成、証明書および対応する SSL キー ペア、仮想 IP(VIP)アドレスおよびポート、サポートされている SSL 暗号化、および他の SSL オプションが含まれます。 たとえば、ssl-proxy-list ssl_list1 を作成するには、次のように入力します。
 
CSS11500(config)# ssl-proxy-list ssl_list1
Create ssl-list <ssl_list1>, [y/n]: y 
SSL プロキシ リストを作成すると、CLI は ssl-proxy-list コンフィギュレーション モードになります。 次に示すように、SSL サーバを設定します。
 
CSS11500(ssl-proxy-list[ssl_list1])# ssl-server 20
CSS11500(ssl-proxy-list[ssl_list1])# ssl-server 20 vip address 192.168.3.6
CSS11500(ssl-proxy-list[ssl_list1])# ssl-server 20 rsacert mychainedrsacert1
CSS11500(ssl-proxy-list[ssl_list1])# ssl-server 20 rsakey myrsakey1
CSS11500(ssl-proxy-list[ssl_list1])# ssl-server 20 cipher rsa-export-with-rc4-40-md5 192.168.11.2 80 5
CSS11500(ssl-proxy-list[ssl_list1])# active 

セキュア ソケット レイヤ(SSL)サービスとコンテンツ ルールの設定
SSL プロキシ リストが有効になったら、サービスとコンテンツ ルールを設定して、CSS が SSL モジュールに SSL トラフィックを送信できるようにする必要があります。 次の表に、仮想 SSL サーバ用に SSL サービスを作成するための手順(概要)を示します。SSL プロキシ リストをサービスに追加する方法や、SSL コンテンツ ルールを作成する方法も記載しています。 SSL サービスの作成
 
CSS11500(config)# service ssl_serv1Create service <ssl_serv1>, 
   [y/n]: y
CSS11500(config-service[ssl_serv1])# type ssl-accel
CSS11500(config-service[ssl_serv1])# slot 2
CSS11500(config-service[ssl_serv1])# keepalive type none
CSS11500(config-service[ssl_serv1])# add ssl-proxy-list ssl_list1
CSS11500(config-service[ssl_serv1])# active 
SSL コンテンツ ルールの作成
 
CSS11500(config)# owner ssl_owner
Create owner <ssl_owner>, [y/n]: y
CSS11500(config-owner[ssl_owner])# content ssl_rule1
Create content <ssl_rule1>, [y/n]: y
CSS11500(config-owner-content[ssl-rule1]# vip address 192.168.3.6
CSS11500(config-owner-content[ssl-rule1]# port 443 
CSS11500(config-owner-content[ssl_rule1])# add service ssl_serv1 
CSS11500(config-owner-content[ssl_rule1])# active 
クリア テキストのコンテンツ ルールの作成
CSS11500(config-owner[ssl_owner])# content decrypted_www 
Create content <decrypted_www>, [y/n]: y
CSS11500(config-owner-content[decrypted_www]# vip address 192.168.11.2
CSS11500(config-owner-content[decrypted_www]# port 80
CSS11500(config-owner-content[decrypted_www])# add service linux_http
CSS11500(config-owner-content[decrypted_www])# add service win2k_http
CSS11500(config-owner-content[decrypted_www])# active 
この時点で、クライアント HTTPS トラフィックは 192.168.3.6:443 にある CSS に送信できます。 CSS は、HTTPS トラフィックを復号化し、HTTP に変換します。 CSS ではサービスを選択し、HTTP Web サーバに HTTP トラフィックを送信します。 次に、上記の例を使用して動作している CSS の設定を示します。
 
CSS11501# show run
configure

!*************************** GLOBAL ***************************
ssl associate rsakey myrsakey1 myrsakey.pem
ssl associate cert mychainedrsacert1 mychainedrsacert.pem

ip route 0.0.0.0 0.0.0.0 192.168.3.1 1

ftp-record conf 192.168.11.101 admin des-password 4f2bxansrcehjgka /tftpboot

!************************* INTERFACE *************************
interface 1/1
bridge vlan 10
description "Client Side"

interface 1/2
bridge vlan 20
description "Server Side"

!************************** CIRCUIT **************************
circuit VLAN10
description "Client Segment"

ip address 192.168.3.254 255.255.255.0

circuit VLAN20
description "Server Segment"

ip address 192.168.11.1 255.255.255.0

!*********************** SSL PROXY LIST ***********************
ssl-proxy-list ssl_list1
ssl-server 20
ssl-server 20 vip address 192.168.3.6
ssl-server 20 rsakey myrsakey1
ssl-server 20 rsacert mycertcert1
ssl-server 20 cipher rsa-with-rc4-128-md5 192.168.11.2 80
active

!************************** SERVICE **************************
service linux-http
ip address 192.168.11.101
port 80
active

service win2k-http
ip address 192.168.11.102
port 80
active

service ssl_serv1
type ssl-accel
slot 2
keepalive type none
add ssl-proxy-list ssl_list1
active

!*************************** OWNER ***************************
owner ssl_owner

content ssl_rule1
vip address 192.168.3.6
protocol tcp
port 443
add service ssl_serv1
active

content decrypted_www
vip address 192.168.11.2
add service linux-http
add service win2k-http
protocol tcp
port 80
active

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 47781