Cisco インターフェイスとモジュール : Cisco Catalyst 6500 シリーズ SSL サービス モジュール

Catalyst 6000 SSL モジュールを使用した簡単なバックエンド SSL 暗号化の設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

バックエンドの Secure Socket Layer(SSL)設定は、クライアントが HTTP(クリア テキスト)を使用して HTTPS サーバ(暗号化されたトラフィック)と通信する場合に使用されます。 SSL モジュールはプロキシとして機能し、クライアントからの HTTP の接続を受け入れます。 その後、SSL モジュールは SSL 経由でサーバに接続します。 クライアントからのすべてのトラフィックは、SSL モジュールによって暗号化されてサーバに転送されます。 サーバからのトラフィックは、クライアントに転送される前に復号化されます。

/image/gif/paws/50061/simple_backend_ssl.jpg

これは SSL モジュールの初期設定です。 VLAN 定義は含まれています。

ssl-proxy vlan 499 
 ipaddr 192.168.11.197 255.255.254.0
 gateway 192.168.10.1  
 admin
ssl-proxy vlan 500 
 ipaddr 192.168.21.197 255.255.254.0
 gateway 192.168.20.1  
ssl-proxy vlan 501 
 ipaddr 192.168.31.197 255.255.254.0

はじめに

要件

設定を開始する前にこれらの必要条件を満たしていることを確認して下さい:

  • SSL モジュールが付いている Catalyst 6000

  • SSL モジュールはマネージメントVLAN で設定されました

  • SSL モジュールはクライアント および サーバ VLAN で設定されました

使用するコンポーネント

このドキュメント内の情報は、次のハードウェアとソフトウェアのバージョンに基づいています。

  • SSL モジュール バージョン 2.1 最小値

表記法

ドキュメントの表記法の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

SSL 設定を後部処理して下さい

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

SSL および認証

SSL 接続を確立するとき信頼された認証局 (CA)が Webサーバによって SSL モジュールに示される認証を検証するために必要となります。 複数の信頼された CA は CA プールとともに設定され、並べることができます。

信頼された CA証明のインポート

次の手順を実行します。

  1. 認証をインポートするのに使用されるべき方式を示す信頼された CA エントリを作成して下さい。 この例では、ターミナル ウィンドウに認証をコピー アンド ペーストして下さい。 また CA に認証 リボケーションリスト(CRL)がないこと、規定 して下さい。

    ssl-proxy(config)#crypto ca trustpoint CA1
    ssl-proxy(ca-trustpoint)#enrollment terminal 
    ssl-proxy(ca-trustpoint)#crl optional 
  2. CA エントリが作成されたら、関連する認証をインポートできます。

    ssl-proxy(config)#crypto ca authenticate CA1
    
    Enter the base 64 encoded CA certificate.
    End with a blank line or the word "quit" on a line by itself
    
    -----BEGIN CERTIFICATE-----
    MIIEDDCCA3WgAwIBAgIBADANBgkqhkiG9w0BAQQFADCBuzELMAkGA1UEBhMCLS0x
    EjAQBgNVBAgTCVNvbWVTdGF0ZTERMA8GA1UEBxMIU29tZUNpdHkxGTAXBgNVBAoT
    EFNvbWVPcmdhbml6YXRpb24xHzAdBgNVBAsTFlNvbWVPcmdhbml6YXRpb25hbFVu
    aXQxHjAcBgNVBAMTFWxvY2FsaG9zdC5sb2NhbGRvbWFpbjEpMCcGCSqGSIb3DQEJ
    ARYacm9vdEBsb2NhbGhvc3QubG9jYWxkb21haW4wHhcNMDMxMTA3MTAyNTE5WhcN
    MDQxMTA2MTAyNTE5WjCBuzELMAkGA1UEBhMCLS0xEjAQBgNVBAgTCVNvbWVTdGF0
    ZTERMA8GA1UEBxMIU29tZUNpdHkxGTAXBgNVBAoTEFNvbWVPcmdhbml6YXRpb24x
    HzAdBgNVBAsTFlNvbWVPcmdhbml6YXRpb25hbFVuaXQxHjAcBgNVBAMTFWxvY2Fs
    aG9zdC5sb2NhbGRvbWFpbjEpMCcGCSqGSIb3DQEJARYacm9vdEBsb2NhbGhvc3Qu
    bG9jYWxkb21haW4wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBALbEc403lMrc
    TwM0MGU1IDe7QWQE5h5NjS/Lf8KX81sNcO7DGrDLxjxKpKEfp2XY9XYbFBXGzDIP
    JdROjujvcUi0ZgQYr2pqP2eYHkWaMKClZ32JX4hOhgo0vr7dAQ7CKDRAVLddwqsC
    YTl1QPQHR27gtI/M74v4kaP1JBf/8Z+jAgMBAAGjggEcMIIBGDAdBgNVHQ4EFgQU
    JKrmeHLjYClfDU3fR7BSQ8ckApQwgegGA1UdIwSB4DCB3YAUJKrmeHLjYClfDU3f
    R7BSQ8ckApShgcGkgb4wgbsxCzAJBgNVBAYTAi0tMRIwEAYDVQQIEwlTb21lU3Rh
    dGUxETAPBgNVBAcTCFNvbWVDaXR5MRkwFwYDVQQKExBTb21lT3JnYW5pemF0aW9u
    MR8wHQYDVQQLExZTb21lT3JnYW5pemF0aW9uYWxVbml0MR4wHAYDVQQDExVsb2Nh
    bGhvc3QubG9jYWxkb21haW4xKTAnBgkqhkiG9w0BCQEWGnJvb3RAbG9jYWxob3N0
    LmxvY2FsZG9tYWluggEAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEEBQADgYEA
    bVSfbEnrUKijkP5f76pyNFDYCS9Qu4PN8SJu8KXlmFTpcV1oToVAipUGBsgENvKx
    R1aJqpAU8a9iGVFukaco3Q+Gu9TErWauVevflwekcY5sOHXt33jWneveDcNwEQ1J
    JmptCZO2GS8td+PfFJKkc846fqe0LL/BzPPNrkM4C/8=
    -----END CERTIFICATE-----
    
    Certificate has the following attributes:
    Fingerprint: 458E7A60 0845AD98 A1649A8B 040F8E99 
    % Do you accept this certificate? [yes/no]: 
  3. 必要に応じて多くの CA のために上記のステップを繰り返すことができます。

認証局プールの作成

次の手順を実行します。

すべての信頼された CA を作成し、関連する認証インポートしたので、これらの CA をリンクする必要があります。

ssl-proxy(config)#ssl-proxy pool ca pool1
ssl-proxy(config-ca-pool)#ca trustpoint CA1

バックエンド SSL サービスの設定

次の手順を実行します。

  1. SSL プロキシ サービスを作成して下さい。 これがサービス名ことをの後にキーワード クライアントの使用によってバックエンド SSL サービス行うこと規定 して下さい。

    ssl-proxy(config)#ssl-proxy service MyHTTPS client
     
    ssl-proxy(config-ssl-proxy)#
    
  2. SSL モジュールが受信するポートおよび Virtual IP (VIP) アドレスを定義して下さい。 IP アドレスは SSL モジュール VLAN の 1 人で定義される IPサブネットの一部である必要があります。

    ssl-proxy(config-ssl-proxy)#virtual ipaddr 192.168.21.241 protocol tcp port 80
    
  3. 接続する HTTPS サーバを定義して下さい

    ssl-proxy(config-ssl-proxy)#server ipaddr 192.168.30.195 protocol tcp port 443
    
  4. 既に定義されてしまった CA プールをリンクして下さい。

    ssl-proxy(config-ssl-proxy)#trusted-ca mentone-pool
    
  5. 認証のどんな一部を SSL モジュールに SSL ネゴシエーションの間に確認してほしいか定義して下さい。 この手順はオプションです。

    ssl-proxy(config-ssl-proxy)#authenticate verify signature-only
    
  6. サービスをアクティブにして下さい。

    ssl-proxy(config-ssl-proxy)#inservice
    

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を提供しています。

確認しま SSL プロキシ サービスがであることをアクティブ、きちんとはたらきます:

ssl-proxy#sho ssl-proxy service MyHTTPS
Service id: 260, bound_service_id: 4
Virtual IP: 192.168.21.241, port: 80  
Server IP: 192.168.30.195, port: 443
Certificate authority pool: mentone-pool 
  CA pool complete 
Certificate authentication type: only signature verification
Admin Status: up
Operation Status: up
ssl-proxy#

出力は正しいです。

この例は考えられる 問題を示したものです:

ssl-proxy#sho ssl-proxy service gduf 
Service id: 259, bound_service_id: 3
Virtual IP: 192.168.31.241, port: 80  
Server IP: 192.168.21.3, port: 443
Certificate authority pool: C2knica (not configured)
Certificate authentication type: only signature verification
Admin Status: up
Operation Status: down
Proxy status: CA pool incomplete

統計情報をチェックして下さい。 接続がクライアントから受信されていること、そしてサーバの接続が開くことを確認して下さい。

ssl-proxy#sho ssl-proxy stats
TCP Statistics:
    Conns initiated     : 7             Conns accepted       : 7         
    Conns established   : 14            Conns dropped        : 6         
    Conns Allocated     : 22            Conns Deallocated    : 22        
    Conns closed        : 14            SYN timeouts         : 0         
    Idle timeouts       : 0             Total pkts sent      : 54        
    Data packets sent   : 18            Data bytes sent      : 1227      
    Total Pkts rcvd     : 54            Pkts rcvd in seq     : 24        
    Bytes rcvd in seq   : 9967      

SSL Statistics: 
    conns attempted     : 7             conns completed     : 7         
    full handshakes     : 1             resumed handshakes  : 0         
    active conns        : 0             active sessions     : 0         
    renegs attempted    : 0             conns in reneg      : 0         
    handshake failures  : 6             data failures       : 0         
    fatal alerts rcvd   : 0             fatal alerts sent   : 6         
    no-cipher alerts    : 0             ver mismatch alerts : 0         
    no-compress alerts  : 0             bad macs received   : 0         
    pad errors          : 0             session fails       : 0         

FDU Statistics:
    IP Frag Drops       : 0             IP Version Drops    : 0         
    IP Addr Discards    : 0             Serv_Id Drops       : 0         
    Conn Id Drops       : 0             Bound Conn Drops    : 0         
    Vlan Id Drops       : 0             TCP Checksum Drops  : 0         
    Hash Full Drops     : 0             Hash Alloc Fails    : 0         
    Flow Creates        : 44            Flow Deletes        : 44        
    Conn Id allocs      : 22            Conn Id deallocs    : 22        
    Tagged Pkts Drops   : 0             Non-Tagg Pkts Drops : 0         
    Add ipcs            : 1             Delete ipcs         : 0         
    Disable ipcs        : 1             Enable ipcs         : 0         
    Unsolicited ipcs    : 0             Duplicate Add ipcs  : 0         
    IOS Broadcast Pkts  : 36624         IOS Unicast Pkts    : 1310      
    IOS Multicast Pkts  : 0             IOS Total Pkts      : 37934     
    IOS Congest Drops   : 0             SYN Discards        : 0       

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 50061