Cisco IOS と NX-OS ソフトウェア : Cisco IOS ソフトウェア リリース 12.4 メインライン

IOS CA サーバのバックアップと復元の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料にバックアップと復元にどのように IOS 記述されていますか。 Cisco IOSソフトウェアのための認証局 (CA) サーバ。

CA サーバとして Cisco IOS ルータを設定する方法の詳細については、『Cisco IOS ルータに Cisco VPN 3000 コンセントレータを CA サーバとして設定し、登録する方法』を参照してください。

前提条件

要件

証明書サーバを設定する前に PKI を計画する

Cisco IOS 証明書サーバを設定する前に、PKI 内で使用する設定に対して適切な値(証明書のライフタイムおよび証明書失効リスト(CRL)ライフタイムなど)を考えて、選択することが重要です。 証明書サーバに設定値が設定され、証明書が許可されたら、証明書サーバを再設定し、ピアを再登録することで、設定を変更できます。 証明書サーバのデフォルト設定と推奨設定の詳細については、『証明書サーバのデフォルト値および推奨値』を参照してください。

HTTPサーバを有効にする

証明書サーバは、Simple Certificate Enrollment Protocol(SCEP)over HTTP をサポートしています。 SCEP を使用するには、証明書サーバのルータで HTTP サーバを有効にする必要があります (HTTP サーバを有効にするには、ip http server コマンドを使用します)。 HTTP サーバ機能を有効または無効にすると、証明書サーバ機能も自動的に有効または無効になります。 HTTP サーバが有効でない場合は、手動の PKCS10 登録だけがサポートされます。

信頼できるタイム サービス

証明書サーバの時間認識を信頼できるものとするために、ルータでタイム サービスを実行する必要があります。 ハードウェア クロックを利用できない場合、証明書サーバはネットワーク タイム プロトコル(NTP)などの、手動で設定したクロック設定に依存します。 NTP の詳細については、『Cisco IOS Configuration Fundamentals コンフィギュレーション ガイド』の「タイム サービスおよびカレンダー サービスの設定」の項を参照してください。 ハードウェア クロックがない、あるいはクロックが無効な場合、起動時に次のメッセージが表示されます。

% Time has not been set. Cannot start the Certificate server.

クロックが設定されると、証明書サーバは実行ステータスに自動的に切り替わります。

使用するコンポーネント

このドキュメントの情報は、Cisco IOS ソフトウェア リリース 12.4(8) が稼働している Cisco 3600 ルータに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

IOS CA サーバのバックアップ

CA 証明書および CA キーの原本または元の設定が失われた場合に CA 証明書および CA キーを後で復元できるように、初期の証明書サーバ設定時に、CA 証明書および CA キーの自動アーカイブを有効にできます。

CA 証明書および CA キーは、証明書サーバを初めて起動したときに生成されます。 また、自動アーカイブが有効になっている場合、CA 証明書と CA キーはサーバ データベースにエクスポート(アーカイブ)されます。 アーカイブは、PKCS12 形式またはプライバシーエンハンスト メール(PEM)形式で実行できます。

注: 

  • この CA キーのバックアップ ファイルは非常に重要なので、すぐに別の安全な場所に移動する必要があります。

  • このアーカイブ処理は、1 回しか実行されません。 手動で生成され、エクスポート可能のマークが付けられた CA キー、または証明書サーバによって自動的に生成された CA キーだけがアーカイブされます(このキーには、エクスポート不可能のマークが付けられます)。

  • CA キーを手動で生成して「エクスポート不可能」のマークを付けた場合、自動アーカイブは行われません。

  • CA 証明書および CA キー アーカイブ ファイル以外にも、シリアル ファイル(.ser)および CRL ファイル(.crl)を定期的にバックアップする必要があります。 証明書サーバを復元する必要がある場合、CA 運用においてシリアル ファイルおよび CRL ファイルは重要です。

注: エクスポート不可能な RSA キーまたは手動で生成されたエクスポート不可能な RSA キーを使用するサーバを手動でバックアップできません。 自動的に生成された RSA キーには、エクスポート不可能のマークが付いていますが、このキーは一度だけ自動的にアーカイブされます。

例:

  • PEM 形式:CA を作成し、ファイルを不揮発性 RAM (NVRAM)から(この場合は TFTP サーバへ)バックアップします。

    
    !--- Create a server named CA.
    
    Router(config)#crypto pki server CA
    
    !--- Archive in the PEM format with the encryption key as cisco123.
    
    Router(cs-server)#database archive pem password cisco123
    
    !--- Lifetime of the certificates issued by this certificate server in days.
    
    Router(cs-server)#lifetime certificate 1095
    
    !--- Lifetime of the certificate server signing certificate in days.
    
    Router(cs-server)#lifetime ca-certificate 1825
    
    !--- Lifetime of the CRLs published by this certificate server in hours.
    
    Router(cs-server)#lifetime crl 24
    Router(cs-server)#no shutdown
    
    %Some server settings cannot be changed after CA certificate generation.
    % Generating 1024 bit RSA keys, keys will be non-exportable...
    Feb 21 17:39:36.916: crypto_engine: generate public/private keypair [OK]
    Feb 21 17:39:48.808: crypto_engine: generate public/private keypair
    Feb 21 17:39:48.812: %SSH-5-ENABLED: SSH 1.99 has been enabled
    Feb 21 17:39:48.812: crypto_engine: public key sign % Exporting 
    Certificate Server signite and keys...
    
    % Certificate Server enabled.
    Router(cs-server)#
    Feb 21 17:39:54.064: crypto_engine: public key verify
    
    Router#dir nvram:
    Directory of nvram:/
    
    
    !--- Output is suppressed.
    
        6  -rw-          32                    <no date>  CA.ser
        7  -rw-         212                    <no date>  CA.crl
        8  -rw-        1702                    <no date>  CA.pem
    
    129016 bytes total (116676 bytes free)
    
    
    !--- Backup the three files to the TFTP server. 
    
    Router#copy nvram:CA.ser tftp://172.16.1.100/backup.ser 
    Router#copy nvram:CA.crl tftp://172.16.1.100/backup.crl
    Router#copy nvram:CA.pem tftp://172.16.1.100/backup.pem
    
  • PKCS12 形式:CA を作成し、ファイルを NVRAM から(この場合は TFTP サーバへ)バックアップします。

    Router (config)#crypto pki server CA
    Router (cs-server)#database archive pkcs12 password cisco123
    Router(cs-server)#lifetime certificate 1095
    Router(cs-server)#lifetime ca-certificate 1825
    Router(cs-server)#lifetime crl 24
    Router(cs-server)#no shutdown
    % Generating 1024 bit RSA keys ...[OK]
    % Ready to generate the CA certificate.
    % Some server settings cannot be changed after CA certificate generation.
    Are you sure you want to do this? [yes/no]: y
    % Exporting Certificate Server signing certificate and keys...
    ! Note that you are not being prompted for a password.
    % Certificate Server enabled.
    Router (cs-server)# end
    Router#dir nvram:
    Directory of nvram:/
       125   -rw-         1693             <no date>   startup-config
       126   ----            5             <no date>   private-config
         1   -rw-           32             <no date>   CA.ser
         2   -rw-          214             <no date>   CA.crl
    
    !--- Note that the next line indicates that the format is PKCS12.
    
        3   -rw-         1499             <no date>   CA.p12
    
    Router#copy nvram:CA.ser tftp://172.16.1.100/backup.ser 
    Router#copy nvram:CA.crl tftp://172.16.1.100/backup.crl
    Router#copy nvram:CA.p12 tftp://172.16.1.100/backup.p12
    

IOS CA サーバの復元

CA サーバを復元するには、.ser および .crl ファイルを復元し、サーバを再作成し、PEM ファイル(PEM 形式)または p12 ファイル(PKCS12 形式)からデータをインポートする必要があります。

シスコのラボ シナリオでは、no crypto pki server CA コマンドを使用して、ルータから証明書サーバのコンフィギュレーションを削除します。

例:

  • PEM 形式:PEM ファイルは表示できるので、more CA.pem コマンドを使用した後で証明書とキーをコピー アンド ペーストできます。

    次の例は、PEM アーカイブからの復元と、データベース URL が NVRAM であることを示します。

    Router#copy tftp://172.16.1.100/backup.ser nvram:CA.ser
    Destination filename [CA.ser]?
    32 bytes copied in 1.320 secs (24 bytes/sec)
    Router#copy tftp://172.16.1.100/backup.crl nvram:CA.crl
    Destination filename [CA.crl]?
    214 bytes copied in 1.324 secs (162 bytes/sec)
    Router#configure terminal
    
    !--- Because the CA certificate has digital signature usage, you need to 
    !--- import using the "usage-keys" keyword.
    
    
    !--- This is the command you use to import the certificate 
    !--- via the terminal with encryption key cisco123.
    
    Router (config)#crypto ca import CA pem usage-keys terminal cisco123
    % Enter PEM-formatted CA certificate.
    % End with a blank line or "quit" on a line by itself.
    
    !--- Copy and paste the CERTIFICATE from the pem file, 
    !--- followed by quit.
    
    
    -----BEGIN CERTIFICATE-----
    MIIB9zCCAWCgAwIBAgIBATANBgkqhkiG9w0BAQQFADAPMQ0wCwYDVQQDEwRteWNz
    MB4XDTA0MDkwMjIxMDI1NloXDTA3MDkwMjIxMDI1NlowDzENMAsGA1UEAxMEbXlj
    czCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAuGnnDXJbpDDQwCuKGs5Zg2rc
    K7ZJauSUotTmWYQvNx+ZmWrUs5/j9Ee5FV2YonirGBQ9mc6u163kNlrIPFck062L
    GpahBhNmKDgod1o2PHTnRlZpEZNDIqU2D3hACgByxPjrY4vUnccV36ewLnQnYpp8
    szEu7PYTJr5dU5ltAekCAwEAAaNjMGEwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8B
    Af8EBAMCAYYwHwYDVR0jBBgwFoAUaEEQwYKCQ1dm9+wLYBKRTlzxaDIwHQYDVR0O
    BBYEFGhBEMGCgkNXZvfsC2ASkU5c8WgyMA0GCSqGSIb3DQEBBAUAA4GBAHyhiv2C
    mH+vswkBjRA1Fzzk8ttu9s5kwqG0dXp25QRUWsGlr9nsKPNdVKt3P7p0A/KochHe
    eNiygiv+hDQ3FVnzsNv983le6O5jvAPxc17RO1BbfNhqvEWMsXdnjHOcUy7XerCo
    +bdPcUf/eCiZueH/BEy/SZhD7yovzn2cdzBN
    -----END CERTIFICATE-----
    quit
    
    !--- Copy and paste the PRIVATE KEY from the pem file, 
    !--- followed by quit.
    
    -----BEGIN RSA PRIVATE KEY-----
    Proc-Type: 4,ENCRYPTED
    DEK-Info: DES-EDE3-CBC,5053DC842B04612A
    1CnlF5Pqvd0zp2NLZ7iosxzTy6nDeXPpNyJpxB5q+V29IuY8Apb6TlJCU7YrsEB/
    nBTK7K76DCeGPlLpcuyEI171QmkQJ2gA0QhC0LrRo09WrINVH+b4So/y7nffZkVb
    p2yDpZwqoJ8cmRH94Tie0YmzBtEh6ayOud11z53qbrsCnfSEwszt1xrW1MKrFZrk
    /fTy6loHzGFzl3BDj4r5gBecExwcPp74ldHO+Ld4Nc9egG8BYkeBCsZZOQNVhXLN
    I0tODOs6hP915zb6OrZFYv0NK6grTBO9D8hjNZ3U79jJzsSP7UNzIYHNTzRJiAyu
    i56Oy/iHvkCSNUIK6zeIJQnW4bSoM1BqrbVPwHU6QaXUqlNzZ8SDtw7ZRZ/rHuiD
    RTJMPbKquAzeuBss1132OaAUJRStjPXgyZTUbc+cWb6zATNws2yijPDTR6sRHoQL
    47wHMr2Yj80VZGgkCSLAkL88ACz9TfUiVFhtfl6xMC2yuFl+WRk1XfF5VtWe5Zer
    3Fn1DcBmlF7O86XUkiSHP4EV0cI6n5ZMzVLx0XAUtdAl1gD94y1V+6p9PcQHLyQA
    pGRmj5IlSFw90aLafgCTbRbmC0ChIqHy91UFa1ub0130+yu7LsLGRlPmJ9NE61JR
    bjRhlUXItRYWY7C4M3m/0wz6fmVQNSumJM08RHq6lUB3olzIgGIZlZkoaESrLG0p
    qq2AENFemCPF0uhyVS2humMHjWuRr+jedfc/IMl7sLEgAdqCVCfV3RZVEaNXBud1
    4QjkuTrwaTcRXVFbtrVioT/puyVUlpA7+k7w+F5TZwUV08mwvUEqDw==
    -----END RSA PRIVATE KEY-----
    quit
    
    
    !--- Copy and paste again the CERTIFICATE from the pem file, 
    !--- followed by quit.
    
    -----BEGIN CERTIFICATE-----
    MIIB9zCCAWCgAwIBAgIBATANBgkqhkiG9w0BAQQFADAPMQ0wCwYDVQQDEwRteWNz
    MB4XDTA0MDkwMjIxMDI1NloXDTA3MDkwMjIxMDI1NlowDzENMAsGA1UEAxMEbXlj
    czCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAuGnnDXJbpDDQwCuKGs5Zg2rc
    K7ZJauSUotTmWYQvNx+ZmWrUs5/j9Ee5FV2YonirGBQ9mc6u163kNlrIPFck062L
    GpahBhNmKDgod1o2PHTnRlZpEZNDIqU2D3hACgByxPjrY4vUnccV36ewLnQnYpp8
    szEu7PYTJr5dU5ltAekCAwEAAaNjMGEwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8B
    Af8EBAMCAYYwHwYDVR0jBBgwFoAUaEEQwYKCQ1dm9+wLYBKRTlzxaDIwHQYDVR0O
    BBYEFGhBEMGCgkNXZvfsC2ASkU5c8WgyMA0GCSqGSIb3DQEBBAUAA4GBAHyhiv2C
    mH+vswkBjRA1Fzzk8ttu9s5kwqG0dXp25QRUWsGlr9nsKPNdVKt3P7p0A/KochHe
    eNiygiv+hDQ3FVnzsNv983le6O5jvAPxc17RO1BbfNhqvEWMsXdnjHOcUy7XerCo
    +bdPcUf/eCiZueH/BEy/SZhD7yovzn2cdzBN
    -----END CERTIFICATE-----
    quit 
    
    !--- When you are prompted for the encryption key, 
    !--- enter quit to skip this step.
    
    quit
    
    
    Router (config)#crypto pki server CA
    Router (cs-server)#database url nvram:
    
    !--- Fill in any CS configuration here.
    
    Router (cs-server)#no shutdown
    % Certificate Server enabled.
    Router (cs-server)#end
    
    Router#show crypto pki server
    Certificate Server CA:
        Status: enabled
        Server's current state: enabled
        Issuer name: CN=CA
        CA cert fingerprint: F04C2B75 E0243FBC 19806219 B1D77412 
        Granting mode is: manual
        Last certificate issued serial number: 0x2
        CA certificate expiration timer: 21:02:55 GMT Sep 2 2007
        CRL NextUpdate timer: 21:02:58 GMT Sep 9 2004
        Current storage dir: nvram:
    Database Level: Minimum - no cert data written to storage 
  • PKCS12 形式:次の例は、PKCS12 アーカイブからの復元と、データベース URL が NVRAM(デフォルト)であることを示します。

    Router#copy tftp://172.16.1.100/backup.ser nvram:CA.ser
    Destination filename [CA.ser]? 
    32 bytes copied in 1.320 secs (24 bytes/sec)
    Router#copy tftp://172.16.1.100/backup.crl nvram:CA.crl
    Destination filename [CA.crl]? 
    214 bytes copied in 1.324 secs (162 bytes/sec)
    Router#configure terminal
    Router (config)#crypto pki import CA pkcs12 tftp://172.16.1.100/backup.p12 
                  cisco123
    Source filename [backup.p12]? 
    CRYPTO_PKI: Imported PKCS12 file successfully.
    
    Router (config)#crypto pki server CA
    
    !--- Fill in any CS configuration here.
    
    Router (cs-server)#no shutdown
    % Certificate Server enabled.
    Router (cs-server)#end
    Router#show crypto pki server 
    Certificate Server CA:
        Status: enabled
        Server's current state: enabled
        Issuer name: CN=CA
        CA cert fingerprint: 34885330 B13EAD45 196DA461 B43E813F 
        Granting mode is: manual
        Last certificate issued serial number: 0x1
        CA certificate expiration timer: 01:49:13 GMT Aug 28 2007
        CRL NextUpdate timer: 01:49:16 GMT Sep 4 2004
        Current storage dir: nvram:
        Database Level: Minimum - no cert data written to storage

確認

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

show crypto pki server コマンドは認証サーバに関する情報を表示します。

Router#show crypto pki server
Certificate Server CA:
    Status: enabled
    Server's current state: enabled
    Issuer name: CN=CA
    CA cert fingerprint: F04C2B75 E0243FBC 19806219 B1D77412 
    Granting mode is: manual
    Last certificate issued serial number: 0x2
    CA certificate expiration timer: 21:02:55 GMT Sep 2 2007
    CRL NextUpdate timer: 21:02:58 GMT Sep 9 2004
    Current storage dir: nvram:
Database Level: Minimum - no cert data written to storage 

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 82153