Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
デジタル証明書の設定
デジタル証明書の設定
発行日;2012/02/07 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

デジタル証明書の設定

デジタル証明書に関する情報

公開キー暗号化

証明書のスケーラビリティ

キー ペア

トラストポイント

失効チェック

CRL

OCSP

ローカル CA サーバ

サポート対象の CA サーバ

証明書の登録

ローカル CA ファイル用のストレージ

デジタル証明書のライセンス要件

証明書の前提条件

ガイドラインと制限事項

デジタル証明書の設定

キー ペアの設定

キー ペアの削除

トラストポイントの設定

証明書の自動取得

CRL の保存

CRL のダウンロード

ユーザの追加と登録

ユーザの更新

証明書の無効化

ユーザの復元

ユーザの削除

登録パラメータの設定

ローカル CA サーバのイネーブル化

ローカル CA サーバのディセーブル化

ローカル CA サーバのデバッグ

ローカル CA 証明書データベースのメンテナンス

ローカル CA 証明書のロールオーバー

ローカル CA サーバ証明書およびキー ペアのアーカイブ

ローカル CA サーバの削除

デジタル証明書のモニタリング

証明書管理の機能履歴

デジタル証明書の設定

この章では、デジタル証明書の設定方法について説明します。次の項目を取り上げます。

「デジタル証明書に関する情報」

「デジタル証明書のライセンス要件」

「証明書の前提条件」

「デジタル証明書の設定」

「証明書管理の機能履歴」

デジタル証明書に関する情報

CA は、証明書要求の管理とデジタル証明書の発行を行います。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなど、ユーザまたはデバイスを識別する情報が含まれます。デジタル証明書には、ユーザまたはデバイスの公開キーのコピーも含まれています。CA は、信頼できる第三者(VeriSign など)の場合もあれば、組織内に設置したプライベート CA(インハウス CA)の場合もあります。

この項は、次の内容で構成されています。

「公開キー暗号化」

「証明書のスケーラビリティ」

「キー ペア」

「トラストポイント」

「失効チェック」

「CRL」

「OCSP」

「ローカル CA サーバ」

「サポート対象の CA サーバ」

「証明書の登録」

「ローカル CA ファイル用のストレージ」

公開キー暗号化

デジタル署名は、公開キー暗号化によってイネーブルになり、デバイスおよびユーザを認証する手段です。RSA 暗号化システムをはじめとする公開キー暗号化では、各ユーザが公開キーと秘密キーの両方を含むキー ペアを持ちます。両キーは補完的に動作し、片方のキーで暗号化されたものはすべて他方のキーで解読できます。

簡単に言えば、データが秘密キーで暗号化されたとき、署名が形成されます。署名はデータに付加されて受信者に送信されます。受信者は送信者の公開キーをデータに適用します。データとともに送信された署名が、公開キーをデータに適用した結果と一致した場合、メッセージの有効性が確立されます。

このプロセスは、受信者が送信者の公開キーのコピーを持っていること、およびその公開キーが送信者になりすました別人のものではなく、送信者本人のものであることを受信者が強く確信していることに依存しています。

通常、送信者の公開キーは外部で取得するか、インストール時の操作によって取得します。たとえば、ほとんどの Web ブラウザでは、いくつかの CA のルート証明書がデフォルトで設定されています。VPN の場合、IKE プロトコルは IPSec のコンポーネントであり、デジタル署名を使用してピア デバイスを認証した後で、セキュリティ アソシエーションをセットアップできます。

証明書のスケーラビリティ

デジタル証明書がない場合、通信するピアごとに各 IPSec ピアを手動で設定する必要があります。そのため、ネットワークにピアを新たに追加するたびに、安全に通信するために各ピアで設定変更を行わなければなりません。

デジタル証明書を使用している場合、各ピアは CA に登録されます。2 つのピアは、通信を試みるときに、証明書とデジタル署名されたデータを交換して、相互の認証を行います。新しいピアがネットワークに追加された場合は、そのピアを CA に登録するだけで済みます。他のピアを修正する必要はありません。新しいピアが IPSec 接続を試みると、証明書が自動的に交換され、そのピアの認証ができます。

CA を使用した場合、ピアはリモート ピアに証明書を送り、公開キー暗号化を実行することによって、そのリモート ピアに対して自分自身を認証します。各ピアから、CA によって発行された固有の証明書が送信されます。このプロセスが機能を果たすのは、関連付けられているピアの公開キーが各証明書にカプセル化され、各証明書が CA によって認証され、参加しているすべてのピアによって CA が認証権限者として認識されるためです。このプロセスは、RSA 署名付きの IKE と呼ばれます。

ピアは、証明書が期限満了になるまで、複数の IPSec セッションに対して、および複数の IPSec ピア宛てに証明書を送り続けることができます。証明書が期限満了になったときは、ピアの管理者は新しい証明書を CA から入手する必要があります。

CA は、IPSec に参加しなくなったピアの証明書を無効にすることもできます。無効にされた証明書は、他のピアからは有効な証明書とは認識されなくなります。無効にされた証明書は CRL に記載され、各ピアは別のピアの証明書を受け取る前に、CRL をチェックします。

CA の中には、実装の一部として RA を持つものもあります。RA は CA のプロキシの役割を果たすサーバであるため、CA が使用できないときも CA 機能は継続しています。

キー ペア

キー ペアとは、次の特性を持つ RSA キーです。

RSA キーは SSH や SSL に使用できます。

SCEP 登録は、RSA キーの証明書をサポートしています。

キー生成では、RSA キーの最大キー係数は 2048 ビットです。デフォルト サイズは 1024 です。1024 ビットを超える RSA キー ペアを持つ ID 証明書を使用している複数の SSL 接続によって、適応型セキュリティ アプライアンスでの CPU 使用率が高くなり、クライアントレス ログインが拒否される可能性があります。

署名操作でサポートされているキーの最大サイズは 4096 ビットです。

署名にも暗号化にも使用できる汎用 RSA キー ペアを生成することも、署名用と暗号化用に別々の RSA キー ペアを生成することもできます。SSL では署名用ではなく暗号化用のキーが使用されるので、署名用と暗号化用にキーを分けると、キーが公開される頻度を少なくすることができます。ただし、IKE では暗号化用ではなく署名用のキーが使用されます。キーを用途別に分けることで、キーの公開頻度が最小化されます。

トラストポイント

トラストポイントを使用すると、CA と証明書の管理とトレースができます。トラストポイントとは、CA または ID ペアを表現したものです。トラストポイントには、CA の ID、CA 固有のコンフィギュレーション パラメータ、登録されている ID 証明書とのアソシエーションが含まれています。

トラストポイントの定義が完了したら、CA の指定を必要とするコマンドで、名前によってトラストポイントを参照できます。トラストポイントは複数設定できます。


) 適応型セキュリティ アプライアンスに同じ CA を共有するトラストポイントが複数ある場合、CA を共有するトラストポイントのうち、ユーザ証明書の検証に使用できるのは 1 つだけです。CA を共有するどのトラストポイントを使用して、その CA が発行したユーザ証明書を検証するかを制御するには、support-user-cert-validation コマンドを使用します。


自動登録の場合は、登録 URL がトラストポイントに設定されている必要があり、また、トラストポイントが示す CA がネットワーク上で使用可能であり、SCEP をサポートしている必要があります。

キー ペアと、トラストポイントに関連付けられている発行済み証明書は、PKCS12 形式でエクスポートとインポートができます。この形式は、異なる適応型セキュリティ アプライアンス上のトラストポイント コンフィギュレーションを手動でコピーする場合に便利です。

失効チェック

証明書は発行されると、一定期間有効です。CA は、安全上の問題や名前またはアソシエーションの変更などの理由で、期限が切れる前に証明書を無効にすることがあります。CA は、無効になった証明書の署名付きリストを定期的に発行します。失効確認をイネーブルにすることにより、CA が認証にその証明書を使用するたびに、その証明書が無効にされていないかどうか、適応型セキュリティ アプライアンスによってチェックされます。

失効確認をイネーブルにすると、PKI 証明書検証プロセス時に適応型セキュリティ アプライアンスによって証明書の失効ステータスがチェックされます。これには、CRL チェック、または Online Certificate Status Protocol(OCSP)、あるいはその両方が使用されます。OCSP は、最初の方式がエラーを返した場合に 限り 使用されます(たとえば、サーバが使用不可の場合)。

CRL チェックを使用すると、適応型セキュリティ アプライアンスによって、無効になった証明書がすべてリストされている CRL が取得、解析、およびキャッシュされます。OCSP は、検証局に特定の証明書のステータスを問い合せ、チェックを検証局が扱う範囲に限定するため、よりスケーラブルな方法を提供します。

CRL

CRL は、有効期間内の証明書が発行元の CA によって無効にされているかどうかを適応型セキュリティ アプライアンスが判断するための 1 つの方法です。CRL コンフィギュレーションは、トラストポイントのコンフィギュレーションの一部です。

証明書を認証するときに必ず revocation-check crl コマンドを使用して CRL チェックを行うように、適応型セキュリティ アプライアンスを設定できます。また、 revocation-check crl none コマンドを使用することで、CRL チェックをオプションにすることもできます。こうすると、更新された CRL データが CA から提供されない場合でも、証明書認証は成功します。

適応型セキュリティ アプライアンスは HTTP、SCEP、または LDAP を使用して、CA から CRL を取得できます。トラストポイントごとに取得された CRL は、トラストポイントごとに設定可能な時間だけキャッシュされます。

適応型セキュリティ アプライアンスにより、CRL のキャッシュに設定されている時間を超過してキャッシュされた CRL がある場合、適応型セキュリティ アプライアンスではその CRL は古すぎて信頼できない、つまり「失効した」と見なされます。次回の証明書認証で失効した CRL のチェックが必要な場合に、適応型セキュリティ アプライアンスによってより新しいバージョンの CRL の取得が試みられます。

適応型セキュリティ アプライアンスによって CRL がキャッシュされる時間は、次の 2 つの要素によって決まります。

cache-time コマンドで指定される分数。デフォルト値は 60 分です。

取得した CRL 中の NextUpdate フィールド。このフィールドが CRL にない場合もあります。適応型セキュリティ アプライアンスが NextUpdate フィールドを必要とするかどうか、およびこのフィールドを使用するかどうかは、 enforcenextupdate コマンドで制御します。

適応型セキュリティ アプライアンスでは、これらの 2 つの要素が次のように使用されます。

NextUpdate フィールドが不要の場合、 cache-time コマンドで指定された時間が経過すると、適応型セキュリティ アプライアンスは CRL に失効のマークを付けます。

NextUpdate フィールドが必要な場合、適応型セキュリティ アプライアンスは、 cache-time コマンドと NextUpdate フィールドで指定されている 2 つの時間のうち短い方の時間で、CRL に失効のマークを付けます。たとえば、 cache-time コマンドによってキャッシュ時間が 100 分に設定され、NextUpdate フィールドによって次のアップデートが 70 分後に指定されている場合、適応型セキュリティ アプライアンスは 70 分後に CRL に失効のマークを付けます。

適応型セキュリティ アプライアンスがメモリ不足で、特定のトラストポイント用にキャッシュされた CRL をすべて保存することができない場合、使用頻度が最も低い CRL が削除され、新しく取得した CRL 用の空き領域が確保されます。

OCSP

OCSP は、有効期間内の証明書が発行元の CA によって無効にされているかどうかを適応型セキュリティ アプライアンスが判断するための 1 つの方法です。OCSP のコンフィギュレーションは、トラストポイントのコンフィギュレーションの一部です。

OCSP によって、証明書のステータスをチェックする範囲が検証局(OCSP サーバ、 応答側 とも呼ばれます)に限定され、適応型セキュリティ アプライアンスによって検証局に特定の証明書のステータスに関する問い合せが行われます。これは、CRL チェックよりもスケーラブルで、最新の失効ステータスを確認できる方法です。この方法は、PKI の導入規模が大きい場合に便利で、安全なネットワークを拡大できます。

証明書を認証するときに必ず revocation-check ocsp コマンドを使用して OCSP チェックを行うように、適応型セキュリティ アプライアンスを設定できます。また、 revocation-check ocsp none コマンドを使用することで、OCSP チェックをオプションにすることもできます。こうすると、更新された OCSP データが検証局から提供されない場合でも、証明書認証は成功します。

OSCP を利用すると、OCSP サーバの URL を 3 つの方法で定義できます。適応型セキュリティ アプライアンスは、これらのサーバを次の順に使用します。

1. match certificate コマンドの使用による証明書の照合の上書き規則で定義されている OCSP サーバの URL

2. ocsp url コマンドを使用して設定されている OCSP サーバの URL

3. クライアント証明書の AIA フィールド


) トラストポイントで OCSP の応答側の自己署名した証明書を検証するように設定するには、信頼できる CA 証明書として、この自己署名した応答側の証明書をそのトラストポイントにインポートします。次に、クライアント証明書を検証するトラストポイントで match certificate コマンドを設定して、応答側の証明書を検証するために、OCSP の応答側の自己署名された証明書を含むトラストポイントを使用するようにします。クライアント証明書の検証パスの外部にある応答側の証明書を検証する場合も、同じ手順で設定します。

通常、OCSP サーバ(応答側)の証明書によって、OCSP 応答が署名されます。適応型セキュリティ アプライアンスが応答を受け取ると、応答側の証明書を検証しようとします。通常、CA は、OCSP 応答側の証明書のライフタイムを相対的に短くし、できるだけ攻撃されないようにします。また、応答側の証明書に ocsp-no-check 拡張を含め、この証明書の失効ステータスをチェックする必要がないことを示します。ただし、この拡張がない場合、適応型セキュリティ アプライアンスはトラストポイントで指定されている方法で失効ステータスをチェックします。応答側の証明書を検証できない場合、失効ステータスをチェックできなくなります。この可能性を防ぐには、revocation-check none コマンドを使用して応答側の証明書を検証するトラストポイントを設定し、revocation-check ocsp コマンドを使用してクライアント証明書を設定します。


ローカル CA サーバ

ローカル CA では、次のタスクが実行されます。

適応型セキュリティ アプライアンスの基本的な認証局の動作を統合する。

証明書を導入する。

発行済み証明書のセキュアな失効チェックを実行する。

ブラウザベースとクライアントベースの両方で SSL VPN 接続とともに使用するために、適応型セキュリティ アプライアンス上に認証局を提供する。

外部の証明書認証に依存することなく、ユーザに信頼できるデジタル証明書を提供する。

証明書認証のためのセキュアな内部認証局を提供し、Web サイト ログインを使用した簡単なユーザ登録を実現する。

適応型セキュリティ アプライアンスにローカル CA サーバを設定すると、ユーザは、Web サイトにログインし、ユーザの登録資格を検証するためにローカル CA 管理者によって与えられたユーザ名とワンタイム パスワードを入力することで、証明書を登録できます。

図 36-1 に示すとおり、ローカル CA サーバは適応型セキュリティ アプライアンスに常駐し、Web サイト ユーザからの登録要求や、その他の証明書を検証するデバイスおよび適応型セキュリティ アプライアンスから発信された CRL の問い合せを処理します。ローカル CA データベースおよびコンフィギュレーション ファイルは、適応型セキュリティ アプライアンスのフラッシュ メモリ(デフォルトのストレージ)または個別のストレージ デバイスに保持されます。

図 36-1 ローカル CA

 

サポート対象の CA サーバ

適応型セキュリティ アプライアンスは次の CA サーバをサポートしています。

Cisco IOS CS

Baltimore Technologies

Entrust

Microsoft Certificate Services

Netscape CMS

RSA Keon

VeriSign

証明書の登録

適応型セキュリティ アプライアンスは、トラストポイントごとに 1 つの CA 証明書が必要で、セキュリティ アプライアンス自体には、トラストポイントで使用するキーのコンフィギュレーションに応じて 1 つまたは 2 つの証明書が必要です。トラストポイントが署名と暗号化に別々の RSA キーを使用する場合、適応型セキュリティ アプライアンスには署名用と暗号化用の 2 つの証明書が必要になります。署名用と暗号化用のキーが同じである場合、必要な証明書は 1 つだけです。

適応型セキュリティ アプライアンスは、SCEP を使用した登録と、base-64-encoded 証明書を直接端末に貼り付けられる手動登録をサポートしています。サイトツーサイト VPN の場合は、各適応型セキュリティ アプライアンスを登録する必要があります。リモート アクセス VPN の場合は、各適応型セキュリティ アプライアンスと各リモート アクセス VPN クライアントを登録する必要があります。

ローカル CA ファイル用のストレージ

適応型セキュリティ アプライアンスでは、ユーザ情報、発行済み証明書、および失効リストへのアクセスと実装にローカル CA データベースが使用されます。このデータベースは、デフォルトでローカル フラッシュ メモリに存在するか、または、マウントされて適応型セキュリティ アプライアンスにアクセス可能な外部のファイル システム上に設定することもできます。

ローカル CA ユーザ データベースに保存できるユーザの数に制限はありませんが、フラッシュ メモリ ストレージに問題がある場合、管理者に対策を取るように警告する syslog が作成され、ローカル CA はストレージの問題が解決されるまでディセーブルになることがあります。フラッシュ メモリは、3500 人以下のユーザを持つデータベースを保存できますが、ユーザの数がそれを超えるデータベースでは外部ストレージが必要になります。

デジタル証明書のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

証明書の前提条件

証明書には、次の前提条件があります。

証明書をサポートするように適応型セキュリティ アプライアンスが正しく設定されていることを確認します。適応型セキュリティ アプライアンスの設定に誤りがあると、登録に失敗したり、不正確な情報を含む証明書が要求されたりする可能性があります。

適応型セキュリティ アプライアンスのホスト名とドメイン名が正しく設定されていることを確認します。現在設定されているホスト名とドメイン名を表示するには、 show running-config コマンドを入力します。ホスト名を設定する方法の詳細については、「ホスト名の設定」を参照してください。ドメイン名を設定する方法の詳細については、「日付と時刻の設定」を参照してください。

CA を設定する前に、適応型セキュリティ アプライアンスのクロックが正しく設定されていることを確認します。証明書には、有効になる日時と満了になる日時が指定されています。適応型セキュリティ アプライアンスが CA に登録して証明書を取得するとき、適応型セキュリティ アプライアンスは現在の時刻が証明書の有効期間の範囲内であるかどうかをチェックします。現在の時刻が有効期間の範囲外の場合、登録は失敗します。クロックを設定する方法の詳細については、「日付と時刻の設定」を参照してください。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

フェールオーバーのガイドライン

ステートフル フェールオーバーではセッションの複製はサポートされません。

IPv6 のガイドライン

IPv6 をサポートします。

追加のガイドライン

適応型セキュリティ アプライアンスが CA サーバまたはクライアントとして設定されている場合、推奨される終了日(2038 年 1 月 19 日 03:14:08 UTC)を超えないよう、証明書の有効期を制限してください。このガイドラインは、サードパーティ ベンダーからインポートした証明書にも適用されます。

デジタル証明書の設定

この項では、デジタル証明書を設定する方法について説明します。次の項目を取り上げます。

「キー ペアの設定」

「キー ペアの削除」

「トラストポイントの設定」

「証明書の自動取得」

「CRL のダウンロード」

「ユーザの追加と登録」

「ユーザの更新」

「証明書の無効化」

「ユーザの復元」

「ユーザの削除」

「登録パラメータの設定」

「ローカル CA サーバのイネーブル化」

「ローカル CA サーバのディセーブル化」

「ローカル CA サーバのデバッグ」

「ローカル CA 証明書データベースのメンテナンス」

「ローカル CA 証明書のロールオーバー」

「ローカル CA サーバ証明書およびキー ペアのアーカイブ」

「ローカル CA サーバの削除」

キー ペアの設定

キー ペアを生成するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

crypto key generate rsa
 

hostname/contexta(config)# crypto key generate rsa

1 つの汎用 RSA キー ペアを生成します。デフォルトのキー係数は 1024 です。その他の係数サイズを指定するには、 modulus キーワードを使用します。

(注) 1024 ビットを超える RSA キー ペアを持つ ID 証明書を使用している複数の SSL 接続によって、適応型セキュリティ アプライアンスでの CPU 使用率が高くなり、クライアントレス ログインが拒否される可能性があります。

ステップ 2

crypto key generate rsa label key-pair-label
 

hostname/contexta(config)# crypto key generate rsa label exchange

(オプション)ラベルを各キー ペアに割り当てます。このラベルは、キー ペアを使用するトラストポイントによって参照されます。ラベルを割り当てなかった場合、キー ペアには Default-RSA-Key というラベルが自動的に付けられます。

ステップ 3

show crypto key name of key
 

hostname/contexta(config)# show crypto key examplekey

生成したキー ペアを検証します。

ステップ 4

write memory
 

hostname(config)# write memory

生成したキー ペアを保存します。

キー ペアの削除

キー ペアを削除するには、次の手順を実行します。

 

コマンド
目的
crypto key zeroize rsa
 

hostname(config)# crypto key zeroize rsa

キー ペアを削除します。

次に、キー ペアを削除する例を示します。

hostname(config)# crypto key zeroize rsa
WARNING: All RSA keys will be removed.
WARNING: All device certs issued using these keys will also be removed.
 
Do you really want to remove these keys?[yes/no] y
 

トラストポイントの設定

トラストポイントを設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

crypto ca trustpoint trustpoint-name
 

hostname/contexta(config)# crypto ca trustpoint Main

適応型セキュリティ アプライアンスが証明書を受け取る必要のある CA に対応するトラストポイントを作成します。crypto ca トラストポイント コンフィギュレーション モードに入り、ステップ 3 から設定できる CA 固有のトラストポイント パラメータを制御します。

ステップ 2

次のいずれかのオプションを選択します。

enrollment url url
 

hostname/contexta(config-ca-trustpoint)# enrollment url http://10.29.67.142:80/certsrv/mscep/mscep.dll

SCEP と指定のトラストポイントを使用して自動登録を要求し、登録用 URL を設定します。

enrollment terminal
 

hostname/contexta(config-ca-trustpoint)# enrollment terminal

CA から取得した証明書を端末に貼り付けることによって、指定したトラストポイントで手動登録を要求します。

ステップ 3

revocation-check crl none
revocation-check crl
revocation-check none
 

hostname/contexta(config-ca-trustpoint)# revocation-check crl none

hostname/contexta(config-ca-trustpoint)# revocation-check crl

hostname/contexta(config-ca-trustpoint)# revocation-check none

使用可能な CRL コンフィギュレーション オプションを指定します。

(注) 必須または任意の CRL チェックをイネーブルにするには、証明書を取得してから、CRL 管理用のトラストポイントを設定します。

ステップ 4

crl configure
 

hostname/contexta(config-ca-trustpoint)# crl configure

CRL コンフィギュレーション モードに入ります。

ステップ 5

email address
 

hostname/contexta(config-ca-trustpoint)# email example@cisco.com

登録時に、指定された電子メール アドレスを、証明書の Subject Alternative Name 拡張子に含めるように CA に要求します。

ステップ 6

enrollment retry period
 

hostname/contexta(config-ca-trustpoint)# enrollment retry period 5

(オプション)再試行間隔を分単位で指定し、SCEP 登録 だけ に適用します。

ステップ 7

enrollment retry count
 

hostname/contexta(config-ca-trustpoint)# enrollment retry period 2

(オプション)許可される再試行の最大数を指定し、SCEP 登録 だけ に適用します。

ステップ 8

fqdn fqdn
 

hostname/contexta(config-ca-trustpoint)# fqdn example.cisco.com

登録時に、指定された完全修飾ドメイン名を証明書の Subject Alternative Name 拡張子に含めるように CA に要求します。

ステップ 9

ip-address ip-address
 

hostname/contexta(config-ca-trustpoint)# ip-address 10.10.100.1

登録時に、適応型セキュリティ アプライアンスの IP アドレスを証明書に含めるように CA に要求します。

ステップ 10

keypair name
 

hostname/contexta(config-ca-trustpoint)# keypair exchange

公開キーが認証の対象となるキー ペアを指定します。

ステップ 11

match certificate map-name override ocsp
 

hostname/contexta(config-ca-trustpoint)# match certificate examplemap override ocsp

OCSP の URL の上書きと、OCSP の応答側の証明書の検証に使用するトラストポイントを設定します。

ステップ 12

ocsp disable-nonce
 

hostname/contexta(config-ca-trustpoint)# ocsp disable-nonce

OCSP 要求の nonce 拡張をディセーブルにします。nonce 拡張は、リプレイ攻撃を防ぐために、要求と応答を暗号化してバインドします。

ステップ 13

ocsp url
 

hostname/contexta(config-ca-trustpoint)# ocsp url

適応型セキュリティ アプライアンスで、トラストポイントに関連するすべての証明書をチェックするときに使用する OCSP サーバを設定します。クライアント証明書の AIA 拡張で指定されているサーバは使用しません。

ステップ 14

password string
 

hostname/contexta(config-ca-trustpoint)# password mypassword

登録時に CA に登録されるチャレンジ フレーズを指定します。CA は、通常、このフレーズを使用して、その後の失効要求を認証します。

ステップ 15

revocation check
 
 

hostname/contexta(config-ca-trustpoint)# revocation check

失効チェックの方法(CRL、OCSP、および none)を 1 つまたは複数設定します。

ステップ 16

subject-name X.500 name
 

hostname/contexta(config-ca-trustpoint)# myname X.500 examplename

登録時に、指定されたサブジェクト DN を証明書に含めるように CA に要求します。DN 文字列にカンマが含まれている場合は、値の文字列を二重引用符で囲みます(O="Company, Inc." など)。

ステップ 17

serial-number
 

hostname/contexta(config-ca-trustpoint)# serial number JMX1213L2A7

登録時に、適応型セキュリティ アプライアンスのシリアル番号を証明書に含めるように CA に要求します。

ステップ 18

write memory
 

hostname/contexta(config)# write memory

実行コンフィギュレーションを保存します。

証明書の自動取得

証明書を自動で取得するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

crypto ca authenticate trustpoint
 

hostname/contexta(config)# crypto ca authenticate Main

設定したトラストポイントの CA 証明書を取得します。

ステップ 2

crypto ca enroll trustpoint
 

hostname/contexta(config)# crypto ca enroll Main

このトラストポイントを持つ適応型セキュリティ アプライアンスを登録します。署名データの証明書を取得し、設定したキーのタイプによっては暗号化データの証明書も取得します。CA の管理者は、CA が証明書を付与する前に手動で登録要求を認証しなければならない場合があるため、このコマンドを入力する前に CA の管理者に連絡してください。

適応型セキュリティ アプライアンスが証明書要求を送信してから 1 分(デフォルト)以内に CA から証明書を受け取らなかった場合は、証明書要求が再送信されます。適応型セキュリティ アプライアンスによって、証明書を受信するまで 1 分ごとに証明書要求が送信されます。

トラストポイントの完全修飾ドメイン名が適応型セキュリティ アプライアンスの完全修飾ドメイン名と一致しなかった場合(完全修飾ドメイン名が文字の場合も含む)、警告が表示されます。この問題を解決するには、登録プロセスを終了し、必要な修正を行ってから、 crypto ca enroll コマンドを再入力します。

コマンドを再入力して、CA 管理者に連絡してください。

ステップ 3

show crypto ca server certificate
 

hostname/contexta(config)# show crypto ca server certificate Main

適応型セキュリティ アプライアンスに発行された証明書の詳細とトラストポイントの CA 証明書を表示して、登録プロセスが成功したことを確認します。

ステップ 4

write memory
 

hostname/contexta(config)# write memory

実行コンフィギュレーションを保存します。

CRL の保存

自動的に生成されるローカル CA の CRL に特定の場所を設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

crypto ca server
 

hostname (config)# crypto ca server

ローカル CA サーバ コンフィギュレーション モードに入ります。ローカル CA の設定と管理を許可します。

ステップ 2

cdp-url url
 

hostname(config-ca-server) # cdp-url http://99.1.1.99/pathname/myca.crl

対象となるすべての証明書に含まれる Cisco Discovery Protocol(CDP)を指定します。CDP に特定の場所を設定しない場合、デフォルトの URL は http:// hostname.domain /+CSCOCA+/asa_ca.crl になります。

ローカル CA は、ユーザ証明書が無効化または無効化解除されるたびに、CRL を更新および再発行します。無効化に変更がない場合、CRL のライフタイムごとに 1 回 CRL が再発行されます。

このコマンドがローカル CA 適応型セキュリティ アプライアンスから直接 CRL を処理するように設定されている場合に、インターフェイスのポートを開き、CRL をインターフェイスからアクセスできるようにする手順については、「CRL のダウンロード」を参照してください。

CRL は、ローカル CA によって発行された証明書の失効を検証する他のデバイスのためにあります。また、ローカル CA は、自らの証明書データベース内にあるすべての発行済み証明書とステータスを追跡します。検証する機関が、外部サーバから失効ステータスを取得してユーザ証明書を検証する必要がある場合、失効チェックが行われます。この場合、外部サーバは、証明書を発行した CA、または CA が指定したサーバである可能性があります。

CRL のダウンロード

特定のインターフェイスまたはポートで、CRL を HTTP ダウンロードできるようにするには、次の手順を実行します。

 

コマンド
目的

ステップ 1

crypto ca server
 

hostname (config)# crypto ca server

ローカル CA サーバ コンフィギュレーション モードに入ります。ローカル CA の設定と管理を許可します。

ステップ 2

publish-crl interface interface port portnumber
 

hostname (config-ca-server)# publish-crl outside 70

インターフェイスのポートを開き、CRL をインターフェイスからアクセスできるようにします。指定したインターフェイスおよびポートを使用して、CRL の着信要求をリスンします。選択できるインターフェイスと任意のポートは、次のとおりです。

[inside]:interfgace/GigabitEthernet0/1 の名前

[management]:interface/Management0/0 の名前

[outside]:interface/GigabitEthernet0/0 の名前

ポート番号の範囲は 1 ~ 65535 です。TCP ポート 80 は、HTTP のデフォルト ポート番号です。

(注) インターフェイスを開いて CRL ファイルをダウンロードするにはこのコマンドが必要であるため、このコマンドを指定しないと、CDP の場所から CRL にアクセスできません。

CDP URL でインターフェイスの IP アドレスを使用するように設定し、CDP URL およびファイル名のパスも設定できます(http://10.10.10.100/user8/my_crl_file など)。

この場合、その IP アドレスが設定されたインターフェイスだけが CRL 要求をリスンします。要求を受信すると、適応型セキュリティ アプライアンスによってパス /user8/my_crl_file と設定済み CDP URL が照合されます。パスが一致すると、適応型セキュリティ アプライアンスから、保存されている CRL ファイルが返されます。

(注) プロトコルは必ず HTTP にします。したがって、プレフィックスは http:// です。

ユーザの追加と登録

ローカル CA データベースに登録できるユーザを追加するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

crypto ca server user-db add username [dn dn ] [email emailaddress ]
 

hostname (config-ca-server)# crypto ca server user-db add jksmith dn jksmith@example.com, Engineer, Example Systems, US, email jksmith@example.com

ローカル CA サーバ ユーザ データベースに新規ユーザを追加します。オプションは次のとおりです。

username:4 ~ 64 文字の文字列で、追加するユーザの単純なユーザ名です。ユーザ名には、電子メール アドレスを指定できます。この電子メール アドレスを使用して、登録案内の際に必要に応じてユーザに連絡を取ることができます。

dn :認定者名。OSI ディレクトリ(X.500)内のグローバルな正規のエントリ名です(たとえば、cn=maryjane@ASC.com、cn=Engineer、o=ASC Systems、c=US のようになります)。

e-mail-address :One Time Password(OTP; ワンタイム パスワード)および通知が送信される、新しいユーザの電子メール アドレスです。

ステップ 2

crypto ca server user-db allow user
 

hostname (config-ca-server)# crypto ca server user-db allow user6

新たに追加したユーザにユーザ特権を付与します。

ステップ 3

crypto ca server user-db email-otp username
 

hostname (config-ca-server)# crypto ca server user-db email-otp jksmith

ローカル CA データベースのユーザに、ユーザ証明書を登録およびダウンロードするように通知します。そのユーザには、OTP が自動的に電子メールで送信されます。

(注) 管理者は、電子メールでのユーザ通知が必要である場合、ユーザを追加するときに、ユーザ名フィールドまたは電子メール フィールドに電子メール アドレスを指定する必要があります。

ステップ 4

crypto ca server user-db show-otp
 

hostname (config-ca-server)# crypto ca server user-db show-otp

対象の OTP を表示します。

ステップ 5

otp expiration timeout
 

hostname (config-ca-server)# otp expiration 24

登録の時間制限を時間単位で設定します。デフォルトの有効期間は 72 時間です。otp expiration コマンドは、OTP がユーザ登録に有効な期間を定義します。この期間は、ユーザが登録を許可されたときに開始します。

ユーザが正しい OTP を使って時間制限内に正常に登録すると、ローカル CA サーバによって PKCS12 ファイルが作成されます。これには、そのユーザのキー ペア、生成されたキー ペアの公開キーに基づいたユーザ証明書、およびユーザを追加したときに指定した subject-name DN が含まれます。PKCS12 ファイルの内容は、OTP と呼ばれるパスフレーズによって保護されます。OTP は手動で処理できます。または、管理者が登録を許可した後、このファイルをローカル CA からユーザに電子メールで送信し、ダウンロードすることもできます。

PKCS12 ファイルは、 username.p12 という名前で一時的なストレージに保存されます。ストレージ内の PKCS12 ファイルを使用して、登録取得期間内に戻り、PKCS12 ファイルを必要な回数だけダウンロードすることができます。登録取得期間が過ぎると、PKCS12 ファイルがストレージから自動的に削除され、ダウンロードできなくなります。

(注) ユーザ証明書が含まれる PKCS12 ファイルを取得する前に登録の有効期間が切れた場合、登録は許可されません。

ユーザの更新

更新通知のタイミングを指定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

crypto ca server
 

hostname (config)# crypto ca server

ローカル CA サーバ コンフィギュレーション モードに入ります。ローカル CA の設定と管理を許可します。

ステップ 2

renewal-reminder time
 

hostname (config-ca-server) # renewal-reminder 7

ローカル CA 証明書の有効期限までの日数(1 ~ 90)を指定します。この日数が経過すると、再登録に関する最初の通知が証明書所有者に送信されます。証明書は、有効期限を過ぎると無効になります。

電子メールでユーザに送信される更新通知のタイプや送信時機の設定は各種あり、ローカル CA サーバの設定中に管理者が設定できます。

3 種類の通知が送信されます。ユーザ データベースに電子メール アドレスが指定されている場合、3 種類ある通知ごとに、電子メールが自動的に証明書所有者に送信されます。ユーザの電子メール アドレスを指定していない場合、syslog メッセージが更新要件を警告します。

ユーザがユーザ データベース内に存在する限り、適応型セキュリティ アプライアンスによって、有効期限間近の有効な証明書を持つすべてのユーザに、証明書の更新特権が自動的に付与されます。したがって、管理者がユーザに自動更新を許可しない場合、更新期間の前にそのユーザをデータベースから削除する必要があります。

証明書の無効化

ユーザ証明書を無効にするには、次の手順を実行します。

 

コマンド
目的

ステップ 1

crypto ca server
 

hostname (config)# crypto ca server

ローカル CA サーバ コンフィギュレーション モードに入ります。ローカル CA の設定と管理を許可します。

ステップ 2

crypto ca server revoke cert - serial-no
 

hostname (config-ca-server)# crypto ca server revoke 782ea09f

16 進数の形式で証明書のシリアル番号を入力します。ローカル CA サーバ上の証明書データベースと CRL で証明書に無効のマークを付けます。CRL は、自動的に再発行されます。

(注) 適応型セキュリティ アプライアンスの証明書を無効にするには、パスワードも必要なので、パスワードは必ず記録し、安全な場所に保管してください。

ユーザの復元

ローカル CA サーバによって発行され、以前無効にした証明書とユーザを復元するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

crypto ca server
 

hostname (config)# crypto ca server

ローカル CA サーバ コンフィギュレーション モードに入ります。ローカル CA の設定と管理を許可します。

ステップ 2

crypto ca server unrevoke cert - serial-no
 

hostname (config)# crypto ca server unrevoke 782ea09f

ユーザを復元し、ローカル CA サーバによって発行され、以前無効にした証明書を無効化解除します。

ローカル CA では、CRL は、無効になったすべてのユーザ証明書のシリアル番号で保持されます。このリストは外部デバイスで使用でき、 cdp-url コマンドや publish-crl コマンドなどで設定されている場合に、ローカル CA から直接取得することができます。証明書のシリアル番号で、現在の証明書を無効化(または無効化解除)すると、CRL にはそれらの変更が自動的に反映されます。

ユーザの削除

ユーザ データベースからユーザ名によってユーザを削除するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

crypto ca server
 

hostname (config)# crypto ca server

ローカル CA サーバ コンフィギュレーション モードに入ります。ローカル CA の設定と管理を許可します。

ステップ 2

crypto ca server user-db remove username
 

hostname (config)# crypto ca server user-db remove user1

ユーザ データベースからユーザを削除し、そのユーザに発行された有効な証明書の無効化を許可します。

登録パラメータの設定

登録パラメータを設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

crypto ca server
 

hostname (config)# crypto ca server

ローカル CA サーバ コンフィギュレーション モードに入ります。ローカル CA の設定と管理を許可します。

ステップ 2

otp expiration timeout
 

hostname(config-ca-server) # otp expiration 24

ローカル CA 登録ページに対して発行された OTP が有効である期間を時間数で指定します。デフォルトの有効期間は 72 時間です。

(注) 登録 Web サイトで証明書に登録するためのユーザ OTP をパスワードとして使用して、ユーザの発行済み証明書およびキー ペアが含まれる PKCS12 ファイルをロック解除することもできます。

ステップ 3

enrollment-retrieval timeout
 

hostname(config-ca-server) # enrollment-retrieval 120

登録済みユーザが PKCS12 登録ファイルを取得できる期間を時間単位で指定します。この期間は、ユーザが正常に登録されたときに開始します。デフォルトの取得期間は 24 時間です。取得期間の有効値の範囲は 1 ~ 720 時間です。登録取得期間は、OTP の有効期間とは関係ありません。

登録取得期間が過ぎた後、ユーザ証明書とキー ペアは無効になります。ユーザが証明書を受け取る唯一の方法は、管理者が証明書の登録を再開し、ユーザの再ログインを許可することです。

ローカル CA サーバのイネーブル化

ローカル CA サーバをイネーブルにする前に、7 文字以上からなるパスフレーズを作成して、生成されるローカル CA 証明書とキー ペアを含む PKCS12 ファイルを符号化し、アーカイブしておく必要があります。CA 証明書またはキー ペアが失われた場合は、パスフレーズを使用して PKCS12 アーカイブをロック解除します。

ローカル CA サーバをイネーブルにするには、次の手順を実行します。

 

コマンド
目的

ステップ 1

crypto ca server
 

hostname (config)# crypto ca server

ローカル CA サーバ コンフィギュレーション モードに入ります。ローカル CA の設定と管理を許可します。

ステップ 2

no shutdown
 

hostname ( config-ca-server )# no shutdown

ローカル CA サーバをイネーブルにします。ローカル CA サーバの証明書、キー ペア、および必要なデータベース ファイルを生成し、ローカル CA サーバの証明書とキー ペアを PKCS12 ファイル内のストレージにアーカイブします。8 ~ 65 文字の英数字のパスワードが必要になります。初期スタートアップ後、パスフレーズを求めるプロンプトを表示せずにローカル CA をディセーブルにすることができます。

(注) ローカル CA サーバをイネーブルにしたら、コンフィギュレーションを保存して、リブート後にローカル CA 証明書とキー ペアが失われないようにします。

次の例では、ローカル CA サーバをイネーブルにします。

hostname (config)# crypto ca server

hostname (config-ca-server)# no shutdown
 
% Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key
% or type Return to exit
 
Password: caserver
 
Re-enter password: caserver
 
Keypair generation process begin.Please wait...
 

次に、ローカル CA サーバのコンフィギュレーションとステータスを表示するサンプル出力を示します。

Certificate Server LOCAL-CA-SERVER:
Status: enabled
State: enabled
Server's configuration is locked (enter “shutdown” to unlock it)
Issuer name: CN=wz5520-1-16
CA certificate fingerprint/thumbprint: (MD5)
76dd1439 ac94fdbc 74a0a89f cb815acc
CA certificate fingerprint/thumbprint: (SHA1)
58754ffd 9f19f9fd b13b4b02 15b3e4be b70b5a83
Last certificate issued serial number: 0x6
CA certificate expiration timer: 14:25:11 UTC Jan 16 2008
CRL NextUpdate timer: 16:09:55 UTC Jan 24 2007
Current primary storage dir: flash:
 

ローカル CA サーバのディセーブル化

ローカル CA サーバをディセーブルにするには、次の手順を実行します。

 

コマンド
目的

ステップ 1

crypto ca server
 

hostname (config)# crypto ca server

ローカル CA サーバ コンフィギュレーション モードに入ります。ローカル CA の設定と管理を許可します。

ステップ 2

shutdown
 

hostname ( config-ca-server )# shutdown

INFO: Local CA Server has been shutdown.

ローカル CA サーバをディセーブルにします。Web サイト登録をディセーブルにして、ローカル CA サーバ コンフィギュレーションの修正を可能にします。現在のコンフィギュレーションと関連付けられたファイルを保存します。初期スタートアップ後、パスフレーズを求めるプロンプトを表示せずにローカル CA を再びイネーブルにすることができます。

ローカル CA サーバのデバッグ

新たに設定されたローカル CA サーバをデバッグするには、次のコマンドを入力します。

 

コマンド
目的

ステップ 1

crypto ca server
 

hostname (config)# crypto ca server

ローカル CA サーバ コンフィギュレーション モードに入ります。ローカル CA の設定と管理を許可します。

ステップ 2

debug crypto ca server
 

hostname ( config-ca-server )# debug crypto ca server

ローカル CA サーバを設定およびイネーブルにするときに、デバッグ メッセージを表示します。レベル 1 のデバッグ機能を実行します。レベル 1 ~ 255 を使用できます。

(注) デバッグ コマンドによって、ビジー状態のネットワークのトラフィックが低速化することがあります。レベル 5 以上は、未加工データのダンプのために予約されており、出力が多くなりすぎるため、通常のデバッグ時は避ける必要があります。

ローカル CA 証明書データベースのメンテナンス

ローカル CA 証明書データベースを維持するため、データベースに変更が加えられるたびに write memory コマンドを使用して、証明書データベース ファイル LOCAL-CA-SERVER.cdb を保存してください。ローカル CA 証明書データベースには、次のファイルが含まれます。

LOCAL-CA-SERVER.p12 は、ローカル CA サーバを最初にイネーブルにしたときに生成されたローカル CA 証明書とキー ペアのアーカイブです。

LOCAL-CA-SERVER.crl ファイルは、実際の CRL です。

LOCAL-CA-SERVER.ser ファイルでは、発行済み証明書のシリアル番号が追跡されます。

ローカル CA 証明書のロールオーバー

ローカル CA 証明書の有効期限の 30 日前に、ロールオーバー代替証明書が生成され、syslog メッセージ情報で管理者にローカル CA のロールオーバーの時期であることが知らされます。新しいローカル CA 証明書は、現在の証明書が有効期限に達する前に、必要なすべてのデバイスにインポートする必要があります。管理者が、新しいローカル CA 証明書としてロールオーバー証明書をインストールして応答しない場合、検証が失敗する可能性があります。

ローカル CA 証明書は、同じキー ペアを使用して期限満了後に自動的にロールオーバーします。ロールオーバー証明書は、base 64 形式でエクスポートに使用できます。

次に、base 64 で符号化されたローカル CA 証明書の例を示します。

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....
 
END OF CERTIFICATE
 

ローカル CA サーバ証明書およびキー ペアのアーカイブ

ローカル CA サーバ認証とキー ペアをアーカイブするには、次のコマンドを入力します。

 

コマンド
目的
copy
 
hostname# copy LOCAL-CA-SERVER_0001.pl2 tftp://90.1.1.22/user6/

FTP または TFTP を使用して、ローカル CA サーバ証明書とキー ペア、および適応型セキュリティ アプライアンスからのすべてのファイルをコピーします。

(注) すべてのローカル CA ファイルをできるだけ頻繁にバックアップしてください。

ローカル CA サーバの削除

既存のローカル CA サーバ(イネーブル状態またはディセーブル状態)を削除するには、次のいずれかのコマンドを入力します。

 

コマンド
目的

次のいずれかを実行します。

no crypto ca server
 

hostname (config)# no crypto ca server

既存のローカル CA サーバ(イネーブル状態またはディセーブル状態)を削除します。

(注) ローカル CA サーバを削除すると、適応型セキュリティ アプライアンスからコンフィギュレーションが削除されます。削除されたコンフィギュレーションは元に戻せません。

関連付けられたローカル CA サーバのデータベースとコンフィギュレーション ファイル(つまり、ワイルドカード名が LOCAL-CA-SERVER.* のすべてのファイル)も必ず削除してください。

clear configure crypto ca server
 

hostname (config)# clear config crypto ca server

デジタル証明書のモニタリング

証明書のコンフィギュレーションとデータベース情報を表示するには、次のコマンドの 1 つまたは複数を入力します。

 

コマンド
目的

show crypto ca server

ローカル CA のコンフィギュレーションとステータスを表示します。

show crypto ca server cert-db

ローカル CA によって発行されたユーザ証明書を表示します。

show crypto ca server certificate

コンソールに base 64 形式でローカル CA 証明書を表示し、使用可能な場合は、他のデバイスへのインポート時に新しい証明書の検証に使うためのロールオーバー証明書のサムプリントを含むロールオーバー証明書の情報を表示します。

show crypto ca server crl

CRL を表示します。

show crypto ca server user-db

ユーザとユーザのステータスを表示します。この情報に次の修飾子を使用して、表示されるレコード数を減らすことができます。

allowed: 現在登録が許可されているユーザだけを表示します。

enrolled: 登録され、有効な証明書を持つユーザだけを表示します。

expired: 期間満了になった証明書を持つユーザだけを表示します。

on-hold: 証明書を持たず現在登録が許可されていないユーザだけを表示します。

show crypto ca server user-db allowed

登録できるユーザを表示します。

show crypto ca server user-db enrolled

有効な証明書を持つ登録済みユーザを表示します。

show crypto ca server user-db expired

期間満了した証明書を持つユーザを表示します。

show crypto ca server user-db on-hold

証明書がなく、登録が許可されていないユーザを表示します。

show crypto key name of key

生成したキー ペアを表示します。

show running-config

ローカル CA 証明書マップ規則を表示します。

次の例では、汎用 RSA キーを表示します。

hostname/contexta(config)# show crypto key mypubkey
Key pair was generated at: 16:39:47 central Feb 10 2005
Key name: <Default-RSA-Key>
Usage: General Purpose Key
Modulus Size (bits): 1024
Key Data:
 
30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 00ea51b7
0781848f 78bccac2 4a1b5b8d 2f3e30b4 4cae9f86 f4485207 159108c9 f5e49103
9eeb0f5d 45fd1811 3b4aafce 292b3b64 b4124a6f 7a777b08 75b88df1 8092a9f8
5508e9e5 2c271245 7fd1c0c3 3aaf1e04 c7c4efa4 600f4c4a 6afe56ad c1d2c01c
e08407dd 45d9e36e 8cc0bfef 14f9e6ac eca141e4 276d7358 f7f50d13 79020301 0001
Key pair was generated at: 16:34:54 central Feb 10 2005
 

次に、ローカル CA CRL を表示する例を示します。

hostname (config)# show crypto ca server crl
Certificate Revocation List:
Issuer: cn=xx5520-1-3-2007-1
This Update: 13:32:53 UTC Jan 4 2008
Next Update: 13:32:53 UTC Feb 3 2008
Number of CRL entries: 2
CRL size: 270 bytes
Revoked Certificates:
Serial Number: 0x6f
Revocation Date: 12:30:01 UTC Jan 4 2008
Serial Number: 0x47
Revocation Date: 13:32:48 UTC Jan 4 2008
 

次に、1 人の保留中のユーザを表示する例を示します。

hostname (config)# show crypto ca server user-db on-hold
username: wilma101
email: <None>
dn: <None>
allowed: <not allowed>
notified: 0
hostname (config)#
 

次に、 show running-config コマンドの出力例を示します。この出力には、ローカル CA 証明書マップ規則が表示されています。

crypto ca certificate map 1
issuer-name co asc
subject-name attr ou eq Engineering
 

証明書管理の機能履歴

表 36-1 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

表 36-1 証明書管理の機能履歴

機能名
プラットフォーム リリース
機能情報

証明書管理

7.0(1)

デジタル証明書(CA 証明書、ID 証明書、およびコード署名者証明書など)は、認証用のデジタル ID を提供します。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなど、ユーザまたはデバイスを識別する情報が含まれます。CA は、証明書に「署名」してその認証を確認することで、デバイスまたはユーザの身元を保証する、信頼できる機関です。CA は、公開キーまたは秘密キーの暗号化を使用してセキュリティを保証する PKI コンテキストで、デジタル証明書を発行します。

証明書管理

7.2(1)

次のコマンドは廃止されました。

crl {required | optional | nocheck}

廃止されたこれらのコマンドは、次のコマンドに置き換えられました。

revocation-check crl none、revocation-check crl、および revocation-check none。

次のコマンドが導入されました。

issuer-name DN-string

証明書管理

8.0(2)

次のコマンドが導入されました。

cdp-url crypto ca server crypto ca server crl issue 、crypto ca server revoke cert-serial-no、crypto ca server unrevoke cert-serial-no、crypto ca server user-db add user [dn dn] [email e-mail-address]、crypto ca server user-db allow {username | all-unenrolled | all-certholders} [display-otp] [email-otp] [replace-otp]、crypto ca server user-db email-otp {username | all-unenrolled | all-certholders}、crypto ca server user-db remove username、crypto ca server user-db show-otp {username | all-certholders | all-unenrolled}、 crypto ca server user-db write 、[no] database path mount-name directory-path、debug crypto ca server [level]、lifetime {ca-certificate | certificate | crl} time、no shutdown、otp expiration timeout、renewal-reminder time、 show crypto ca server 、show crypto ca server cert-db [user username | allowed | enrolled | expired | on-hold] [serial certificate-serial-number]、 show crypto ca server certificate show crypto ca server crl 、show crypto ca server user-db [expired | allowed | on-hold | enrolled]、show crypto key name of key、 show running-config shutdown