Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
認証機関サーバ
認証機関サーバ
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

認証機関サーバ

CAサーバの作成

PKI 設定の必須タスク

CA サーバ ウィザード:ようこそ

CA サーバ ウィザード:認証機関情報

詳細オプション

CA サーバ ウィザード:RSA キー

ファイアウォールを開く

CA サーバ ウィザード:要約

CAサーバの管理

CA サーバのバックアップ

CAサーバ復元の管理

CA サーバの復元

CA サーバ設定の編集:全般タブ

CA サーバ設定の編集:詳細タブ

CA サーバの管理:設定済みのCA サーバなし

証明書の管理

保留中の要求

取り消された証明書

証明書の取り消し

認証機関サーバ

Cisco IOS ルータは認証機関( CA)サーバとして設定できます。CA サーバはクライアントからの証明書のエンロールメント要求を処理し、デジタル証明書の発行および取り消しを行えます。

CA サーバーを作成、バックアップ、復元、または編集するには、[設定]>[セキュリティ]>[VPN コンポーネント]>[パブリック キー インフラストラクチャ]>[認証機関]>[概要]の順に選択します。

既存の CA サーバ上の証明書を管理するには、[設定]>[セキュリティ]>[VPN コンポーネント]>[パブリック キー インフラストラクチャ]>[認証機関]>[証明書の管理]の順に選択します。

CA サーバを監視するには、[監視]>[VPN ステータス]>[CA サーバ]の順に選択します。

CAサーバの作成

このウィンドウでは、認証機関( CA)サーバを作成するためのウィザード、または CA サーバを復元するためのウィザードを起動できます。1 つの Cisco IOS ルータには、1 つの CA サーバのみをセットアップできます。

CA サーバは、プライベート ネットワーク上のホストに証明書を発行するために使用します。これにより、各ホストはこの証明書を使用して、他のホストに対して自らを証明できるようになります。

必須タスク

CA サーバの設定を開始する前に必要な設定タスクが Cisco CP によって検出されると、そのタスクがこのボックスに通知されます。アラート テキストの横にはリンクが表示されます。このリンクを使って Cisco CP の適切な画面に移動し、設定タスクを行うことができます。必要な設定タスクが検出されなかった場合、このボックスは表示されません。通知される可能性がある必須タスクについては、「PKI 設定の必須タスク」で説明しています。

認証機関(CA)サーバの作成

このボックスをクリックすると、ルータ上に CA サーバが作成されます。ルータに設定できる CA サーバは 1 つのみなので、CA サーバがすでに設定されている場合にはこのボタンは無効になります。


) Cisco CP を使用して設定した CA サーバでは、証明書を付与および取り消しできます。ルータには、付与した証明書のシリアル番号とその他の識別情報が保存されますが、証明書自体は保存されません。CA サーバには、CA サーバが付与した証明書を保管するための登録局(RA)サーバへの URL を設定する必要があります。


認証機関(CA)サーバの復元

ルータ上で CA サーバがすでに稼働している場合は、CA サーバの設定および情報を復元できます。ルータに CA サーバが設定されていない場合は、このオプションは無効になります。

PKI 設定の必須タスク

証明書のエンロールメントまたは CA サーバの設定を開始する前に、その準備となる設定を先に実行しなければならない場合があります。Cisco CP は、実行中のコンフィギュレーションを設定前に確認し、実行が必要な設定があることを警告で知らせ、その設定を完了するための Cisco CP エリアに移動するリンクを表示します。

Cisco CP によって警告される可能性のある設定タスクは次のとおりです。

SSH クレデンシャルが確認されていません ― 登録を開始する前に、SSH クレデンシャルを指定する必要があります。

NTP が設定されていません ― 証明書登録を行うには、ルータに正確な時刻を設定しておく必要があります。ルータが正確な時刻情報を取得できるネットワーク タイム プロトコル サーバを指定することで、ルータのリブートが必要になっても影響を受けないタイム ソースが設定されます。組織に NTP サーバがない場合は、次の URL に記述されているような公開サーバを使用することもできます。

http://www.eecis.udel.edu/~mills/ntp/clock2a.html

DNS が設定されていません ― DNS サーバを指定すると、ルータから証明書サーバへのアクセスを可能にするために役立ちます。CA サーバや証明書登録に関係するその他のサーバ(OCSP サーバや CRL リポジトリなど)にアクセスするときに、それらのサーバを IP アドレスではなく名前で指定するのであれば、DNS の設定は必須の作業です。

ドメインまたはホスト名、またはその両方が設定されていません ― 登録を開始する前にドメインとホスト名を設定することをお勧めします。

CA サーバ ウィザード:ようこそ

認証機関( CA)サーバ ウィザードでは、指示に従って CA サーバを設定できます。開始前に次の情報を取得しておく必要があります。

CA サーバについての全般情報 ― サーバに設定する名前、使用する証明書発行側名、サーバにエンロールメント要求を送信する際にエンロールメント要求者に必要となるユーザ名およびパスワードです。

サーバの詳細情報 ― サーバが登録局(RA)モードまたは認証機関(CA)モードのどちらで動作するのか、サーバに保存される各証明書の情報レベル、サーバが証明書を自動発行するかどうか、付与される証明書のライフタイム、未処理のエンロールメント要求といった情報です。

サポート情報 ― 証明書を保存する RA サーバ、および証明書失効リスト配信ポイント(CDP)サーバへのリンクです。

CA サーバ ウィザード:認証機関情報

このウィンドウでは、設定する CA サーバについての基本情報を入力します。

CA サーバ名

このフィールドには、サーバの識別名を指定します。ルータのホスト名、または任意の名前を入力できます。

認可

証明書を手動で付与するには、[手動]を選択します。証明書を自動発行するには[自動]を選択します。[自動]は通常、デバッグの目的で使用されます。このモードでは、登録情報がなくてもすべての要求者に対して証明書が発行されるので、一般の使用は推奨されません。


注意 ルータがインターネットに接続されている場合は、[認可]を[自動]に設定しないでください。[自動]設定は、デバッグ処理を実行する場合などの内部目的のみに使用します。

CDP URL

このフィールドには、証明書失効リスト配信ポイント( CDP)サーバへの URL を入力します。この URL は HTTP URL である必要があります。次に URL の入力例を示します。

http://172.18.108.26/cisco1cdp.cisco1.crl
 

証明書失効リスト(CRL)は、取り消された証明書のリストです。他のデバイスの証明書の有効性確認を必要とするデバイスは、CA サーバから CRL を取得します。多くのデバイスが CRL を取得しようとする可能性があるため、リモート デバイス(HTTP サーバが望ましい)にこの機能を分散することで、CA サーバをホストする Cisco IOS ルータのパフォーマンスへの影響を軽減できます。チェックする側のデバイスが CDP に接続できない場合は、このデバイスはバックアップとして SCEP を使用して、CA サーバから CRL を取得します。

発行側名の属性

共通名(cn)

証明書に使用する共通名を入力します。CA サーバ名、ルータのホスト名、または任意の名前を指定できます。

組織単位(ou)

証明書に含める組織単位または部門名を入力します。たとえば、「IT サポート」や「エンジニアリング」は組織単位です。

組織(o)

組織名または会社名を入力します。

都道府県(st)

組織が存在する都道府県を入力します。

国(c)

組織が存在する国を入力します。

電子メール(e)

ルータ証明書に含める電子メール アドレスを入力します。

詳細オプション

CA サーバの詳細オプションを入力する場合は、このボタンをクリックします。

詳細オプション

この画面では、サーバ設定のデフォルト値を変更したり、証明書情報を保持するデータベースの URL を指定したりできます。

データベース

ここでは、データベース レベル、データベースの URL、およびデータベース形式を設定します。

データベース レベル

証明書登録データベースに保存されるデータの種類を選択します。

minimal ― 競合を発生させずに新規証明書の発行を継続できるだけの必要情報が保存されます。これはデフォルトの設定です。

names ― 最小オプションによって指定される情報に加え、各証明書のシリアル番号およびサブジェクト名も保存されます。

complete ― minimal オプションおよび names オプションによって指定される情報に加え、発行された各証明書がデータベースに書き込まれます。

データベース URL

CA サーバによって証明書登録データが書き込まれる場所を入力します。この場所を特に指定しない場合は、証明書登録データはデフォルトでフラッシュ メモリに書き込まれます。

たとえば、tftp サーバに証明書登録データを書き込むには、tftp://mytftp と入力します。データベースの URL をフラッシュ メモリにリセットするには、nvram と入力します。

データベース アーカイブ

アーカイブを pem 形式で作成する場合は[pem]、pkcs12 形式で作成する場合は[pkcs12]を選択します。

データベース ユーザ名

このフィールドには、データベース アーカイブのユーザ名を入力します。ユーザ名およびパスワードは、データベースに対するサーバの認証に使用されます。

データベース パスワードおよびパスワードの確認

[データベース パスワード]フィールドにパスワードを入力し、同じパスワードを[パスワードの確認]に再入力します。

ライフタイム

CA サーバに関連付けられたアイテムのライフタイム(有効期限)を設定します。特定のアイテムのライフタイムを設定するには、[ライフタイム]ドロップダウン リストからこのアイテムを選択し、[ライフタイム]フィールドに値を入力します。

ライフタイムは以下のアイテムに対して設定できます。

証明書 ― CA サーバによって発行された証明書。ライフタイムとして、1 ~ 1,825 の範囲の日数を入力します。値を指定しない場合は、証明書は 1 年後に失効します。新たな値を入力すると、この値が有効になった後で作成された証明書のみが影響を受けます。

CRL ― CA サーバによって発行された証明書に対する証明書失効リスト。ライフタイムは 1 ~ 336 の範囲の時間として入力します。値を指定しない場合は、CRL は 168 時間後(1 週間後)に失効します。

エンロールメント要求 ― 登録データベース内に存在する未処理の証明書要求(SCEP 経由で受信した要求は除く)。ライフタイムは 1 ~ 1,000 の範囲の時間として入力します。値を指定しない場合は、未処理のエンロールメント要求は 168 時間後(1 週間後)に失効します。

CA サーバ ウィザード:RSA キー

CA サーバはパブリックおよびプライベートの RSA キーを使用して、データの暗号化および証明書への署名を行います。Cisco CP は新規のキー ペアを自動生成し、各ペアに CA サーバ名を使用した名前を付けます。キーのモジュラスとタイプは変更でき、キーをエクスポート可能にすることもできます。また、CA サーバの復元に使用するパスフレーズを入力する必要があります。

ラベル

このフィールドは読み取り専用です。Cisco CP では、キー ペアの名前として CA サーバ名を使用します。

モジュラス

キーのモジュラス値を入力します。モジュラス値を 512 ~ 1,024 の範囲内の値にする場合は、64 の倍数(整数値)を入力します。1,024 より大きい値にする場合は、「1,536」または「2,048」を入力できます。512 以上の値を入力すると、キーの生成に 1 分以上かかる場合があります。

このモジュラス値に応じてキーのサイズが決まります。モジュラス値を大きくするとキーの安全性が高まります。ただし、モジュラス値が大きくなるとキーの生成にかかる時間が長くなり、キーのサイズが大きくなると暗号化処理と解読処理にかかる時間が長くなります。

タイプ

Cisco CP で作成されるキー ペアは、デフォルトでは暗号化と署名の両方に使用される汎用キー ペアです。文書の暗号化用と署名用にそれぞれ別のキー ペアを生成するには、[特殊用途キー]を選択します。これで、暗号化用と署名用にそれぞれ個別の特殊用途キーが生成されます。

キーはエクスポート可能です

CA サーバ キーをエクスポート可能にする場合は、このチェック ボックスを選択します。

パスフレーズおよびパスフレーズの確認

[パスフレーズ]フィールドには、CA サーバをバックアップから復元するために使用するパスフレーズを入力します。[パスフレーズの確認]フィールドには、同じパスフレーズを再入力してください。

ファイアウォールを開く

このウィンドウは、 CDP サーバと CA サーバ間の通信を許可するため、ファイアウォールの設定を変更しなければならない場合に表示されます。このトラフィックを許可するように Cisco CP でファイアウォールを変更可能にするには、インターフェイスを選択し、[変更]チェック ボックスを選択します。ファイアウォールに追加される ACE を確認するには、[詳細]をクリックします。

CA サーバ ウィザード:要約

このウィンドウには、ウィザードの各画面で入力した情報が表示され、ルータに送信する前に設定内容を確認できます。次に示すのは[要約]ウィンドウの表示例です。

------------------------------------------------------------
CA Server Configuration
------------------------------------------------------------
CA Server Name :CASvr-a
Grant:Manual
CDP URL:http://192.27.108.92/snrs.com
Common Name (cn):CS1841
Organization Unit (ou):IT Support
Organization (o):Acme Enterprises
State (st):CA
Country (c):US
 
------------------------------------------------------------
Advanced CA Server Configuration
------------------------------------------------------------
Database URL:nvram:
Database Archive:pem
Database Username:bjones
Database Password:*********
 
------------------------------------------------------------
RSA Keys:
------------------------------------------------------------
CA Server will automatically generate RSA key pair with following defaults:-
Modulus:1024
Type of Key:General Purpose
Exportable Key:No
Passphrase configured:******
 
 
------------------------------------------------------------
Firewall Pass-through ACEs for Interface(s):
------------------------------------------------------------
 
FastEthernet0/0
permit tcp host 192.27.108.92 eq www host 192.27.108.91 gt 1024
 

この要約は、[CA サーバ設定]、[CA サーバ詳細設定]、[RSA キー]、および[ファイアウォール パススルー]の 4 つのセクションによって構成されています。CA サーバの名前は CAsvr-a です。証明書は手動で付与されます。証明書情報は PEM 形式で NVRAM に保存されます。生成されるキーは、デフォルトのモジュラス値 1024 を持つ汎用目的のキー ペアです。このキーはエクスポートできません。また、IP アドレスが 192.27.108.92 である CDP ホストとルータとの間のトラフィックを許可する ACE が設定されます。

CAサーバの管理

このウィンドウでは、CA サーバの起動および停止、証明書要求の認可および拒否、および証明書の取り消しを行えます。CA サーバの設定を変更するには、このウィンドウからサーバをアンインストールし、[CA サーバの作成]ウィンドウに戻り、必要なサーバ設定を作成します。

名前

サーバ名を表示します。このサーバ名は、サーバの作成時に設定されたものです。

ステータス アイコン

CA サーバが実行中の場合は[実行中]と表示され、緑色のアイコンが表示されます。CA サーバが停止している場合は[停止]と表示され、赤色のアイコンが表示されます。

サーバの起動

このボタンは、サーバが停止している場合に表示されます。このボタンをクリックすると、CA サーバが開始されます。

サーバの停止

このボタンは、サーバが実行中の場合に表示されます。CA サーバを停止するには、このボタンをクリックします。

サーバのバックアップ

このボタンをクリックすると、サーバの設定情報が PC にバックアップされます。表示されるダイアログボックスで、バックアップの場所を指定してください。

サーバのアンインストール

Cisco IOS ルータから CA サーバをアンインストールするには、このボタンをクリックします。これにより、CA サーバのすべての設定およびデータが削除されます。アンインストールの前に CA サーバをバックアップしておくと、新規 CA サーバの作成後にかぎり、サーバのデータを復元できます。「CAサーバの作成」を参照してください。

CAサーバの詳細

この一覧には、CA サーバ情報のスナップショットが表示されます。次の表は、情報の例を示しています。

 

項目名
項目値

CA 証明書ライフタイム

1,095 日

CDP URL

http://192.168.7.5

CRL ライフタイム

168 時間

証明書ライフタイム

365 日

データベース レベル

minimal

データベース URL

nvram:

エンロールメント要求ライフタイム

168 時間

認可

手動

発行側名

CN=CertSvr

モード

認証機関

名前

CertSvr

各項目の詳細については、「CA サーバ ウィザード:認証機関情報」および「詳細オプション」を参照してください。

CA サーバのバックアップ

CA サーバの情報を保持するファイルを、PC 上にバックアップできます。[Backup CA Server]ウィンドウには、バックアップされるファイルの一覧が表示されます。バックアップが正常に行われるには、一覧表示された各ファイルがルータの NVRAM 内に存在する必要があります。

[参照]をクリックして、CA サーバ ファイルをバックアップするための PC 上のフォルダを指定してください。

CAサーバ復元の管理

CA サーバをバックアップしてからアンインストールした場合は、[CA サーバの復元]ボタンをクリックすることで、このサーバ設定をルータに復元できます。これには、最初の設定時に使用した CA サーバ名、完全なデータベース URL、およびバックアップ パスフレーズを用意しておく必要があります。CA サーバを復元した後は、必要に応じて設定内容を変更できます。

CA サーバの復元

アンインストールした CA サーバの設定をバックアップしている場合は、[CA サーバの復元]ウィンドウに必要な情報を入力することで、この設定を復元できます。[復元する前に CA サーバ設定を編集]をオンにすると、設定内容を編集できます。サーバのバックアップ、またはサーバ設定の編集を実行するには、サーバ名、ファイル形式、データベースの URL、およびパスフレーズを指定する必要があります。

CA サーバ名

バックアップした CA サーバ名を入力します。

ファイル形式

サーバ設定に指定したファイル形式( PEM または PKCS12)を選択します。

完全な URL

CA サーバの設定時に指定したルータ データベースの URL を入力します。これは、CA サーバが証明書登録データを書き込む場所です。次に、2 つの URL の例を示します。

nvram:/mycs_06.p12
tftp://192.168.3.2/mycs_06.pem
 

パスフレーズ

CA サーバの設定時に入力したパスフレーズを入力します。

PC から CA サーバ ファイルをコピー

PC にバックアップしたサーバ情報をルータの NVRAM にコピーするには、このチェック ボックスを選択します。

復元する前に CA サーバ設定を編集

サーバを復元する前に CA サーバの設定内容を変更するには、このチェック ボックスを選択します。変更できる設定内容については、「CA サーバ ウィザード:認証機関情報」および「CA サーバ ウィザード:RSA キー」を参照してください。

CA サーバ設定の編集:全般タブ

このウィンドウでは、全般的な CA サーバの設定を編集します。CA サーバの名前は変更できません。変更できる設定内容については、「CA サーバ ウィザード:認証機関情報」を参照してください。

CA サーバ設定の編集:詳細タブ

このウィンドウでは、CA サーバのすべての詳細設定を変更できます。各設定内容については、「詳細オプション」を参照してください。

CA サーバの管理:設定済みのCA サーバなし

このウィンドウは、[CA サーバの管理]をクリックしたとき、設定済みの CA サーバが存在しない場合に表示されます。ルータに CA サーバを設定するには、[CA サーバの作成]をクリックし、ウィザードの各手順を実行してください。

証明書の管理

[設定]>[セキュリティ]>[VPN コンポーネント]>[パブリック キー インフラストラクチャ]>[認証機関]>[証明書の管理]の順に選択すると、[保留中の要求]タブおよび[取り消された証明書]タブが表示されます。各タブのヘルプ トピックについては、次のリンクを参照してください。

保留中の要求

取り消された証明書

保留中の要求

このウィンドウには、CA サーバがクライアントから受信した証明書エンロールメント要求が一覧表示されます。ウィンドウの上部には、CA サーバの情報と各コントロールが表示されます。CA サーバの停止、開始、およびアンインストールについては、「CAサーバの管理」を参照してください。

リストから証明書エンロールメント要求を選択して、これを発行(許諾)、拒否、または削除するかどうかを選択できます。実行可能なアクションは、選択した証明書エンロールメント要求のステータスに応じて異なります。

すべて選択

クリックすると、未処理のすべての証明書要求が選択されます。すべての証明書要求を選択して[認可]を選択すると、すべての要求が許可されます。すべての証明書要求を選択して[拒否]を選択すると、すべての要求が拒否されます。

認可

要求元のクライアントに証明書を発行するには、[認可]をクリックします。


) [CA サーバ]ウィンドウには、付与される証明書の ID は表示されません。証明書を取り消す必要がある場合は、証明書を発行したクライアントの管理者から証明書の ID を取得する必要があります。クライアントの管理者は、Cisco IOS コマンド sh crypto pki cert を入力することで、証明書の ID を確認できます。


削除

データベースから証明書エンロールメント要求を削除するには、[削除]をクリックします。

拒否

証明書エンロールメント要求を拒否するには、[拒否]をクリックします。

更新

最新の変更を反映して証明書エンロールメント要求を更新するには、[更新]をクリックします。

証明書エンロールメント要求エリア

このエリアは、以下のカラムによって構成されます。

要求 ID ― 証明書エンロールメント要求に割り当てられた一意の番号です。

ステータス ― 証明書エンロールメント要求の現在のステータスです。有効なステータスは「Pending(保留中)」、「Granted(証明書を発行済み)」、または「Rejected(要求を拒否)」のいずれかです。

フィンガープリント ― 一意のデジタル クライアント識別子です。

サブジェクト名 ― エンロールメント要求のサブジェクト名です。

次に、エンロールメント要求の例を示します。

 

要求ID
状態
フィンガープリント
サブジェクト名

1

pending

serialNumber=FTX0850Z0GT+hostname=c1841.snrsprp.com

B398385E6BB6604E9E98B8FDBBB5E8BA

証明書の取り消し

クリックすると、取り消す証明書の ID を入力するためのダイアログが表示されます。


) 証明書 ID は、[CA サーバ]ウィンドウに表示される要求 ID と常に一致するとはかぎりません。場合によっては、証明書を付与したクライアントの管理者から、取り消す証明書の ID を取得しなければならないことがあります。クライアントの管理者が証明書 ID を確認する方法については、「保留中の要求」を参照してください。


取り消された証明書

このウィンドウには、発行済みおよび取り消し済みの証明書が一覧表示されます。取り消すことができるのは、発行済みの証明書のみです。ウィンドウの上部には、 CA サーバの情報と各コントロールが表示されます。CA サーバの停止、開始、およびアンインストールについては、「CAサーバの管理」を参照してください。

証明書リストは、以下のカラムによって構成されます。

証明書シリアル番号 ― 証明書に割り当てられる一意の番号です。この番号は 16 進数値の形式で表示されます。たとえば、10 進数のシリアル番号 1 は 0x01 と表示されます。

取り消し日 ― 証明書が取り消された日時です。2007 年 2 月 6 日の深夜 0 時 41 分 20 秒に取り消された証明書の場合は、取り消し日時は 00:41:20 UTC Feb 6 2007 と表示されます。

証明書の取り消し

クリックすると、取り消す証明書の ID を入力するためのダイアログが表示されます。


) 証明書 ID は、[CA サーバ]ウィンドウに表示される要求 ID と常に一致するとはかぎりません。場合によっては、証明書を付与したクライアントの管理者から、取り消す証明書の ID を取得しなければならないことがあります。クライアントの管理者が証明書 ID を確認する方法については、「保留中の要求」を参照してください。


証明書の取り消し

このウィンドウでは、この CA サーバによって許可された証明書を取り消すことができます。

証明書 ID

取り消す証明書の ID を入力します。


) 証明書 ID は、[CA サーバ]ウィンドウに表示される要求 ID と常に一致するとはかぎりません。場合によっては、証明書を付与したクライアントの管理者から、取り消す証明書の ID を取得しなければならないことがあります。クライアントの管理者が証明書 ID を確認する方法については、「保留中の要求」を参照してください。