Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
パブリック キー インフラスト ラクチャ
パブリック キー インフラストラクチャ
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

パブリック キー インフラストラクチャ

証明書ウィザード

SCEP ウィザードへようこそ

CA(認証機関)情報

詳細オプション

証明書のサブジェクト名属性

その他の件名属性

RSA キー

要約

登録ステータス

カット&ペースト ウィザードへようこそ

登録タスク

エンロールメント要求

完了していない登録を続行する

CA 証明書のインポート

ルータ証明書のインポート

デジタル証明書

トラストポイント情報

証明書の詳細

取り消し確認

取り消し確認(CRL のみ)

RSA キー ウィンドウ

RSA キー ペアの生成

USB トークン クレデンシャル

USB トークン

USB トークンの追加または編集

ファイアウォールを開く

ファイアウォールを開くの詳細

パブリック キー インフラストラクチャ

PKI 関連のウィンドウでは、エンロールメント要求や RSA キーの生成、およびキーや証明書の管理を行うことができます。Simple Certificate Enrollment Process(SCEP)を使用して、エンロールメント要求や RSA キー ペアを作成したり、証明書をオンラインで受け取ったり、認証機関(CA)サーバにオフラインで送信できるエンロールメント要求を作成することができます。

証明書取得のためのの登録に Secure Device Provisioning(SDP)を使用する場合は、「 Secure Device Provisioning」を参照してください。

証明書ウィザード

このウィンドウでは、実行する登録のタイプを選択できます。また、登録を開始する前に実行する必要がある設定タスクや、登録前に実行することを Cisco が推奨しているタスクが通知されます。登録プロセスを開始する前にそれらのタスクを完了すると、発生する可能性がある問題を防止するのに役立ちます。

登録方法を選択すると、Cisco CP はその方法でエンロールメント要求を生成します。

必須タスク

登録プロセスを開始する前に必要な設定タスクが Cisco CP によって検出されると、そのタスクがこのボックスに通知されます。アラート テキストの横にはリンクが表示されます。このリンクを使って Cisco CP の適切な画面に移動し、設定タスクを行うことができます。必要な設定タスクが検出されなかった場合、このボックスは表示されません。通知される可能性がある必須タスクについては、「 PKI 設定の必須タスク」で説明しています。

SCEP(Simple Certificate Enrollment Protocol)

ルータと認証機関(CA)サーバの間に直接接続を確立できる場合は、このボタンをクリックします。このとき、サーバのエンロールメント URL がわかっていることが必要です。次の処理がウィザードによって行われます。

ユーザから情報を収集してトラストポイントを設定し、ルータに配信する。

トラストポイントにある指定の CA サーバで登録を開始する。

CA サーバが利用可能な場合、ユーザが確認できるように CA サーバのフィンガープリントを表示する。

ユーザが CA サーバのフィンガープリントを確認すると、登録を完了する。

カット&ペースト/PC からインポート

ルータと CA サーバの間に直接接続を確立できない場合や、生成されるエンロールメント要求を後で別途 CA に送信する場合は、このボタンをクリックします。生成したエンロールメント要求は、別の機会に CA に送信することもできます。カット&ペースト登録を行う場合は、デジタル証明書ウィザードを起動して要求を生成します。その後、CA サーバとルータの証明書を取得してから、このウィザードをもう一度起動します。


) Cisco CP では、BASE64 エンコード PKCS#10 タイプのカット&ペースト登録のみがサポートされます。PEM および PKCS#12 タイプの証明書登録のインポートは Cisco CP ではサポートされません。


選択したタスクを実行するボタン

クリックすると、ウィザードが開始され、選択したタイプの登録が行われます。登録を開始する前に実行する必要がある必須タスクが検出された場合、このボタンは無効になります。そのタスクが実行されると有効になります。

SCEP ウィザードへようこそ

この画面は、SCEP ウィザードの最初のページを示しています。Simple Certificate Enrollment Process を使用しない場合は、[キャンセル]をクリックしてこのウィザードを終了します。

このウィザードが終了し、コマンドがルータに配信されると、CA サーバへのアクセスが試行されます。CA サーバへのアクセスに成功すると、サーバのデジタル証明書を示すメッセージ ウィンドウが表示されます。

CA(認証機関)情報

このウィンドウでは、CA サーバを識別するための情報を指定します。チャレンジ パスワードを指定することもできます。このパスワードは要求とともに送信されます。


) この画面に入力した情報は、トラストポイントの生成に使用されます。トラストポイントが生成されるとき、取り消し確認方法としてはデフォルトの CRL が使用されます。SCEP ウィザードを使用して既存のトラストポイントを編集しようとしたときに、OCSP などの CRL 以外の取り消し方法がすでにそのトラストポイントに指定されていた場合、取り消し方法は変更されません。取り消し方法を変更する必要がある場合は、[ルータ証明書]ウィンドウを表示し、設定済みのトラストポイントを選択して、[取り消しの確認]ボタンをクリックします。


CA サーバのニックネーム

CA サーバのニックネームとは、現在設定中のトラストポイントの識別子のことです。トラストポイントを区別するのに役立つ名前を入力します。

エンロールメント URL

SCEP 登録を行おうとしている場合は、CA サーバのエンロールメント URL をこのフィールドに入力する必要があります。たとえば、次のように入力します。

http://CAuthority/enrollment
 

入力する URL は、文字列「http://」で始まっている必要があります。登録プロセスを開始する前に、ルータを CA サーバに接続できることを確認してください。

このフィールドは、カット&ペースト登録を行おうとしている場合は表示されません。

チャレンジ パスワードとチャレンジ パスワードの確認

証明書を取り消す必要が生じた場合に備えて、チャレンジ パスワードを CA に送信しておくことができます。一部の CA サーバでは、取り消しパスワードが空白の場合に、証明書が発行されないため、チャレンジ パスワードを送信することをお勧めします。チャレンジ パスワードを使用する場合は、使用するパスワードを入力し、確認用のフィールドにそのパスワードをもう一度入力します。チャレンジ パスワードは、エンロールメント要求とともに送信されます。セキュリティ上の理由から、チャレンジ パスワードはルータのコンフィギュレーション ファイル内では暗号化されます。そのため、パスワードを書き留め、忘れない場所に保管しておくことをお勧めします。

このパスワードも、チャレンジ パスワードと呼ばれます。

詳細オプション ボタン

詳細オプションを使用すると、ルータから CA サーバにアクセスできるようにするための情報を詳しく指定できます。

詳細オプション

このウィンドウでは、ルータから CA サーバにアクセスできるようにするための情報を詳しく指定できます。

HTTP プロキシ/HTTP ポート

エンロールメント要求がプロキシ サーバ経由で送信される場合は、プロキシ サーバの IP アドレスと、プロキシ要求に使用するポート番号を、これらのフィールドに入力します。

証明書のサブジェクト名属性

オプションの情報のうち、証明書に含める必要があるものを指定します。証明書要求に含めるように指定した情報は、すべて証明書内に追加されます。また、ルータがその証明書を送信した相手すべてが、その情報を参照できます。

ルータの FQDN(完全修飾ドメイン名)を証明書に含める

証明書には、ルータの完全修飾ドメイン名を含めることをお勧めします。ルータの完全修飾ドメイン名を証明書要求に含める場合は、このチェック ボックスを選択します。


) ルータで実行されている Cisco IOS イメージがこの機能をサポートしていない場合、このチェック ボックスは無効になります。


FQDN

チェック ボックスを選択した場合、ルータの FQDN をこのフィールドに入力します。FQDN の例を次に示します。

sjrtr.mycompany.net
 

ルータの IP アドレスを含める

ルータに設定されている有効な IP アドレスを証明書要求に含める場合に選択します。このチェック ボックスを選択した場合は、IP アドレスを手動で入力するか、目的の IP アドレスを持つインターフェイスを選択します。

IP アドレス

IP アドレスを入力する場合にクリックします。表示されるフィールドに、ルータに設定されている IP アドレスを入力してください。ルータに設定されている IP アドレスか、ルータに割り当てられた IP アドレスを入力します。

インターフェイス

証明書要求に含める IP アドレスが与えられているルータ インターフェイスを選択します。

ルータのシリアル番号を含める

ルータのシリアル番号を証明書に含める場合は、このチェック ボックスを選択します。

その他の件名属性

このウィンドウに入力した情報は、エンロールメント要求内に追加されます。CA では、X.500 標準に基づいてデジタル証明書の情報の保存や管理が行われます。各フィールドはいずれもオプションのフィールドです。ただし、できる限り情報を入力することをお勧めします。

共通名(cn)

証明書に含める共通名を入力します。この名前は X.500 ディレクトリで証明書を検索するために使用されます。

組織単位(ou)

証明書に含める組織単位または部門名を入力します。たとえば、「開発」や「エンジニアリング」は組織単位です。

組織(o)

組織名または会社名を入力します。入力するのは、X.500 準拠の組織名です。

都道府県(st)

ルータまたは組織が存在する都道府県を入力します。

国(c)

ルータまたは組織が存在する国を入力します。

電子メール(e)

ルータ証明書に含める電子メール アドレスを入力します。


) ルータで実行されている Cisco IOS イメージがこの属性をサポートしていない場合、このフィールドは無効になります。


RSA キー

エンロールメント要求には RSA パブリック キーを含める必要があります。証明書が交付されるとそのパブリック キーが証明書に追加され、ピアではそのキーを使用してルータへの送信データを暗号化できるようになります。対応するプライベート キーは、ルータで保持され、ピアから送信されたデータの解読に使用されます。また、ピアとのネゴシエーションの際に、トランザクションへのデジタル署名に使用されます。

新しいキー ペアの生成

証明書に含めるキーを新しく生成する場合は、このボタンをクリックします。キー ペアを生成するときには、モジュラスを指定してキー サイズを決定する必要があります。新しいキーは、ウィザードが終了したときに[RSA キー]ウィンドウに表示されます。

モジュラス

キーのモジュラス値を入力します。モジュラス値を 512 ~ 1,024 の範囲内の値にする場合は、64 の倍数(整数値)を入力します。1,024 より大きい値にする場合は、「1,536」または「2,048」を入力できます。512 以上の値を入力すると、キーの生成に 1 分以上かかる場合があります。

このモジュラス値に応じてキーのサイズが決まります。モジュラス値を大きくするとキーの安全性が高まります。ただし、モジュラス値が大きくなるとキーの生成にかかる時間が長くなり、キーのサイズが大きくなると暗号化処理と解読処理にかかる時間が長くなります。

暗号化と署名に対して個別にキー ペアを生成する

Cisco CP で作成されるキー ペアは、デフォルトでは暗号化と署名の両方に使用される汎用キー ペアです。文書の暗号化用と署名用にそれぞれ別個のキー ペアを生成する場合は、このチェック ボックスを選択します。暗号化用の特殊用途キーと署名用の特殊用途キーが生成されます。

既存の RSA キー ペアを使用する

既存のキー ペアを使用する場合は、このボタンをクリックし、使用するキーをドロップダウン リストから選択します。

USB トークンへの保存

RSA キーと証明書を、ルータに接続した USB トークンに保存する場合は、[セキュリティ保護された USB トークンにキーと証明書を保存]チェック ボックスを選択します。このチェック ボックスは、ルータに USB トークンが接続されている場合のみ表示されます。

[USB トークン]ドロップダウン メニューから、USB トークンを選択します。選択した USB トークンにログインするために必要な PIN を、[PIN]に入力します。

USB トークンを選択し、PIN を入力したら、[ログイン]をクリックして、USB トークンにログインします。

要約

このウィンドウには、これまでに指定した情報の要約が表示されます。指定した情報は、ルータ上でトラストポイントが設定されるとき、および登録プロセスが開始されるときに使用されます。[設定]ダイアログ ボックスで[コマンドをルータに配信する前にプレビューする]を有効にした場合は、ルータに配信される CLI をプレビューできます。

SCEP 登録を行おうとしている場合

コマンドがルータに配信された後、CA サーバへのアクセスが試行されます。CA サーバへのアクセスに成功すると、サーバのデジタル証明書を示すメッセージ ウィンドウが表示されます。

カット&ペースト登録を行おうとしている場合

コマンドがルータに配信された後、エンロールメント要求が生成され、別のウィンドウに表示されます。CA サーバの証明書とルータの証明書を取得するには、このエンロールメント要求を保存して CA サーバ管理者に送信する必要があります。このエンロールメント要求は、BASE64 エンコード PKCS#10 形式です。

CA サーバから証明書を取得した後は、カット&ペースト ウィザードをもう一度起動し、[完了していない登録を続行する]を選択して、取得した証明書をルータにインポートする必要があります。

登録ステータス

このウィンドウには、登録プロセスのステータスが表示されます。プロセスの途中でエラーが発生した場合、そのエラーについての情報が表示されます。

ステータスが通知された場合は、[完了]をクリックします。

カット&ペースト ウィザードへようこそ

カット&ペースト ウィザードを使用すると、エンロールメント要求を生成して PC に保存し、オフラインで認証機関に送ることができます。この場合、単一のセッションで登録を完了することはできません。ウィザードは、トラストポイントとエンロールメント要求が生成され、PC にエンロールメント要求が保存された時点で終了します。

エンロールメント要求を手動で CA サーバに送信し、CA サーバの証明書とルータの証明書を受け取った後で、カット&ペースト ウィザードをもう一度起動し、登録を完了して、受け取った証明書をルータにインポートする必要があります。

登録タスク

新規登録の開始を指定するか、PC に保存済みのエンロールメント要求を使用した登録プロセスの再開を指定します。

新規登録の開始

[新規登録の開始]をクリックすると、トラストポイント、RSA キー ペア、およびエンロールメント要求を生成することができます。エンロールメント要求は、PC に保存した後 CA サーバに送ることができます。エンロールメント要求を保存すると、ウィザードは終了します。CA サーバの証明書とルータの証明書を受け取ってから登録を完了するには、カット&ペースト ウィザードをもう一度起動し、[完了していない登録を続行する]を選択してください。

完了していない登録を続行する

このボタンをクリックすると、登録プロセスが再開されます。CA サーバから受け取った証明書をインポートできます。また、必要に応じて、トラストポイントへのエンロールメント要求を新規作成することもできます。

エンロールメント要求

このウィンドウには、ルータによって生成された BASE64 エンコード PKCS#10 タイプのエンロールメント要求が表示されます。このエンロールメント要求を PC に保存する必要があります。その後は、証明書取得のため CA に送る必要があります。

保存

エンロールメント要求のテキスト ファイルを保存する PC 上のディレクトリを指定し、ファイル名を入力して[保存]をクリックします。

完了していない登録を続行する

完了していない登録を続行するときは、その完了していない登録に関連付けられているトラストポイントを選択してから、登録プロセスのうち完了する必要がある部分を指定する必要があります。CA サーバの証明書またはルータの証明書をインポートする場合は、その証明書が PC 上に用意されている必要があります。

CA サーバのニックネーム(トラストポイント)を選択してください。

完了する登録に関連付けられているトラストポイントを選択します。

CA とルータの証明書のインポート

CA サーバの証明書とルータの証明書の両方を同じセッションでインポートする場合は、このオプションを選択します。両方の証明書が PC 上に用意されている必要があります。

CA 証明書がすでにインポートされている場合、このオプションは無効になります。

CA 証明書のインポート

PC に保存されている CA サーバの証明書をインポートする場合は、このオプションを選択します。証明書がインポートされた後、その証明書のデジタル フィンガープリントが表示されます。このとき、証明書の確認と、証明書を受け入れるかどうかの決定を行うことができます。

CA 証明書がすでにインポートされている場合、このオプションは無効になります。

ルータ証明書のインポート

PC に保存されているルータの証明書をインポートする場合は、このオプションを選択します。ルータの証明書がインポートされた後、登録プロセスのステータスが通知されます。


) ルータの証明書をインポートする前に、CA サーバの証明書をインポートする必要があります。


エンロールメント要求の生成

選択したトラストポイントへのエンロールメント要求を生成する必要がある場合は、このオプションを選択します。エンロールメント要求がルータによって生成されます。この要求は、PC に保存した後、CA に送ることができます。

BASE64 エンコード PKCS#10 形式のエンロールメント要求が生成されます。

CA 証明書のインポート

CA サーバの証明書がハード ディスクに保存されている場合は、このウィンドウでその証明書を参照し、ルータにインポートすることができます。また、証明書のテキストをコピーして、このウィンドウのテキスト エリアに貼り付けることができます。

参照ボタン

クリックすると、PC 上の証明書ファイルを探すことができます。

ルータ証明書のインポート

CA から交付されたルータ証明書がハード ディスクに保存されている場合は、その証明書を参照し、ルータにインポートすることができます。

追加証明書のインポート

暗号化用と署名用にそれぞれ別個の RSA キー ペアを生成した場合は、ルータ証明書を 2 つ受け取ります。このボタンは、インポートするルータ証明書が複数ある場合に使用します。

証明書の削除

削除する必要がある証明書のタブをクリックしてから、[証明書の削除]をクリックします。

参照

証明書を探してルータにインポートすることができます。

デジタル証明書

このウィンドウでは、ルータに設定されているデジタル証明書についての情報を確認できます。

トラストポイント

このエリアには、ルータに設定されているトラストポイントの情報の要約が表示されます。ここでは、トラストポイントの詳細の表示、トラストポイントの編集、およびトラストポイントが取り消されたかどうかの確認を行うことができます。

詳細ボタン

[トラストポイント]に表示されるのは、トラストポイントの名前、エンロールメント URL、および登録タイプだけです。このボタンをクリックすると、選択したトラストポイントの情報をすべて表示できます。

編集ボタン

トラストポイントが SCEP トラストポイントであり、CA サーバの証明書とルータの証明書の少なくとも一方がまだ正常にインポートされていない場合は、そのトラストポイントを編集できます。トラストポイントが SCEP トラストポイントではない場合や、SCEP トラストポイントに関連付けられている CA サーバの証明書とルータの証明書の両方がすでに配信されている場合には、このボタンは無効になります。

削除ボタン

選択したトラストポイントを削除する場合にクリックします。トラストポイントを削除すると、そのトラストポイントに関連付けられている認証機関から受け取った証明書はすべて破棄されます。

取り消しの確認ボタン

選択した証明書が取り消されているかどうかを確認する場合にクリックします。ダイアログ ボックスが表示され、取り消しの確認に使用する方法を選択できます。詳細については、「取り消し確認」と「取り消し確認(CRL のみ)」を参照してください。

 

名前

トラストポイント名。

CA サーバ

CA サーバの名前または IP アドレス。

登録タイプ

次のタイプがあります。

SCEP ― Simple Certificate Enrollment Protocol。CA サーバに直接接続して登録が行われた。

カット&ペースト ― PC からエンロールメント要求がインポートされた。

TFTP ― TFTP サーバを使用してエンロールメント要求が行われた。

トラストポイントの証明書チェーン <トラストポイント >

このエリアには、選択したトラストポイントに関連付けられている証明書の詳細が表示されます。

詳細ボタン

選択した証明書を表示する場合にクリックします。

更新ボタン

[トラストポイント]のリストで別のトラストポイントを選択した場合にクリックすると、[トラストポイントの証明書チェーン]エリアの内容が更新されます。

 

タイプ

次のタイプがあります。

RA KeyEncipher 証明書 ― Rivest Adelman 暗号化証明書。

RA 署名証明書 ― Rivest Adelman 署名証明書。

CA 証明書 ― CA 機関の証明書。

証明書 ― ルータの証明書。

使用目的

次のタイプがあります。

汎用 ― ルータがリモート ピアに対して自己の身元を証明するために使用する。

シグニチャ ― CA 証明書がシグニチャ用に使用される。

シリアル番号

証明書のシリアル番号。

発行側

証明書を発行した CA の名前。

ステータス

次のタイプがあります。

使用可能 ― 証明書は使用可能である。

保留 ― 証明書を申請したが使用できない。

Expires (Days)(残り有効期間(日))

証明書が有効期限切れになるまでの日数。

Expiry Date(有効期限)

証明書が有効期限切れになる日付。

トラストポイント情報

[ルータ証明書]ウィンドウの[トラストポイント]のリストには、ルータに設定されている各トラストポイントの主要な情報が表示されます。このウィンドウには、トラストポイントの作成のために指定された情報がすべて表示されます。

証明書の詳細

このウィンドウには、トラストポイントの詳細のうち[証明書]ウィンドウに表示されないものがすべて表示されます。

取り消し確認

このウィンドウでは、証明書の取り消し確認にどの方法を使用する必要があるかをルータに対して指示します。

取り消し確認

ルータが使用する取り消し確認方法を設定し、優先順位を付けます。複数の方法が使用できます。

使用/方式/上へ移動/下へ移動

使用する方法を確認した後、[上へ移動]ボタンと[下へ移動]ボタンを使用して、優先的に使用するものから順にそれらの方法を並べます。

OCSP ― Online Certificate Status Protocol サーバにアクセスして証明書のステータスを確認する。

CRL ― 証明書失効リストを使用して証明書の取り消しを確認する。

なし ― 取り消し確認を行わない。

CRL クエリ URL

[CRL]を選択した場合に有効になります。証明書失効リストがある場所の URL を入力します。証明書が X.500 DN をサポートしている場合のみ、この URL を入力できます。

OCSP URL

[OCSP]を選択した場合に有効になります。アクセスする OCSP サーバの URL を入力します。

取り消し確認(CRL のみ)

このウィンドウでは、証明書の取り消し確認にどの方法を使用する必要があるかをルータに対して指示します。

確認

次のタイプがあります。

なし ― 証明書内に指定されている証明書失効リスト(CRL)配信ポイントを確認する。

ベスト エフォート ― CRL サーバが利用可能であれば CRL をダウンロードする。利用できない場合、証明書は受け入れられる。

オプション ― 手動ロードによってキャッシュに CRL がダウンロードされている場合に限り CRL を確認する。

CRL クエリ URL

証明書失効リストがある場所の URL を入力します。証明書が X.500 DN をサポートしている場合のみ、この URL を入力できます。

RSA キー ウィンドウ

RSA キーを利用すると、Ron Rivest、Adi Shamir、および Leonard Adelman が開発したアルゴリズムを使用した電子的な暗号化/認証システムを実現できます。RSA システムは、最も広く採用されている暗号化/認証アルゴリズムであり、Cisco IOSにも組み込まれています。ネットワーク ホストは、RSA システムを使用するとき、1 対のキーを生成します。一方のキーは「パブリック キー」と呼ばれ、もう一方のキーは「プライベート キー」と呼ばれています。パブリック キーは、そのホストに暗号データを送信する相手すべてに配信されます。プライベート キーは共有されません。リモート ホストは、データを送信するときに、ローカル ホストと共有しているパブリック キーを使用してそのデータを暗号化します。ローカル ホストは、送信されたデータを、プライベート キーを使用して解読します。

ルータに設定されたRSA キー

 

名前

キー名。Cisco CP によって自動的に割り当てられる。
キー「HTTPS_SS_CERT_KEYPAIR」と「HTTPS_SS_CERT_KEYPAIR.server」は、読み取り専用として表示される。ルータ上でロックまたは暗号化されているキーも、同様にステータスを示すアイコンとともに表示される。

使用目的

[汎用]または[使用目的]。汎用キーは、データの暗号化と証明書への署名の両方に使用される。データ暗号化用と証明書への署名用にそれぞれ別個のキーが設定されている場合、それらのキーは特殊用途キーとして表示される。

エクスポート可能

このカラムにチェックマークが表示されている場合、それに対応するキーは、ローカル ルータの役割を別のルータに移す必要が生じたときに、その別のルータにエクスポートすることができる。

キー データ

選択した RSA キーを表示する場合にクリックします。

[キーを PC に保存]ボタン

選択したキーのデータを PC に保存する場合にクリックします。

RSA キー ペアの生成

このウィンドウでは、新しい RSA キー ペアを生成します。

ラベル

このフィールドには、キーのラベルを入力します。

モジュラス

キーのモジュラス値を入力します。モジュラス値を 512 ~ 1,024 の範囲内の値にする場合は、64 の倍数(整数値)を入力します。1,024 より大きい値にする場合は、「1,536」または「2,048」を入力できます。512 以上の値を入力すると、キーの生成に 1 分以上かかる場合があります。

モジュラスのサイズを大きくするとキーの安全性が高まります。ただし、モジュラスのサイズが大きくなるとキー生成にかかる時間が長くなり、キー交換処理にかかる時間も長くなります。

タイプ

生成するキーのタイプとして、[汎用]または[使用目的]を選択します。汎用キーは、暗号化と証明書への署名の両方に使用されます。特殊用途キーを生成した場合、1 組のキーが暗号化専用に使用され、別の 1 組のキーが証明書への署名専用に使用されます。

[キーはエクスポート可能です]チェック ボックス

キーをエクスポート可能にする場合に選択します。エクスポート可能なキー ペアは、ローカル ルータの機能をリモート ルータに移す必要が生じた場合に、そのリモート ルータに送信することができます。

USB トークンへの保存

ルータに接続した USB トークンに RSA キーを保存する場合は、[セキュリティ保護された USB トークンにキーを保存]チェック ボックスを選択します。このチェック ボックスは、ルータに USB トークンが接続されている場合のみ表示されます。

[USB トークン]ドロップダウン メニューから、USB トークンを選択します。選択した USB トークンにログインするために必要な PIN を、[PIN]に入力します。

USB トークンを選択し、PIN を入力したら、[ログイン]をクリックして、USB トークンにログインします。

USB トークン クレデンシャル

このウィンドウは、RSA キー ペアやデジタル証明書など、USB トークンに保存されたクレデンシャルを追加または削除するときに表示されます。削除を実行するには、USB トークン名と PIN を指定する必要があります。

[USB トークン]ドロップダウン メニューから、USB トークンを選択します。選択した USB トークンにログインするために必要な PIN を、[PIN]に入力します。

USB トークン

このウィンドウを使用すると、USB トークンへのログインを設定できます。このウィンドウには、設定済みの USB トークンへのログインのリストも表示されます。USB トークンを Cisco ルータに接続する際、Cisco CP では一致するログインを使用して、トークンにログインします。

追加

新しい USB トークンへのログインを追加する場合は[追加]をクリックします。

編集

既存の USB トークンへのログインを編集する場合は[編集]をクリックします。編集するログインをリストから選択して指定します。

削除

既存の USB トークンへのログインを削除する場合は[削除]をクリックします。削除するログインをリストから選択して指定します。

トークン名

USB トークンへのログインに使用する名前を表示します。

ユーザの PIN

USB トークンへのログインに使用する PIN を表示します。

PIN の最大試行回数

指定された PIN で USB トークンへのログインを試行する最大回数を表示します。指定された回数試行して成功しなかった場合、USB トークンへのログインの試行が停止されます。

削除までのタイムアウト

ルータから USB トークンを取り外した時点から、そのトークンで取得したインターネット キー交換(IKE)クレデンシャルを引き続き使用する最大秒数を表示します。

[削除までのタイムアウト]が空白の場合、デフォルトのタイムアウト値が使用されます。デフォルトのタイムアウト値は、IKE クレデンシャルへのアクセスの試行が新しく開始されるときに生成されます。

セカンダリ コンフィギュレーション ファイル

USB トークンにあるコンフィギュレーション ファイルを表示します。このコンフィギュレーション ファイルは、CCCD ファイルまたは .cfg ファイルです。

CCCD は、ブート コンフィギュレーション ファイルとも呼ばれます。USB トークンでは、CCCD ファイルは TMS ソフトウェアを使用してロードされます。

USB トークンの追加または編集

このウィンドウを使用すると、USB トークンへのログインを追加または編集できます。

トークン名

USB トークンへのログインを追加する場合は、USB トークン名を入力します。入力する名前は、ログインするトークンの名前と一致する必要があります。

トークン名は、メーカーが設定します。たとえば、Aladdin Knowledge Systems が製造した USB トークンには eToken という名前が付いています。

「usbtoken 1 」という名前も使用できます。この x は USB トークンを接続する USB ポートの番号です。たとえば、USB ポート 0 に接続する USB トークンは usbtoken0 という名前になります。

USB トークンへのログインを編集する場合、[トークン名]フィールドは変更できません。

現在のPIN

USB トークンへのログインを追加する場合、または PIN のない USB トークンへのログインを編集する場合、[現在の PIN]フィールドには[<なし>]と表示されます。PIN のある USB トークンへのログインを編集する場合、[現在の PIN]フィールドには[******]と表示されます。

新しい PIN を入力

USB トークンの新しい PIN を入力します。新しい PIN は、少なくとも 4 桁以上で、ログインするトークンの名前と一致する必要があります。USB トークンへのログインを編集すると、現在の PIN は新しい PIN に置き換えられます。

新しい PIN を再入力

確認のため、新しい PIN を再入力します。

PIN の最大試行回数

指定された PIN で USB トークンへのログインを試行する最大回数を選択します。指定された回数試行して成功しなかった場合、USB トークンへのログインの試行が停止されます。

削除までのタイムアウト

ルータから USB トークンを取り外した時点から、そのトークンで取得したインターネット キー交換(IKE)クレデンシャルを引き続き使用する最大秒数を入力します。秒数は、0 ~ 480 の範囲内である必要があります。

数字を入力しない場合、デフォルトのタイムアウト値が使用されます。デフォルトのタイムアウト値は、IKE クレデンシャルへのアクセスの試行が新しく開始されるときに生成されます。

セカンダリ コンフィギュレーション ファイル

USB トークンにあるコンフィギュレーション ファイルを指定します。このファイルは、部分的なコンフィギュレーション ファイルか、完全なコンフィギュレーション ファイルです。ファイル拡張子は、.cfg である必要があります。

Cisco CP では、USB トークンにログインできる場合、指定されたコンフィギュレーション ファイルをルータの実行コンフィギュレーションにマージします。

ファイアウォールを開く

この画面は、ルータが受信する必要があるリターン トラフィックをブロックするファイアウォールがインターフェイス上に検出されたときに表示されます。可能性のある状況として、ファイアウォールが DNS トラフィックまたは PKI トラフィックをブロックして、ルータがサーバからこのトラフィックを受信できなくなる場合があります。サーバとルータが通信できるように、Cisco CP からファイアウォールの設定を変更できます。

ファイアウォールの変更

このエリアには出口インターフェイスと ACL 名が表示されます。変更するファイアウォールをここで選択できます。変更するファイアウォールを[アクション]カラムで選択してください。サーバからルータへの SCEP トラフィックまたは DNS トラフィックが許可されるように、ファイアウォールが変更されます。

SCEP トラフィックに関しては、次の点に注意してください。

CRL/OCSP サーバに対するファイアウォールは、ルータ上でそのサーバに関する設定が明示的に行われていない場合、Cisco CP によって変更されない。CRL/OCSP サーバとの通信を許可するには、CA サーバ管理者に問い合わせて適切な情報を入手し、[ファイアウォール ポリシー/ACL の編集]ウィンドウを使用してファイアウォールを変更する。

Cisco CP では、CA サーバからルータに送信されるトラフィックは、ルータから CA サーバに送信されたトラフィックが経由したインターフェイスと同じインターフェイスを経由すると想定される。Cisco CP で経路と想定されたインターフェイスとは別のインターフェイスを経由して CA サーバからのリターン トラフィックがルータに入ると考えられる場合は、[ファイアウォール ポリシー/ACL の編集]ウィンドウを使用してファイアウォールを開く必要がある。このような状況は、非対称的なルーティングが使用されている場合に起こることがある。非対称的なルーティングでは、ルータから CA サーバへのトラフィックがルータから送出される際に経由するインターフェイスと、リターン トラフィックがルータに入る際に経由するインターフェイスが異なっている。

Cisco CP は、パススルー ACE が追加されたときにルータの出口インターフェイスを判断する。ダイナミック ルーティング プロトコルを使用してルータが CA サーバへのルートを学習するようにしている設定で、ルートの変更が発生して CA サーバ宛ての SCEP トラフィックの出口インターフェイスが変わる場合は、[ファイアウォール ポリシー/ACL の編集]ウィンドウを使用して、出口インターフェイスのパススルー ACE を明示的に追加する必要がある。

SCEP トラフィックのパススルー ACE が Cisco CP によって追加される。取り消しトラフィック(CRL トラフィックや OCSP トラフィックなど)のパススルー ACE は追加されない。このトラフィックのパススルー ACE は、[ファイアウォール ポリシー/ACL の編集]ウィンドウを使用して明示的に追加する必要がある。

詳細ボタン

このボタンをクリックすると、変更を許可したときにファイアウォールに追加されるアクセス コントロール エントリが表示されます。

ファイアウォールを開くの詳細

このウィンドウには、さまざまな種類のトラフィックをルータに到達させるためにファイアウォールに追加されようとしているアクセス コントロール エントリ(ACE)が表示されます。このエントリは、[ファイアウォールを開く]ウィンドウで[変更]を選択してウィザードを終了しなければ、追加されません。