Cisco IOS ネットワーク管理コンフィギュレーション ガイド
署名付き TCL スクリプト
署名付き TCL スクリプト
発行日;2012/01/30 | 英語版ドキュメント(2011/04/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

署名付き TCL スクリプト

この章の構成

署名付き TCL スクリプトの前提条件

署名付き TCL スクリプトの制約事項

署名付き TCL スクリプトについて

Cisco IOS PKI

RSA キー ペア

認証およびトラストポイント

署名付き TCL スクリプトの設定方法

キー ペアの生成

証明書の生成

TCL スクリプトへの署名

シグニチャの確認

シグニチャの非バイナリデータへの変換

証明書を含むルータの設定

トラストポイントの確認

署名付き TCL スクリプトの確認

この次の手順

署名付き TCL スクリプトの設定例

キー ペアの生成:例

証明書の生成:例

TCL スクリプトへの署名:例

シグニチャの確認:例

シグニチャの非バイナリデータへの変換:例

証明書を含むルータの設定:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

署名付き TCL スクリプトの機能情報

用語集

通告

OpenSSL/Open SSL Project

License Issues

署名付き TCL スクリプト

署名付き TCL スクリプト機能を使用すると、デジタル署名を生成する証明書を作成し、そのデジタル署名を使用して Tool Command Language(TCL; ツールコマンド言語)スクリプトに署名することが可能になります。この機能は、既存のスクリプトおよび証明書でも動作します。デジタル署名は、認証により確認され TCL インタープリタに対する信頼できるアクセスで実行されます。スクリプトにデジタル署名が含まれていない場合、スクリプトは信頼できないスクリプトに対する制限されたモードで実行されるか、まったく実行されません。

この章で紹介する機能情報の入手方法

ご使用の Cisco IOS ソフトウェア リリースによっては、この章に記載されている機能の中に、一部サポートされていないものがあります。 この章に記載されている特定の機能に関する説明へのリンク、および各機能がサポートされているリリースのリストについては、「署名付き TCL スクリプトの機能情報」を参照してください。

プラットフォーム、Cisco IOS ソフトウェア イメージ、および Cisco Catalyst OS ソフトウェア イメージの各サポート情報の入手

Cisco Feature Navigator を使用すると、プラットフォーム、Cisco IOS ソフトウェア イメージ、および Cisco Catalyst OS ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

署名付き TCL スクリプトの前提条件

この機能が動作するには、Cisco IOS public key infrastructure(PKI; 公開鍵インフラストラクチャ)設定トラストポイント コマンドがイネーブルである必要があります。

詳細については、「関連資料」 を参照してください。

署名付き TCL スクリプトの制約事項

この機能が動作するには、次の機能が実行されている必要があります。

Cisco IOS 暗号イメージ

OpenSSL バージョン 0.9.7a 以降

予測

署名付き TCL スクリプトについて

署名付き TCL スクリプト機能は、TCL スクリプトにセキュリティを導入します。この機能により、デジタル署名を生成する証明書を作成し、そのデジタル署名を使用して TCL スクリプトに署名できます。この証明書は TCL スクリプトを、実行される前に確認します。スクリプトに Cisco 発行のデジタル証明書が含まれているかどうかを確認します。また、サード パーティのベンダーもデジタル署名を使用してスクリプトに署名する場合があります。独自に社内で開発した TCL スクリプトに署名したい場合や、サード パーティ製が開発したスクリプトを使用したい場合もあります。スクリプトに適切なデジタル署名が含まれている場合は、認証済みと判断され TCL インタープリタへのフル アクセスが可能な状態で実行されます。スクリプトにデジタル署名が含まれていない場合、スクリプトは信頼できないスクリプトに対する制限されたモード(セーフ TCL モード)で実行されるか、まったく実行されません。

署名付き TCL スクリプトを作成し使用するには、次の概念を理解する必要があります。

「Cisco IOS PKI」

「RSA キー ペア」

「認証およびトラストポイント」

Cisco IOS PKI

Cisco IOS PKI を使用すると、IP Security(IPSec; IP セキュリティ)、Secure Shell(SSH; セキュア シェル)、Secure Socket Layer(SSL)などのセキュリティ プロトコルをサポートする証明書管理を実現できます。PKI は以下のエンティティで構成されています。

セキュアなネットワークで通信する複数のピア

証明書を発行および維持する Certification Authority(CA; 認証局)を最低 1 つ

デジタル証明書(証明書の有効期間、ピアの ID 情報、セキュアな通信に使用する暗号鍵、CA 発行のシグニチャなどで構成)

登録要求を処理し CA の負荷を軽減する Registration Authority(RA; 登録局)(任意)

Certificate Revocation Lists(CRL; 証明書失効リスト)を配信するメカニズム(Lightweight Directory Access Protocol(LDAP)、HTTP など)

PKI を使用すると、セキュアなデータ ネットワークで暗号化情報と ID 情報を配信、管理、失効するためのスケーラブルでセキュアなメカニズムを実現できます。セキュアな通信に関係するルーティング デバイスはすべて、あるプロセスを経て PKI に登録されます。そのプロセスでは、ルーティング デバイスが Rivest, Shamir, and Adelman(RSA)鍵のペア(秘密鍵が 1 つ、公開鍵が 1 つ)を生成し、信頼されているルーティング デバイス(CA またはトラストポイントともいいます)で鍵の ID を確認します。

各ルーティング デバイスが PKI に登録されると、PKI のすべてのピア(エンド ホストともいいます)は、CA が発行したデジタル証明書を付与されます。セキュアな通信セッションをネゴシエートする必要があるときは、ピアはデジタル証明書を交換します。ピアは証明書内の情報を基に他のピアの ID を確認し、証明書内の公開鍵を使って、暗号化されたセッションを確立します。

RSA キー ペア

RSA キー ペアは、公開鍵と秘密鍵で構成されます。PKI を設定する場合、証明書登録要求に公開鍵を含める必要があります。証明書が付与された後、ピアが公開鍵を使用して、ルータに送信されるデータを暗号化できるように、公開鍵が証明書に組み込まれます。秘密鍵はルータに保持され、ピアによって送信されたデータの復号化と、ピアとネゴシエートするときの、トランザクションのデジタル署名に使用されます。

RSA キー ペアには、鍵のモジュラス値が含まれています。モジュラス値に応じて、RSA 鍵のサイズが決まります。モジュラス値が大きいほど、RSA 鍵の安全性が高まります。ただし、モジュラス値が大きくなると、鍵の生成にかかる時間が長くなり、鍵のサイズが大きくなると暗号化処理および復号化処理にかかる時間が長くなります。

認証およびトラストポイント

認証局(CA。トラストポイントともいいます)は、証明書要求を管理し、参加ネットワーク デバイスに証明書を発行します。証明書要求の管理や証明書発行などのサービスにより、参加デバイスを一元的に管理します。またこれらのサービスによって受信者は、明示的に信頼してアイデンティティを確認し、デジタル証明書を作成できます。PKI の動作を開始する前に、CA は独自の公開鍵ペアを生成し、自己署名 CA 証明書を作成します。その後、CA は、証明書要求に署名し、PKI に対してピア登録を開始できます。

CA は、サードパーティの CA ベンダーが提供する CA を使用するか、内部の CA、つまり Cisco IOS 証明書サーバを使用します。

署名付き TCL スクリプトの設定方法

ここでは、次の作業について説明します。

「キー ペアの生成」(必須)

「証明書の生成」(必須)

「TCL スクリプトへの署名」(必須)

「シグニチャの確認」(必須)

「シグニチャの非バイナリデータへの変換」(必須)

「証明書を含むルータの設定」(必須)

「トラストポイントの確認」(任意)

「署名付き TCL スクリプトの確認」(任意)

「この次の手順」

キー ペアの生成

キー ペアは、秘密鍵と公開鍵で構成されます。秘密鍵は、公開されないことを前提とし、作成者のみがアクセスできます。公開鍵は秘密鍵から生成され、公開されることを前提としています。

キー ペアを生成するには、 openssl genrsa コマンドを使用し、次に openssl rsa コマンドを使用します。

手順の概要

1. openssl genrsa -out private-key-file bit-length

2. ls -l

3. openssl rsa -in private-key-file -pubout -out public-key-file

4. ls -l

手順の詳細


ステップ 1 openssl genrsa -out private-key-file bit-length

このコマンドは、ビット長が bit-length の秘密鍵を生成し、そのキーを private-key-file ファイルに書き込みます。

Host% openssl genrsa -out privkey.pem 2048

 

Generating RSA private key, 2048 bit long modulus
.........+++
...............................................................................+++
e is 65537 (0x10001)
 

ステップ 2 ls -l

このコマンドは、現在のディレクトリ内の各ファイルに対する詳細な情報(権限、所有者、サイズ、最終変更日時を含む)を表示します。

Host% ls -l
 
total 8
-rw-r--r-- 1 janedoe eng12 1679 Jun 12 14:55 privkey.pem
 

privkey.pem ファイルには、 openssl genrsa コマンドを使用して生成された秘密鍵が含まれます。

ステップ 3 openssl rsa -in private-key-file -pubout -out public-key-file

このコマンドは、 private-key-file ファイル内の指定された秘密鍵に基づいて公開鍵を作成し、その公開鍵を public-key-file ファイルに書き込みます。

Host% openssl rsa -in privkey.pem -pubout -out pubkey.pem
 
writing RSA key
 

ステップ 4 ls -l

このコマンドは、現在のディレクトリ内の各ファイルに対する詳細な情報(権限、所有者、サイズ、最終変更日時を含む)を表示します。

Host% ls -l
 
total 16
-rw-r--r-- 1 janedoe eng12 1679 Jun 12 14:55 privkey.pem
-rw-r--r-- 1 janedoe eng12 451 Jun 12 14:57 pubkey.pem

pubkey.pem ファイルには、 openssl rsa コマンドを使用して生成された公開鍵が含まれます。


 

証明書の生成

証明書を生成するには、次の作業を実行します。X.509 証明書を生成するには、 openssl req コマンドを使用します。

手順の概要

1. openssl req -new -x509 -key private-key-file -out certificate-file -days number

2. ls -l

手順の詳細


ステップ 1 openssl req -new -x509 -key private-key-file -out certificate-file -days expiration-days

このコマンドは、X.509 証明書を private-key-file ファイルに格納されている秘密鍵に対するフル アクセスで生成し、その証明書を certificate-file ファイルに格納します。証明書は、 expiration-days 日で期限切れになるように設定されます。

このコマンドを完了するには、プロンプトが表示され際に次の Distinguished Name(DN; 認定者名)情報を入力します。

国名

州、行政区分(都道府県)名

組織名

組織部署名

通常名

E メール アドレス

各プロンプトにおいて、角カッコで囲まれているテキストはデフォルト値を示します。値を入力せずに Enter キーを押した場合は、この値が使用されます。

次に、privkey.pem ファイル内の秘密鍵に対するフル アクセスを持つ X.509 証明書を生成する方法の例を示します。証明書は cert.pem ファイルに書き込まれ、生成日の 1095 日後に期限切れになります。

Host% openssl req -new -x509 -key privkey.pem -out cert.pem -days 1095
 
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value, If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:US
State or Province Name (full name) [Berkshire]:California
Locality Name (eg, city) [Newbury]:San Jose
Organization Name (eg, company) [My Company Ltd]:Cisco Systems, Inc.
Organizational Unit Name (eg, section) []:DEPT_ACCT
Common Name (eg, your name or your server's hostname) []:Jane
Email Address []:janedoe@company.com
 

ステップ 2 ls -l

このコマンドは、現在のディレクトリ内の各ファイルに対する詳細な情報(権限、所有者、サイズ、最終変更日時を含む)を表示します。

Host% ls -l
total 24
-rw-r--r-- 1 janedoe eng12 1659 Jun 12 15:01 cert.pem
-rw-r--r-- 1 janedoe eng12 1679 Jun 12 14:55 privkey.pem
-rw-r--r-- 1 janedoe eng12 451 Jun 12 14:57 pubkey.pem
 

cert.pem ファイルには、 openssl req コマンドを使用して生成された X.509 証明書が格納されます。


 

TCL スクリプトへの署名

TCL スクリプトに署名するには、次の作業を実行します。TCL ファイル、および OpenSSL ドキュメントの出力に、pkcs7(PKCS#7)フォーマットで署名する必要があります。

TCL ファイルに署名するには、 openssl smime コマンドを -sign キーワードを指定して使用します。

手順の概要

1. openssl smime -sign -in tcl-file - out signed-message-file -signer certificate-file -inkey private-key-file -outform DER -binary

2. ls -l

手順の詳細


ステップ 1 openssl smime -sign -in tcl-file - out signed-tcl-file -signer certificate-file -inkey private-key-file -outform DER -binary

このコマンドは、ファイル名 tcl-file の TCL に、 certificate-file に格納されている証明書と、 private-key-file ファイルに格納されている秘密鍵を使用して署名し、署名付き TCL ファイルを DER PKCS#7 フォーマットで signed-tcl-file ファイルに書き込みます。

Host% openssl smime -sign -in hello -out hello.pk7 -signer cert.pem -inkey privkey.pem -outform DER -binary
 

ステップ 2 ls -l

このコマンドは、現在のディレクトリ内の各ファイルに対する詳細な情報(権限、所有者、サイズ、最終変更日時を含む)を表示します。

Host% ls -l
total 40
-rw-r--r-- 1 janedoe eng12 1659 Jun 12 15:01 cert.pem
-rw-r--r-- 1 janedoe eng12 115 Jun 13 10:16 hello
-rw-r--r-- 1 janedoe eng12 1876 Jun 13 10:16 hello.pk7
-rw-r--r-- 1 janedoe eng12 1679 Jun 12 14:55 privkey.pem
-rw-r--r-- 1 janedoe eng12 451 Jun 12 14:57 pubkey.pem
 

hello.pk7 ファイルには、hello という名前の署名のない TCL ファイルから openssl smime コマンドと cert.pem ファイル内の X.509 証明書を使用して生成された、署名付き TCL ファイルが格納されます。


 

シグニチャの確認

データに一致するシグニチャを確認するには、 openssl smime コマンドを -verify キーワードを指定して使用し、次の作業を実行します。元の TCL コンテンツが、入力ファイルに含まれる必要があります。これは、このファイルに元のコンテンツがないためです。

手順の概要

1. openssl smime -verify -in signed-tcl-file -CAfile certificate-file -inform DER -content tcl-file

2. ls -l

手順の詳細


ステップ 1 openssl smime -verify -in signed-tcl-file -CAfile certificate-file -inform DER -content tcl-file

このコマンドは、DER PKCS#7 フォーマットで signed-tcl-file に、格納されている署名付き TCL ファイルを、 certificate-file に格納されている信頼できる認証局(CA)の証明書を使用して確認し、デタッチされたコンテンツを tcl-file ファイルに書き込みます。

次に、入力ファイルが hello.pk7 のシグニチャを確認する方法の例を示します。

Host% openssl smime -verify -in hello.pk7 -CAfile cert.pem -inform DER -content hello
 
puts hello
puts "argc = $argc"
puts "argv = $argv"
puts "argv0 = $argv0"
puts "tcl_interactive = $tcl_interactive"
Verification successful
 

) SSL コマンドのページは、-in filename を、暗号化または署名される入力メッセージとして記述するか、あるいは復号化または確認される MIME メッセージとして記述します。詳細については、http://www.openssl.org/ を参照してください。


ステップ 2 ls -l

このコマンドは、現在のディレクトリ内の各ファイルに対する詳細な情報(権限、所有者、サイズ、最終変更日時を含む)を表示します。

Host% ls -l
total 40
-rw-r--r-- 1 janedoe eng12 1659 Jun 13 10:18 cert.pem
-rw-r--r-- 1 janedoe eng12 115 Jun 13 10:17 hello
-rw-r--r-- 1 janedoe eng12 1876 Jun 13 10:16 hello.pk7
-rw-r--r-- 1 janedoe eng12 1679 Jun 12 14:55 privkey.pem
-rw-r--r-- 1 janedoe eng12 451 Jun 12 14:57 pubkey.pem
 

hello ファイルには、 openssl smime コマンドを、 -verify キーワードを指定して実行することにより、署名付き TCL ファイル hello.pk7 からデタッチされたコンテンツが含まれます。確認に成功すると、署名者の証明書は cert.pem ファイル内の X.509 証明書に書き込まれます。


 

シグニチャの非バイナリデータへの変換

シグニチャをバイナリ データからバイナリ以外のデータに変換するには、次の作業を実行します。

手順の概要

1. xxd -ps signed-tcl-file > nonbinary-signature-file

2. #Cisco TCL Signature V1.0 を表示するスクリプトを作成し、コメント文字 # を入力ファイルの各行頭に挿入します。

3. 非バイナリ シグニチャ ファイルを含むファイルの名前( nonbinary-signature-file ファイル)を入力引数として指定して、スクリプトを実行します。

4. ls -l

5. cat signed-tcl-file commented-nonbinary-signature-file > signed-tcl-script

6. cat signed-tcl-script

手順の詳細


ステップ 1 xxd -ps signed-tcl-file > nonbinary-signature-file

このコマンドは、 signed-tcl-file 内のシグニチャを、バイナリから非バイナリ データに変換し、16 進数のダンプとして nonbinary-signature-file に格納します。

Host% xxd -ps hello.pk7 > hello.hex
 

ステップ 2 最初の行に #Cisco TCL Signature V1.0 を表示するスクリプトを作成し、コメント文字(#)を入力ファイルの各行頭に挿入します。次に、入力ファイルの名前に「_sig」というテキスト文字列を追加した名前のファイルに、スクリプトの各行を書き込みます。

この例では、 cat コマンドを使用して、my_append という名前のスクリプト ファイルのコンテンツを表示します。

Host% cat my_append
 
#!/usr/bin/env expect
 
set my_first {#Cisco Tcl Signature V1.0}
set newline {}
set my_file [lindex $argv 0]
set my_new_file ${my_file}_sig
set my_new_handle [open $my_new_file w]
set my_handle [open $my_file r]
 
puts $my_new_handle $newline
puts $my_new_handle $my_first
foreach line [split [read $my_handle] "\n"] {
set new_line {#}
append new_line $line
puts $my_new_handle $new_line
}
 
close $my_new_handle
close $my_handle
 

ステップ 3 非バイナリ シグニチャ ファイル を含むファイルの名前( nonbinary-signature-file )を入力引数として指定して、スクリプトを実行します。

この例では、my_append スクリプトが、入力として指定された非バイナリ シグニチャ ファイル hello.hex で実行されます。出力ファイルには、hello.hex_sig という名前が付けられます。

Host% my_append hello.hex
 

ステップ 4 ls -l

このコマンドは、現在のディレクトリ内の各ファイルに対する詳細な情報(権限、所有者、サイズ、最終変更日時を含む)を表示します。

Host% ls -l
 
total 80
-rw-r--r-- 1 janedoe eng12 1659 Jun 13 10:18 cert.pem
-rw-r--r-- 1 janedoe eng12 115 Jun 13 10:17 hello
-rw-r--r-- 1 janedoe eng12 3815 Jun 13 10:20 hello.hex
-rw-r--r-- 1 janedoe eng12 3907 Jun 13 10:22 hello.hex_sig
-rw-r--r-- 1 janedoe eng12 1876 Jun 13 10:16 hello.pk7
-rwxr--r-- 1 janedoe eng12 444 Jun 13 10:22 my_append
-rw-r--r-- 1 janedoe eng12 1679 Jun 12 14:55 privkey.pem
-rw-r--r-- 1 janedoe eng12 451 Jun 12 14:57 pubkey.pem
 

hello.hex ファイルには、署名付き TCL ファイル hello.pk7 から変換された非バイナリファイル(16 進数ダンプとして格納)が含まれます。my_append ファイルには、入力ファイルの各行頭にコメント文字が挿入されたスクリプトが含まれます。hello.hex_sig ファイルは、非バイナリ シグニチャ ファイルで my_append スクリプトを実行することにより作成されたファイルです。

ステップ 5 cat signed-tcl-file commented-nonbinary-signature-file > signed-tcl-script

このコマンドは、非バイナリ シグニチャ ファイル( commented-nonbinary-signature-file )のコンテンツを、DER PKCS#7 フォーマットで( signed-tcl-file ファイル内に)格納されている署名付き TCL ファイルに追加します。連結された出力は、 signed-tcl-script ファイルに書き込まれます。

Host% cat hello hello.hex_sig > hello.tcl
 

ステップ 6 cat signed-tcl-script

このコマンドは、署名付き TCL ファイルおよび非バイナリ シグニチャ ファイルからデタッチされたコンテンツの連結である、 signed-tcl-script ファイルのコンテンツを表示します。

Host% cat hello.tcl
 
puts hello
puts "argc = $argc"
puts "argv = $argv"
puts "argv0 = $argv0"
puts "tcl_interactive = $tcl_interactive"
 
#Cisco Tcl Signature V1.0
#3082075006092a864886f70d010702a08207413082073d020101310b3009
#06052b0e03021a0500300b06092a864886f70d010701a08204a13082049d
#30820385a003020102020100300d06092a864886f70d0101040500308195
#310b3009060355040613025553311330110603550408130a43616c69666f
#726e69613111300f0603550407130853616e204a6f7365311c301a060355
#040a1313436973636f2053797374656d732c20496e632e310e300c060355
#040b13054e53535447310d300b060355040313044a6f686e3121301f0609
#2a864886f70d01090116126a6c6175746d616e40636973636f2e636f6d30
#1e170d3037303631323232303134335a170d313030363131323230313433
#5a308195310b3009060355040613025553311330110603550408130a4361
#6c69666f726e69613111300f0603550407130853616e204a6f7365311c30
#1a060355040a1313436973636f2053797374656d732c20496e632e310e30
#0c060355040b13054e53535447310d300b060355040313044a6f686e3121
#301f06092a864886f70d01090116126a6c6175746d616e40636973636f2e
#636f6d30820122300d06092a864886f70d01010105000382010f00308201
#0a0282010100a751eb5ec1f3009738c88a55987c07b759c36f3386342283
#67ea20a89d9483ae85e0c63eeded8ab3eb7a08006689f09136f172183665
#c971099ba54e77ab47706069bbefaaab8c50184396350e4cc870c4c3f477
#88c55c52e2cf411f05b59f0eaec0678ff5cc238fdce2263a9fc6b6c244b8
#ffaead865c19c3d3172674a13b24c8f2c01dd8b1bd491c13e84e29171b85
#f28155d81ac8c69bb25ca23c2921d85fbf745c106e7aff93c72316cbc654
#4a34ea88174a8ba7777fa60662974e1fbac85a0f0aeac925dba6e5e850b8
#7caffce2fe8bb04b61b62f532b5893c081522d538005df81670b931b0ad0
#e1e76ae648f598a9442d5d0976e67c8d55889299147d0203010001a381f5
#3081f2301d0603551d0e04160414bc34132be952ff8b9e1af3b93140a255
#e54a667c3081c20603551d230481ba3081b78014bc34132be952ff8b9e1a
#f3b93140a255e54a667ca1819ba48198308195310b300906035504061302
#5553311330110603550408130a43616c69666f726e69613111300f060355
#0407130853616e204a6f7365311c301a060355040a1313436973636f2053
#797374656d732c20496e632e310e300c060355040b13054e53535447310d
#300b060355040313044a6f686e3121301f06092a864886f70d0109011612
#6a6c6175746d616e40636973636f2e636f6d820100300c0603551d130405
#30030101ff300d06092a864886f70d010104050003820101000c83c1b074
#6720929c9514af6d5df96f0a95639f047c40a607c83d8362507c58fa7f84
#aa699ec5e5bef61b2308297a0662c653ff446acfbb6f5cb2dd162d939338
#a5e4d78a5c45021e5d4dbabb8784efbf50cab0f5125d164487b31f5cf933
#a9f68f82cd111cbab1739d7f372ec460a7946882874b0a0f22dd53acbd62
#a944a15e52e54a24341b3b8a820f23a5bc7ea7b2278bb56838b8a4051926
#af9c167274ff8449003a4e012bcf4f4b3e280f85209249a390d14df47435
#35efabce720ea3d56803a84a2163db4478ae19d7d987ef6971c8312e280a
#aac0217d4fe620c6582a48faa8ea5e3726a99012e1d55f8d61b066381f77
#4158d144a43fb536c77d6a318202773082027302010130819b308195310b
#3009060355040613025553311330110603550408130a43616c69666f726e
#69613111300f0603550407130853616e204a6f7365311c301a060355040a
#1313436973636f2053797374656d732c20496e632e310e300c060355040b
#13054e53535447310d300b060355040313044a6f686e3121301f06092a86
#4886f70d01090116126a6c6175746d616e40636973636f2e636f6d020100
#300906052b0e03021a0500a081b1301806092a864886f70d010903310b06
#092a864886f70d010701301c06092a864886f70d010905310f170d303730
#3631333137313634385a302306092a864886f70d01090431160414372cb3
#72dc607990577fd0426104a42ee4158d2b305206092a864886f70d01090f
#31453043300a06082a864886f70d0307300e06082a864886f70d03020202
#0080300d06082a864886f70d0302020140300706052b0e030207300d0608
#2a864886f70d0302020128300d06092a864886f70d010101050004820100
#72db6898742f449b26d3ac18f43a1e7178834fb05ad13951bf042e127eea
#944b72b96f3b8ecf7eb52f3d0e383bf63651750223efe69eae04287c9dae
#b1f31209444108b31d34e46654c6c3cc10b5baba887825c224ec6f376d49
#00ff7ab2d9f88402dab9a2c2ab6aa3ecceeaf5a594bdc7d3a822c55e7daa
#aa0c2b067e06967f22a20e406fe21d9013ecc6bd9cd6d402c2749f8bea61
#9f8f87acfbc9e10d6ce91502e34629adca6ee855419afafe6a8233333e14
#ad4c107901d1f2bca4d7ffaadddbc54192a25da662f8b8509782c76977b8
#94879453fbb00486ccc55f88db50fcc149bae066916b350089cde51a6483
#2ec14019611720fc5bbe2400f24225fc
 


 

証明書を含むルータの設定

証明書を含むルータを設定するには、次の作業を実行します。

前提条件

すでに、Cisco IOS 暗号化イメージが用意されている必要があります。用意されていない場合は、証明書を設定できません。

手順の概要

1. enable

2. configure terminal

3. crypto pki trustpoint name

4. enrollment terminal

5. exit

6. crypto pki authenticate name

7. ベースエンコードされた CA 証明書を入力します。

8. scripting tcl secure-mode

9. scripting tcl trustpoint name name

10. (任意) scripting tcl trustpoint untrusted { execute | safe-execute | terminate }

11. exit

12. (任意) tclsafe

手順の詳細


ステップ 1 enable

特権 EXEC モードをイネーブルにします。プロンプトが表示されたら、パスワードを入力します。

Router> enable
 

ステップ 2 configure terminal

グローバル コンフィギュレーション モードを開始します。

Router# configure terminal
 

ステップ 3 crypto pki trustpoint name

ルータが認証局(CA) mytrust を使用することを宣言し、CA トラストポイント コンフィギュレーション モードを開始します。

Router(config)# crypto pki trustpoint mytrust
 

ステップ 4 enrollment terminal

カットアンドペーストによる手動での証明書登録を指定します。このコマンドがイネーブルの場合、ルータはコンソール端末に証明書要求を表示し、ユーザはコンソール端末で発行された証明書を入力できます。

Router(ca-trustpoint)# enrollment terminal
 

ステップ 5 exit

CA トラストポイント コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

Router(ca-trustpoint)# exit
 

ステップ 6 crypto pki authenticate name

CA 証明書を取得して、認証します。証明書フィンガープリントをチェックするよう求められた場合、証明書フィンガープリントをチェックします。

(注) CA はそれ自体の証明書に署名するため、このコマンドを実行する場合、ユーザは CA 管理者に連絡して CA の公開鍵を手動で認証する必要があります。

Router(config)# crypto pki authenticate mytrust
 

ステップ 7 プロンプトが表示されたら、ベースエンコードされた CA 証明書を入力します。

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself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 
Certificate has the following attributes:
Fingerprint MD5: 1E327DBB 330936EB 2FB8EACB 4FD1133E
Fingerprint SHA1: EE7FF9F4 05148842 B9D50FAC D76FDC9C E0703246
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
 

ステップ 8 scripting tcl secure-mode

インタラクティブ TCL スクリプトのシグニチャ確認をイネーブルにします。

Router(config)# scripting tcl secure-mode

 

ステップ 9 scripting tcl trustpoint name name

既存の設定済みトラストポイント名を証明書に関連付けし、TCL スクリプトを確認します。

Router(config)# scripting tcl trustpoint name mytrust

 

ステップ 10 scripting tcl trustpoint untrusted { execute | safe-execute | terminate }

(任意)インタラクティブ TCL スクリプトをシグニチャ チェックに失敗しても実行できるようにするか、3 つのキーワード( execute safe-execute 、または terminate )のうちいずれかを使用して信頼できないモードで実行できるようにいます。

execute :シグニチャの確認に失敗しても、TCL スクリプトを実行します。 execute キーワードが設定されると、シグニチャの確認はまったく実行されません。


) シグニチャの確認が実行されないため、通常、このキーワードの使用は推奨されません。


execute キーワードは、内部テスト用に柔軟性を提供するために用意されています。たとえば、証明書の期限が切れているが他の設定は有効であるため、他の設定を使用して作業したい場合は、この execute キーワードを使用して、期限切れの証明書を回避できます。

safe-execute :スクリプトをセーフ モードで実行できます。tclsafe コマンドを使用し、インタラクティブ TCL シェル セーフ モードを開始して、使用できるセーフ モード TCL コマンドを調べられます。この制限付きのセーフ モードの利点に対する理解を深めるには、tclsafe Exec コマンドを使用して、オプションを調べてください。

terminate :すべてのスクリプトの実行を停止し、デフォルトの動作に戻します。デフォルト ポリシーは終端します。最後のトラストポイント名が削除されると、信用できないアクションも削除されます。信用できないアクションは、TCL 用に最低でも 1 つのトラストポイント名が設定されていない場合は開始されません。

次に、シグニチャ確認が失敗した場合に、TCL スクリプトをセーフモードで safe-execute キーワードを使用して実行する方法の例を示します。

Router(config)# scripting tcl trustpoint untrusted safe-execute

 

ステップ 11 exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

Router(config)# exit

 

ステップ 12 tclsafe

(任意)インタラクティブ TCL シェルの信用できないセーフ モードをイネーブルにします。これにより、Cisco IOS Command-Line Interface(CLI; コマンドライン インターフェイス)から信頼できないセーフ モードで手動により TCL コマンドを実行できるようになります。

Router# tclsafe

 


 

トラストポイントの確認

ルータに設定されているトラストポイントを表示するには、 show crypto pki trustpoints コマンドを使用します。

手順の概要

1. enable

2. show crypto pki trustpoints

手順の詳細


ステップ 1 enable

このコマンドは、特権 EXEC モードをイネーブルにします。

Router> enable
 

ステップ 2 show crypto pki trustpoints

このコマンドは、ルータに設定されているトラストポイントを表示します。

Router# show crypto pki trustpoints
 
Trustpoint mytrust:
Subject Name:
ea=janedoe@cisco.com
cn=Jane
ou=DEPT_ACCT
o=Cisco
l=San Jose
st=California
c=US
Serial Number: 00
Certificate configured.


 

署名付き TCL スクリプトの確認

署名付き TCL スクリプトが適切に実行されていることを確認するには、 debug crypto pki transactions コマンド、および tclsh コマンドを使用します。

手順の概要

1. enable

2. debug crypto pki transactions

3. tclsh flash:signed-tcl-file

手順の詳細


ステップ 1 enable

このコマンドは、特権 EXEC モードをイネーブルにします。

Router> enable
 

ステップ 2 debug crypto pki transactions

このコマンドは、CA とルータとの間の相互作用(メッセージ タイプ)のトレースに対するデバッグ メッセージを表示します。

Router# debug crypto pki transactions
 
Crypto PKI Trans debugging is on
 

ステップ 3 tclsh flash:signed-tcl-file

このコマンドは、TCL スクリプトを TCL シェル内で実行します。


) ファイルは、署名付き TCL ファイルである必要があります。


Router# tclsh flash:hello.tcl
 
hello
argc = 0
argv =
argv0 = flash:hello.tcl
tcl_interactive = 0
 
Router#
*Apr 21 04:46:18.563: CRYPTO_PKI: locked trustpoint mytrust, refcount is 1
*Apr 21 04:46:18.563: The PKCS #7 message has 0 verified signers.
*Apr 21 04:46:18.563: CRYPTO_PKI: Success on PKCS7 verify!
*Apr 21 04:46:18.563: CRYPTO_PKI: unlocked trustpoint mytrust, refcount is 0
 


 

この次の手順

暗号化の概要については、『 Cisco IOS Security Configuration Guide , Release 12.4T』の「Part 5: Implementing and Managing a PKI」セクションを参照してください。

署名付き TCL スクリプトの設定例

ここでは、次の設定例を示します。

「キー ペアの生成:例」

「証明書の生成:例」

「TCL スクリプトへの署名:例」

「シグニチャの確認:例」

「シグニチャの非バイナリデータへの変換:例」

「証明書を含むルータの設定:例」

キー ペアの生成:例

次に、キー ペア(秘密鍵と公開鍵)を生成する方法の例を示します。

秘密鍵の生成:例

Host% openssl genrsa -out privkey.pem 2048
Generating RSA private key, 2048 bit long modulus
.........+++
...............................................................................+++
e is 65537 (0x10001)
Host% ls -l
total 8
-rw-r--r-- 1 janedoe eng12 1679 Jun 12 14:55 privkey.pem
Host%

秘密鍵から公開鍵を生成

Host% openssl rsa -in privkey.pem -pubout -out pubkey.pem
writing RSA key
Host% ls -l
total 16
-rw-r--r-- 1 janedoe eng12 1679 Jun 12 14:55 privkey.pem
-rw-r--r-- 1 janedoe eng12 451 Jun 12 14:57 pubkey.pem

証明書の生成:例

次に、証明書を生成する方法の例を示します。

Host% openssl req -new -x509 -key privkey.pem -out cert.pem -days 1095
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value, If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:US
State or Province Name (full name) [Berkshire]:California
Locality Name (eg, city) [Newbury]:San Jose
Organization Name (eg, company) [My Company Ltd]:Cisco Systems, Inc.
Organizational Unit Name (eg, section) []:DEPT_ACCT
Common Name (eg, your name or your server's hostname) []:Jane
Email Address []:janedoe@company.com
Host% ls -l
total 24
-rw-r--r-- 1 janedoe eng12 1659 Jun 12 15:01 cert.pem
-rw-r--r-- 1 janedoe eng12 1679 Jun 12 14:55 privkey.pem
-rw-r--r-- 1 janedoe eng12 451 Jun 12 14:57 pubkey.pem

TCL スクリプトへの署名:例

次に、TCL スクリプトに署名する方法の例を示します。

Host% openssl smime -sign -in hello -out hello.pk7 -signer cert.pem -inkey privkey.pem -outform DER -binary
Host% ls -l
total 40
-rw-r--r-- 1 janedoe eng12 1659 Jun 12 15:01 cert.pem
-rw-r--r-- 1 janedoe eng12 115 Jun 13 10:16 hello
-rw-r--r-- 1 janedoe eng12 1876 Jun 13 10:16 hello.pk7
-rw-r--r-- 1 janedoe eng12 1679 Jun 12 14:55 privkey.pem
-rw-r--r-- 1 janedoe eng12 451 Jun 12 14:57 pubkey.pem

シグニチャの確認:例

次に、シグニチャを確認する方法の例を示します。

Host% openssl smime -verify -in hello.pk7 -CAfile cert.pem -inform DER -content hello
puts hello
puts "argc = $argc"
puts "argv = $argv"
puts "argv0 = $argv0"
puts "tcl_interactive = $tcl_interactive"
Verification successful

シグニチャの非バイナリデータへの変換:例

次に、TCL シグニチャを非バイナリ データに変換する方法の例を示します。

#Cisco Tcl Signature V1.0
Then append the signature file to the end of the file.
Host% xxd -ps hello.pk7 > hello.hex
Host% cat my_append
#!/usr/bin/env expect
 
set my_first {#Cisco Tcl Signature V1.0}
set newline {}
set my_file [lindex $argv 0]
set my_new_file ${my_file}_sig
set my_new_handle [open $my_new_file w]
set my_handle [open $my_file r]
 
puts $my_new_handle $newline
puts $my_new_handle $my_first
foreach line [split [read $my_handle] "\n"] {
set new_line {#}
append new_line $line
puts $my_new_handle $new_line
}
 
close $my_new_handle
close $my_handle
 
 
Host% my_append hello.hex
Host% ls -l
total 80
-rw-r--r-- 1 janedoe eng12 1659 Jun 12 15:01 cert.pem
-rw-r--r-- 1 janedoe eng12 115 Jun 13 10:16 hello
-rw-r--r-- 1 janedoe eng12 3815 Jun 13 10:20 hello.hex
-rw-r--r-- 1 janedoe eng12 3907 Jun 13 10:22 hello.hex_sig
-rw-r--r-- 1 janedoe eng12 1876 Jun 13 10:16 hello.pk7
-rwxr--r-- 1 janedoe eng12 444 Jun 13 10:22 my_append
-rw-r--r-- 1 janedoe eng12 1679 Jun 12 14:55 privkey.pem
-rw-r--r-- 1 janedoe eng12 451 Jun 12 14:57 pubkey.pem
Host% cat hello hello.hex_sig > hello.tcl
Host% cat hello.tcl
puts hello
puts "argc = $argc"
puts "argv = $argv"
puts "argv0 = $argv0"
puts "tcl_interactive = $tcl_interactive"
 
#Cisco Tcl Signature V1.0
#3082075006092a864886f70d010702a08207413082073d020101310b3009
#06052b0e03021a0500300b06092a864886f70d010701a08204a13082049d
#30820385a003020102020100300d06092a864886f70d0101040500308195
#310b3009060355040613025553311330110603550408130a43616c69666f
#726e69613111300f0603550407130853616e204a6f7365311c301a060355
#040a1313436973636f2053797374656d732c20496e632e310e300c060355
#040b13054e53535447310d300b060355040313044a6f686e3121301f0609
#2a864886f70d01090116126a6c6175746d616e40636973636f2e636f6d30
#1e170d3037303631323232303134335a170d313030363131323230313433
#5a308195310b3009060355040613025553311330110603550408130a4361
#6c69666f726e69613111300f0603550407130853616e204a6f7365311c30
#1a060355040a1313436973636f2053797374656d732c20496e632e310e30
#0c060355040b13054e53535447310d300b060355040313044a6f686e3121
#301f06092a864886f70d01090116126a6c6175746d616e40636973636f2e
#636f6d30820122300d06092a864886f70d01010105000382010f00308201
#0a0282010100a751eb5ec1f3009738c88a55987c07b759c36f3386342283
#67ea20a89d9483ae85e0c63eeded8ab3eb7a08006689f09136f172183665
#c971099ba54e77ab47706069bbefaaab8c50184396350e4cc870c4c3f477
#88c55c52e2cf411f05b59f0eaec0678ff5cc238fdce2263a9fc6b6c244b8
#ffaead865c19c3d3172674a13b24c8f2c01dd8b1bd491c13e84e29171b85
#f28155d81ac8c69bb25ca23c2921d85fbf745c106e7aff93c72316cbc654
#4a34ea88174a8ba7777fa60662974e1fbac85a0f0aeac925dba6e5e850b8
#7caffce2fe8bb04b61b62f532b5893c081522d538005df81670b931b0ad0
#e1e76ae648f598a9442d5d0976e67c8d55889299147d0203010001a381f5
#3081f2301d0603551d0e04160414bc34132be952ff8b9e1af3b93140a255
#e54a667c3081c20603551d230481ba3081b78014bc34132be952ff8b9e1a
#f3b93140a255e54a667ca1819ba48198308195310b300906035504061302
#5553311330110603550408130a43616c69666f726e69613111300f060355
#0407130853616e204a6f7365311c301a060355040a1313436973636f2053
#797374656d732c20496e632e310e300c060355040b13054e53535447310d
#300b060355040313044a6f686e3121301f06092a864886f70d0109011612
#6a6c6175746d616e40636973636f2e636f6d820100300c0603551d130405
#30030101ff300d06092a864886f70d010104050003820101000c83c1b074
#6720929c9514af6d5df96f0a95639f047c40a607c83d8362507c58fa7f84
#aa699ec5e5bef61b2308297a0662c653ff446acfbb6f5cb2dd162d939338
#a5e4d78a5c45021e5d4dbabb8784efbf50cab0f5125d164487b31f5cf933
#a9f68f82cd111cbab1739d7f372ec460a7946882874b0a0f22dd53acbd62
#a944a15e52e54a24341b3b8a820f23a5bc7ea7b2278bb56838b8a4051926
#af9c167274ff8449003a4e012bcf4f4b3e280f85209249a390d14df47435
#35efabce720ea3d56803a84a2163db4478ae19d7d987ef6971c8312e280a
#aac0217d4fe620c6582a48faa8ea5e3726a99012e1d55f8d61b066381f77
#4158d144a43fb536c77d6a318202773082027302010130819b308195310b
#3009060355040613025553311330110603550408130a43616c69666f726e
#69613111300f0603550407130853616e204a6f7365311c301a060355040a
#1313436973636f2053797374656d732c20496e632e310e300c060355040b
#13054e53535447310d300b060355040313044a6f686e3121301f06092a86
#4886f70d01090116126a6c6175746d616e40636973636f2e636f6d020100
#300906052b0e03021a0500a081b1301806092a864886f70d010903310b06
#092a864886f70d010701301c06092a864886f70d010905310f170d303730
#3631333137313634385a302306092a864886f70d01090431160414372cb3
#72dc607990577fd0426104a42ee4158d2b305206092a864886f70d01090f
#31453043300a06082a864886f70d0307300e06082a864886f70d03020202
#0080300d06082a864886f70d0302020140300706052b0e030207300d0608
#2a864886f70d0302020128300d06092a864886f70d010101050004820100
#72db6898742f449b26d3ac18f43a1e7178834fb05ad13951bf042e127eea
#944b72b96f3b8ecf7eb52f3d0e383bf63651750223efe69eae04287c9dae
#b1f31209444108b31d34e46654c6c3cc10b5baba887825c224ec6f376d49
#00ff7ab2d9f88402dab9a2c2ab6aa3ecceeaf5a594bdc7d3a822c55e7daa
#aa0c2b067e06967f22a20e406fe21d9013ecc6bd9cd6d402c2749f8bea61
#9f8f87acfbc9e10d6ce91502e34629adca6ee855419afafe6a8233333e14
#ad4c107901d1f2bca4d7ffaadddbc54192a25da662f8b8509782c76977b8
#94879453fbb00486ccc55f88db50fcc149bae066916b350089cde51a6483
#2ec14019611720fc5bbe2400f24225fc
 

証明書を含むルータの設定:例

次に、証明書を含むルータを設定する方法の例を示します。

crypto pki trustpoint mytrust
enrollment terminal
!
!
crypto pki authentication mytrust
crypto pki certificate chain mytrust
certificate ca 00
308204B8 308203A0 A0030201 02020100 300D0609 2A864886 F70D0101 04050030
819E310B 30090603 55040613 02555331 13301106 03550408 130A4361 6C69666F
726E6961 3111300F 06035504 07130853 616E204A 6F736531 1C301A06 0355040A
13134369 73636F20 53797374 656D732C 20496E63 2E310E30 0C060355 040B1305
4E535354 47311630 14060355 0403130D 4A6F686E 204C6175 746D616E 6E312130
1F06092A 864886F7 0D010901 16126A6C 6175746D 616E4063 6973636F 2E636F6D
301E170D 30363131 31373137 35383031 5A170D30 39313131 36313735 3830315A
30819E31 0B300906 03550406 13025553 31133011 06035504 08130A43 616C6966
6F726E69 61311130 0F060355 04071308 53616E20 4A6F7365 311C301A 06035504
0A131343 6973636F 20537973 74656D73 2C20496E 632E310E 300C0603 55040B13
054E5353 54473116 30140603 55040313 0D4A6F68 6E204C61 75746D61 6E6E3121
301F0609 2A864886 F70D0109 0116126A 6C617574 6D616E40 63697363 6F2E636F
6D308201 22300D06 092A8648 86F70D01 01010500 0382010F 00308201 0A028201
0100BC6D A933028A B31BF827 7258BB87 A1600CF0 21090F04 2080BECC 5818688B
74D231DF F0C365C1 07D6E206 D7651FA8 C7B230A2 3B0011E4 EA2B6A4C 1F3F27FB
9AF449D8 FA8900BB 3E567F77 5412881B AAD9525E 3EC1D3B1 EBCE8155 D74866F1
0940F6D1 3A2613CD F6B3595E F468B315 6DDEFF07 BBC5D521 B560AF72 D6D5FDA7
D9D9C99D 31E3B380 5DEB7039 A1A29EF9 46ED536E 4D768048 12D48C24 59B08973
481AD75D E741CD9E BE06EA16 9B514AE3 91184A56 A0E51B7D 4465D730 1AB3C7DD
62CA1AC9 DF30C39A 41316B8E 72289113 98080354 C7297AD7 89B627F8 ED40D924
ADF48383 1B332C7F 73C58686 6279E2A4 4BF41644 3E60F131 090D3F5D 25F0C025
43CB0203 010001A3 81FE3081 FB301D06 03551D0E 04160414 F7F4E80E F6CC4772
5F278C44 6B85F8EE 8345AB99 3081CB06 03551D23 0481C330 81C08014 F7F4E80E
F6CC4772 5F278C44 6B85F8EE 8345AB99 A181A4A4 81A13081 9E310B30 09060355
04061302 55533113 30110603 55040813 0A43616C 69666F72 6E696131 11300F06
03550407 13085361 6E204A6F 7365311C 301A0603 55040A13 13436973 636F2053
79737465 6D732C20 496E632E 310E300C 06035504 0B13054E 53535447 31163014
06035504 03130D4A 6F686E20 4C617574 6D616E6E 3121301F 06092A86 4886F70D
01090116 126A6C61 75746D61 6E406369 73636F2E 636F6D82 0100300C 0603551D
13040530 030101FF 300D0609 2A864886 F70D0101 04050003 82010100 6D12CFF8
31078DF6 94FE5CF0 8F83639B 414F32D8 069D23E2 37E182BE 7C31EC14 E87AF216
61A6CCD3 37656934 4BE4157A 400E182B EC390D1A DC130A56 B8F35BFB D2234556
24152FE8 A736B670 58CC684E 750D08AE C7739907 917B7A72 3D26BEC7 9F554CF1
5E5EF499 ABA11124 55966616 AC9C52B2 B1082DEA D962CBAF E476C575 A9DDFBFA
C4AE63F6 1D5C9F76 7B4B9CA7 52CE65C9 E65C04FC 4B7642D6 0D1A8AF4 38194B7A
CA307EC9 51DCB847 8B8C27FB 98ACEE60 0B80DC3F 36E4E252 BD731F5F 0E781E26
C1CA4120 9B0B689B BA654250 97B22A76 CC126B77 C7779AAA D3F93C3F DCF46006
2B7F7F8C 150AF889 BBEC62F1 E53B4F3B A3626CD6 05B8AB3D F8A6A361
quit
archive
log config
scripting tcl trustpoint name mytrust
scripting tcl secure-mode
!
!
end

その他の参考資料

ここでは、署名付き TCL スクリプト機能に関する関連資料について説明します。

関連資料

関連トピック
参照先

Cisco IOS PKI の概要:PKI の理解および計画

PKI の導入と管理

Cisco IOS Security Configuration Guide, Release 12.4

PKI コマンドコマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用上の注意事項、および例

『Cisco IOS Security Command Reference, Release 12.4』

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS Release、およびフィーチャ セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/techsupport

コマンド リファレンス

ここでは、新しいコメントのみを説明します。

scripting tcl secure-mode

scripting tcl trustpoint name

scripting tcl trustpoint untrusted

tclsafe

署名付き TCL スクリプトの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator により、どの Cisco IOS および Catalyst OS ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 1 署名付き TCL スクリプトの機能情報

機能名
リリース
機能情報

署名付き TCL スクリプト

12.4(15)T

署名付き TCL スクリプト機能を使用すると、デジタル署名を生成する証明書を作成し、そのデジタル署名を使用して TCL スクリプトに署名することが可能になります。

この機能により、次のコマンドが導入されました。 scripting tcl secure-mode scripting tcl trustpoint name scripting tcl trustpoint untrusted、 および tclsafe。

用語集

CA:Certification Authority(CA; 認証局) 証明書要求の管理と、関係する IP セキュリティ ネットワーク デバイスへの証明書の発行を担当しているサービス。このサービスは、参加デバイスを一元的に管理します。またこれらのサービスによって受信者は、明示的に信頼してアイデンティティを確認し、デジタル証明書を作成できます。

CRL:Certificate Revocation List(CRL; 証明書失効リスト)。失効した証明書のリストが含まれる電子ドキュメントです。CRL は、証明書を発行した CA によって作成され、デジタル署名されます。CRL には、証明書の発行日と失効日が含まれています。現行の CRL が失効すると、新しい CRL が発行されます。

IPSec:IP Security(IP セキュリティ)。

PKI:Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)。セキュアに設定された通信に使用されているネットワーク コンポーネントの暗号キーと ID 情報を管理するシステムです。

RA:Registration Authority(RA; 登録局)。CA のプロキシとして機能するサーバで、CA がオフラインのときでも CA の機能を継続できます。RA は CA サーバ上に設定するのが通常ですが、別アプリケーションとして、稼動のための別デバイスを必要とする場合もあります。

RSA 鍵:公開鍵暗号化システムで、Ron Rivest(ロナルド リベスト)、Adi Shamir(アディ シャミア)、Leonard Adleman(レオナルド エーデルマン)の 3 人によって開発されました。ルータの証明書を取得するには、RSA 鍵のペア(公開鍵と秘密鍵)が必要です。

SHA1:Secure Hash Algorithm 1

SSH:Secure Shell(セキュア シェル)

SSL:Secure Socket Layer

証明書:ユーザ名またはデバイス名を公開鍵にバインドする電子ドキュメント。証明書は、一般的にデジタル署名を確認するために使用されます。

ピア証明書:ピアが提示する証明書のことで、ピアの公開鍵が含まれており、トラストポイント CA が署名します。

通告

本ソフトウェア ライセンスに関連する通知内容を以下に示します。

OpenSSL/Open SSL Project

This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit ( http://www.openssl.org/ ).

This product includes cryptographic software written by Eric Young (eay@cryptsoft.com).

This product includes software written by Tim Hudson (tjh@cryptsoft.com).

License Issues

The OpenSSL toolkit stays under a dual license, i.e. both the conditions of the OpenSSL License and the original SSLeay license apply to the toolkit. See below for the actual license texts. Actually both licenses are BSD-style Open Source licenses. In case of any license issues related to OpenSSL please contact openssl-core@openssl.org.

OpenSSL License:

Copyright © 1998-2007 The OpenSSL Project. All rights reserved.

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer.

2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions, and the following disclaimer in the documentation and/or other materials provided with the distribution.

3. All advertising materials mentioning features or use of this software must display the following acknowledgment: "This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit ( http://www.openssl.org/ )".

4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to endorse or promote products derived from this software without prior written permission. For written permission, please contact openssl-core@openssl.org.

5. Products derived from this software may not be called "OpenSSL" nor may "OpenSSL" appear in their names without prior written permission of the OpenSSL Project.

6. Redistributions of any form whatsoever must retain the following acknowledgment:

"This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit ( http://www.openssl.org/ )".

THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT "AS IS" AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

This product includes cryptographic software written by Eric Young (eay@cryptsoft.com). This product includes software written by Tim Hudson (tjh@cryptsoft.com).

Original SSLeay License:

Copyright © 1995-1998 Eric Young (eay@cryptsoft.com).All rights reserved.

This package is an SSL implementation written by Eric Young (eay@cryptsoft.com).

The implementation was written so as to conform with Netscapes SSL.

This library is free for commercial and non-commercial use as long as the following conditions are adhered to. The following conditions apply to all code found in this distribution, be it the RC4, RSA, lhash, DES, etc., code; not just the SSL code. The SSL documentation included with this distribution is covered by the same copyright terms except that the holder is Tim Hudson (tjh@cryptsoft.com).

Copyright remains Eric Young's, and as such any Copyright notices in the code are not to be removed. If this package is used in a product, Eric Young should be given attribution as the author of the parts of the library used. This can be in the form of a textual message at program startup or in documentation (online or textual) provided with the package.

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer.

2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.

3. All advertising materials mentioning features or use of this software must display the following acknowledgement:

"This product includes cryptographic software written by Eric Young (eay@cryptsoft.com)".

The word ‘cryptographic' can be left out if the routines from the library being used are not cryptography-related.

4. If you include any Windows specific code (or a derivative thereof) from the apps directory (application code) you must include an acknowledgement: "This product includes software written by Tim Hudson (tjh@cryptsoft.com)".

THIS SOFTWARE IS PROVIDED BY ERIC YOUNG "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

The license and distribution terms for any publicly available version or derivative of this code cannot be changed.i.e. this code cannot simply be copied and put under another distribution license [including the GNU Public License].

Copyright © 2007-2010. シスコシステムズ合同会社.