Cisco Broadband Access Center DPE CLI リファレンス Release 3.0
CWMP 技術のコマンド
CWMP 技術のコマンド
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 600KB) | フィードバック

目次

CWMP 技術のコマンド

service cwmp

keystore import-pkcs12

service http

CWMP 技術のコマンド

この章では、Broadband Access Center(BAC)の Device Provisioning Engine(DPE)上の CPE WAN 管理プロトコル(CWMP)技術を管理および監視するために使用する、コマンドライン インターフェイス(CLI)コマンドについて説明します。

この章で説明するコマンドを使用すると、DPE で CWMP サービスおよび HTTP ファイル サービスの設定を構成できます。どちらのサービスにもサービス 1 および サービス 2 という独自のインスタンスがあります。これらのインスタンスは、個別に設定する必要があります。

サービスごとに異なるオプションを設定できるよう、BAC は異なるインスタンスをサポートします。たとえば CWMP サービス 1 は、デフォルトでは HTTP ダイジェスト認証を要求するように設定されていますが、HTTP over SSL/TLS はサポートしていません。このサービスは、ポート 7547 で実行されるように設定されており、デフォルトではイネーブルになっています。CWMP サービス 2 は、HTTP over SSL/TLS を使用するポート 7547 で実行されるように設定されていますが、デフォルトではディセーブルになっています。実際の要件に合わせて、各サービスのこれらのデフォルトを再設定できます。各サービスのデフォルト設定については、 表4-1 を参照してください。

 

表4-1 CWMP 技術のデフォルト設定

CWMP サービス
HTTP ファイル サービス
サービス 1
サービス 2
サービス 1
サービス 2

モード

イネーブル

ディセーブル

イネーブル

ディセーブル

認証

ダイジェスト

ダイジェスト

ダイジェスト

ダイジェスト

ポート番号

7547

7548

7549

7550

SSL/TLS 上での HTTP

ディセーブル

イネーブル

ディセーブル

イネーブル


) CWMP 関連サービスを、グローバルにイネーブルまたはディセーブルにすることはできません。CWMP 機能は、個別でのみイネーブルまたはディセーブルにできます


この章で説明するコマンドは、次のとおりです。

「service cwmp」

「service cwmp num allow-unknown-cpe」

「service cwmp num client-auth mode」

「service cwmp num enable {true | false}」

「service cwmp num port port」

「service cwmp session timeout value」

「service cwmp num ssl client-auth mode」

「service cwmp num ssl client-auth client-cert-css-ext」

「service cwmp num ssl cipher {all-cipher-suites | value}」

「service cwmp num ssl enable {true | false}」

「service cwmp num ssl keystore keystore-filename keystore-password key-password」

「keystore import-pkcs12」

「service http」

「service http num client-auth mode」

「service http num enable {true | false}」

「service http num port port」

「service http num ssl client-auth mode」

「service http num ssl client-auth client-cert-css-ext」

「service http num ssl cipher {all-cipher-suites | value}」

「service http num ssl enable {true | false}」

「service http num ssl keystore keystore-filename keystore-password key-pasword」

service cwmp

これは、DPE で実行されている CWMP サービスに対してさまざまな設定を構成するときに使用するコマンドのグローバル構文です。これらのコマンドを使用すると、次のことが可能です。

CWMP サービスをイネーブルにする

サービスのインスタンスを指定する

クライアント認証およびクライアント証明書認証を設定する

サービスのポート番号を設定する

SSL/TLS 上で HTTP を使用するようにサービスを設定する

service cwmp は、 表4-2 に記載されているコマンドと併せて使用してください。


) これらのコマンドを使用するときは、特に記載のない限り、DPE を再起動して変更内容を有効にする必要があります。DPE を再起動するには、dpe reload コマンドを実行します(「dpe reload」を参照してください)。


 

表4-2 service cwmp コマンドのリスト

コマンドの使用方法
シンタックスの説明

service cwmp num allow-unknown-cpe

no service cwmp num allow-unknown-cpe

DPE で不明なデバイスに対して DPE が RDU に構成要求することをイネーブルまたはディセーブルにします。


) この機能をイネーブル化すると、RDU に対する DoS 攻撃が可能になる場合があります。
このコマンドを有効にするために、DPE を再起動する必要はありません。


dpe# service cwmp 1 allow-unknown-cpe
% OK

service cwmp num client-auth mode

DPE 上の CWMP サービスに対して HTTP を使用することにより、クライアント認証をイネーブルまたはディセーブルにします。

BAC の認証オプションのリストについては、『 Cisco Broadband Access Center
Administrator’s Guide, Release 3.0
』を参照してください。

num :CWMP サービス(1 または 2)を表します。

mode :CWMP サービスのクライアント認証モードを表します。クライアント認証モードには、次のようなものがあります。

basic :基本 HTTP 認証をイネーブルにします。

digest :ダイジェスト HTTP 認証をイネーブルにします。これがデフォルトの設定です。

none :基本およびダイジェスト認証をディセーブルにします。このモードでは、CWMP サービスは Inform メッセージ内の Device ID を使用して CPE を認証します。


) クライアント認証中のセキュリティ リスクを制限するため、ダイジェストモード(デフォルト設定)を使用することをお勧めします。基本モードでクライアント認証を許可したり、基本およびダイジェスト認証を完全にディセーブルにしたりすることは推奨されていません。


dpe# service cwmp 1 client-auth digest
% OK (Digest authentication was enabled. Basic authentication was disabled. Requires DPE restart "# dpe reload")

service cwmp num enable {true | false}

DPE 上で実行されている CWMP サービスをイネーブルまたはディセーブルにします。

num: CWMP サービス(1 または 2)を表します。

デフォルトでは、CWMP サービスは次のようになっています。

サービス 1 ではイネーブル。

サービス 2 ではディセーブル。

true :CWMP サービスをイネーブルにします。

false :CWMP サービスをディセーブルにします。

dpe# service cwmp 2 enable true
% OK (Requires DPE restart "# dpe reload")

service cwmp num port port

CWMP サービスが CPE と通信するポートを表します。異なるポート番号を指定することにより、DPE が、他のアプリケーションによって使用されるポート間の共有違反を回避できるようになります。

num: CWMP サービス(1 または 2)を表します。

port :サービスが使用するポート番号を表します。

デフォルトでは、CWMP サービスは次のポートで受信するように設定されています。

サービス 1 の場合はポート 7547。

サービス 2 の場合はポート 7548。

dpe# service cwmp 1 port 7547
% OK (Requires DPE restart "# dpe reload")

service cwmp session timeout value

CWMP セッションのタイムアウト期間を設定します。


) このコマンドを有効にするために、DPE を再起動する必要はありません。


value: CWMP セッションのタイムアウト期間をミリ秒(ms)で表します。タイムアウト期間は、1000 ms(1 秒)から 3000000 ms(50 分)までの任意の値です。

デフォルトでは、タイムアウト期間は 60000 ms(60 秒)に設定されています。

dpe# service cwmp session timeout 60000
% OK

service cwmp num ssl client-auth mode

DPE 上で実行されている CWMP サービスに対して HTTP over SSL/TLS を使用することにより、クライアント証明書認証をイネーブルまたはディセーブルにします。

BAC の認証オプションのリストについては、『 Cisco Broadband Access Center
Administrator’s Guide, Release 3.0
』を参照してください。

num: CWMP サービス(1 または 2)を表します。

デフォルトでは、SSL/TLS でのクライアント証明書認証は次のようになっています。

サービス 1 ではディセーブル。

サービス 2 ではディセーブル。

mode :CWMP サービスのクライアント証明書認証モードを表します。BAC のサポート対象は、次のとおりです。

client-cert-generic :すべての CPE または CPE の大きなサブセットに共通の汎用証明書を使用して、SSL/TLS でクライアント証明書認証をイネーブルにします。クライアント証明書は、署名認証局の公開鍵を使用して認証されます。この鍵は、DPE キーストアで事前設定されます。この証明書認証プロセスにより、証明書が有効であることが確認されますが、特定デバイスの ID は確立されません。したがって、デバイスの識別情報は、クライアント証明書の CN フィールド内のデータを使用することによっては生成されません。その代わり、デバイスの識別情報は基本またはダイジェスト認証経由で提供されたデータ、または CWMP Inform メッセージ内のデータを使用することによって生成されます。

client-cert-unique :各 CPE が提供する一意の証明書を使用して、SSL/TLS でクライアント証明書認証をイネーブルにします。署名認証局の公開鍵を使用してクライアント証明書が認証されると、クライアント証明書の CN フィールドを使用してデバイスの固有識別情報が生成されます。

none :CWMP サービスに対して HTTP over SSL/TLS を使用して、クライアント証明書認証をディセーブルにします。

例 1

dpe# service cwmp 1 ssl client-auth client-cert-generic
% OK (Requires DPE restart "# dpe reload")

例 2

dpe# service cwmp 1 ssl client-auth client-cert-unique
% OK (Requires DPE restart "# dpe reload")
 

service cwmp num ssl client-auth client-cert-css-ext

HTTP over SSL/TLS を使用する接続が
Cisco CSS 11500 シリーズ Content
Services Switch(CSS 11500)で終端している CPE の、認証をイネーブルにします。下流 CSS は、CPE デバイスから SSL セッションに関する情報(特にクライアント証明書フィールド)を取り出し、そのデータをさまざまな HTTP ヘッダーに挿入します。その後 BAC は、CSS ヘッダーの ClientCert-Subject-CN から CN
フィールドを取得して、固有のデバイス識別情報を作成します。


) このコマンドをイネーブルにする前に、必ず CSS を設定して、クライアント証明書フィールドを HTTP ヘッダーに挿入してください。詳細については、『Cisco Content Services Switch SSL Configuration Guide (Software Version 7.40)』を参照してください。


BAC の認証オプションのリストについては、『 Cisco Broadband Access Center
Administrator’s Guide, Release 3.0
』を参照してください。

num: CWMP サービス(1 または 2)を表します。

デフォルトでは、CWMP サービスに対して HTTP over SSL/TLS を使用するクライアント証明書認証は、次のようになっています。

サービス 1 ではディセーブル。

サービス 2 ではディセーブル。

dpe# service cwmp ssl 1 client-auth client-cert-css-ext
% OK (Requires DPE restart "# dpe reload")

service cwmp num ssl cipher {all-cipher-suites | value }

no service cwmp num ssl cipher {all-cipher-suites | value }

暗号アルゴリズムまたは暗号を使用して、DPE サーバと CPE の間の認証をイネーブルまたはディセーブルにします。これらの暗号アルゴリズムまたは暗号は、証明書管理およびセッション管理用に、HTTP over SSL/TLS によってサポートされています。SSL ハンドシェイク中、DPE サーバと CPE デバイスは、これら両方でイネーブルになっている最も強い暗号スイートを特定し、SSL セッションでそのスイートを使用します。


) BAC は、DPE のコマンドライン インターフェイスから設定可能な暗号スイートのリストをサポートします。BAC でサポートされる暗号スイートのリストについては、表4-5 を参照してください。


num: CWMP サービス(1 または 2)を表します。

all-cipher-suites :CWMP サービスに対して HTTP over SSL/TLS を使用して、すべての暗号スイートがセッションを認証するのをイネーブルにします。これがデフォルトの設定です。


service cwmp ssl cipher all-cipher-suites コマンドは、個々の暗号を設定していない場合にのみ動作します。個々の暗号スイートをディセーブルにするには、no service cwmp ssl cipher value コマンドを使用します。すべての暗号をディセーブルにするには、no service cwmp ssl cipher all-cipher-suites コマンドを使用します。


value :CWMP サービスに対して HTTP over SSL/TLS を使用して、セッションを認証するためにイネーブルにする、個々の暗号を表します。任意の暗号スイートをイネーブルまたはディセーブルにできます。

各暗号スイートは、特定の暗号法の機能に関連付けられている一連のアルゴリズムを指定します。BAC でサポートされる暗号法アルゴリズムのリストについては、 表4-4 を参照してください。

例 1

dpe# s ervice cwmp 1 ssl cipher all-cipher-suites
% OK (Requires DPE restart "# dpe reload")
 

例 2

dpe# service cwmp 1 ssl cipher ssl_dh_anon_with_des_cbc_sha
% OK (Requires DPE restart "# dpe reload")

service cwmp num ssl enable {true | false}

DPE 上の CWMP サービスに対して、SSL/TLS 上での HTTP の使用をイネーブルまたはディセーブルにします。


) DPE を再起動する前にキーストア ファイルおよびキーストア パスワードを設定しないと、
CWMP サービスが起動しなくなります。キーストア ファイルおよびキーストア パスワードの設定方法については、『Cisco
Broadband Access Center
Administrator’s Guide, Release
3.0
』を参照してください。


num: CWMP サービス(1 または 2)を表します。

true :SSL/TLS トランスポートをイネーブルにします。サービス 2 でのデフォルト設定です。

false :SSL/TLS トランスポートをディセーブルにします。サービス 1 でのデフォルト設定です。

dpe# service cwmp 1 ssl enable true
% OK (Requires DPE restart "# dpe reload")

service cwmp num ssl keystore keystore-filename keystore-password key-password

プロビジョニング サーバ証明書が含まれるキーストア ファイルを設定します。この証明書は、HTTP over SSL/TLS を使用して、デバイスに対してプロビジョニング サーバを認証するのに使用されます。


) この設定は、サービスのインスタンスがイネーブルになっており(service cwmp 2 の場合と同様、デフォルトではディセーブルになっている)、このサービスに対して SSL/TLS プロトコルがイネーブルになっている場合にのみ関連します。SSL/TLS トランスポートをイネーブルにするには、service cwmp num ssl enable true コマンドを使用します。


num: CWMP サービス(1 または 2)を表します。

keystore-filename :以前に作成したキーストア ファイルを表します。

keystore-password :キーストア ファイルの作成時に使用したキーストア パスワードを表します。キーストア パスワードの文字数は、6 ~ 30 文字にする必要があります。

key-password :キーストア ファイルの作成時に使用した秘密鍵パスワードを表します。秘密鍵パスワードの文字数は、6 ~ 30 文字にする必要があります。

dpe# service cwmp 1 ssl keystore example.keystore changeme changeme
% OK (Requires DPE restart "# dpe reload")

DPE は、自己署名証明書が含まれるデフォルトのサンプル キーストアとともに出荷されます。ただし、CWMP デバイスは自己署名証明書を信頼しないので、このキーストアを使用して HTTP over SSL/TLS にデバイスをプロビジョニングさせることはできません。代わりに、署名済みのサービス プロバイダー証明書およびキーストアを取得する必要があります。詳細については、『 Cisco Broadband Access Center Administrator’s Guide, Release 3.0 』を参照してください。

keystore import-pkcs12

このコマンドは、既存の秘密鍵と証明書を、SSL クライアントへの DPE の認証で使用する DPE 互換ファイルにインポートするときに使用します。 keystore import-pkcs12 コマンドにより PKCS#12 ファイルが開かれ、内容が読み取られ、JKS と呼ばれる Sun 独自の Java キーストア形式で新規のキーストアが書き込まれます。

PKCS#12 ファイル形式は、証明書と秘密鍵を格納するために使用する規格です。たとえば、Microsoft Windows 2000 IIS 5.0 サーバからインポートされた証明書がこれに該当します。


) 秘密鍵と証明書が別々のファイルに格納されている場合は、keystore import-pkcs12 コマンドを実行する前に、これらのファイルを単一の PKCS#12 ファイルに結合してください。
次の例に記載されている構文を使用できます。この例では、openssl コマンドによって、example.key 内の鍵と example.crt file 内の証明書が example.pkcs12 ファイルに結合されています。
# openssl pkcs12 -inkey example.key -in example.crt -export -out example.pkcs12


 
シンタックスの説明

keystore import-pkcs12 keystore-filename pkcs12-filename keystore-password key-password export-password export-key-password
 

keystore-filename :作成される JKS キーストア ファイルを表します。ファイルがすでに存在している場合、ファイルは上書きされます。


) 必ずキーストア ファイルのフル パスを指定してください。


pkcs12-filename :鍵と証明書のインポート元である PKCS#12 ファイルを表します。

keystore-password :キーストア ファイルの作成時に使用した秘密鍵パスワードおよびキーストア パスワードを表します。このパスワードの文字数は、6 ~ 30 文字にする必要があります。

key-password :DPE キーストア内の鍵へのアクセスに使用されるパスワードを表します。このパスワードの文字数は、6 ~ 30 文字にする必要があります。

export-password :PKCS#12 ファイル内の鍵の複合化に使用されるパスワードを表します。エクスポート パスワードの文字数は、6 ~ 30 文字にする必要があります。

export-key-password :PKCS#12 キーストア内の鍵へのアクセスに使用されるパスワードを表します。このパスワードの文字数は、6 ~ 30 文字にする必要があります。

dpe# keystore import-pkcs12 example.keystore example.pkcs12 changeme changeme changeme changeme
% Reading alias [1]
 
% Reading alias [1]: key with format [PKCS8] algorithm [RSA]
 
% Reading alias [1]: cert type [X.509]
 
% Created JKS keystore: example.keystore
 
% OK
 

service http

これは、DPE で実行されている HTTP サービスに対してさまざまな設定を構成するときに使用するコマンドのグローバル構文です。これらのコマンドを使用すると、次のことが可能です。

サービスをイネーブルにする

サービスのインスタンスを指定する

クライアント認証およびクライアント証明書認証を設定する

サービスのポート番号を設定する

SSL/TLS 上で HTTP を使用するようにサービスを設定する

service http は、 表4-3 に記載されているコマンドのリストと併せて使用してください。


) これらのコマンドを使用するときは、特に記載のない限り、DPE を再起動して変更内容を有効にする必要があります。DPE を再起動するには、dpe reload コマンド(「dpe reload」を参照)を実行します。


 

表4-3 service http コマンドのリスト

コマンドの使用方法
シンタックスの説明

service http num client-auth mode

DPE 上の HTTP ファイル サービスに対するクライアント認証をイネーブルまたはディセーブルにします。

BAC の認証オプションのリストについては、『 Cisco Broadband Access Center
Administrator’s Guide, Release 3.0
』を参照してください。

num :HTTP サービス(1 または 2)を表します。

mode :HTTP ファイル サービスのクライアント認証モードを表します。クライアント認証モードには、次のようなものがあります。

basic :基本 HTTP ファイル サービス認証をイネーブルにします。

digest :ダイジェスト HTTP ファイル サービス認証をイネーブルにします。これがデフォルトの設定です。

none :基本およびダイジェスト認証をディセーブルにします。このモードでは、HTTP ファイル サービスは Inform メッセージ内の Device ID を使用して CPE を認証します。


) クライアント認証中のセキュリティ リスクを制限するため、ダイジェストモード(デフォルト設定)を使用することをお勧めします。基本モードでクライアント認証を許可したり、基本およびダイジェスト認証をディセーブルにしたりすることは推奨されていません。


dpe# service http 1 client-auth digest
% OK (Digest authentication was enabled. Basic authentication was disabled. Requires DPE restart "# dpe reload")

service http num enable {true | false}

DPE 上で実行されている HTTP ファイル サービスをイネーブルまたはディセーブルにします。

num :HTTP ファイル サービス(1 または 2)を表します。

デフォルトでは、HTTP ファイル サービスは次のようになっています。

サービス 1 ではイネーブル。

サービス 2 ではディセーブル。

true :HTTP ファイル サービスをイネーブルにします。

false :HTTP ファイル サービスをディセーブルにします。

dpe# service http 2 enable true
% OK (Requires DPE restart "# dpe reload")

service http num port port

HTTP ファイル サービスが CPE デバイスと通信するポートを表します。異なるポート番号を指定することにより、DPE が、他のアプリケーションによって使用されるポート間の共有違反を回避できるようになります。

num :HTTP ファイル サービス(1 または 2)を表します。

デフォルトでは、HTTP ファイル サービスは次のポートをリスニングするように設定されています。

サービス 1 の場合はポート 7549。

サービス 2 の場合はポート 7550。

port :サービスが使用するポート番号を表します。


service http port コマンドは、指定されたポート番号が別のアプリケーションまたはシステム ユーティリティによって使用されているかどうかはチェックしません。


dpe# service http 1 port 7549
% OK (Requires DPE restart "# dpe reload")

service http num ssl client-auth mode

DPE 上で実行されている HTTP ファイル サービスに対して HTTP over SSL/TLS を使用することにより、クライアント証明書認証をイネーブルまたはディセーブルにします。

BAC の認証オプションのリストについては、『 Cisco Broadband Access Center Administrator’s Guide, Release 3.0 』を参照してください。

num :HTTP ファイル サービス(1 または 2)を表します。

デフォルトでは、HTTP ファイル サービスに対して HTTP over SSL/TLS を使用するクライアント証明書認証は、次のようになっています。

サービス 1 ではディセーブル。

サービス 2 ではディセーブル。

mode :HTTP ファイル サービスのクライアント証明書認証モードを表します。BAC のサポート対象は、次のとおりです。

client-cert-generic :すべての CPE または CPE の大きなサブセットに共通の汎用証明書を使用して、SSL/TLS でクライアント証明書認証をイネーブルにします。署名認証局の公開鍵は、クライアント証明書を認証するために使用されます。この鍵は、DPE キーストアで事前設定されます。この証明書認証プロセスにより、証明書が有効であることが確認されますが、特定デバイスの ID は確立されません。したがって、デバイスの識別情報は、クライアント証明書の CN フィールド内のデータを使用することによっては生成されません。その代わり、デバイスの識別情報は基本またはダイジェスト認証経由で提供されたデータ、または CWMP Inform メッセージ内のデータを使用することによって生成されます。

client-cert-unique :各 CPE が提供する一意の証明書を使用して、SSL/TLS でクライアント証明書認証をイネーブルにします。署名認証局の公開鍵を使用してクライアント証明書が認証されると、クライアント証明書の CN
フィールドを使用してデバイスの固有識別情報が生成されます。

none :HTTP over SSL/TLS を使用して、クライアント証明書認証をディセーブルにします。

例 1

dpe# service http 1 ssl client-auth client-cert-generic
% OK (Requires DPE restart "# dpe reload")

例 2

dpe# service http 1 ssl client-auth client-cert-unique
% OK (Requires DPE restart "# dpe reload")

service http num ssl client-auth client-cert-css-ext

HTTP over SSL/TLS を使用する接続が Cisco CSS 11500 シリーズ Content Services Switch(CSS 11500)で終端している CPE の、認証をイネーブルにします。下流 CSS は、CPE デバイスから SSL セッションに関する情報(特にクライアント証明書フィールド)を取り出し、そのデータをさまざまな HTTP ヘッダーに挿入します。その後 BAC は、CSS ヘッダーの
ClientCert-Subject-CN から CN フィールドを取得して、固有のデバイス識別情報を作成します。


) このコマンドをイネーブルにする前に、必ず CSS を設定して、クライアント証明書フィールドを HTTP ヘッダーに挿入してください。詳細については、『Cisco Content Services Switch SSL Configuration Guide (Software Version 7.40)』を参照してください。


BAC の認証オプションのリストについては、『 Cisco Broadband Access Center
Administrator’s Guide, Release 3.0
』を参照してください。

num :HTTP ファイル サービス(1 または 2)を表します。

デフォルトでは、HTTP ファイル サービスに対して HTTP over SSL/TLS を使用するクライアント証明書認証は、次のようになっています。

サービス 1 ではディセーブル。

サービス 2 ではディセーブル。

dpe# service http ssl 1 client-auth client-cert-css-ext
% OK (Requires DPE restart "# dpe reload")

service http num ssl cipher {all-cipher-suites | value }

no service http num ssl cipher {all-cipher-suites | value }

暗号アルゴリズムまたは暗号を使用して、DPE サーバと CPE の間の認証をイネーブルまたはディセーブルにします。これらの暗号アルゴリズムまたは暗号は、証明書管理およびセッション管理用に HTTP over SSL/TLS によってサポートされています。SSL ハンドシェイク中、DPE サーバと CPE デバイスは、これら両方でイネーブルになっている最も強い暗号スイートを特定し、SSL セッションでそのスイートを使用します。


) BAC は、DPE のコマンドライン インターフェイスから設定可能な暗号スイートのリストをサポートします。BAC がサポートする暗号スイートのリストについては、表4-5 を参照してください。


num :HTTP ファイル サービス(1 または 2)を表します。

all-cipher-suites :HTTP ファイル サービスに対して HTTP over SSL/TLS を使用して、すべての暗号スイートがセッションを認証するのをイネーブルにします。これがデフォルトの設定です。


service http ssl cipher all-cipher-suites コマンドは、個々の暗号を設定していない場合にのみ動作します。個々の暗号スイートをディセーブルにするには、no service http ssl cipher value コマンドを使用します。すべての暗号をディセーブルにするには、no service http ssl cipher all-cipher-suites コマンドを使用します。


value :HTTP ファイル サービスに対して HTTP over SSL/TLS を使用してセッションを認証する際に、イネーブルにする個々の暗号を表します。任意の暗号スイートをイネーブルまたはディセーブルにできます。

各暗号スイートは、特定の暗号法の機能に関連付けられている一連のアルゴリズムを指定します。BAC がサポートする暗号法アルゴリズムのリストについては、 表4-4 を参照してください。

例 1

dpe# service http 1 ssl cipher all-cipher-suites
% OK (Requires DPE restart "# dpe reload")
 

例 2

dpe# s ervice http 1 ssl cipher ssl_dh_anon_with_des_cbc_sha
% OK (Requires DPE restart "# dpe reload")
 

service http num ssl enable {true | false}

DPE 上の HTTP ファイル サービスに対して、SSL/TLS 上での HTTP の使用をイネーブルまたはディセーブルにします。


) DPE を再起動する前にキーストア ファイルおよびキーストア パスワードを設定しないと、HTTP ファイル サービスが起動しなくなります。キーストア ファイルおよびキーストア パスワードの設定方法については、『Cisco Broadband
Access Center Administrator’s Guide, Release 3.0
』を参照してください。


num :HTTP ファイル サービス(1 または 2)を表します。

true :SSL/TLS トランスポートをイネーブルにします。サービス 2 でのデフォルト設定です。

false :SSL/TLS トランスポートをディセーブルにします。サービス 1 でのデフォルト設定です。

dpe# service http 1 ssl enable true
% OK (Requires DPE restart "# dpe reload")

service http num ssl keystore keystore-filename keystore-password key-pasword

プロビジョニング サーバ証明書が含まれるキーストア ファイルを設定します。この証明書は、HTTP over SSL/TLS を使用して、デバイスに対してプロビジョニング サーバを認証するのに使用されます。


) この設定は、サービスのインスタンスがイネーブルになっており(service http 2 の場合と同様、デフォルトではディセーブルになっている)、このサービスに対して HTTP over SSL/TLS がイネーブルになっている場合にのみ関連します。SSL/TLS トランスポートをイネーブルにするには、service http num ssl enable true コマンドを使用します。


num :HTTP ファイル サービス(1 または 2)を表します。

keystore-filename :以前に作成したキーストア ファイルを表します。

keystore-password :キーストア ファイルの作成時に使用したキーストア パスワードを表します。キーストア パスワードの文字数は、6 ~ 30 文字にする必要があります。

key-password :キーストア ファイルの作成時に使用した秘密鍵パスワードを表します。秘密鍵パスワードの文字数は、6 ~ 30 文字にする必要があります。

dpe# service http 1 ssl keystore example.keystore changeme changeme
% OK (Requires DPE restart "# dpe reload")

DPE は、自己署名証明書が含まれるデフォルトのサンプル キーストアとともに出荷されます。ただし、CWMP デバイスは自己署名証明書を信頼しないので、このキーストアを使用して HTTP over SSL/TLS にデバイスをプロビジョニングさせることはできません。代わりに、署名済みのサービス プロバイダー証明書およびキーストアを取得する必要があります。署名済みのサービス プロバイダー証明書、およびキーストアの取得方法に関する詳細については、『 Cisco Broadband Access Center Administrator’s Guide, Release 3.0 』を参照してください。

暗号スイートの選択

一般的な SSL セッションでは、安全な接続を確立および保持するため、暗号化サイファが必要になります。暗号スイートは、SSL/TLS プロトコルがクライアント/サーバ交換を認証し、安全な接続を確立および保持するのに必要な暗号アルゴリズムを提供します。

表4-4 は、この BAC のリリースでサポートされる暗号法アルゴリズムを定義しています。

 

表4-4 BAC でサポートされる暗号法アルゴリズム

暗号法の機能
BAC でサポートされるアルゴリズム

SSL のバージョン

SSL バージョン 3.0、および Transport Layer Security(TLS)バージョン 1.0

公開鍵の交換および鍵共有アルゴリズム

RSA(鍵交換およびキー合意アルゴリズム)
暗号化およびデジタル署名に使用される Rivest、Shamir、Adelman アルゴリズム。
- 512 ビット、768 ビット、1024 ビット、および 2048 ビット

DSA(証明書署名アルゴリズム)
Digital Signature Standard(DSS; デジタル シグニチャ規格)の一部として使用されるデジタル署名アルゴリズム。
- 512 ビット、768 ビット、および 1024 ビット

Diffie-Hellman(鍵交換アルゴリズム)
- 512 ビット、768 ビット、1024 ビット、および 2048 ビット

暗号化タイプ

DES
データ暗号規格(Data Encryption Standard)は、56 ビットのキーを 64 ビットの各データ ブロックに適用します。このキーは、暗号化と復号化に使用されます。

3DES またはトリプル DES
DES が 3 つのキーで使用されている場合のための、トリプル データ暗号規格(Triple-Strength Data Encryption Standard)。

RC4
Rivest Cipher 4。ファイル暗号化に使用される、可変キー サイズのストリーム暗号。

メッセージ認証アルゴリズム

Message Digest 5(MD5; メッセージ ダイジェスト 5)
128 ビットのメッセージ ダイジェストを作成するデジタル署名アプリケーションで使用されるアルゴリズム。このメッセージ ダイジェストは、メッセージに対して一意であり、データ整合性を確認するために使用されます。

Secure Hash Algorithm(SHA)
160 ビットのハッシュ値を作成するデジタル シグニチャ規格で使用されるアルゴリズム。


) 暗号スイートの詳細については、『Cisco Content Services Switch SSL Configuration Guide (Software Version 7.40)』を参照してください。



注意 dh-anon シリーズの暗号スイートは、いずれのパーティも認証されない、完全に匿名の
Diffie-Hellman 通信を対象としています。この暗号スイートは攻撃を受けやすいので注意してください。

タイトルに「export」が含まれる暗号スイートは、アメリカ合衆国外で使用されることを意図したもので、キー サイズが制限された暗号アルゴリズムを使用しています(たとえば、128 ビットの暗号化を行う 3DES または RC4)。

 

表4-5 BAC でサポートされる暗号スイート

暗号スイート
エクスポートの可否
使用される鍵交換アルゴリズム

all-cipher-suites

不可

EDH *

ssl_dh_anon_export_with_des40_cbc_sha

DH **

ssl_dh_anon_with_des_cbc_sha

不可

DH **

ssl_dh_anon_export_with_rc4_40_md5

DH **

ssl_dh_anon_with_3des_ede_cbc_sha

不可

DH **

ssl_dhe_dss_with_des_cbc_sha

不可

DH **

ssl_dh_anon_with_rc4_128_md5

不可

DH **

ssl_dhe_dss_export_with_des40_cbc_sha

EDH *

ssl_dhe_dss_with_3des_ede_cbc_sha

不可

EDH *

ssl_dhe_rsa_export_with_des40_cbc_sha

EDH *

ssl_dhe_rsa_with_3des_ede_cbc_sha

不可

EDH *

ssl_dhe_rsa_with_des_cbc_sha

不可

EDH *

ssl_rsa_export_with_des40_cbc_sha

RSA

ssl_rsa_export_with_rc4_40_md5

RSA

ssl_rsa_with_3des_ede_cbc_sha

不可

RSA

ssl_rsa_with_des_cbc_sha

不可

RSA

ssl_rsa_with_null_md5

不可

RSA

ssl_rsa_with_null_sha

不可

RSA

ssl_rsa_with_rc4_128_md5

不可

RSA

ssl_rsa_with_rc4_128_sha

不可

RSA

tls_dh_anon_with_aes_128_cbc_sha

不可

DH **

tls_dhe_dss_with_aes_128_cbc_sha

不可

EDH *

tls_dhe_rsa_with_aes_128_cbc_sha

不可

EDH *

tls_rsa_with_aes_128_cbc_sha

不可

RSA

* Ephemeral Diffie-Hellman アルゴリズムを意味する
** Diffie-Hellman アルゴリズムを意味する