Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド リファレンス
java-trustpoint コマンド~ kill コマンド
java-trustpoint コマンド~ kill コマンド
発行日;2012/02/24 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 24MB) | フィードバック

目次

java-trustpoint コマンド~ kill コマンド

java-trustpoint

join-failover-group

jumbo-frame reservation

keepout

kerberos-realm

key

keypair

keysize

keysize server

kill

java-trustpoint コマンド~ kill コマンド

java-trustpoint

指定したトラストポイントの場所から PKCS12 証明書とキー関連情報を使用する WebVPN Java オブジェクト署名機能を設定するには、Webvpn コンフィギュレーション モードで java-trustpoint コマンドを使用します。

Java オブジェクト署名のトラストポイントを削除するには、このコマンドの no 形式を使用します。

java-trustpoint trustpoint

no java-trustpoint

 
シンタックスの説明

trustpoint

crypto ca import コマンドによって設定されたトラストポイントの場所を指定します。

 
デフォルト

デフォルトでは、Java オブジェクト署名のトラストポイントは none に設定されています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

WebVPN コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.1(2)

このコマンドが導入されました。

 
使用上のガイドライン

トラストポイントは、certificate authority(CA; 認証局)または ID キー ペアを表します。java-trustpoint コマンドの場合、指定したトラストポイントにはアプリケーション署名エンティティの X.509 証明書、その証明書に対応する RSA 秘密鍵、ルート CA までの認証局チェーンを含める必要があります。そのためには通常、 crypto ca import コマンドを使用して PKCS12 形式のバンドルをインポートします。PKCS12 バンドルは、信頼できる CA 認証局から入手するか、openssl といったオープン ソース ツールを使用して既存の X.509 証明書と RSA 秘密鍵から手作業で作成できます。

次の例では、最初に新しいトラストポイントを設定してから、そのトラストポイントを WebVPN Java オブジェクト署名用に設定します。次のコマンドは、mytrustpoint という新しいトラストポイントを作成します。

hostname(config)# crypto ca import mytrustpoint pkcs12 mypassphrase
Enter the base 64 encoded PKCS12.
End with the word “quit” on a line by itself.
[ PKCS12 data omitted ]
quit
INFO: Import PKCS12 operation completed successfully.
hostname(config)#
 

次の例は、WebVPN Java オブジェクトに署名する新しいトラストポイントを設定します。

hostname(config)# webvpn
hostname(config)# java-trustpoint mytrustpoint
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ca import

PKCS12 データを使用してトラストポイントの証明書とキー ペアをインポートします。

join-failover-group

コンテキストをフェールオーバー グループに割り当てるには、コンテキスト コンフィギュレーション モードで join-failover-group コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

join-failover-group group_num

no join-failover-group group_num

 
シンタックスの説明

group_num

フェールオーバー グループの番号を指定します。

 
デフォルト

フェールオーバー グループ 1。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

コンテキスト コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

管理コンテキストは、常にフェールオーバー グループ 1 に割り当てられます。フェールオーバー グループとコンテキストの関連付けを表示するには、 show context detail コマンドを使用します。

コンテキストをフェールオーバー グループに割り当てる前に、 failover group コマンドを使用して、フェールオーバー グループをシステム コンテキスト内に作成する必要があります。このコマンドは、コンテキストがアクティブな状態になっている装置上で入力します。デフォルトでは、未割り当てのコンテキストは、フェールオーバー グループ 1 のメンバーになっています。そのため、コンテキストがまだフェールオーバー グループに割り当てられていない場合は、フェールオーバー グループ 1 がアクティブ状態になっている装置上で、このコマンドを入力する必要があります。

システムからフェールオーバー グループを削除するには、事前に no join-failover-group コマンドを使用して、フェールオーバー グループからコンテキストをすべて削除しておく必要があります。

次の例では、ctx1 というコンテキストをフェールオーバー グループ 2 に割り当てます。

hostname(config)# context ctx1
hostname(config-context)# join-failover-group 2
hostname(config-context)# exit
 

 
関連コマンド

コマンド
説明

context

指定したコンテキストのコンテキスト コンフィギュレーション モードに入ります。

failover group

Active/Active フェールオーバーのためのフェールオーバー グループを定義します。

show context detail

コンテキストの詳細情報(名前、クラス、インターフェイス、フェールオーバー グループの関連付け、およびコンフィギュレーション ファイルの URL など)を表示します。

jumbo-frame reservation

インターフェイス アダプタでギガビット イーサネット インターフェイスおよび 10 ギガビット イーサネット インターフェイスのジャンボ フレームをイネーブルにするには、グローバル コンフィギュレーション モードで jumbo-frame reservation コマンドを使用します。埋め込み管理ポートではジャンボ フレームはサポートされていません。ジャンボ フレームをディセーブルにするには、このコマンドの no 形式を使用します。


) この設定を変更するには、セキュリティ アプライアンスをリブートする必要があります。


jumbo-frame reservation

no jumbo-frame reservation

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

ジャンボ フレームの予約はデフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

8.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

ジャンボ フレームは、最大 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)から 9216 バイトまでの標準より大きなイーサネット パケットです。ジャンボ フレームをサポートするには余分なメモリが必要です。これにより、アクセス リストなど他の機能を最大限使用できなくなる場合があります。

ジャンボ フレームを送信する必要がある各インターフェイスの MTU は、デフォルト値の 1500 よりさらに高い値を設定してください。たとえば、 mtu コマンドを使用して値を 9000 に設定します。

また、ジャンボ フレームを使用する場合は TCP の MSS(最大セグメント サイズ)値も設定してください。MSS は MTU より 120 バイト少ないサイズにします。たとえば、MTU を 9000 に設定した場合、MSS は 8880 に設定する必要があります。MSS は sysopt connection tcpmss .コマンドで設定できます。

フェールオーバー ペアがジャンボ フレームをサポートするよう、プライマリ装置およびセカンダリ装置の両方をリブートする必要があります。ダウンタイムを回避するには、次の内容を実行します。

アクティブな装置でコマンドを発行します。

アクティブな装置で実行コンフィギュレーションを保存します。

一度に 1 つずつプライマリ装置およびセカンダリ装置をリブートします。

次の例では、ジャンボ フレームの予約がイネーブルにされており、コンフィギュレーションを保存し、セキュリティ アプライアンスをリロードしています。

hostname(config)# jumbo-frame reservation
WARNING: this command will take effect after the running-config is saved
and the system has been rebooted. Command accepted.
 
hostname(config)# write memory
Building configuration...
Cryptochecksum: 718e3706 4edb11ea 69af58d0 0a6b7cb5
 
70291 bytes copied in 3.710 secs (23430 bytes/sec)
[OK]
hostname(config)# reload
Proceed with reload? [confirm] Y
 

 
関連コマンド

コマンド
説明

mtu

インターフェイスの最大伝送ユニットを指定します。

show jumbo-frame reservation

jumbo-frame reservation コマンドの現在のコンフィギュレーションを示します。

keepout

セキュリティ アプライアンスのメンテナンスまたはトラブルシューティングの実施時に、新しいユーザ セッションのログイン ページではなく、立ち入り禁止の Web ページを表示するには、webvpn コンフィギュレーション モードで keepout コマンドを使用します。以前に設定された立ち入り禁止ページを削除するには、このコマンドの no 形式を使用します。

keepout

no keepout string

 
シンタックスの説明

string

二重引用符で囲んだ英数字の文字列。

 
デフォルト

立ち入り禁止ページはありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション モード

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

セキュリティ アプライアンスが使用できないことを通知するには、keepout コマンドを使用します。

次の例は、立ち入り禁止ページを設定する方法を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# keepout “The system is unavailable until 7:00 a.m. EST.”
hostname(config-webvpn)#

 
関連コマンド

コマンド
説明

webvpn

webvpn コンフィギュレーション モードに入って、クライアントレス SSLVPN 接続のアトリビュートを設定できるようにします。

kerberos-realm

この Kerberos サーバのレルム名を指定するには、AAA サーバ ホスト コンフィギュレーション モードで kerberos-realm コマンドを使用します。レルム名を削除するには、このコマンドの no 形式を使用します。

kerberos-realm string

no kerberos-realm

 
シンタックスの説明

string

大文字と小文字が区別される最大 64 文字の英数字の文字列。文字列にスペースは使用できません。

引数に小文字のアルファベットを使用できますが、小文字は大文字に変換されません。必ず大文字のアルファベットだけを使用してください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このリリースで導入されました。

 
使用上のガイドライン

このコマンドは、Kerberos サーバに対してのみ有効です。

Microsoft Windows の set USERDNSDOMAIN コマンドを Kerberos レルムの Windows 2000 Active Directory サーバ上で実行する場合は、 string 引数の値をこのコマンドの出力と一致させる必要があります。次の例では、EXAMPLE.COM が Kerberos レルム名です。

C:\>set USERDNSDOMAIN
USERDNSDOMAIN=EXAMPLE.COM
 

string 引数には、数字と大文字のアルファベットのみを使用する必要があります。 kerberos-realm コマンドでは、大文字と小文字が区別されます。また、セキュリティ アプライアンスでは、小文字は大文字に変換されません。

次のシーケンスは、AAA サーバ ホストの設定に関するコンテキストで Kerberos レルムを「EXAMPLE.COM」に設定するための kerberos-realm コマンドを示しています。

hostname(config)# aaa-server svrgrp1 protocol kerberos
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry 7
hostname(config-aaa-server-host)# kerberos-realm EXAMPLE.COM
hostname(config-aaa-server-host)# exit
hostname(config)#

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション サブモードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コマンド文をコンフィギュレーションから削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

key

AAA サーバに対して NAS を認証するために使用されるサーバ シークレットの値を指定するには、AAA サーバ ホスト コンフィギュレーション モードで key コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。キーを削除するには、このコマンドの no 形式を使用します。

key key

no key

 
シンタックスの説明

key

最大 127 文字の英数字キーワード。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

key の値は、127 文字までの英数字で構成されているキーワードで、TACACS+ サーバ上のキーと同じ値にします。アルファベットの大文字と小文字は区別されます。128 文字以降に入力された文字は、すべて無視されます。このキーは、クライアントとサーバの間でやり取りするデータを暗号化するために使用されます。キーは、クライアント システムとサーバ システムの両方で同一である必要があります。キーにスペースは使用できませんが、その他の特殊文字は使用できます。キー(サーバ シークレット)の値は、セキュリティ アプライアンスを AAA サーバに対して認証します。

このコマンドは、RADIUS サーバと TACACS+ サーバに対してのみ有効です。

以前の PIX Firewall のバージョンで使用されていた aaa-server コマンドの key パラメータは、対応する key コマンドに自動的に変換されます。

次の例では、ホスト「1.2.3.4」上で「srvgrp1」という TACACS+ AAA サーバを設定し、タイムアウトを 9 秒に設定し、リトライ間隔を 7 秒に設定し、キーを「myexclusivemumblekey」として設定します。

hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# key myexclusivemumblekey
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コマンド文をコンフィギュレーションから削除します。

show running-config aaa-server

AAA サーバのコンフィギュレーションを表示します。

keypair

証明する公開鍵のキー ペアを指定するには、暗号 CA トラストポイント コンフィギュレーション モードで keypair コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

keypair name

no keypair

 
シンタックスの説明

name

キー ペアの名前を指定します。

 
デフォルト

デフォルト設定では、キー ペアは含まれません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0

このコマンドが導入されました。

次の例では、central トラストポイントの暗号 CA トラストポイント コンフィギュレーション モードに入り、central トラストポイント用に証明するキー ペアを指定します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# keypair exchange
 

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードに入ります。

crypto key generate dsa

DSA キーを生成します。

crypto key generate rsa

RSA キーを生成します。

default enrollment

登録パラメータをデフォルトに戻します。

keysize

ユーザ証明書の登録で、ローカルの Certificate Authority(CA; 認証局)サーバによって生成される公開鍵と秘密鍵のサイズを指定するには、CA サーバ コンフィギュレーション モードで keysize コマンドを使用します。鍵のサイズをデフォルトの 1024 ビットの長さにリセットするには、このコマンドの no 形式を使用します。

keysize { 512 | 768 | 1024 | 2048 }

no keysize

 
シンタックスの説明

512

証明書の登録で生成される公開鍵と秘密鍵のサイズを 512 ビットに指定します。

768

証明書の登録で生成される公開鍵と秘密鍵のサイズを 768 ビットに指定します。

1024

証明書の登録で生成される公開鍵と秘密鍵のサイズを 1024 ビットに指定します。

2048

証明書の登録で生成される公開鍵と秘密鍵のサイズを 2048 ビットに指定します。

 
デフォルト

デフォルトでは、このキー ペアの各鍵の長さは 1024 ビットです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

次の例では、ローカル CA サーバによってユーザ用に生成される、公開鍵と秘密鍵のすべてのキー ペアの鍵のサイズを 2048 ビットに指定します。

hostname(config)# crypto ca server
hostname(config-ca-server))# keysize 2048
hostname(config-ca-server)#
 

次の例では、ローカル CA サーバによってユーザ用に生成される、公開鍵と秘密鍵のすべてのキー ペアの鍵のサイズを、デフォルトの 1024 ビットの長さにリセットします。

hostname(config)# crypto ca server
hostname(config-ca-server)# no keysize
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットへのアクセスを提供し、ローカル CA の設定と管理ができるようにします。

issuer-name

認証局の証明書のサブジェクト名 DN を指定します。

subject-name-default

CA サーバが発行するすべてのユーザ証明書でユーザ名と共に使用される一般的なサブジェクト名 DN を指定します。

keysize server

ローカル認証局(CA)サーバによって生成される公開鍵と秘密鍵のサイズを指定し、CA 独自のキー ペアのサイズを設定するには、CA サーバ コンフィギュレーション モードで keysize server コマンドを使用します。鍵のサイズをデフォルトの 1024 ビットの長さにリセットするには、このコマンドの no 形式を使用します。

keysize server { 512 | 768 | 1024 | 2048 }

no keysize server

 
シンタックスの説明

512

証明書の登録で生成される公開鍵と秘密鍵のサイズを 512 ビットに指定します。

768

証明書の登録で生成される公開鍵と秘密鍵のサイズを 768 ビットに指定します。

1024

証明書の登録で生成される公開鍵と秘密鍵のサイズを 1024 ビットに指定します。

2048

証明書の登録で生成される公開鍵と秘密鍵のサイズを 2048 ビットに指定します。

 
デフォルト

デフォルトでは、このキー ペアの各鍵の長さは 1024 ビットです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

次の例では、CA 独自の証明書の鍵のサイズに 2048 ビットを指定します。

hostname(config)# crypto ca server
hostname(config-ca-server))# keysize server 2048
hostname(config-ca-server)#
 

次の例では、CA 独自の証明書の鍵のサイズを、デフォルトの 1024 ビットの長さにリセットします。

hostname(config)# crypto ca server
hostname(config-ca-server)# no keysize server
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットへのアクセスを提供し、ローカル CA の設定と管理ができるようにします。

issuer-name

認証局の証明書のサブジェクト名 DN を指定します。

keysize

ユーザ証明書のキー ペアのサイズを指定します。

subject-name-default

CA サーバが発行するすべてのユーザ証明書でユーザ名と共に使用される一般的なサブジェクト名 DN を指定します。

kill

Telnet セッションを終了するには、特権 EXEC モードで kill コマンドを使用します。

kill telnet_id

 
シンタックスの説明

telnet_id

Telnet セッションの ID を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

kill コマンドを使用すると、Telnet セッションを終了できます。Telnet セッションの ID を表示するには、who コマンドを使用します。Telnet セッションを終了すると、セキュリティ アプライアンスは、警告することなく、すべてのアクティブなコマンドを終了して接続をドロップします。

次の例は、ID「2」の Telnet セッションを終了する方法を示しています。最初に、アクティブな Telnet セッションのリストを表示するため、who コマンドを入力します。次に、ID「2」の Telnet セッションを終了するため、 kill 2 コマンドを入力します。

hostname# who
2: From 10.10.54.0
 
hostname# kill 2

 
関連コマンド

コマンド
説明

telnet

セキュリティ アプライアンスへの Telnet アクセスを設定します。

who

アクティブな Telnet セッションのリストを表示します。