Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ システム セキュリティ コマンド リファレンス リリース 4.3.x
Software Authentication Manager コマンド
Software Authentication Manager コマンド
発行日;2013/04/26   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

Software Authentication Manager コマンド

ここでは、Software Authentication Manager(SAM)を設定するために使用される Cisco IOS XR ソフトウェア コマンドについて説明します。

SAM の概念、設定作業、および例の詳細については、 『Cisco ASR 9000 Series Aggregation Services Router System Security Configuration Guide』の「Configuring Software Authentication Manager on Cisco ASR 9000 Series Router」モジュールを参照してください。

sam add certificate

証明書テーブルに新しい証明書を追加するには、EXEC モードで sam add certificate コマンドを使用します。

sam add certificate filepath location { trust | untrust }

構文の説明

filepath

証明書のソース ロケーションへの絶対パス。

location

証明書の保管場所。 rootmemdisk0disk1、またはルータ上の他のフラッシュ デバイス名のいずれかを使用します。

trust

Software Authentication Manager(SAM)による検証を行わずに、証明書を証明書テーブルに追加します。 ルート証明書を追加するには、trust キーワードを使用する必要があります。 ルート証明書は、untrust キーワードを使用して追加できません。

untrust

SAM が証明書を検証してから証明書テーブルに追加します。 ルート証明書は、untrust キーワードを使用して追加できません。 ルート証明書を追加するには、trust キーワードを使用する必要があります。

コマンド デフォルト

なし

コマンド モード

EXEC

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

セキュリティ上の理由から、sam add certificate コマンドはネットワーキング デバイスのコンソール ポートまたは AUX ポート以外からは発行できません。このコマンドは、ネットワーキング デバイスの他のインターフェイスへの Telnet 接続からは発行できません。

証明書は、ネットワーク デバイスにコピーしなければ、証明書テーブルに追加できません。 証明書テーブルに証明書がすでに存在する場合は、SAM が追加を拒否します。

ルート証明書を追加する場合は、次の注意事項に従ってください。

  • ルート ロケーションに追加できるのは、Certificate Authority(CA; 認証局)ルート証明書だけです。
  • ルート証明書を追加するには、trust キーワードを使用する必要があります。 ルート証明書は、untrust キーワードを使用して追加できません。

trust キーワードを使用すると、信頼できるソースから新しい証明書を受信したので、SAM による検証を行わなくても十分に信頼できると見なされます。 信頼できるソースから証明書を取得する 1 例は、ユーザ認証を要求する CA サーバ(Cisco.com など)から証明書をダウンロードする場合です。 別の例は、個人の認識票のチェックなどによって確認できる個人またはエンティティからの証明書を取得する場合です。 SAM が提供する検証による保護を実行しない場合、他の有効なプロセスによって証明書の識別情報および整合性を確認する必要があります。

メモリ(mem)ロケーションに追加された証明書は、メモリにインストールされているソフトウェアを検証します。 disk0 ロケーションまたは disk1 ロケーションに追加された証明書は、それぞれこれらのデバイスを検証します。


(注)  


証明書の失効を示すメッセージが表示されて sam add certificate コマンドが失敗する場合、ネットワーキング デバイスのクロックが正しく設定されていない可能性があります。 show clock コマンドを使用して、クロックが正常に設定されているかを確認します。


タスク ID

タスク ID

操作

crypto

execute

次に、最初に証明書の検証を行わずに、/bootflash/ca.bin にある証明書をルート ロケーションの証明書テーブルに追加する例を示します。

RP/0/RSP0/CPU0:router# sam add certificate /bootflash/ca.bin root trust

SAM: Successful adding certificate /bootflash/ca.bin

次に、検証後に、/bootflash/css.bin にある証明書をメモリ(mem)ロケーションの証明書テーブルに追加する例を示します。

RP/0/RSP0/CPU0:router# sam add certificate /bootflash/css.bin mem untrust

SAM: Successful adding certificate /bootflash/css.bin

関連コマンド

コマンド

説明

sam delete certificate

証明書テーブルから証明書を削除します。

show sam certificate

証明書の場所など、証明書テーブル内の情報を表示します。

show clock

ネットワーキング デバイスのクロック情報を表示します。 詳細については、 『Cisco ASR 9000 Series Aggregation Services Router System Management Command Reference』を参照してください。

sam delete certificate

証明書テーブルから証明書を削除するには、EXEC モードで sam delete certificate コマンドを使用します。

sam delete certificate location certificate-index

構文の説明

location

証明書の保管場所。 rootmemdisk0disk1、またはルータ上の他のフラッシュ デバイス名のいずれかを使用します。

certificate-index

1 ~ 65000 の範囲の番号。

コマンド デフォルト

なし

コマンド モード

EXEC

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

セキュリティ上の理由から、sam delete certificate コマンドはネットワーキング デバイスのコンソール ポート以外からは発行できません。このコマンドは、ネットワーキング デバイスの他のインターフェイスへの Telnet 接続からは発行できません。

インデックス番号を使用して証明書を表示するには、show sam certificate summary コマンドを使用します。

無意識のうちに認証局(CA)証明書を削除してはいけないので、CA 証明書を削除しようとすると、Software Authentication Manager(SAM)がユーザに確認を求めます。

システムに保存されている証明書がすでに有効ではない場合(たとえば、証明書が失効した場合)、sam delete certificate コマンドを使用してリストから証明書を削除できます。

タスク ID

タスク ID

操作

crypto

execute

次に、インデックス番号 2 で識別される証明書をメモリ ロケーションから削除する例を示します。

RP/0/RSP0/CPU0:router# sam delete certificate mem 2

SAM: Successful deleting certificate index 2

次に、インデックス番号 1 で識別される証明書のルート ロケーションからの削除をキャンセルする例を示します。

RP/0/RSP0/CPU0:router# sam delete certificate root 1

Do you really want to delete the root CA certificate (Y/N): N
SAM: Delete certificate (index 1) canceled

次に、インデックス番号 1 で識別される証明書をルート ロケーションから削除する例を示します。

RP/0/RSP0/CPU0:router# sam delete certificate root 1

Do you really want to delete the root CA certificate (Y/N): Y
SAM: Successful deleting certificate index 1

関連コマンド

コマンド

説明

sam add certificate

証明書テーブルに新しい証明書を追加します。

show sam certificate

証明書の保存場所など、証明書テーブル内の情報を表示します。

sam prompt-interval

Software Authentication Manager(SAM)が起動時に異常な状況を検出したときに、ユーザに入力を求めた後で待機するインターバルを設定し、指定されたインターバル内にユーザからの入力を受信しなかった場合の SAM の応答方法を決定するには、グローバル コンフィギュレーション モードで sam promptinterval コマンドを使用します。 プロンプト インターバルおよび応答をデフォルト値にリセットするには、このコマンドの no 形式を使用します。

sam promptinterval time-interval { proceed | terminate }

no sam promptinterval time-interval { proceed | terminate }

構文の説明

time-interval

プロンプト時間。0 ~ 300 秒の範囲です。

proceed

プロンプト インターバルが終了したとき、SAM が「yes」を受信したように応答させます。

terminate

プロンプト インターバルが終了したとき、SAM が「no」を受信したように応答させます。

コマンド デフォルト

SAM のデフォルトの応答は、10 秒間待機してから認証タスクを終了させます。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

起動時の SAM の初期化中に失効した証明書などシステムが例外条件を検出した時に実行するアクションを制御するには、sam prompt-interval コマンドを使用します。 次のメッセージは、認証局(CA)証明書が失効したという異常な状況を検出した場合に表示されます。

SAM detects expired CA certificate. Continue at risk (Y/N):

ユーザがプロンプトに対して応答するまで、または sam prompt-interval コマンドによって制御されるインターバルが終了するまでのいずれか早いイベントを待機します。 プロンプトに対して「N」と応答すると、起動プロセスは完了できますが、パッケージはインストールできません。

次のメッセージは、Code Signing Server(CSS; コード サイニング サーバ)証明書が失効したという異常な状況を検出した場合に表示されます。

SAM detects CA certificate (Code Signing Server Certificate Authority) has expired. The validity period is Oct 17, 2000 01:46:24 UTC - Oct 17, 2015 01:51:47 UTC. Continue at risk? (Y/N) [Default:N w/in 10]:

プロンプトに対して応答しないと、SAM は指定されたインターバルが終了するまで待機し、(proceed キーワードまたは terminate キーワードのいずれかを使用して)sam prompt-interval コマンドで指定されたアクションを実行します。

proceed キーワードを使用してこのコマンドを入力した場合、SAM は指定されたインターバルが終了するまで待機し、ユーザがプロンプトに対して「yes」と応答したように続行します。

terminate キーワードを使用してコマンドを入力した場合、SAM は指定されたインターバルが終了するまで待機し、ユーザがプロンプトに対して「no」と応答したように続行します。 このようにコマンドを使用することによって、システム コンソールが無人の場合にシステムが無期限に待機しないようにさせます。


(注)  


ソフトウェアが起動した後に、このコマンドを使って time-interval 引数を設定しても無効です。 この値が適用されるのは、起動時だけです。


タスク ID

タスク ID

操作

crypto

read, write

次の例は、プロンプトに対するユーザの応答を SAM に 30 秒間待機させ、要求された SAM プロセス タスクを終了させる方法を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# sam promptinterval 30 terminate

関連コマンド

コマンド

説明

show sam sysinfo

SAM の現在のステータス情報を表示します。

sam verify

Message Digest 5(MD5)ハッシュ アルゴリズムを使用してフラッシュ メモリ カードのソフトウェア コンポーネントの整合性を確認し、送信中に改ざんされていないことを保証するには、EXEC モードで sam verify コマンドを使用します。

sam verify { location | file-system } { MD5 | SHA [digest] }

構文の説明

location

フラッシュ メモリ カード スロットの名前。disk0 または disk1 のいずれかです。

file-system

確認対象のファイルへの絶対パス。

MD5

単方向のハッシュ アルゴリズムを指定し、指定されたソフトウェア コンポーネントの 128 ビットのハッシュ(またはメッセージ ダイジェスト)を生成します。

SHA

セキュア ハッシュ アルゴリズム(264 ビット未満の長さのメッセージを受け取り、160 ビットのメッセージ ダイジェストを生成するハッシュ アルゴリズム)を指定します。 大きいメッセージ ダイジェストは、ブルートフォース コリジョンおよび反転攻撃に対するセキュリティを提供します。

digest

(任意)ハッシュ アルゴリズムによって生成されるメッセージ ダイジェストは、ソフトウェア コンポーネントの整合性を確認する際に比較されます。

コマンド デフォルト

なし

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

所定のデバイス用にメッセージ ダイジェストを生成するには、sam verify コマンドを使用します。 メッセージ ダイジェストは、フラッシュ メモリ カード上のソフトウェアが送信中に改ざんされていないことを確認するのに有用です。 このコマンドによって、送信時と受信時のソフトウェアの整合性を比較するために使用できるハッシュ コードが生成されます。

たとえば、ソフトウェアがプリインストールされているフラッシュ メモリ カードと以前に生成された MD5 メッセージ ダイジェストがある場合、sam verify コマンドを使用してソフトウェアの整合性を確認できます。

sam verify device MD5 digest

device 引数は、フラッシュ デバイスを指定します。 digest 引数は、ソフトウェアのオリジネータから供給されたメッセージ ダイジェストを指定します。

このメッセージ ダイジェストと sam verify コマンドによって生成されたメッセージ ダイジェストが一致した場合、ソフトウェア コンポーネントは有効です。


(注)  


フラッシュ メモリ カードにロードされている一連のファイルとは異なるファイルを使用して、宛先ネットワーキング デバイスでフラッシュ メモリ コードのコンテンツについてハッシュ コードを計算する必要があります。 権限のないユーザが同じソフトウェア バージョンを使用して目的とする(一致する)ハッシュ コードを生成し、それによって誰かが新しいソフトウェアを改ざんしたように偽装できます。


タスク ID

タスク ID

操作

crypto

execute

ここでは、不一致に対する Software Authentication Manager(SAM)の応答を示すための、第 3 の sam verify コマンドを示します。このコマンドは、メッセージ ダイジェストが不一致であることを示すメッセージとともに発行されます。 次の例は、MD5 を使用してスロット 0 のフラッシュ メモリ カード上のファイル システム全体についてメッセージ ダイジェストを生成し、ダイジェスト比較を実行するための入力値としてこれらのメッセージ ダイジェストを使用する方法を示します。

RP/0/RSP0/CPU0:router# sam verify disk0: MD5

Total file count in disk0: = 813
082183cb6e65a44fd7ca95fe8e93def6

RP/0/RSP0/CPU0:router# sam verify disk0: MD5 082183cb6e65a44fd7ca95fe8e93def6

Total file count in disk0: = 813
Same digest values

RP/0/RSP0/CPU0:router# sam verify disk0: MD5 3216c9282d97ee7a40b78a4e401158bd

Total file count in disk0: = 813
Different digest values

次の例は、MD5 を使用してメッセージ ダイジェストを生成し、これらのメッセージ ダイジェストをダイジェスト比較を実行するための入力値として使用する方法を示します。

RP/0/RSP0/CPU0:router# sam verify disk0: /crl_revoked.bin MD5

38243ffbbe6cdb7a12fa9fa6452956ac

RP/0/RSP0/CPU0:router# sam verify disk0: /crl_revoked.bin MD5 38243ffbbe6cdb7a12fa9fa6452956ac

Same digest values

show sam certificate

証明テーブル内の情報を表示するには、EXEC モードで show sam certificate コマンドを使用します。

構文の説明

detail

選択された(location 引数および certificate-index 引数で指定された)テーブル エントリのすべての属性を表示します。

location

表示するエントリの保存場所を指定します。 次のいずれかの値を使用します。

  • root:証明書は、ルート デバイスに保存されます。
  • mem:証明書は、メモリに保存されます。
  • device-name:証明書は、指定されたデバイスに保存されます。 disk0、disk1、またはルータ上の他のフラッシュ デバイス名を使用します。 フラッシュ デバイス名は、show filesystem コマンドを使用して検索できます。

certificate-index

表示する証明書テーブル内のエントリのインデックス番号。1 ~ 65000 の範囲です。

brief

証明書テーブル内のエントリの属性のサブセットを表示します。

location

表示するエントリの保存場所を指定します。 次のいずれかの値を使用します。

  • all:すべての証明書の属性のサブセットを表示します。
  • root:ルート デバイスに保存されるすべての証明書の属性のサブセットを表示します。
  • mem:メモリに保存されるすべての証明書の属性のサブセットを表示します。
  • device-name:指定されたデバイスに保存されるすべての証明書の属性のサブセットを表示します。 disk0、disk1、またはルータ上の他のフラッシュ デバイス名を使用します。 フラッシュ デバイス名は、show filesystem コマンドを使用して検索できます。

コマンド デフォルト

なし

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

システムに保存されているすべての証明書を表示するときは、show sam certificate コマンドを使用します。 属性は、認証番号、認証フラグ、シリアル番号、サブジェクト名、発行元、バージョン、発行アルゴリズム、発効日と失効日、公開キー、およびシグニチャです。

認証番号を取得するには、certificate-index 引数を使用します。 brief キーワードと all キーワードを使用した場合、テーブル内のすべてのエントリに対して、選択されたすべての属性が表示されます。

タスク ID

タスク ID

操作

none

次の例では、ルート ロケーションに 1 つの証明書が存在し、ディスク 0 に 1 つの証明書が存在します。 次の出力例は、show sam certificate コマンドを実行した結果です。

RP/0/RSP0/CPU0:router# show sam certificate 
            brief 
            
            all

-------------------- SUMMARY OF CERTIFICATES -------------------

Certificate Location    :root
Certificate Index       :1
Certificate Flag        :VALIDATED
  Serial Number  :32:E0:A3:C6:CA:00:39:8C:4E:AC:22:59:1B:61:03:9F
  Subject Name   :
        cn=Code Signing Server Certificate Authority,o=Cisco,c=US
  Issued By      :
        cn=Code Signing Server Certificate Authority,o=Cisco,c=US
  Validity Start :[UTC] Tue Oct 17 01:46:24 2000
  Validity End   :[UTC] Sat Oct 17 01:51:47 2015
  CRL Distribution Point

file://\\CodeSignServer\CertEnroll\Code%20Signing%20Server%20Certificate
%20Authority.crl

Certificate Location    :mem
Certificate Index       :1
Certificate Flag        :VALIDATED
  Serial Number  :01:27:FE:79:00:00:00:00:00:05
  Subject Name   :
        cn=Engineer code sign certificate
  Issued By      :
        cn=Code Signing Server Certificate Authority,o=Cisco,c=US
  Validity Start :[UTC] Tue Oct  9 23:14:28 2001
  Validity End   :[UTC] Wed Apr  9 23:24:28 2003
  CRL Distribution Point

file://\\CodeSignServer\CertEnroll\Code%20Signing%20Server%20Certificate %20Authority.crl

次の表に、この出力で表示される重要なフィールドの説明を示します。

表 1 show sam certificate summary all フィールドの説明

フィールド

説明

Certificate Location

証明書の場所。rootmemdisk0disk1、または他のフラッシュ デバイス名のいずれかです。

Certificate Index

Software Authentication Manager が証明書に自動的に割り当てるインデックス番号。

Certificate Flag

TRUSTED、VALIDATED、EXPIRED、または REVOKED のいずれかです。

Serial Number

発行元によって割り当てられた、証明書の一意のシリアル番号。

Subject Name

証明書の発行対象エンティティの名前。

Issued By

証明書を発行したエンティティの名前。

show sam certificate コマンドを実行した結果である次の出力例は、特定の SAM の詳細の表示方法を示します。

RP/0/RSP0/CPU0:router# show sam certificate detail mem 1
------------------------------------------------------------

Certificate Location    :mem
Certificate Index       :1
Certificate Flag        :VALIDATED

----------------------- CERTIFICATE ------------------------
  Serial Number  :01:27:FE:79:00:00:00:00:00:05
  Subject Name   :
        cn=Engineer code sign certificate
  Issued By      :
        cn=Code Signing Server Certificate Authority,o=Cisco,c=US
  Validity Start :[UTC] Tue Oct  9 23:14:28 2001
  Validity End   :[UTC] Wed Apr  9 23:24:28 2003
  CRL Distribution Point

file://\\CodeSignServer\CertEnroll\Code%20Signing%20Server%20Certificate
%20Authority.crl
  Version 3 certificate
  Issuing Algorithm:MD5withRSA
  Public Key BER (294 bytes):
 30 82 01 22 30 0d 06 09 2a 86 48 86 f7 0d 01 01      [0.."0...*.H.....]
 01 05 00 03 82 01 0f 00 30 82 01 0a 02 82 01 01      [........0.......]
 00 be 75 eb 9b b3 d9 cb 2e d8 c6 db 68 f3 5a ab      [..u.........h.Z.]
 0c 17 d3 84 16 22 d8 18 dc 3b 13 99 23 d8 c6 94      [....."...;..#...]
 91 15 15 ec 57 ea 68 dc a5 38 68 6a cb 0f 4b c2      [....W.h..8hj..K.]
 43 4b 2d f9 92 94 93 04 df ff ca 0b 35 1d 85 12      [CK-.........5...]
 99 e9 bd bc e2 98 99 58 fe 6b 45 38 f0 52 b4 cb      [.......X.kE8.R..]
 a9 47 cd 22 aa ce 70 0e 4c 9b 48 a1 cf 0f 4a db      [.G."..p.L.H...J.]
 35 f5 1f 20 b7 68 cb 71 2c 27 01 84 d6 bf 4e d1      [5.. .h.q,'....N.]
 ba e1 b2 50 e7 f1 29 3a b4 85 3e ac d7 cb 3f 36      [...P..):..>...?6]
 96 65 30 13 27 48 84 f5 fe 88 03 4a d7 05 ed 72      [.e0.'H.....J...r]
 4b aa a5 62 e6 05 ac 3d 20 4b d6 c9 db 92 89 38      [K..b...= K.....8]
 b5 14 df 46 a3 8f 6b 05 c3 54 4d a2 83 d4 b7 02      [...F..k..TM.....]
 88 2d 58 e7 a4 86 1c 48 77 68 49 66 a1 35 3e c4      [.-X....HwhIf.5>.]
 71 20 aa 18 9d 9f 1a 38 52 3c e3 35 b2 19 12 ad      [q .....8R<.5....]
 99 ad ce 68 8b b0 d0 29 ba 25 fd 1e e0 5d aa 12      [...h...).%...]..]
 9c 44 89 63 89 62 e3 cb f3 5d 5f a3 7c b7 b9 ef      [.D.c.b...]_.|...]
 01 89 5b 33 35 a8 81 60 38 61 4e d8 4f 6a 53 70      [..[35..`8aN.OjSp]
 35 02 03 01 00 01                                    [5.....]
  Certificate signature (256 bytes):
 67 f6 12 25 3f d4 d2 dd 6a f7 3e 55 b8 9f 33 53      [g..%?...j.>U..3S]
 20 4d d1 17 54 08 8a 70 22 35 92 59 9c 03 9c 0f      [ M..T..p"5.Y....]
 ce 46 3c 06 74 d0 a9 8e b1 88 a2 35 b3 eb 1b 00      [.F<.t......5....]
 5c 6d bb 1d b5 ad 17 19 f2 c6 96 87 9b e7 15 01      [\m..............]
 b2 04 af 7d 92 60 d9 ee ef bc 60 4e 2e af 84 e2      [...}.`....`N....]
 42 fe 07 71 7e fc ee ee f5 d1 6d 71 e7 46 f0 97      [B..q~.....mq.F..]
 e0 e8 b3 0e f9 07 e0 de 6e 36 5a 56 1e 80 10 05      [........n6ZV....]
 59 d9 88 ba f7 a3 d1 f6 cd 00 12 9f 90 f0 65 83      [Y.............e.]
 e9 0f 76 a4 da eb 1b 1b 2d ea bd be a0 8a fb a7      [..v.....-.......]
 a5 18 ff 9f 5c e9 99 66 f0 d3 90 ae 49 3f c8 cc      [....\..f....I?..]
 32 6b db 64 da fd f5 42 ea bc f3 b0 8a 2f 17 d8      [2k.d...B...../..]
 cf c0 d8 d4 3a 41 ae 1d cf 7a c6 a6 a1 65 c2 94      [....:A...z...e..]
 8a ba ea d3 da 3e 8a 44 9b 47 35 10 ab 61 1b 4f      [.....>.D.G5..a.O]
 82 dd 59 16 d5 f2 1d f3 c2 08 cc 1c 7f ab be 9c      [..Y.............]
 be 52 73 ea e0 89 d7 6f 4d d0 d8 aa 3d 50 d6 b0      [.Rs....oM...=P..]
 e1 ea 3b 27 50 42 08 d6 71 eb 66 37 b1 f5 f6 5d      [..;'PB..q.f7...]]

次の表に、この出力で表示される重要なフィールドの説明を示します。

表 2 show sam certificate detail mem 1 フィールドの説明

フィールド

説明

Certificate Location

証明書の場所。rootmemdisk0、または disk1 のいずれかです。

Certificate Index

SAM が証明書に自動的に割り当てたインデックス番号。

Certificate Flag

TRUSTED、VALIDATED、EXPIRED、または REVOKED のいずれかです。

Serial Number

発行元によって割り当てられた、証明書の一意のシリアル番号。

Subject Name

証明書の発行対象エンティティの名前。

Issued By

証明書を発行したエンティティの名前。

Version

証明書の ITU-T X.509 バージョン。 バージョンは、1(X.509v1)、2(X.509v2)、または 3(X.509v3)です。

Issuing Algorithm

発行元が証明書のサインに使用したハッシュおよび公開キーアルゴリズム。

Public Key

証明書のサブジェクト公開キー。

Certificate signature

証明書の暗号化されたハッシュ値(またはシグニチャ)。 証明書のハッシュ値は、発行元の秘密キーを使用して暗号化されます。

show sam crl

Certificate Revocation List(CRL; 証明書失効リスト)テーブル内の情報を表示するには、EXEC モードで show sam crl コマンドを使用します。

show sam crl { summary | detail crl-index }

構文の説明

summary

テーブル内のすべてのエントリについて、選択された属性を表示します。

detail

(特に crl-index 引数によって)選択されたテーブル エントリの属性をすべて表示します。

crl-index

エントリのインデックス番号。1 ~ 65000 の範囲です。

コマンド デフォルト

なし

コマンド モード

EXEC

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

システムに現在保存されている失効した証明書をすべて表示する場合は、show sam crl コマンドを使用します。 属性は、CRL インデックス番号、発行元、および更新情報です。

CRL インデックス番号を取得するには、summary キーワードを使用します。

タスク ID

タスク ID

操作

crypto

read

次の出力例は、summary キーワードを使用して show sam crl コマンドを実行した結果です。

RP/0/RSP0/CPU0:router# show sam crl summary

----------------------- SUMMARY OF CRLs --------------------------

CRL Index       :1
Issuer:CN = Code Sign Server Certificate Manager, OU = Cisco HFR mc , O = 
Cisco,
  L = San Jose, ST = CA, C = US, EA =<16> iosmx-css-cert@cisco.com
Including updates of:
                      Sep 09, 2002 03:50:41 GMT

次の表に、この出力で表示される重要なフィールドの説明を示します。

表 3 show sam crl summary フィールドの説明

フィールド

説明

CRL Index

エントリのインデックス番号。1 ~ 65000 の範囲です。 インデックス番号は、証明書失効リスト テーブルに保存されます。

Issuer

この CRL を発行した認証局(CA)。

Including updates of

CRL テーブルに含まれる、この CA が発行した CRL のバージョン。

次の出力例は、detail キーワードを使用して show sam crl コマンドを実行した結果です。

RP/0/RSP0/CPU0:router# show sam crl detail 1

-----------------------------------------------------------------

CRL Index      :1

-------------- CERTIFICATE REVOCATION LIST (CRL) -----------------

Issuer:CN = Code Sign Server Certificate Manager, OU = Cisco HFR mc , O = Cisco,
 L = San Jose, ST = CA, C = US, EA =<16> iosmx-css-cert@cisco.com
Including updates of:
                     Sep 09, 2002 03:50:41 GMT
Revoked certificates include:

   Serial #:61:2C:5C:83:00:00:00:00:00:44, revoked on Nov 03, 2002 00:59:02 GMT
   Serial #:21:2C:48:83:00:00:00:00:00:59, revoked on Nov 06, 2002 19:32:51 GMT
-------------------------------------------------------------------------------

次の表に、この出力で表示される重要なフィールドの説明を示します。

表 4 show sam crl detail フィールドの説明

フィールド

説明

CRL Index

エントリのインデックス番号。1 ~ 65000 の範囲です。 インデックス番号は、証明書失効リスト テーブルに保存されます。

Issuer

この CRL を発行した CA。

Including updates of

CRL テーブルに含まれる、この CA が発行した CRL のバージョン。

Revoked certificates include

失効した証明書のリスト。証明書のシリアル番号および証明書の失効日時を含みます。

show sam log

Software Authentication Manager(SAM)ログ ファイルの内容を表示するには、EXEC モードで show sam log コマンドを使用します。

show sam log [lines-number]

構文の説明

lines-number

(任意)表示する SAM ログ ファイルの行数。0 ~ 200 の範囲です。0 は、ログ ファイル内のすべての行を表示し、200 は、最新の 200 行(ログ ファイル内の行数が 200 未満の場合は、存在する行数)を表示します。

コマンド デフォルト

lines-number 引数を使用しない show sam log コマンドは、ログ ファイル内のすべての行を表示します。

コマンド モード

EXEC

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

SAM ログ ファイルは、失効した証明書または無効な証明書、テーブル ダイジェストの不一致、および SAM サーバの再起動など、SAM テーブルに対する変更を記録します。

タスク ID

タスク ID

操作

crypto

read

次の出力例は、show sam log コマンドを実行した結果です。

RP/0/RSP0/CPU0:router# show sam log

06/16/02 12:03:44 UTC Added certificate in table root/1 CN = Certificate Manage, 0x01
06/16/02 12:03:45 UTC SAM server restarted through router reboot
06/16/02 12:03:47 UTC Added CRL in table CN = Certificate Manage, updated at Nov 10, 2001    04:11:42 GMT
06/16/02 12:03:48 UTC Added certificate in table mem:/1 CN = Certificate Manage, 0x1e
06/16/02 12:16:16 UTC SAM server restarted through router reboot
06/16/02 12:25:02 UTC SAM server restarted through router reboot
06/16/02 12:25:04 UTC Added certificate in table mem:/1 CN = Certificate Manage, 0x1e
06/16/02 12:39:30 UTC SAM server restarted through router reboot
06/16/02 12:39:30 UTC SAM server restarted through router reboot
06/16/02 12:40:57 UTC Added certificate in table mem/1 CN = Certificate Manage, 0x1e

33 entries shown

出力の各行は、テーブルの変更、失効した証明書または無効な証明書、テーブル ダイジェストの不一致、または SAM サーバの再起動など、ログに記録された特定のイベントを示します。

show sam package

ネットワーキング デバイスにインストールされている特定パッケージのソフトウェアの認証に使用された証明書に関する情報を表示するには、EXEC モードで show sam package コマンドを使用します。

show sam package package-name

構文の説明

package-name

メモリ デバイス(disk0:disk1:mem: など)およびファイルへのファイル システム パスなどソフトウェア パッケージの場所。 インストール マネージャ パッケージの名前およびロケーション情報を表示するには、show install all コマンドを使用します。

コマンド デフォルト

なし

コマンド モード

EXEC

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

ソフトウェア パッケージのインストール場所および名前を表示するには、show install all コマンド(たとえば、mem:ena-base-0.0.0 または disk1:crypto-exp-lib-0.4.0)を使用します。次に、show sam package コマンドを使用して、インストールされているパッケージの認証に使用された証明書に関する情報を表示します。 show sam package コマンドは、detail キーワードを使用して show sam certificate コマンドを使用した場合と同じ情報を表示します。

タスク ID

タスク ID

操作

crypto

read

次の出力例は、show sam package コマンドを実行した結果です。

RP/0/RSP0/CPU0:router# show sam package mem:12k-rp-1.0.0

------------------------------------------------------------

Certificate Location    :mem
Certificate Index       :1
Certificate Flag        :VALIDATED

----------------------- CERTIFICATE ------------------------
  Serial Number  :01:27:FE:79:00:00:00:00:00:05
  Subject Name   :
        cn=Engineer code sign certificate
  Issued By      :
        cn=Code Signing Server Certificate Authority,o=Cisco,c=US
  Validity Start :[UTC] Tue Oct  9 23:14:28 2001
  Validity End   :[UTC] Wed Apr  9 23:24:28 2002
  CRL Distribution Point

file://\\CodeSignServer\CertEnroll\Code%20Signing%20Server%20Certificate
%20Authority.crl
  Version 3 certificate
  Issuing Algorithm:MD5withRSA
  Public Key BER (294 bytes):
 30 82 01 22 30 0d 06 09 2a 86 48 86 f7 0d 01 01      [0.."0...*.H.....]
 01 05 00 03 82 01 0f 00 30 82 01 0a 02 82 01 01      [........0.......]
 00 be 75 eb 9b b3 d9 cb 2e d8 c6 db 68 f3 5a ab      [..u.........h.Z.]
 0c 17 d3 84 16 22 d8 18 dc 3b 13 99 23 d8 c6 94      [....."...;..#...]
 91 15 15 ec 57 ea 68 dc a5 38 68 6a cb 0f 4b c2      [....W.h..8hj..K.]
 43 4b 2d f9 92 94 93 04 df ff ca 0b 35 1d 85 12      [CK-.........5...]
 99 e9 bd bc e2 98 99 58 fe 6b 45 38 f0 52 b4 cb      [.......X.kE8.R..]
 a9 47 cd 22 aa ce 70 0e 4c 9b 48 a1 cf 0f 4a db      [.G."..p.L.H...J.]
 35 f5 1f 20 b7 68 cb 71 2c 27 01 84 d6 bf 4e d1      [5.. .h.q,'....N.]
 ba e1 b2 50 e7 f1 29 3a b4 85 3e ac d7 cb 3f 36      [...P..):..>...?6]
 96 65 30 13 27 48 84 f5 fe 88 03 4a d7 05 ed 72      [.e0.'H.....J...r]
 4b aa a5 62 e6 05 ac 3d 20 4b d6 c9 db 92 89 38      [K..b...= K.....8]
 b5 14 df 46 a3 8f 6b 05 c3 54 4d a2 83 d4 b7 02      [...F..k..TM.....]
 88 2d 58 e7 a4 86 1c 48 77 68 49 66 a1 35 3e c4      [.-X....HwhIf.5>.]
 71 20 aa 18 9d 9f 1a 38 52 3c e3 35 b2 19 12 ad      [q .....8R<.5....]
 99 ad ce 68 8b b0 d0 29 ba 25 fd 1e e0 5d aa 12      [...h...).%...]..]
 9c 44 89 63 89 62 e3 cb f3 5d 5f a3 7c b7 b9 ef      [.D.c.b...]_.|...]
 01 89 5b 33 35 a8 81 60 38 61 4e d8 4f 6a 53 70      [..[35..`8aN.OjSp]
 35 02 03 01 00 01                                    [5.....]
  Certificate signature (256 bytes):
 67 f6 12 25 3f d4 d2 dd 6a f7 3e 55 b8 9f 33 53      [g..%?...j.>U..3S]
 20 4d d1 17 54 08 8a 70 22 35 92 59 9c 03 9c 0f      [ M..T..p"5.Y....]
 ce 46 3c 06 74 d0 a9 8e b1 88 a2 35 b3 eb 1b 00      [.F<.t......5....]
 5c 6d bb 1d b5 ad 17 19 f2 c6 96 87 9b e7 15 01      [\m..............]
 b2 04 af 7d 92 60 d9 ee ef bc 60 4e 2e af 84 e2      [...}.`....`N....]
 42 fe 07 71 7e fc ee ee f5 d1 6d 71 e7 46 f0 97      [B..q~.....mq.F..]
 e0 e8 b3 0e f9 07 e0 de 6e 36 5a 56 1e 80 10 05      [........n6ZV....]
 59 d9 88 ba f7 a3 d1 f6 cd 00 12 9f 90 f0 65 83      [Y.............e.]
 e9 0f 76 a4 da eb 1b 1b 2d ea bd be a0 8a fb a7      [..v.....-.......]
 a5 18 ff 9f 5c e9 99 66 f0 d3 90 ae 49 3f c8 cc      [....\..f....I?..]
 32 6b db 64 da fd f5 42 ea bc f3 b0 8a 2f 17 d8      [2k.d...B...../..]
 cf c0 d8 d4 3a 41 ae 1d cf 7a c6 a6 a1 65 c2 94      [....:A...z...e..]
 8a ba ea d3 da 3e 8a 44 9b 47 35 10 ab 61 1b 4f      [.....>.D.G5..a.O]
 82 dd 59 16 d5 f2 1d f3 c2 08 cc 1c 7f ab be 9c      [..Y.............]
 be 52 73 ea e0 89 d7 6f 4d d0 d8 aa 3d 50 d6 b0      [.Rs....oM...=P..]

次の表に、この出力で表示される重要なフィールドの説明を示します。

表 5 show sam package フィールドの説明

フィールド

説明

Certificate Location

証明書の場所。rootmemdisk0、または disk1 のいずれかです。

Certificate Index

Software Authentication Manager(SAM)が証明書に自動的に割り当てるインデックス番号。

Certificate Flag

TRUSTED、VALIDATED、EXPIRED、または REVOKED のいずれかです。

Serial Number

発行元によって割り当てられた、証明書の一意のシリアル番号。

Subject Name

証明書の発行対象エンティティの名前。

Issued By

証明書を発行したエンティティの名前。

Version

証明書の ITU-T X.509 バージョン。 バージョンは、1(X.509v1)、2(X.509v2)、または 3(X.509v3)です。

Issuing Algorithm

発行元が証明書のサインに使用したハッシュおよび公開キーアルゴリズム。

Public Key

証明書のサブジェクト公開キー。

Certificate signature

証明書の暗号化されたハッシュ値(またはシグニチャ)。 証明書のハッシュ値は、発行元の秘密キーを使用して暗号化されます。

関連コマンド

コマンド

説明

show install

ソフトウェア パッケージのインストール場所および名前を表示します。 all キーワードを使用して、すべての場所からアクティブなパッケージを表示できます。 詳細については、 『Cisco ASR 9000 Series Aggregation Services Router System Management Command Reference』を参照してください。

show sam certificate

SAM 証明書テーブル内の情報を表示します。

show sam sysinfo

Software Authentication Manager(SAM)の現在の設定を表示するには、EXEC モードで show sam sysinfo コマンドを使用します。

show sam sysinfo

構文の説明

このコマンドには、キーワードと引数はありません。

コマンド デフォルト

なし

コマンド モード

EXEC

コマンド履歴

リリース

変更内容

リリース 3.7.2

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。

SAM の設定を確認するには、show sam sysinfo コマンドを使用します。

ディスプレイには、SAM のステータス、現在のプロンプト インターバル設定、および現在のプロンプトのデフォルト応答が表示されます。

タスク ID

タスク ID

操作

crypto

read

次の出力例は、show sam sysinfo コマンドを実行した結果です。

RP/0/RSP0/CPU0:router# show sam sysinfo

Software Authentication Manager System Information
==============================================
Status                  : running
Prompt Interval         : 10 sec
Prompt Default Response : NO

次の表に、この出力で表示される重要なフィールドの説明を示します。

表 6 show sam sysinfo フィールドの説明

フィールド

説明

Status

running または not running のいずれか。

SAM が稼働していなければ、システム マネージャによってこの状態が検出され、SAM の再起動が試行されます。 既定の再試行回数を実行しても、問題が発生するために SAM を再起動できない場合、SAM は再起動されません。 このような場合は、Cisco Technical Assistance Center(TAC)の担当者にご連絡ください。

Prompt Interval

プロンプト インターバルの現在の設定。 インターバルは、0 ~ 300 秒の範囲に設定できます。 出力例に示されている値(10 秒)は、デフォルトです。

Prompt Default Response

ユーザがプロンプトに対して応答する前にプロンプト インターバルが終了した場合に SAM が実行するアクションを指定する現在の設定。 ユーザがプロンプトに対して応答しない場合、SAM は指定されたインターバルが終了するまで待機し、(proceed キーワードまたは terminate キーワードのいずれかを使用して)sam prompt-interval コマンドで指定されたアクションを実行します。

proceed キーワードを使用して sam promptinterval コマンドを入力すると、show sam sysinfo コマンドに「Yes」と表示させます。つまり、SAM によって実行されるデフォルトのアクションは、プロンプト インターバルが終了するまで待機し、ユーザから「yes」を受信したように応答します。

terminate キーワードを使用して sam promptinterval コマンドを入力すると、show sam sysinfo コマンドに「No」と表示させます。つまり、SAM によって実行されるデフォルトのアクションは、プロンプト インターバルが終了するまで待機し、ユーザから「no」を受信したように応答します。

関連コマンド

コマンド

説明

sam prompt-interval

異常な状況を検出したときに、ユーザに入力を求めた後で SAM が待機するインターバルを設定し、指定されたインターバル内にユーザからの入力を受信しなかった場合の SAM の応答方法を決定します。