Cisco 3200 シリーズ モバイル アクセス ルータ ソフ トウェア コンフィギュレーション ガイド
モバイル IP のセキュリティ
モバイル IP のセキュリティ
発行日;2012/01/31 | 英語版ドキュメント(2010/05/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

モバイル IP のセキュリティ

モバイル IP 環境での AAA

モバイル IP 環境での RADIUS の設定

モバイル IP 環境での TACACS+ の設定

AAA サーバの設定例

モバイル IP 環境での

のインターオペラビリティ

ゲートウェイ

の設定

モバイル ネットワークの設定例

モバイル ネットワークのセキュリティ テスト

コマンド

手動認証登録

手動認証登録(TFTP およびカットアンドペースト)の要件

手動認証登録(TFTP およびカットアンドペースト)の制限事項

手動認証登録の概念

TFTP 認証登録

カットアンドペースト認証登録

手動認証登録の設定方法

TFTP による認証登録の設定

カットアンドペーストによる認証登録の設定

手動認証登録の確認

関連資料

モバイル IP のセキュリティ

モバイル ノードとホーム エージェント間の登録メッセージにはすべて、Mobile-Home Authentication Extension(MHAE)を含める必要があります。

登録メッセージの整合性は、モバイル ノードとホーム エージェントの間の共有の 128 ビット キーによって保護されます。「プレフィクス+サフィクス」モードの鍵付きメッセージ ダイジェスト アルゴリズム 5(MD5)を使用して、付加された MHAE 内のオーセンティケータ値を計算します。また、モバイル IP はハッシュベースのメッセージ認証コード(HMAC-MD5)もサポートします。レシーバーはメッセージで計算された認証者の値を拡張機能の値と比較して、認証性を確認します。

オプションで、Mobile-Foreign Authentication Extension と Foreign-Home Authentication Extension が追加されて、それぞれモバイル ノードと外部エージェントの間および外部エージェントとホーム エージェント間のメッセージ交換が保護されます。

再送保護ではタイム スタンプとシーケンス番号として、登録メッセージ内の識別フィールドが使用されます。ホーム エージェントが、登録用にモバイル ノードを同期させるためにタイム スタンプを戻します。

Cisco IOS ソフトウェアでは、Terminal Access Controller Access Control System Plus(TACACS+)プロトコルまたは Remote Authentication Dial-In User Service(RADIUS)プロトコルを使用してアクセスする Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)サーバにモビリティ キーを格納できます。登録できるユーザを制限する場合は、登録フィルタを使用します。

モバイル IP 環境でのセキュリティの詳細については、『 Cisco IOS IP Configuration Guide , Release 12.2』の「Configuring Mobile IP」の章を参照してください。

モバイル IP 環境での AAA

モバイル IP 環境で AAA を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

AAA アクセス制御モデルをイネーブルにします。

ステップ 2

Router(config)# aaa authorization ipmobile { tacacs+ | radius }

モバイル IP が TACACS+ または RADIUS を使用して AAA サーバからセキュリティ アソシエーションを取り出すことを許可します。

モバイル IP 環境での RADIUS の設定

RADIUS はネットワーク内での AAA 情報の交換を定義するための方法です。シスコが採用している RADIUS クライアントは、シスコ製ルータ上で稼動し、すべてのユーザ認証情報およびネットワーク サーバ アクセス情報が格納されている RADIUS サーバに認証要求を送信します。RADIUS 設定オプションの詳細については、『 Cisco IOS Security Configuration Guide 』の「Configuring RADIUS」の章を参照してください。

モバイル IP 環境に RADIUS を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# radius-server host

RADIUS サーバ ホストを指定します。

ステップ 2

Router(config)# radius-server key

ルータと RADIUS デーモン間のすべての RADIUS 通信用の認証キーおよび暗号キーを設定します。

モバイル IP 環境での TACACS+ の設定

TACACS+ は、リモート アクセス認証および関連サービス(イベント ロギングなど)を提供する認証プロトコルです。TACACS+ 設定オプションの詳細については、『 Cisco IOS Security Configuration Guide 』の「Configuring TACACS+」の章を参照してください。

モバイル IP 環境に TACACS+ を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# tacacs-server host

TACACS+ サーバ ホストを指定します。

ステップ 2

Router(config)# tacacs-server key

アクセス サーバと TACACS+ デーモン間のすべての TACACS+ 通信用の認証暗号キーを設定します。

AAA サーバの設定例

次の AAA サーバの設定では、ホーム エージェントは AAA サーバを使用してセキュリティ アソシエーションを格納します。モバイル IP は TACACS+ サーバを使用して、登録を認証するためにホーム エージェントで使用されるセキュリティ アソシエーション情報の取得を許可されます。 user はモバイル ノードの IP アドレスです。セキュリティ アソシエーションの構文は、spi# num = string です。 string は IP アドレスの残りの部分です。このフォーマットは、CiscoSecure サーバにインポートできます。

user = 20.0.0.1 {
service = mobileip {
set spi#0 = "spi 100 key hex 12345678123456781234567812345678"
"
}
}
 
user = 20.0.0.2 {
service = mobileip {
set spi#0 = "spi 100 key hex 12345678123456781234567812345678"
}
}
 
user = 20.0.0.3 {
service = mobileip {
set spi#0 = "spi 100 key hex 12345678123456781234567812345678"
}
}

 

次に、AAA サーバを使用するようにホーム エージェントを設定する例を示します。

aaa new-model
aaa authorization ipmobile tacacs+
!
ip mobile home-agent
ip mobile network 20.0.0.0 255.0.0.0
ip mobile host 20.0.0.1 20.0.0.3 virtual-network 20.0.0.0 255.0.0.0 aaa
!
tacacs-server host 1.2.3.4
tacacs-server key cisco

モバイル IP 環境での IPSec

セキュリティ アソシエーションはピアツーピア関係にある 2 つのデバイス間に信頼を確立します。セキュリティ アソシエーションには次の 2 種類があります。1 つは、ネゴシエーション、ピア認証、キー管理、およびキー交換を提供する Internet Key Exchange(IKE; インターネット キー エクスチェンジ)です。IKE は暗号化アルゴリズム、ハッシュ アルゴリズム、認証方式、および関連する任意のグループ情報をネゴシエートするために使用される、2 つのデバイス間の通信チャネルを保護します。

もう一つのタイプのセキュリティ アソシエーションは、IPsec Security Association(IPsec SA; IPsec セキュリティ アソシエーション)といいます。IPsec SA は単一方向であるため、拒否回避、データ整合性、ペイロード保護を提供するには、各方向に個別に IPsec SA を確立する必要があります。当事者間の金融取引などのトランザクションが実行されたことを確認するには、通常、拒否回避機能が必要です。データ整合性は、送信中に第三者によってパケットが変更されていないことを検証します。ペイロード保護は暗号化によって実現します。

モバイル ネットワークでは、特定のトラフィックの保護が必要となることがあります。特定のトラフィックを保護するには、IPSec とモバイル アクセス ルータの背後にある IPSec ゲートウェイの間でホーム エージェントをイネーブルにします。モバイル IP トンネル内に IPSec トンネルが確立されているため、モバイル アクセス ルータが移動するときに IKE を再ネゴシエーションする必要はありません。その結果、セキュアで、スケーラブルな、標準ベース モバイル ネットワークが実現します。

IPSec とモバイル アクセス ルータゲートウェイ間で実行される IPSec 暗号化アルゴリズムは、Triple Data Encryption Standard(DES)または Advanced Encryption Standard(AES)のいずれかです。AES は DES よりもセキュリティに優れ、3DES よりも効率的です。

IPSec のインターオペラビリティ

IPsec は、暗号化ルータの出力インターフェイスと暗号解除ルータの任意のインターフェイスとの間にピアリングを設定します。モバイル アクセス ルータの出力インターフェイスは使用可能なネットワーク接続に基づいて変わるため、この関係は妨げられます。また、出力インターフェイスにルーティング不可能な IP アドレスが関連付けられて、標準モデルを使用した IPSec セッションが設定できないことがあります。

これらの問題を解決するには、常に起動していて、常にルーティング可能な IP アドレスを持つ同じインターフェイスから、すべてのトラフィックを送信する必要があります。この例に適用される方法では、IPSec セッションがモバイル アクセス ルータのループバック インターフェイスに固定されています。ループバック インターフェイスはソフトウェアであり、常に起動しているため、ループバック インターフェイスにモバイル アクセス ルータのホーム アドレスを設定する必要があります。

トラフィックをループバック インターフェイスに転送できます。トラフィックの宛先がループバックの IP アドレスでない場合、このトラフィックはインターフェイスから送信されて、ルータにループバックされます。このときに、標準のルーティング プロセスによってパケットが配信されます。

トラフィックをループバックから転送するには、 route map コマンドの set interface ターゲットを使用する必要があります。暗号化が必要なモバイル ネットワークから送信されたすべてのトラフィックは、ルート マップによってループバックから送信され、通常の配信方法でルータに戻されます。

つまり、ループバック インターフェイスは常に起動していて、モバイル アクセス ルータの移動の影響を受けません(モバイル アクセス ルータのインターフェイスまたは接続ポイントは動的に変更されます)。これにより、IPSec 接続のエンドポイントは不変になります。したがって、IPSec 接続は常に 有効 であり、移動可能です。

IPSecゲートウェイ

IPSec ゲートウェイには、IPSec ソフトウェア、および IPSec に対応するモバイル アクセス ルータ対応イメージが格納された任意のシスコ製ルータを使用できます。IPSec ゲートウェイはモビリティ サービスを提供しないため、モバイル IP 機能を設定する必要はありません。このルータは IPSec トラフィック アグリゲータとして機能するため、接続されたデバイスにハードウェア アクセラレータ モジュールを搭載して、パフォーマンスを高めることを推奨します。理想的なのは、IPSecゲートウェイ ルータに、ISA/VPN Acceleration Module(VAM)カードを搭載した Cisco 7200 シリーズ ルータ、またはAmerican Contractors Exchange(ACE)カードを搭載した Catalyst 6500 スイッチを使用することです。

図 9-1 IPSec ゲートウェイ ネットワーク トポロジー

 

図 9-1 に、ネットワーク トポロジーの 3 つのノード タイプ(モバイル ネットワーク上のノード、セキュア ネットワーク上のノード、およびパブリック ネットワーク上のノード)を示します。モバイル アクセス ルータは自身と IPSec ゲートウェイの間に IPSec トンネルを確立して、セキュア ネットワーク上のノードへのトラフィックを保護します。パブリック ネットワーク上のノードとの通信は暗号化されません。ホーム エージェントおよび IPSec ゲートウェイはDemilitarized Zone(DMZ)に配置する必要があります。

図 9-2 に、モバイル アクセス ルータがモバイル IP トンネル内を通過する IKE メッセージを交換して、IPSec ゲートウェイとの IPSec トンネルを設定する方法を示します。セキュア ネットワーク上のノードとモバイル ネットワーク上のノード間をトラフィックが通過する場合は、IPSec トンネルが確立されます。

図 9-2 IPSec 制御フロー

 

データ トラフィックはセキュアまたはパブリックのいずれかに分類できます。保護する必要がある通信は暗号化されて、IPSec にラッピングされます。保護する必要がない通信の場合、パケットはそのまま送信されます。

IPSec の設定

ここでは、モバイル アクセス ルータ、IPSec ゲートウェイ、ホーム エージェント、外部エージェント、および指定されたネットワーク トポロジー内のモバイル ノードの設定について説明します。モバイル アクセス ルータ ネットワークとホーム ドメイン内のネットワークの間では、トラフィックが保護されます。IPSec のエンドポイントはモバイル アクセス ルータ、およびホーム ネットワークの IPSec の背後にあるホーム エージェント ゲートウェイです。保護が必要なホーム ドメイン内のネットワークを、IPSec ゲートウェイの背後に配置します。

図 9-3 IPSec の設定例

 

IPSec モバイル ネットワークの設定例

モバイル アクセス ルータには、モバイル ネットワーク上にイーサネット インターフェイスが 1 つ、外部エージェントに接続されたインターフェイスが 2 つ(シリアルおよびイーサネット)が装備されています。外部エージェントがモバイル IP サービスを提供するのは、イーサネット インターフェイス上のみです。シリアル インターフェイスでは提供しません。

シリアル インターフェイスは、スタティック Collocated Care-of-Address(CCoA; 連結型気付アドレス)が設定されたローミング インターフェイスです。ローミング イーサネット インターフェイスは外部エージェントの検出に使用されます。その他のイーサネット インターフェイスは、モバイル アクセス ルータ上の LAN に使用されます。モバイル ネットワーク上のすべてのノードは、デフォルト ゲートウェイとしてモバイル アクセス ルータを使用します。


) モバイル アクセス ルータにネットワーク インターフェイスが 1 つしかない場合は、モバイル ネットワークおよびローミング インターフェイスの機能を組み合わせる必要があります。モバイル アクセス ルータにインターフェイスまたは VLAN(仮想 LAN)が複数存在する場合は、専用のローミング インターフェイスおよびモバイル ネットワーク インターフェイスを設定する必要があります。


IPSec 設定は、次の基準を満たしている必要があります。

モバイル アクセス ルータのホーム アドレスはループバック アドレスとして設定する必要があります。

モバイル アクセス ルータ ネットワークが設定されている着信インターフェイスには、暗号化するトラフィックを選択するためのルートマップ(設定例では SecureNetPolicy という名前)を適用する必要があります。

ACL には、トラフィックを暗号化する必要があるネットワークを記述する必要があります。設定例では、次の ACL を使用します。

access-list 155 permit ip 80.80.80.0 0.0.0.255 60.60.60.0 0.0.0.255
 

送信元は 80.80.80.0/24 であるため、イーサネット インターフェイスに接続されたモバイル アクセス ルータ ネットワークに対応します。宛先ネットワークは 60.60.60.0/24 です。これは、60.60.60.0/24 に向かうすべてのトラフィックが暗号化されることを示します。ネットワーク 60.60.60.0/24 との通信はIPSec で保護されているため、このネットワークは 保護ネットワーク といいます。すべての保護ネットワークを ACL に記述する必要があります。ACL 内の末尾には、deny ip any any という暗黙的なエントリがあります。トラフィックがその前のどのエントリとも一致せず、暗号化のマーキングが設定されていない場合、このトラフィックはそのまま送信されます。

その他の(パブリック)ネットワーク(permit 節を伴う ACL が記述されていないネットワーク)へのアクセスは保護されません。次に例を示します。

crypto isakmp policy 1
hash md5
authentication pre-share
group 2
crypto isakmp key 1234567890 address 200.200.200.1
!
crypto isakmp peer address 200.200.200.1
!
crypto IPsec transform-set testtrans esp-des
!
!
crypto map ToSecureNet 10 IPsec-isakmp
set peer 200.200.200.1
set transform-set testtrans
match address 155
!
interface Loopback1
ip address 65.1.1.1 255.255.255.255
crypto map ToSecureNet
!
interface Ethernet3/2
ip address 10.10.10.1 255.255.255.0
ip mobile router-service roam
!
interface Ethernet3/3
ip address 80.80.80.4 255.255.255.0
ip policy route-map SecureNetPolicy
!
interface Serial4/1
ip address 50.50.50.1 255.255.255.0
ip mobile router-service roam
ip mobile router-service collocated gateway 50.50.50.2
!
router mobile
!
ip local policy route-map SecureNetPolicy
!
ip mobile secure home-agent 100.100.100.3 spi 100 key hex 1122334455667788112334455667788 algorithm md5 mode prefix-suffix
ip mobile router
address 65.1.1.1 255.0.0.0
home-agent 100.100.100.3
reverse-tunnel
!
access-list 155 permit ip 80.80.80.0 0.0.0.255 60.60.60.0 0.0.0.255
!
route-map SecureNetPolicy permit 10
match ip address 155
set interface Loopback1

外部エージェントの例

モバイル アクセス ルータ ホーム ドメイン ネットワークで IPSec をサポートする場合は、外部エージェントの特別な設定は必要ありません。次に例を示します。

interface Serial1/2
ip address 50.50.50.2 255.255.255.0
!
interface Ethernet3/1
ip address 100.100.100.1 255.255.255.0
!
interface Ethernet3/3
ip address 70.70.70.1 255.255.255.0
ip irdp
ip irdp maxadvertinterval 5
ip irdp minadvertinterval 2
ip irdp holdtime 15
ip mobile foreign-service reverse-tunnel
!
router mobile
!
router rip
redistribute mobile
network 50.0.0.0
network 70.0.0.0
network 100.0.0.0
!
ip mobile foreign-agent care-of Ethernet3/1

ホーム エージェントの例

ホーム エージェントはトラフィックの保護に関係しないため、IPSec でホーム エージェントを特に設定する必要はありません。次に、モバイル IP の設定を示します。

interface Ethernet3/1
ip address 100.100.100.3 255.255.255.0
!
interface Ethernet3/2
ip address 200.200.200.2 255.255.255.0
!
interface Ethernet3/3
ip address 150.150.150.2 255.255.255.0
!
router mobile
!
router rip
redistribute mobile metric 1
network 100.0.0.0
network 150.150.150.0
network 200.200.200.0
!
ip mobile home-agent
ip mobile virtual-network 65.0.0.0 255.0.0.0
ip mobile host 65.1.1.1 virtual-network 65.0.0.0 255.0.0.0
ip mobile mobile-networks 65.1.1.1
description SecureTransport
network 80.80.80.0 255.255.255.0
ip mobile secure host 65.1.1.1 spi 100 key hex 1122334455667788112334455667788 algorithm md5 mode prefix-suffix
no ip mobile tunnel path-mtu-discovery

モバイル ネットワーク上のノードの例

interface Ethernet3/3
ip address 80.80.80.1 255.255.255.0
!
ip route 60.60.60.0 255.255.255.0 80.80.80.4

パブリック ネットワーク上のノードの例

interface Ethernet1/1
ip address 150.150.150.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 150.150.150.2

セキュア ネットワーク上のノードの例

interface Ethernet1/1
ip address 60.60.60.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 60.60.60.60

モバイル ネットワークのセキュリティ テスト

モバイル ネットワークのノードから、保護ネットワークのノードに ping を送信できます。保護ネットワークのノードからモバイル ネットワークのノードに ping を送信しても、同じ結果になります。最初の数パケットは、(ARP、IKE、またはIPSec セキュア エリアの設定が原因で)廃棄されることがあります。最初のパケット消失後は、ping 送信が正常に行われます。

IPSec およびモバイル アクセス ルータゲートウェイに IKE および IPSec セキュリティ アソシエーションが確立されます。IKE のセキュリティ アソシエーションステートを確認するには、 show crypto コマンドを使用します。次に例を示します。

MobileRouter# show crypto isakmp sa
f_vrf/i_vrf dst src state conn-id slot
/ 200.200.200.1 65.1.1.1 QM_IDLE 3 0

セキュリティ エリアが確立されたあとのステートは、通常は QM_IDLE です。

IPSec セキュア エリアを確認するには、 show crypto ipsec sa コマンドを使用します。

MobileRouter#show crypto ipsec sa
interface: Loopback1
Crypto map tag: ToSecureNet, local addr. 65.1.1.1
protected vrf:
local ident (addr/mask/prot/port): (80.80.80.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (60.60.60.0/255.255.255.0/0/0)
current_peer: 200.200.200.1:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 397876, #pkts encrypt: 397876, #pkts digest 0
#pkts decaps: 397559, #pkts decrypt: 397559, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
 
local crypto endpt.: 65.1.1.1, remote crypto endpt.: 200.200.200.1
path mtu 1514, media mtu 1514
current outbound spi: 21E53ABF
 
inbound esp sas:
<snip>

#pkts encaps および #pkts decaps カウンタに注目してください。これらのカウンタをクリアするには、 clear crypto sa counters コマンドを使用します。

モバイル アクセス ルータ ノードからセキュア ネットワークのノードへ(またはその逆方向に)ping を送信し、カウンタ値を再確認します。カウンタ値は、送信された ping パケット数と一致するはずです。

暗号化アクティビティを検出するその他の方法は、次のとおりです。

debug ip packet detail dump コマンドを使用して、非論理的に見える内容を調べます。

モバイル アクセス ルータと IPSec ゲートウェイ間にスニファ(または Pagent デバイス)を接続し、配線を通過するパケットを調べます。

モバイル アクセス ルータ、ホーム エージェント、およびIPSecゲートウェイの出力インターフェイスで確認されるパケットのサイズを測定します。

IKE セキュリティ アソシエーションを削除するには、 clear crypto isakmp コマンドを使用します。

MobileRouter#clear crypto isakmp <0-32766>

< 0-32766 > は、セキュア エリアの接続 ID です。

IPSec セキュリティ アソシエーションを削除するには、 clear crypto sa コマンドを使用します。

MobileRouter#clear crypto sa [counters | map | peer | spi | vrf]

それぞれ次のようになります。

counters :セキュア エリア カウンタをリセットします。
map :指定されたクリプト マップのセキュア エリアをすべて削除します。
peer :指定されたクリプト ピアのセキュア エリアをすべて削除します。
spi :SPIを使用してセキュア エリアを削除します。
vrf :VRF(ルーティング/転送)インスタンスを削除します。

このコマンドを使用するとパケット カウンタもクリアされるため、デバッギングに使用できます。

IPSec コマンド

encryption コマンド

IKE ポリシーを確立するには、encryption コマンド(isakmp policy コマンド)を使用します。

encryption {aes | aes 192 | aes 256}
Where:
aes specifies 128-bit AES
aes 192 specifies 192-bit AES
aes 256 specifies 256-bit AES

設定に関する情報を表示するには、show crypto isakmp policy EXEC コマンドを使用します。

crypto ipsec transform-set コマンド

IPSecセキュリティ プロトコルおよびアルゴリズムを定義するには、crypto ipsec transform-set コマンドを使用します。

crypto ipsec transform-set transform-set-name transform1 [transform2 transform3]

指定できるトランスフォーム値が拡張されます。Encapsulating Security Payload(ESP)暗号化トランスフォームのカテゴリでは、次のいずれかを選択できます。

esp-aes :128 ビット AES 暗号化アルゴリズムを使用する ESP
esp-aes192 :192 ビット AES 暗号化アルゴリズムを使用する ESP
esp-aes256:256 ビット AES 暗号化アルゴリズムを使用する ESP
esp-des:56 ビット DES 暗号化アルゴリズムを使用する ESP
esp-3des:168 ビット 3DES 暗号化アルゴリズムを使用する ESP
esp-null:ヌル暗号化アルゴリズム

設定に関する情報を表示するには、show crypto ipsec transform-set および show crypto isakmp policy EXEC コマンドを使用します。

手動認証登録

TFTP およびカットアンドペースト(手動認証登録)を使用すると、認証要求が生成され、CA(認証局)認証およびルータ認証が許可されます。これらの作業を実行するには、TFTP サーバを使用するか、または手動でカットアンドペースト操作を実行します。TFTP または手動カットアンドペーストによる登録は、次の場合に使用します。

要求および認証の送受信に使用される最も一般的な方法である Simple Certificate Enrollment Protocol(SCEP)を CA がサポートしていない場合

ルータと CA をネットワークで接続できない場合

ここでは、一部のコマンドについて簡単に説明します。手動認証登録を設定するために必要なコマンドの詳細については、『Manual Certificate Enrollment (TFTP and Cut-and-Paste)』の「Command Reference」、または http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122newft/122t/122t13/ftmancrt.htm を参照してください。

手動認証登録(TFTP およびカットアンドペースト)の要件

TFTP およびカットアンドペースト登録は、Public Key Infrastructure(PKI) サブシステムに追加されました。PKI サブシステムにはクリプト サブシステムが必要です。

手動認証登録(TFTP およびカットアンドペースト)の制限事項

TFTP とカットアンドペーストを切り替えることができます。たとえば、 enrollment terminal コマンドを使用して CA 認証をペーストしたあとに、 no enrollment terminal および enrollment url tftp://certserver/file_specification コマンドを使用して、要求およびルータ認証に TFTP を実行できます。ただし、SCEP が使用されている場合は、URL を切り替えないでください。つまり、登録 URL が「http://」の場合は、 CA 認証を取得してから認証を登録するまでの間に、 登録 URL を変更しないでください。

手動認証登録の概念

ここでは、 TFTP 認証登録 および カットアンドペースト認証登録 の概念について説明します。

TFTP 認証登録

ご使用の CA が、要求および認証の送受信に使用される最も一般的な方法である SCEP をサポートしていない場合は、TFTP 認証登録をイネーブルにできます。この機能は既存の enrollment ca-trustpoint コンフィギュレーション サブコマンドを使用して、TFTP 認証登録をサポートするように url url オプションを強化します( enrollment url tftp://certserver/file_specification )。

このサブコマンドは、登録要求を送信したり、CA 認証やルータ認証を取得したりする場合に TFTP を使用する必要があることを指定します。 file_specification はオプションです。ただし、 file_specification が URL に含まれる場合は、ファイル指定に拡張子が付加されます。

crypto ca authenticate コマンドが入力されると、ルータは指定された TFTP サーバから CA 認証を取得します。必要に応じて、ルータはファイル名または FQDN(完全修飾ドメイン名)に拡張子「.ca」を付加します ( url url オプションにファイル指定が含まれていない場合は、ルータ FQDN が使用されます)。たとえば、 enrollment url tftp://CA-server/TFTPfiles/router1 を入力すると、TFTP サーバ CA-server からファイル TFTPfiles/router1.ca が読み込まれます。ルータの FQDN が router1.cisco.com の場合に、 enrollment url tftp://CA.cisco.com を入力すると、TFTP サーバ CA.cisco.com からファイル router1.cisco.com.ca が読み込まれます。

ファイルには、バイナリ フォーマットの、または Base 64 で符号化された CA 認証を格納する必要があります。

crypto ca enroll コマンドを使用してルータが登録されると、登録に関する情報の入力を求めるプロンプトが表示されます。書き込み対象のファイル名はこの時点で判別され、認証要求であることを示す拡張子 .req が付加されます。

用途キーの場合は、2 つの要求が生成され、2 つの認証が設定されると想定されます。したがって、認証要求の拡張子は -sign.req および -encr.req となります。

crypto ca import コマンドを入力すると、ルータは TFTP、および要求の送信に使用されたファイルと同じ名前(ただし、.req 拡張子が .crt 拡張子で置き換えられている)を使用して、設定された認証を取得しようとします(認証には、Base 64 で符号化された PCKS#10 形式認証が使用されると想定されます)。ルータは受信したファイルを解析し、認証を確認し、内部認証データベースに認証を挿入します。

カットアンドペースト認証登録

ルータと CA がネットワークで接続されていない場合は、認証登録要求および認証を手動でカットアンドペーストできます。カットアンドペースト登録のために、新しい ca-trustpoint コンフィギュレーション サブコマンド( enrollment )が導入されています。信頼ポイント CA を設定する場合は、このコマンドを使用する必要があります。 crypto ca enroll コマンドを入力すると、TFTP 登録の場合と同様に、IP アドレスおよびシリアル番号に関する質問が表示されます。Baser 64 で符号化された認証要求が端末に表示されます。

TFTP プロセスと同様に、 crypto ca import コマンドを入力して、設定された認証を入力します。カットアンドペーストの場合は、コンソール端末から Baser 64 で符号化された認証要求を実行できます。入力行に「quit」のみを入力すると、認証入力が終了します。

手動認証登録の設定方法

TFTP またはカットアンドペーストによる手動認証登録をイネーブルにするには、信頼ポイント CA および関連する登録作業を設定する必要があります。ここでは、次の手順について説明します。

TFTP による認証登録の設定

カットアンドペーストによる認証登録の設定

手動認証登録の確認

TFTP による認証登録の設定

ルータで使用する信頼ポイント CA を宣言し、その信頼ポイント CA に TFTP による手動登録を設定するには、ここに記載されたコマンドを使用します。

TFTP を使用する認証登録を設定する場合は、正しい URL 情報が必要です。

crypto ca enroll コマンドを使用する場合、ルータにはファイルを TFTP サーバに書き込む機能が必要です。一部の TFTP サーバでは、ファイルを書き込む前に、ファイルをサーバに格納する必要があります。ほとんどの TFTP サーバは、どこからでもファイルを書き込むことができなければなりません。この要件が満たされている場合は、任意のルータまたは他のデバイスが認証要求を書き込んだり、書き換えたりできるというリスクが発生することがあります。このような場合は、要求の変更により、CA が設定した認証をルータが使用できなくなります。

 

コマンドまたはアクション
目的

ステップ 1

enable

特権 EXEC モードなど、上位の特権レベルをイネーブルにします。プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure { terminal | memory | network }

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto ca trustpoint name

ルータが使用する必要がある CA を宣言し、ca-trustpoint コンフィギュレーション モードを開始します。

ステップ 4

enrollment [ mode ] [ retry minutes ] [ retry number ] [ url url ]

CA の登録パラメータを指定します。

mode :CA システムが Registration Authority(RA)を提供する場合は、RA モードを指定します。

retry minutes :認証要求を再試行する間の待機期間を指定します。デフォルトの再試行間隔は 1 分です。

retry number :ルータが直前の要求に対応する応答を受信しない場合に、認証要求を送信する回数を指定します (1~100 回を指定します)。

url url :ルータが認証要求を送信する CA の URL を指定します。

登録に SCEP を使用している場合は、url を http://CA_name の形式で指定する必要があります。CA_name は CA のホスト Domain Name System(DNS; ドメイン ネーム システム)名または IP アドレスです。

登録に TFTP を使用している場合は、 url tftp://certserver/file_specification の形式で指定する必要があります。

ステップ 5

crypto ca authenticate name

CA の名前を引数として指定します。

ステップ 6

exit

ca-trustpoint コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 7

crypto ca enroll name

CA からルータの認証を取得します。

ステップ 8

crypto ca import name certificate

端末で TFTP または手動カットアンドペーストを使用して、認証をインポートします。

カットアンドペーストによる認証登録の設定

ルータで使用する信頼ポイント CA を宣言し、その信頼ポイント CA にカットアンドペーストによる手動登録を設定するには、ここに記載されたコマンドを使用します。

 

コマンドまたはアクション
目的

ステップ 1

enable

特権 EXEC モードなど、上位の特権レベルをイネーブルにします。プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure { terminal | memory | network }

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto ca trustpoint name

ルータが使用する必要がある CA を宣言し、ca-trustpoint コンフィギュレーション モードを開始します。

ステップ 4

enrollment terminal

手動カットアンドペースト認証登録を指定します。

ステップ 5

crypto ca authenticate name

CA の名前を引数として指定します。

ステップ 6

exit

ca-trustpoint コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 7

crypto ca enroll name

CA からルータの認証を取得します。

ステップ 8

crypto ca import name certificate

端末で TFTP または手動により認証をインポートします。

用途キー(シグニチャおよび暗号キー)を使用する場合は、 crypto ca import コマンドを 2 回入力する必要があります。このコマンドを最初に入力した場合は、認証の 1 つがルータにペーストされます。2 回目に入力した場合は、他の認証がルータにペーストされます (どの認証が最初にペーストされるかは重要ではありません)。

認証登録コマンドの説明

crypto ca import コマンド

端末で TFTP またはカットアンドペーストを使用して手動で認証をインポートするには、グローバル コンフィギュレーション モードで crypto ca import コマンドを使用します。

crypto ca import name certificate

name certificate は CA の名前を指定します。この名前は、 crypto ca trustpoint コマンド(ルータが使用する必要がある CA を宣言するコマンド)で CA を宣言した場合に使用した名前と同じです。

用途キー(シグニチャおよび暗号キー)を使用する場合は、 crypto ca import コマンドを 2 回入力する必要があります。このコマンドを最初に入力した場合は、認証の 1 つがルータにペーストされます。2 回目に入力した場合は、他の認証がルータにペーストされます (どの認証が最初にペーストされるかは重要ではありません)。

enrollment terminal コマンド

手動カットアンドペースト認証登録を指定するには、ca-trustpoint コンフィギュレーション モードで enrollment terminal コマンドを使用します。

enrollment terminal

現在の登録要求を削除するには、このコマンドの no 形式を使用します。

enrollment コマンド

CA の登録パラメータを指定するには、ca-trustpoint コンフィギュレーション モードで enrollment コマンドを使用します。

enrollment [mode] [retry minutes] [retry number] URL url

url は、ルータが認証要求を送信する CA の URL を指定します。登録に TFTP を使用している場合は、URL を tftp:// certserver / file_specification の形式で指定する必要があります。 file_specification はオプションです。 file_specification が URL に含まれる場合は、ファイル指定に拡張子が付加されます。

設定されたパラメータをすべて削除するには、このコマンドの no 形式を使用します。

手動認証登録の設定例

次に、 crypto ca trustpoint コマンドの enrollment terminal サブコマンドを使用して、手動カットアンドペースト認証登録を指定する例を示します。この例では、信頼ポイント CA の名前は「MS」です。用途キー(シグニチャおよび暗号キー)が使用されるため、 crypto ca import コマンドは 2 回入力します。

Router(config)# crypto ca trustpoint MS
Router(ca-trustpoint)# enrollment terminal
Router(ca-trustpoint)# crypto ca authenticate MS
 
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
 
-----BEGIN CERTIFICATE-----
MIICNDCCAd6gAwIBAgIQOsCmXpVHwodKryRoqULV7jANBgkqhkiG9w0BAQUFADA5
MQswCQYDVQQGEwJVUzEWMBQGA1UEChMNQ2lzY28gU3lzdGVtczESMBAGA1UEAxMJ
bXNjYS1yb290MB4XDTAyMDIxNDAwNDYwMVoXDTA3MDIxNDAwNTQ0OFowOTELMAkG
A1UEBhMCVVMxFjAUBgNVBAoTDUNpc2NvIFN5c3RlbXMxEjAQBgNVBAMTCW1zY2Et
cm9vdDBcMA0GCSqGSIb3DQEBAQUAA0sAMEgCQQCix8nIGFg+wvy3BjFbVi25wYoG
K2N0HWWHpqxFuFhqyBnIC0OshIn9CtrdN3JvUNHr0NIKocEwNKUGYmPwWGTfAgMB
AAGjgcEwgb4wCwYDVR0PBAQDAgHGMA8GA1UdEwEB/wQFMAMBAf8wHQYDVR0OBBYE
FKIacsl6dKAfuNDVQymlSp7esf8jMG0GA1UdHwRmMGQwL6AtoCuGKWh0dHA6Ly9t
c2NhLXJvb3QvQ2VydEVucm9sbC9tc2NhLXJvb3QuY3JsMDGgL6AthitmaWxlOi8v
XFxtc2NhLXJvb3RcQ2VydEVucm9sbFxtc2NhLXJvb3QuY3JsMBAGCSsGAQQBgjcV
AQQDAgEAMA0GCSqGSIb3DQEBBQUAA0EAeuZkZMX9qkoLHfETYTpVWjZPQbBmwNRA
oJDSdYdtL3BcI/uLL5q7EmODyGfLyMGxuhQYx5r/40aSQgLCqBq+yg==
-----END CERTIFICATE-----
 
Certificate has the following attributes:
Fingerprint:D6C12961 CD78808A 4E02193C 0790082A
% Do you accept this certificate? [yes/no]:y
Trustpoint CA certificate accepted.
% Certificate successfully imported
 
Router(config)#
Router(config)#crypto ca enroll MS
% Start certificate enrollment..
 
% The subject name in the certificate will be:Router.cisco.com
% Include the router serial number in the subject name? [yes/no]:n
% Include an IP address in the subject name? [no]:n
Display Certificate Request to terminal? [yes/no]:y
Signature key certificate request -
Certificate Request follows:
 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 
---End - This line not part of the certificate request---
 
Redisplay enrollment request? [yes/no]:
Encryption key certificate request -
Certificate Request follows:
 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 
---End - This line not part of the certificate request---
 
Redisplay enrollment request? [yes/no]:
n
Router(config)#crypto ca import MS certificate
 
Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself
 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 
% Router Certificate successfully imported
 
Router(config)#
Router(config)#crypto ca import MS certificate
 
Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself
 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 
% Router Certificate successfully imported

手動認証登録の確認

手動認証登録機能が動作していることを確認するには、次の任意の手順を実行します。

 

コマンドまたはアクション
目的

ステップ 1

enable

特権 EXEC モードなど、上位の特権レベルをイネーブルにします。プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show crypto ca certificates

(任意)認証、CA 認証、および RA 認証に関する情報を確認します。

ステップ 3

show crypto ca trustpoints

(任意)ルータに設定された信頼ポイントを表示します。

次に、 enrollment terminal コマンドを使用して手動認証登録(カットアンドペースト)が正常に設定された場合の出力例を示します。

Router# show crypto ca certificates
 
Certificate
Status:Available
Certificate Serial Number:14DECE05000000000C48
Certificate Usage:Encryption
Issuer:
CN = msca-root
O = Cisco Systems
C = US
Subject:
Name:Router.cisco.com
OID.1.2.840.113549.1.9.2 = Router.cisco.com
CRL Distribution Point:
http://msca-root/CertEnroll/msca-root.crl
Validity Date:
start date:18:16:45 PDT Jun 7 2002
end date:18:26:45 PDT Jun 7 2003
renew date:16:00:00 PST Dec 31 1969
Associated Trustpoints:MS
 
Certificate
Status:Available
Certificate Serial Number:14DEC2E9000000000C47
Certificate Usage:Signature
Issuer:
CN = msca-root
O = Cisco Systems
C = US
Subject:
Name:Router.cisco.com
OID.1.2.840.113549.1.9.2 = Router.cisco.com
CRL Distribution Point:
http://msca-root/CertEnroll/msca-root.crl
Validity Date:
start date:18:16:42 PDT Jun 7 2002
end date:18:26:42 PDT Jun 7 2003
renew date:16:00:00 PST Dec 31 1969
Associated Trustpoints:MS
 
CA Certificate
Status:Available
Certificate Serial Number:3AC0A65E9547C2874AAF2468A942D5EE
Certificate Usage:Signature
Issuer:
CN = msca-root
O = Cisco Systems
C = US
Subject:
CN = msca-root
O = Cisco Systems
C = US
CRL Distribution Point:
http://msca-root/CertEnroll/msca-root.crl
Validity Date:
start date:16:46:01 PST Feb 13 2002
end date:16:54:48 PST Feb 13 2007
Associated Trustpoints:MS

関連資料

表 9-1 に、モバイル IP セキュリティに関する追加情報が記載された資料を示します。

 

表 9-1 モバイル IP セキュリティの関連資料

関連トピック
資料のタイトル

CA 設定作業

Cisco IOS Security Configuration Guide , Release 12.2 』の「 Configuring Certification Authority Interoperability 」の章

認証およびCAに関するその他のコマンド

Cisco IOS Security Command Reference , Release 12.2 』の「 Certification Authority Interoperability Commands 」の章

その他の ca-trustpoint コンフィギュレーション コマンド

Trustpoint CLI 』Cisco IOS Release 12.2(8)T フィーチャ モジュール