Cisco Trust Agent アドミニストレータ ガイド
Cisco Trust Agent の証明書
Cisco Trust Agent の証明書
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco Trust Agent の証明書

サーバ ルート証明書のインストールとアップデート

ctaCert.exe ユーティリティについて

認定者名(DN)照合

Cisco Trust Agent の証明書

Cisco Trust Agent は、ポスチャ確認サーバ(Cisco Secure Access Control Server(ACS))との PEAP セッションを確立するために証明書を使用します。 このセッションを確立するためには、クライアント システムに Cisco Secure ACS ルート証明書をインストールする必要があります。 この証明書は、Cisco Secure ACS サーバによって生成される自己署名証明書、または Cisco Secure ACS 証明書の認証に使用される Certification Authority(CA; 認証局)証明書のどちらかになります。

通常、この証明書は Cisco Trust Agent のカスタム インストール パッケージの一部としてインストールされます。 ただし、カスタム インストール パッケージの一部としてインストールされなかった場合でも、Cisco Trust Agent は、クライアントのポスチャ確認サーバ証明書をインストールおよびアップデートするためのユーティリティを提供しています。


) Cisco Secure ACS 証明書は、PEAP セッションの確立に必要な「サーバ認証」を行うためにインストールする必要があります。


この章は、次の項で構成されています。

「サーバ ルート証明書のインストールとアップデート」

「ctaCert.exe ユーティリティについて」

「認定者名(DN)照合」

サーバ ルート証明書のインストールとアップデート

Cisco Secure ACS が Cisco Trust Agent とのセキュアな PEAP セッションを確立するためには、Cisco Secure ACS 証明書に使用するルート証明書をネットワーク クライアントにインストールする必要があります。 この証明書は、サーバ証明書の検査に使用される CA 証明書、または Cisco Secure ACS サーバによって生成される自己署名証明書のどちらかになります。 Cisco Trust Agent は、PEM で保護された Base-64 または DER エンコード バイナリ X.509 の証明書をサポートしています。

始める前に

Cisco Secure ACS サーバ証明書に使用するルート証明書を取得する必要があります。 ポスチャ確認サーバ(Cisco Secure ACS)が自己署名証明書を使用する場合は、サーバから証明書を取得します。 証明書を取得する方法については、Cisco Secure ACS のマニュアルを参照してください。 CA 証明書を使用する場合は、証明書サーバから証明書を取得します。

ポスチャ確認サーバ証明書をインストールするには、次の手順を実行します。


ステップ 1 証明書をネットワーク クライアントにコピーします。

ステップ 2 ネットワーク クライアントでコマンド プロンプトを開きます。

ステップ 3 Cisco Trust Agent がインストールされているディレクトリに移動します。 デフォルトでは、このディレクトリは
C:\Program Files\Cisco Systems\CiscoTrustAgent\ です。

ステップ 4 ctaCert.exe /add "cert_path" /store "Root" と入力します。 cert_path は証明書のフル パスとファイル名です。

証明書は、ネットワーク クライアント上の信頼できる証明書ストアに追加されます。


 

ctaCert.exe ユーティリティについて

ctaCert.exe ユーティリティを使用すると、X.509 の証明書をインポートすることができます。 ctaCert.exe ユーティリティは、PEM で保護された Base-64 または DER エンコード バイナリ X.509 の証明書を扱うことができます。 Cisco Secure ACS との PEAP セッションを確立するには、このユーティリティを使用して Cisco Trust Agent 用のルート証明書をインストールまたはアップデートします。

コマンド構文

ctaCert.exe /ui {2 | 3| 4 | 5} /add "cert_path" /store "cert_store"

コマンド パラメータ

ctaCert ユーティリティのコマンド パラメータを 表 8-1 に示します。

 

表 8-1 ctaCert ユーティリティのコマンド パラメータ

パラメータ
説明

/ui

サイレント インストールまたは詳細インストールを指定します。 次の値を指定できます。

2 または 3 :サイレント インストール

4 または 5 :完全なユーザ相互対話によるインストール

上記以外の値を指定した場合は、完全なユーザ相互対話によるインストールが実行されます。

/add

追加対象の証明書のフル パスを指定します。 指定したディレクトリ内のすべての証明書を選択するために、*.cer と指定することもできます。たとえば、 c:\mycerts\*.cer と指定します。

/store

システムの証明書ストアを指定します。 通常は、「Root」と指定します。

次の例は、Cisco Trust Agent がインストールされているディレクトリからコマンドが実行されることを前提としています。

c:\my certs\ ディレクトリにある csacs.cer という名前の証明書をシステム ルート証明書ストアに追加するには、次のコマンドを入力します。

ctaCert.exe /ui 2 /add "c:\my certs\csacs.cer" /store "Root"

認定者名(DN)照合

Cisco Secure ACS サーバ証明書の検査に CA 証明書を使用する場合は、Distinguished Name(DN; 認定者名)照合によるセキュリティ機能を別途実装して、サーバ証明書を検査することができます。 この機能を適用すると、同じルート証明書を使用する可能性のある他のサーバやプロセスが、ネットワーク クライアントとの信頼関係を確立することを防止できます。

DN 照合は、TLS ハンドシェイクの終了時、つまり証明書チェーンが構築された後に実行されます。無効な DN 照合規則は無視されますが、ロギングは行われます。 照合して一致した規則はロギングされます。 一致しなかった規則はロギングされません。

DN 照合規則は、ctad.ini 設定ファイルの [ServerDNVerification] セクションで設定されます。 [ServerDNVerification] セクションが存在しない場合、または規則が設定されていない場合は、DN 照合機能がディセーブルになり、システムは検査済みの証明書チェーンとの接続を承認します。 それ以外の場合は、接続を続行するために、サーバ証明書はいずれかの DN 照合規則を満たす必要があります。

設定ファイルの作成または編集については、 付録 A「Cisco Trust Agent の設定ファイルのリファレンス」 で、「ctad.ini 設定ファイル」を参照してください。

ctad.ini 設定ファイルの [ServerDNVerification] セクションに加えた変更は、次の DN 照合が実行されたときに Cisco Trust Agent が検出して実装します。