Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
crypto ca authenticate コマンド~ customization コマンド
crypto ca authenticate コマンド~ customization コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

crypto ca authenticate コマンド~ customization コマンド

crypto ca authenticate

crypto ca certificate chain

crypto ca certificate map

crypto ca crl request

crypto ca enroll

crypto ca export

crypto ca import

crypto ca server

crypto ca server crl issue

crypto ca server revoke

crypto ca server unrevoke

crypto ca server user-db add

crypto ca server user-db allow

crypto ca server user-db email-otp

crypto ca server user-db remove

crypto ca server user-db show-otp

crypto ca server user-db write

crypto ca trustpoint

crypto dynamic-map match address

crypto dynamic-map set nat-t-disable

crypto dynamic-map set peer

crypto dynamic-map set pfs

crypto dynamic-map set reverse route

crypto dynamic-map set transform-set

crypto engine large-mod-accel

crypto ipsec df-bit

crypto ipsec fragmentation

crypto ipsec security-association lifetime

crypto ipsec security-association replay

crypto ipsec transform-set(トランスフォーム セットの作成または削除)

crypto isakmp am-disable

crypto isakmp disconnect-notify

crypto isakmp enable

crypto isakmp identity

crypto isakmp ipsec-over-tcp

crypto isakmp nat-traversal

crypto isakmp policy authentication

crypto isakmp policy encryption

crypto isakmp policy group

crypto isakmp policy hash

crypto isakmp policy lifetime

crypto isakmp reload-wait

crypto key generate rsa

crypto key zeroize

crypto large-cert-acceleration enable

crypto map interface

crypto map ipsec-isakmp dynamic

crypto map match address

crypto map set connection-type

crypto map set inheritance

crypto map set nat-t-disable

crypto map set peer

crypto map set pfs

crypto map set phase1-mode

crypto map set reverse-route

crypto map set security-association lifetime

crypto map set transform-set

crypto map set trustpoint

csc

csd enable

csd image

ctl

ctl-file(グローバル)

ctl-file(Phone-Proxy)

ctl-provider

customization

crypto ca authenticate コマンド~ customization コマンド

crypto ca authenticate

トラストポイントに関連付けられている CA 証明書をインストールおよび認証するには、グローバル コンフィギュレーション モードで crypto ca authenticate コマンドを使用します。CA 証明書を削除するには、このコマンドの no 形式を使用します。

crypto ca authenticate trustpoint [ fingerprint hexvalue ] [ nointeractive]

no crypto ca authenticate trustpoint

 
構文の説明

fingerprint

適応型セキュリティ アプライアンスが CA 証明書を認証するために使用する、英数字で構成されたハッシュ値を指定します。フィンガープリントが提供されている場合、適応型セキュリティ アプライアンスは、そのフィンガープリントと CA 証明書の計算済みのフィンガープリントを比較し、2 つの値が一致した場合に限り証明書を受け入れます。フィンガープリントがない場合、適応型セキュリティ アプライアンスは、計算済みのフィンガープリントを表示し、証明書を受け入れるかどうか尋ねます。

hexvalue

フィンガープリントの 16 進値を指定します。

nointeractive

デバイス マネージャ専用の非対話型モードを使用して、このトラストポイントの CA 証明書を取得します。この場合、フィンガープリントがない場合には、適応型セキュリティ アプライアンスは、質問をせずに証明書を受け入れます。

trustpoint

CA 証明書を取得する元のトラストポイントを指定します。名前の長さは最大で 128 文字です。

 
デフォルト

このコマンドには、デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

トラストポイントが SCEP 登録用に設定されている場合、CA 証明書は SCEP を通じてダウンロードされます。トラストポイントが SCEP 登録用に設定されていない場合、適応型セキュリティ アプライアンスは、Base-64 フォーマットの CA 証明書を端末に貼り付けるように要求します。

このコマンドの呼び出しは、実行コンフィギュレーションの一部にはなりません。

次の例では、適応型セキュリティ アプライアンスが CA の証明書を要求しています。CA はその証明書を送信し、適応型セキュリティ アプライアンスは、CA 証明書のフィンガープリントをチェックして CA の証明書を確認するように管理者に要求します。適応型セキュリティ アプライアンスの管理者は、表示されたフィンガープリント値を既知の正しい値と照合する必要があります。適応型セキュリティ アプライアンスにより表示されたフィンガープリントが正しい値に一致する場合、証明書を有効なものとして受け入れてかまいません。

hostname(config)# crypto ca authenticate myca
Certificate has the following attributes:
Fingerprint: 0123 4567 89AB CDEF 0123
Do you accept this certificate? [yes/no] y#
hostname(config)#
 

次の例では、トラストポイント tp9 が端末ベース(手動)の登録用に設定されています。この場合、適応型セキュリティ アプライアンスは、CA 証明書を端末に貼り付けるように管理者に要求します。証明書のフィンガープリントを表示した後、適応型セキュリティ アプライアンスは、証明書を必ず保持するように管理者に要求します。

hostname(config)# crypto ca authenticate tp9
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
 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 
Certificate has the following attributes:
Fingerprint: 21B598D5 4A81F3E5 0B24D12E 3F89C2E4
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ca enroll

CA への登録を開始します。

crypto ca import certificate

手動登録要求への応答として CA から受信した証明書をインストールします。また、PKS12 データをトラストポイントにインポートするためにも使用されます。

crypto ca trustpoint

指定したトラストポイントに対してトラストポイント サブモードを開始します。

crypto ca certificate chain

指定したトラストポイントに対して証明書チェーン コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで crypto ca certificate chain コマンドを使用します。グローバル コンフィギュレーション モードに戻る場合は、 exit コマンドを使用します。

crypto ca certificate chain trustpoint

 
構文の説明

 
構文の説明構文の説明

trustpoint

証明書チェーンを設定するトラストポイントを指定します。

 
デフォルト

このコマンドには、デフォルト値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、トラストポイント central に対して CA 証明書チェーン サブモードを開始する例を示します。

hostname<config># crypto ca certificate chain central
hostname<config-cert-chain>#

 
関連コマンド

コマンド
説明

clear configure crypto ca trustpoint

すべてのトラストポイントを削除します。

crypto ca certificate map

CA 証明書マップ モードを開始するには、グローバル コンフィギュレーション モードで crypto ca configuration map コマンドを使用します。このコマンドを実行すると、ca-certificate-map モードになります。証明書マッピング ルールのプライオリティ リストを管理するには、このコマンド グループを使用します。マッピング ルールの順序はシーケンス番号によって決まります。暗号 CA コンフィギュレーションのマップ ルールを削除するには、このコマンドの no 形式を使用します。

crypto ca certificate map { sequence-number | map-name sequence-number }

no crypto ca certificate map { sequence-number | map-name [ sequence-number ]}

 
構文の説明

map-name

certificate-to-group マップの名前を指定します。

sequence-number

作成する証明書マップ ルールの番号を指定します。指定できる範囲は 1 ~ 65535 です。トンネル グループを証明書マップ ルールにマッピングする tunnel-group-map を作成する場合、この番号を使用できます。

 
デフォルト

sequence-number には、デフォルトの動作や値はありません。

map-name のデフォルト値は DefaultCertificateMap です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

7.2

キーワード map-name が追加されました。

 
使用上のガイドライン

このコマンドを発行すると、適応型セキュリティ アプライアンスは CA 証明書マップ コンフィギュレーション モードになります。このモードでは、ユーザは、証明書の発行者およびサブジェクトの Distinguished Name(DN; 識別名)に基づいてルールを設定できます。これらのルールの一般的な形式は次のとおりです。

DN match-criteria match-value

DN subject-name または issuer-name です。DN は ITU-T X.509 標準で定義されています。証明書フィールドのリストについては、「関連コマンド」を参照してください。

match-criteria は、次の式または演算子で構成されます。

 

attr tag

比較を、Common Name(CN; 通常名)などの特定の DN アトリビュートに制限します。

co

含む

eq

等しい

nc

含まない

ne

等しくない

DN 一致式では、大文字と小文字は区別されません。

次の例では、example-map というマップ名とシーケンス番号 1(ルール # 1)を使用して CA 証明書マップ モードを開始し、subject-name の Common Name(CN; 通常名)アトリビュートが Example1 と一致する必要があることを指定しています。

hostname(config)# crypto ca certificate map example-map 1
hostname(ca-certificate-map)# subject-name attr cn eq Example1
hostname(ca-certificate-map)#
 

次の例では、example-map というマップ名とシーケンス番号 1 を使用して CA 証明書マップ モードを開始し、subject-name 内のいずれかの場所に cisco という値が含まれる必要があることを指定しています。

hostname(config)# crypto ca certificate map example-map 1
hostname(ca-certificate-map)# subject-name co cisco
hostname(ca-certificate-map)#
 

 
関連コマンド

コマンド
説明

issuer-name

ルール エントリを IPSec ピア証明書の発行者 DN に適用することを指定します。

subject-name(暗号 CA 証明書マップ)

ルール エントリを IPSec ピア証明書のサブジェクト DN に適用することを指定します。

tunnel-group-map enable

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けます。

crypto ca crl request

指定したトラストポイントのコンフィギュレーション パラメータに基づき CRL を要求するには、暗号 CA トラストポイント コンフィギュレーション モードで crypto ca crl request コマンドを使用します。

crypto ca crl request trustpoint

 
構文の説明

trustpoint

トラストポイントを指定します。文字数は最大で 128 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドの呼び出しは、実行コンフィギュレーションの一部にはなりません。

次に、central という名前のトラストポイントに基づいて CRL を要求する例を示します。

hostname(config)# crypto ca crl request central
hostname(config)#

 
関連コマンド

コマンド
説明

crl configure

CRL コンフィギュレーション モードを開始します。

crypto ca enroll

CA との登録プロセスを開始するには、グローバル コンフィギュレーション モードで crypto ca enroll コマンドを使用します。このコマンドを正常に実行するには、トラストポイントが正しく設定されている必要があります。

crypto ca enroll trustpoint [ noconfirm ]

 
構文の説明

noconfirm

(任意)すべてのプロンプトを非表示にします。要求される可能性のある登録オプションは、トラストポイントに事前設定する必要があります。このオプションは、スクリプト、ASDM、または対話が必要ないその他の場合に使用するオプションです。

trustpoint

登録する先のトラストポイントの名前を指定します。文字数は最大で 128 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

トラストポイントが SCEP 登録用に設定されている場合、適応型セキュリティ アプライアンスはただちに CLI プロンプトを表示し、ステータス メッセージをコンソールに非同期に表示します。トラストポイントが手動登録用に設定されている場合、適応型セキュリティ アプライアンスは、Base-64 エンコード PKCS10 証明書要求をコンソールに書き込み、CLI プロンプトを表示します。

このコマンドは、参照されるトラストポイントの設定状態に応じて異なる対話型のプロンプトを生成します。

次に、SCEP 登録を使用して、トラストポイント tp1 に ID 証明書を登録する例を示します。適応型セキュリティ アプライアンスは、トラストポイント コンフィギュレーションに保存されていない情報を要求します。

hostname(config)# crypto ca enroll tp1
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
% password to the CA Administrator in order to revoke your certificate.
% For security reasons your password will not be saved in the configuration.
% Please make a note of it.
Password:
Re-enter password:
% The fully-qualified domain name in the certificate will be: xyz.example.com
% The subject name in the certificate will be: xyz.example.com
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Request certificate from CA [yes/no]: yes
% Certificate request sent to Certificate authority.
% The certificate request fingerprint will be displayed.
% The ‘show crypto ca certificate’ command will also show the fingerprint.
 
hostname(config)#
 

次のコマンドは、CA 証明書の手動登録を示しています。

hostname(config)# crypto ca enroll tp1

% Start certificate enrollment ..
% The fully-qualified domain name in the certificate will be: xyz.example.com
% The subject name in the certificate will be: wb-2600-3.example.com
if serial number not set in trustpoint, prompt:
% Include the router serial number in the subject name? [yes/no]: no
If ip-address not configured in trustpoint:
% Include an IP address in the subject name? [no]: yes
Enter Interface name or IP Address[]: 1.2.3.4
Display Certificate Request to terminal? [yes/no]: y
Certificate Request follows:
MIIBFTCBwAIBADA6MTgwFAYJKoZIhvcNAQkIEwcxLjIuMy40MCAGCSqGSIb3DQEJ
AhYTd2ItMjYwMC0zLmNpc2NvLmNvbTBcMA0GCSqGSIb3DQEBAQUAA0sAMEgCQQDT
IdvHa4D5wXZ+40sKQV7Uek1E+CC6hm/LRN3p5ULW1KF6bxhA3Q5CQfh4jDxobn+A
Y8GoeceulS2Zb+mvgNvjAgMBAAGgITAfBgkqhkiG9w0BCQ4xEjAQMA4GA1UdDwEB
/wQEAwIFoDANBgkqhkiG9w0BAQQFAANBACDhnrEGBVtltG7hp8x6Wz/dgY+ouWcA
lzy7QpdGhb1du2P81RYn+8pWRA43cikXMTeM4ykEkZhLjDUgv9t+R9c=
 
---End - This line not part of the certificate request---
 
Redisplay enrollment request? [yes/no]: no
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ca aunticate

このトラストポイントの CA 証明書を取得します。

crypto ca import pkcs12

手動登録要求への応答として CA から受信した証明書をインストールします。また、PKS12 データをトラストポイントにインポートするためにも使用されます。

crypto ca trustpoint

指定したトラストポイントに対してトラストポイント サブモードを開始します。

crypto ca export

セキュリティ アプライアンスのトラストポイント コンフィギュレーションと、関連するすべてのキーおよび証明書を PKCS12 フォーマットでエクスポートするには、またはデバイスの ID 証明書を PEM フォーマットでエクスポートするには、グローバル コンフィギュレーション モードで crypto ca export コマンドを使用します。

crypto ca export trustpoint identify-certificate

 
構文の説明

 
構文の説明構文の説明

identify-certificate

指定したトラストポイントに関連付けられている登録済み証明書をコンソールに表示することを指定します。

trustpoint

表示する証明書を所有するトラストポイントの名前を指定します。トラストポイント名の最大文字数は 128 です。

 
デフォルト

このコマンドには、デフォルト値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

8.0(2)

このコマンドは、PEM フォーマットでの証明書のエクスポートに対応するために変更されました。

 
使用上のガイドライン

このコマンドの呼び出しは、アクティブなコンフィギュレーションには含まれません。PEM データまたは PKCS12 データはコンソールに書き込まれます。

Web ブラウザは、PKCS12 フォーマットを使用して、パスワードベースの対称キーで保護された付属の公開キー証明書と一緒に秘密キーを保存します。セキュリティ デバイスは、トラストポイントに関連付けられた証明書とキーを Base-64 エンコード PKCS12 フォーマットでエクスポートします。この機能を使用して、証明書とキーをセキュリティ デバイス間で移動できます。

証明書の PEM エンコーディングは、PEM ヘッダーで囲まれた X.509 証明書の Base-64 エンコーディングです。これは、セキュリティ デバイス間で証明書をテキストベースで転送するための標準的な方法を提供します。セキュリティ デバイスがクライアントとして機能している場合、SSL/TLS プロトコル プロキシを利用して proxy-ldc-issuer 証明書をエクスポートするために PEM エンコーディングを使用できます。

次に、トラストポイント 222 の PEM フォーマットの証明書をコンソール表示としてエクスポートする例を示します。

hostname (config)# crypto ca export 222 identity-certificate
 
Exported 222 follows:

-----BEGIN CERTIFICATE-----

MIIGDzCCBXigAwIBAgIKFiUgwwAAAAAFPDANBgkqhkiG9w0BAQUFADCBnTEfMB0G

CSqGSIb3DQEJARYQd2Jyb3duQGNpc2NvLmNvbTELMAkGA1UEBhMCVVMxCzAJBgNV

BAgTAk1BMREwDwYDVQQHEwhGcmFua2xpbjEWMBQGA1UEChMNQ2lzY28gU3lzdGVt

czEZMBcGA1UECxMQRnJhbmtsaW4gRGV2VGVzdDEaMBgGA1UEAxMRbXMtcm9vdC1j

YS01LTIwMDQwHhcNMDYxMTAyMjIyNjU3WhcNMjQwNTIwMTMzNDUyWjA2MRQwEgYD

VQQFEwtKTVgwOTQwSzA0TDEeMBwGCSqGSIb3DQEJAhMPQnJpYW4uY2lzY28uY29t

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCvxxIYKcrb7cJpsiFKwwsQUph5

4M5Y3CDVKEVF+98HrD6rhd0n/d6R8VYSfu76aeJC5j9Bbn3xOCx2aY5K2enf3SBW

Y66S3JeZBV88etFmyYJ7rebjUVVQZaFcq79EjoP99IeJ3a89Y7dKvYqq8I3hmYRe

uipm1G6wfKHOrpLZnwIDAQABo4IDujCCA7YwCwYDVR0PBAQDAgWgMBoGA1UdEQQT

MBGCD0JyaWFuLmNpc2NvLmNvbTAdBgNVHQ4EFgQUocM/JeVV3fjZh4wDe0JS74Jm

pvEwgdkGA1UdIwSB0TCBzoAUYZ8t0+V9pox+Y47NtCLk7WxvIQShgaOkgaAwgZ0x

HzAdBgkqhkiG9w0BCQEWEHdicm93bkBjaXNjby5jb20xCzAJBgNVBAYTAlVTMQsw

CQYDVQQIEwJNQTERMA8GA1UEBxMIRnJhbmtsaW4xFjAUBgNVBAoTDUNpc2NvIFN5

c3RlbXMxGTAXBgNVBAsTEEZyYW5rbGluIERldlRlc3QxGjAYBgNVBAMTEW1zLXJv

b3QtY2EtNS0yMDA0ghBaZ5s0Ng4SskMxF2NlIoxgMIIBSAYDVR0fBIIBPzCCATsw

geuggeiggeWGgeJsZGFwOi8vd2luMmstYWQuRlJLLU1TLVBLSS5jaXNjby5jb20v

Q049bXMtcm9vdC1jYS01LTIwMDQsQ049d2luMmstYWQsQ049Q0RQLENOPVB1Ymxp

YyUyMEtleSUyMFNlcnZpY2VzLENOPVNlcnZpY2VzLENOPUNvbmZpZ3VyYXRpb24s

REM9RlJLLU1TLVBLSSxEQz1jaXNjbyxEQz1jb20/Y2VydGlmaWNhdGVSZXZvY2F0

aW9uTGlzdD9iYXNlP29iamVjdGNsYXNzPWNSTERpc3RyaWJ1dGlvblBvaW50MEug

SaBHhkVodHRwOi8vd2luMmstYWQuZnJrLW1zLXBraS5jaXNjby5jb20vQ2VydEVu

cm9sbC9tcy1yb290LWNhLTUtMjAwNC5jcmwwggFCBggrBgEFBQcBAQSCATQwggEw

MIG8BggrBgEFBQcwAoaBr2xkYXA6Ly8vQ049bXMtcm9vdC1jYS01LTIwMDQsQ049

QUlBLENOPVB1YmxpYyUyMEtleSUyMFNlcnZpY2VzLENOPVNlcnZpY2VzLENOPUNv

bmZpZ3VyYXRpb24sREM9RlJLLU1TLVBLSSxEQz1jaXNjbyxEQz1jb20/Y0FDZXJ0

aWZpY2F0ZT9iYXNlP29iamVjdGNsYXNzPWNlcnRpZmljYXRpb25BdXRob3JpdHkw

bwYIKwYBBQUHMAKGY2h0dHA6Ly93aW4yay1hZC5mcmstbXMtcGtpLmNpc2NvLmNv

bS9DZXJ0RW5yb2xsL3dpbjJrLWFkLkZSSy1NUy1QS0kuY2lzY28uY29tX21zLXJv

b3QtY2EtNS0yMDA0LmNydDANBgkqhkiG9w0BAQUFAAOBgQBlh7maRutcKNpjPbLk

bdcafJfHQ3k4UoWo0s1A0LXzdF4SsBIKQmpbfqEHtlx4EsfvfHXxUQJ6TOab7axt

hxMbNX3m7giebvtPkreqR9OYWGUjZwFUZ16TWnPA/NP3fbqRSsPgOXkC7+/5oUJd

eAeJOF4RQ6fPpXw9LjO5GXSFQA==

-----END CERTIFICATE-----

hostname (config)#

 
関連コマンド

コマンド
説明

crypto ca aunticate

このトラストポイントの CA 証明書を取得します。

crypto ca enroll

CA への登録を開始します。

crypto ca import

手動登録要求への応答として CA から受信した証明書をインストールします。また、PKS12 データをトラストポイントにインポートするためにも使用されます。

crypto ca trustpoint

指定したトラストポイントに対しトラストポイント コンフィギュレーション モードを開始します。

crypto ca import

手動登録要求への応答で CA から受信した証明書をインストールするには、または PKCS12 データを使用してトラストポイントの証明書とキー ペアをインポートするには、グローバル コンフィギュレーション モードで crypto ca import コマンドを使用します。適応型セキュリティ アプライアンスは、Base-64 フォーマットでテキストを端末に貼り付けるように要求します。

crypto ca import trustpoint certificate [ nointeractive ]

crypto ca import trustpoint pkcs12 passphrase [ nointeractive ]

 
構文の説明

trustpoint

インポート アクションを関連付ける先のトラストポイントを指定します。文字数は最大で 128 です。PKCS12 データをインポートし、トラストポイントが RSA キーを使用する場合、インポートされるキー ペアには、トラストポイントと同じ名前が割り当てられます。

certificate

適応型セキュリティ アプライアンスに、トラストポイントによって示される CA から証明書をインポートするように指示します。

pkcs12

適応型セキュリティ アプライアンスに、PKCS12 フォーマットを使用して、トラストポイントの証明書とキー ペアをインポートするように指示します。

passphrase

PKCS12 データの復号化に使用するパスフレーズを指定します。

nointeractive

(任意)非対話型モードを使用して証明書をインポートします。すべてのプロンプトが非表示になります。このオプションは、スクリプト、ASDM、または対話が必要ないその他の場合に使用するオプションです。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、トラストポイント Main の証明書を手動でインポートする例を示します。

hostname (config)# crypto ca import Main certificate
% The fully-qualified domain name in the certificate will be: securityappliance.example.com
 
Enter the base 64 encoded certificate.
End with a blank line or the word “quit” on a line by itself
[ certificate data omitted ]
quit
INFO: Certificate successfully imported
hostname (config)#
 

次に、PKCS12 データをトラストポイント central に手動でインポートする例を示します。

hostname (config)# crypto ca import central pkcs12
 
Enter the base 64 encoded pkcs12.
End with a blank line or the word "quit" on a line by itself:
[ PKCS12 data omitted ]
quit
INFO: Import PKCS12 operation completed successfully
hostname (config)#
 

グローバル コンフィギュレーション モードで入力された次の例では、RSA キーペアを保存する十分なスペースがないため、警告メッセージが生成されています。

hostname(config)# crypto ca import central pkcs12 mod 2048
INFO: The name for the keys will be: central
Keypair generation process begin. Please wait...
NV RAM will not have enough space to save keypair central. Remove any unnecessary keypairs and save the running config before using this keypair.
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ca export

トラストポイントの証明書とキー ペアを PKCS12 フォーマットでエクスポートします。

crypto ca aunticate

トラストポイントの CA 証明書を取得します。

crypto ca enroll

CA への登録を開始します。

crypto ca trustpoint

指定したトラストポイントに対してトラストポイント サブモードを開始します。

crypto ca server

適応型セキュリティ アプライアンス上のローカル CA サーバのセットアップと管理を行うには、グローバル コンフィギュレーション モードで crypto ca server コマンドを使用して config-ca-server コンフィギュレーション モードを開始し、CA コンフィギュレーション コマンドにアクセスします。設定されているローカル CA サーバをセキュリティ アプライアンスから削除するには、このコマンドの no 形式を使用します。

crypto ca server

no crypto ca server

 
デフォルト

適応型セキュリティ アプライアンスでは、認証局サーバはイネーブルになっていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンス上にローカル CA は 1 つしか存在できません。

crypto ca server コマンドは CA サーバを設定しますが、イネーブルにはしません。ローカル CA をイネーブルにするには、config-ca-server モードで shutdown コマンドの no 形式を使用します。

no shutdown コマンドで CA サーバをアクティブにする場合、CA と LOCAL-CA-SERVER というトラストポイントの RSA キーペアを確立して自己署名証明書を保持します。この新しく生成された自己署名証明書には、「デジタル証明書」、「crl 署名」、および「証明書署名」キーの使用法の設定セットが常に含まれます。


注意 no crypto ca server コマンドは、設定されているローカル CA サーバの現在の状態に関係なく、ローカル CA サーバ、その RSA キーペア、および関連付けられているトラストポイントを削除します。

次に、このコマンドを使用して config-ca-server コンフィギュレーション モードを開始し、疑問符を使用してこのモードで使用できるローカル CA サーバ コマンドをリストする例を示します。

hostname(config)# crypto ca server
hostname(config-ca-server)# ?
 
CA Server configuration commands:
cdp-url CRL Distribution Point to be included in the issued
certificates
database Embedded Certificate Server database location
configuration
enrollment-retrieval Enrollment-retrieval timeout configuration
exit Exit from Certificate Server entry mode
help Help for crypto ca server configuration commands
issuer-name Issuer name
keysize Size of keypair in bits to generate for certificate
enrollments
lifetime Lifetime parameters
no Negate a command or set its defaults
otp One-Time Password configuration options
renewal-reminder Enrollment renewal-reminder time configuration
shutdown Shutdown the Embedded Certificate Server
smtp SMTP settings for enrollment E-mail notifications
subject-name-default Subject name default configuration for issued
certificates
 

次に、config-ca-server モードで crypto ca server コマンドの no 形式を使用して、設定済みでイネーブルになっている CA サーバをセキュリティ アプライアンスから削除する例を示します。

hostname(config-ca-server)#no crypto ca server
 
Certificate server 'remove server' event has been queued for processing.
hostname(config)#

 
関連コマンド

コマンド
説明

debug crypto ca server

ローカル CA サーバを設定するときに、デバッグ メッセージを表示します。

show crypto ca server

設定されている CA サーバのステータスとパラメータを表示します。

show crypto ca server cert-db

ローカル CA サーバ証明書を表示します。

crypto ca server crl issue

Certificate Revocation List(CRL; 証明書失効リスト)を強制的に発行するには、特権 EXEC モードで crypto ca server crl issue コマンドを使用します。

crypto ca server crl issue

 
構文の説明

このコマンドには、キーワードや引数はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは失われた CRL の回復に使われますが、ほとんど使用されることはありません。通常、CRL は失効時に既存の CRL に再署名することで自動的に再発行されます。 crypto ca server crl issue コマンドは、証明書データベースに基づいて CRL を再生成します。また、このコマンドを使用するのは、証明書データベースの内容に基づいて CRL を再生成する必要がある場合のみです。

次に、ローカル CA サーバで CRL を強制的に発行する例を示します。

hostname(config-ca-server)# crypto ca server crl issue

A new CRL has been issued.

hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

cdp-url

CA 発行の証明書に含める、証明書失効リストの配布ポイントを指定します。

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ユーザは、ローカル CA を設定および管理できます。

crypto ca server revoke

ローカル CA サーバが発行した証明書を、証明書データベースと CRL で失効としてマークします。

show crypto ca server crl

ローカル CA の現在の CRL を表示します。

crypto ca server revoke

ローカル Certificate Authority(CA; 認証局)サーバ発行の証明書を証明書データベースと CRL で失効としてマークするには、特権 EXEC モードで crypto ca server revoke コマンドを使用します。

crypto ca server revoke cert-serial-no

 
構文の説明

cert-serial-no

失効させる証明書のシリアル番号を指定します。シリアル番号は 16 進形式で入力します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンス上のローカル CA が発行した特定の証明書を失効させるには、その適応型セキュリティ アプライアンスで crypto ca server revoke コマンドを入力します。このコマンドにより、CA サーバの証明書データベースと CRL で証明書が失効としてマークされると、その証明書は失効となります。失効させる証明書を指定するには、証明書のシリアル番号を 16 進形式で入力します。

指定した証明書が失効した後に、CRL が自動的に再生成されます。

次に、ローカル CA サーバが発行したシリアル番号 782ea09f の証明書を失効させる例を示します。

hostname(config-ca-server)## crypto ca server revoke 782ea09f

Certificate with the serial number 0x782ea09f has been revoked.A new CRL has been issued.

hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server crl issue

CRL を強制的に発行します。

crypto ca server unrevoke

ローカル CA サーバが発行した、すでに失効している証明書の失効を取り消します。

crypto ca server user-db remove

CA サーバのユーザ データベースからユーザを削除します。

show crypto ca server crl

ローカル CA の現在の CRL を表示します。

show crypto ca server user-db

CA サーバのユーザ データベースに含まれているユーザを表示します。

crypto ca server unrevoke

ローカル CA サーバが発行した、すでに失効している証明書の失効を取り消すには、特権 EXEC モードで crypto ca server unrevoke コマンドを使用します。

crypto ca server unrevoke cert-serial-no

 
構文の説明

cert-serial-no

失効を取り消す証明書のシリアル番号を指定します。シリアル番号は 16 進形式で入力します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンス上のローカル CA が発行した、すでに失効している証明書の失効を取り消すには、 crypto ca server unrevoke コマンドを入力します。このコマンドにより、証明書が証明書データベースで有効とマークされ、CRL から削除されると、その証明書は再び有効になります。失効を取り消す証明書を指定するには、証明書のシリアル番号を 16 進形式で入力します。

指定した証明書の失効が取り消された後に、CRL が自動的に再生成されます。

次に、ローカル CA サーバが発行したシリアル番号 782ea09f の証明書の失効を取り消す例を示します。

hostname(config-ca-server)# crypto ca server unrevoke 782ea09f

Certificate with the serial number 0x782ea09f has been unrevoked.A new CRL has been issued.

hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

crypto ca server crl issue

CRL を強制的に発行します。

crypto ca server revoke

ローカル CA サーバが発行した証明書を、証明書データベースと CRL で失効としてマークします。

crypto ca server user-db add

CA サーバのユーザ データベースにユーザを追加します。

show crypto ca server cert-db

ローカル CA サーバ証明書を表示します。

show crypto ca server user-db

CA サーバのユーザ データベースに含まれているユーザを表示します。

crypto ca server user-db add

CA サーバのユーザ データベースに新しいユーザを挿入するには、特権 EXEC モードで crypto ca server user-db add コマンドを使用します。

crypto ca server user-db add user [ dn dn ] [email e-mail-address ]

 
構文の説明

dn dn

追加するユーザに対して発行される証明書の subject-name 認定者名を指定します。DN ストリングにカンマが含まれる場合、値のストリングを二重引用符で囲みます(たとえば、O="Company, Inc.")。

email e-mail-address

新しいユーザの電子メール アドレスを指定します。

user

登録特権の付与対象となる 1 人のユーザを指定します。ユーザ名として簡易ユーザ名または電子メール アドレスを指定できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

user 引数 には、簡易ユーザ名(例:jandoe)または電子メール アドレス(例:jandoe@example.com)を指定できます。 username は、エンド ユーザが登録ページで指定したユーザ名と一致している必要があります。

username は、特権のないユーザとしてデータベースに追加されます。登録特権を付与するには、 crypto ca server allow コマンドを使用する必要があります。

username をワンタイム パスワードとともに使用して、登録インターフェイス ページでユーザを登録します。


) One-Time Password(OTP; ワンタイム パスワード)を電子メールで通知するには、username フィールドまたは email-address フィールドに電子メール アドレスを指定する必要があります。メール送信時に電子メール アドレスがないとエラーになります。


user 引数、 email は、ユーザに登録と更新を忘れないように通知するための電子メール アドレスとしてのみ使用され、発行される証明書には表示されません。

電子メール アドレスを指定すると、質問がある場合にユーザに連絡することができます。また、その電子メール アドレス宛てに、登録に必要なワンタイム パスワードが通知されます。

user にオプションの dn が指定されていない場合、サブジェクト名 dn は、 username と subject-name-default DN 設定を使用して cn= username ,subject-name-default として構成されます。

次に、ユーザ名 jandoe@example.com のユーザを完全なサブジェクト名 DN とともにユーザ データベースに追加する例を示します。

hostname(config-ca-server)# crypto ca server user-db add dn “cn=Jan Doe, ou=engineering, o=Example, l=RTP, st=NC, c=US”

hostname (config-ca-server) #

次に、jondoe というユーザに登録特権を付与する例を示します。

hostname(config-ca-server)# crypto ca server user-db allow jondoe

hostname (config-ca-server)

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

crypto ca server user-db allow

CA サーバ データベース内の特定のユーザまたはユーザのサブセットに、CA への登録を許可します。

crypto ca server user-db remove

CA サーバ データベースからユーザを削除します。

crypto ca server user-db write

database path コマンドで指定したファイルに、CA サーバ データベース内のユーザ情報をコピーします。

database path

ローカル CA データベースのパスまたは場所を指定します。デフォルトの場所はフラッシュ メモリです。

crypto ca server user-db allow

ユーザまたはユーザのグループにローカル CA サーバ データベースへの登録を許可するには、特権 EXEC モードで crypto ca server user-db allow コマンドを使用します。このコマンドには、ワンタイム パスワードを生成および表示するオプションや、ワンタイム パスワードをユーザに電子メールで送信するオプションもあります。

crypto ca server user-db allow { username | all-unenrolled | all-certholders } [ display-otp ] [ email-otp ] [ replace-otp ]

 
構文の説明

all-certholders

証明書が現在有効かどうかに関係なく、証明書を発行したことがある、データベース内のすべてのユーザに登録特権を付与することを指定します。これは、更新特権の付与と同等です。

all-unenrolled

証明書を発行したことがない、データベース内のすべてのユーザに登録特権を付与することを指定します。

email-otp

(任意)指定したユーザの設定済み電子メール アドレスにワンタイム パスワードを電子メールで送信します。

replace-otp

(任意)有効なワンタイム パスワードを当初は持っていたすべての指定ユーザに対して、ワンタイム パスワードを再生成することを指定します。

display-otp

(任意)指定したすべてのユーザのワンタイム パスワードをコンソールに表示します。

username

登録特権の付与対象となる 1 人のユーザを指定します。ユーザ名として簡易ユーザ名または電子メール アドレスを指定できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

replace-otp キーワードを指定すると、指定したすべてのユーザに対して OTP が生成されます。指定したユーザに対して以前に生成された有効な OTP は、これらの新しい OTP で置き換えられます。

OTP は、セキュリティ デバイスに保存されません。ユーザに通知する必要、または登録時にユーザを認証する必要がある場合に生成および再生成されます。

次に、データベース内のすべての未登録ユーザに登録特権を付与する例を示します。

hostname(config-ca-server)# crypto ca server user-db allow all-unenrolled
hostname(config-ca-server)#
 

次に、user1 というユーザに登録特権を付与する例を示します。

hostname(config-ca-server)# crypto ca server user-db allow user1
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

crypto ca server user-db add

CA サーバのユーザ データベースにユーザを追加します。

crypto ca server user-db write

database path コマンドで指定したファイルに、CA サーバ データベース内のユーザ情報をコピーします。

enrollment-retrieval

登録されたユーザが PKCS12 登録ファイルを取得できる期間を時間単位で指定します。

show crypto ca server cert-db

ローカル CA によって発行された証明書をすべて表示します。

crypto ca server user-db email-otp

ローカル CA サーバ データベース内の特定のユーザまたはユーザのサブセットに OTP を電子メールで送信するには、特権 EXEC モードで crypto ca server user-db email-otp コマンドを使用します。

crypto ca server user-db email-otp { username | all-unenrolled | all-certholders }

 
構文の説明

all-certholders

証明書が現在有効かどうかに関係なく、証明書を発行したことがある、データベース内のすべてのユーザに OTP を電子メールで送信することを指定します。

all-unenrolled

証明書を発行したことが一度もないか、期限が切れた証明書または失効した証明書しか保持していない、データベース内のすべてのユーザに OTP を電子メールで送信することを指定します。

username

1 人のユーザ用の OTP をそのユーザに電子メールで送信することを指定します。ユーザ名として簡易ユーザ名または電子メール アドレスを指定できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

次の例では、データベース内のすべての未登録ユーザに OTP を電子メールで送信します。

hostname(config-ca-server)# crypto ca server user-db email-otp all-unenrolled
hostname(config-ca-server)#
 

次の例では、user1 というユーザに OTP を電子メールで送信します。

hostname(config-ca-server)# crypto ca server user-db email-otp user1
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server user-db show-otp

CA サーバ データベース内の特定のユーザまたはユーザのサブセットのワンタイム パスワードを表示します。

show crypto ca server cert-db

ローカル CA によって発行された証明書をすべて表示します。

show crypto ca server user-db

CA サーバのユーザ データベースに含まれているユーザを表示します。

crypto ca server user-db remove

ローカル CA サーバのユーザ データベースからユーザを削除するには、特権 EXEC モードで crypto ca server user-db remove コマンドを使用します。

crypto ca server user-db remove username

 
構文の説明

username

削除するユーザの名前を、ユーザ名または電子メール アドレスの形式で指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、ユーザが登録できないようにするために、CA ユーザ データベースからユーザ名を削除します。また、このコマンドには、発行済みの有効な証明書を失効させるオプションもあります。

次に、ユーザ名 user1 のユーザを CA サーバのユーザ データベースから削除する例を示します。

hostname(config-ca-server)# crypto ca server user-db remove user1
 
WARNING: No certificates have been automatically revoked. Certificates issued to user user1 should be revoked if necessary.
 
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server crl issue

CRL を強制的に発行します。

crypto ca server revoke

ローカル CA サーバが発行した証明書を、証明書データベースと CRL で失効としてマークします。

show crypto ca server user-db

CA サーバのユーザ データベースに含まれているユーザを表示します。

crypto ca server user-db write

database path コマンドで指定したファイルに、ローカル CA データベースに設定されているユーザ情報を書き込みます。

crypto ca server user-db show-otp

ローカル CA サーバ データベース内の特定のユーザまたはユーザのサブセットの OTP を表示するには、特権 EXEC モードで crypto ca server user-db show-otp コマンドを使用します。

crypto ca server user-db show-otp { username | all-certholders | all-unenrolled }

 
構文の説明

all-certholders

証明書が現在有効かどうかに関係なく、証明書を発行したことがある、データベース内のすべてのユーザの OTP を表示します。

all-unenrolled

証明書を発行したことが一度もないか、期限が切れた証明書または失効した証明書しか保持していない、データベース内のすべてのユーザの OTP を表示します。

username

1 人のユーザの OTP を表示することを指定します。ユーザ名として簡易ユーザ名または電子メール アドレスを指定できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

次に、有効または無効な証明書を持つ、データベース内のすべてのユーザの OTP を表示する例を示します。

hostname(config-ca-server)# crypto ca server user-db show-otp all-certholders
hostname(config-ca-server)#
 

次に、user1 というユーザの OTP を表示する例を示します。

hostname(config-ca-server)# crypto ca server user-db show-otp user1
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server user-db add

CA サーバのユーザ データベースにユーザを追加します。

crypto ca server user-db allow

CA サーバ データベース内の特定のユーザまたはユーザのサブセットに、ローカル CA への登録を許可します。

crypto ca server user-db email-otp

CA サーバ データベース内の特定のユーザまたはユーザのサブセットにワンタイム パスワードを電子メールで送信します。

show crypto ca server cert-db

ローカル CA によって発行された証明書をすべて表示します。

crypto ca server user-db write

すべてのローカル CA データベース ファイルを保存するディレクトリの場所を設定するには、特権 EXEC モードで crypto ca server user-db write コマンドを指定します。

crypto ca server user-db write

 
構文の説明

このコマンドには、キーワードや引数はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

グローバル コンフィギュレーション

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

crypto ca server user-db write コマンドを使用して、新しいユーザベースのコンフィギュレーション データを、データベース パス コンフィギュレーションで指定されているストレージに保存します。この情報は crypto ca server user-db add コマンドまたは crypto ca server user-db allow コマンドで新しいユーザが追加または許可されると生成されます。

次に、ローカル CA データベースに設定されているユーザ情報をストレージに書き込む例を示します。

hostname(config-ca-server)# crypto ca server user-db write
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server user-db add

CA サーバのユーザ データベースにユーザを追加します。

database path

ローカル CA データベースのパスまたは場所を指定します。デフォルトの場所はフラッシュ メモリです。

crypto ca server user-db remove

CA サーバのユーザ データベースからユーザを削除します。

show crypto ca server cert-db

ローカル CA によって発行された証明書をすべて表示します。

show crypto ca server user-db

CA サーバのユーザ データベースに含まれているユーザを表示します。

crypto ca trustpoint

指定したトラストポイントに対しトラストポイント コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで crypto ca trustpoint コマンドを使用します。指定したトラストポイントを削除するには、このコマンドの no 形式を使用します。

crypto ca trustpoint trustpoint-name

no crypto ca trustpoint trustpoint-name [ noconfirm ]

 
構文の説明

noconfirm

すべての対話型プロンプトを非表示にします。

trustpoint- name

管理するトラストポイントの名前を指定します。名前の長さは最大で 128 文字です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

Online Certificate Status Protocol(OSCP; オンライン証明書ステータス プロトコル)をサポートするために、サブコマンドが追加されました。サブコマンドには、 match certificate map ocsp disable-nonce ocsp url 、および revocation-check があります。

8.0(2)

証明書の検証をサポートするために、サブコマンドが追加されました。サブコマンドには、 id-usage validation-policy があります。 accept-subordinates、id-cert-issuer、および support-user-cert-validation は廃止されました。

8.0(4)

Phone-Proxy と TLS プロキシの間など、信頼されたエンタープライズ間での自己署名証明書の登録をサポートするために、 enrollment self サブコマンドが追加されました。

 
使用上のガイドライン

CA を宣言するには、 crypto ca trustpoint コマンドを使用します。このコマンドを発行すると、暗号 CA トラストポイント コンフィギュレーション モードになります。

このコマンドはトラストポイント情報を管理します。トラストポイントは、CA が発行した証明書に基づいて CA の識別情報を表し、また、デバイスの識別情報を表すことがあります。トラストポイント サブモード内のコマンドは、CA 固有のコンフィギュレーション パラメータを制御します。これらのパラメータでは、適応型セキュリティ アプライアンスが CA 証明書を取得する方法、適応型セキュリティ アプライアンスが CA から証明書を取得する方法、および CA が発行するユーザ証明書の認証ポリシーを指定します。

このコマンド リファレンス ガイドにアルファベット順に記載されている次のコマンドを使用して、トラストポイントの特性を指定できます。

accept-subordinates :廃止されました。トラストポイントに関連付けられた CA に従属する CA 証明書がデバイスにインストールされていない場合、フェーズ 1 の IKE 交換中にその CA 証明書が提供されたときに、それを受け入れるかどうかを指定します。

crl required | optional | nocheck :CRL コンフィギュレーション オプションを指定します。

crl configure :CRL コンフィギュレーション モードを開始します( crl を参照)。

default enrollment :すべての登録パラメータをシステム デフォルト値に戻します。このコマンドの呼び出しは、アクティブなコンフィギュレーションには含まれません。

email address :登録中に、指定した電子メール アドレスを、証明書のサブジェクト代替名の拡張に含めるように CA に要求します。

enrollment retry period :SCEP 登録のリトライ期間を分単位で指定します。

enrollment retry count :SCEP 登録で許可するリトライの最大回数を指定します。

enrollment terminal :このトラストポイントを使用したカット アンド ペースト登録を指定します。

enrollment self :自己署名証明書を生成する登録を指定します。

enrollment url url :このトラストポイントを使用して登録する SCEP 登録を指定し、登録 URL( url )を設定します。

exit :コンフィギュレーション モードを終了します。

fqdn fqdn :登録中に、指定した FQDN を、証明書のサブジェクト代替名の拡張に含めるように CA に要求します。

id-cert-issuer :廃止されました。このトラストポイントに関連付けられた CA が発行するピア証明書をシステムで受け入れるかどうかを指定します。

id-usage :トラストポイントの登録された ID の使用方法を指定します。

ip-addr ip-address :登録中に、適応型セキュリティ アプライアンスの IP アドレスを証明書に含めるように CA に要求します。

keypair name :公開キーを認証するキー ペアを指定します。

match certificate map-name override ocsp :証明書マップを OCSP 上書きルールと照合します。

ocsp disable-nonce :ナンス拡張子をディセーブルにします。この拡張子は、失効要求と応答を結び付けて暗号化し、リプレイ アタックを回避します。

ocsp url :この URL の OCSP サーバで、このトラストポイントに関連するすべての証明書の失効ステータスをチェックすることを指定します。

exit :コンフィギュレーション モードを終了します。

password string :登録中に CA に登録するチャレンジ フレーズを指定します。通常、CA はこのフレーズを使用して、その後の失効要求を認証します。

revocation check :失効をチェックする方法(CRL、OCSP、なし)を指定します。

serial-number :登録中に、適応型セキュリティ アプライアンスのシリアル番号を証明書に含めるように CA に要求します。

subject-name X.500 name :登録中に、指定したサブジェクト DN を証明書に含めるように CA に要求します。DN ストリングにカンマが含まれる場合、値のストリングを二重引用符で囲みます(たとえば、O="Company, Inc.")。

support-user-cert-validation :廃止されました。イネーブルの場合、リモート証明書を発行した CA に対してこのトラストポイントが認証されていれば、リモート ユーザ証明書を検証するコンフィギュレーション設定を、このトラストポイントから取得できます。このオプションは、サブコマンド crl required | optional | nocheck に関連付けられたコンフィギュレーション データおよび CRL サブモードのすべての設定に適用されます。

validation-policy :ユーザ接続に関連付けられている証明書を検証するためのトラストポイントの条件を指定します。

次に、central という名前のトラストポイントを管理するための CA トラストポイント モードを開始する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)#

 
関連コマンド

コマンド
説明

clear configure crypto ca trustpoint

すべてのトラストポイントを削除します。

crypto ca aunticate

このトラストポイントの CA 証明書を取得します。

crypto ca certificate map

暗号 CA 証明書マップ モードを開始します。証明書ベースの ACL を定義します。

crypto ca crl request

指定したトラストポイントのコンフィギュレーション パラメータに基づいて CRL を要求します。

crypto ca import

手動登録要求への応答として CA から受信した証明書をインストールします。また、PKS12 データをトラストポイントにインポートするためにも使用されます。

crypto dynamic-map match address

アクセス リストのアドレスをダイナミック暗号マップ エントリに対応付けるには、グローバル コンフィギュレーション モードで crypto dynamic-map match address コマンドを使用します。アドレスの対応付けをディセーブルにするには、このコマンドの no 形式を使用します。

crypto dynamic-map dynamic-map-name dynamic-seq-num match address acl_name

no crypto dynamic-map dynamic-map-name dynamic-seq-num match address acl_name

 
構文の説明

acl-name

ダイナミック暗号マップ エントリに対応付けるアクセス リストを指定します。

dynamic-map-name

ダイナミック暗号マップ セットの名前を指定します。

dynamic-seq-num

ダイナミック暗号マップ エントリに対応するシーケンス番号を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

このコマンドの詳細については、 crypto map match address コマンドを参照してください。

次に、 crypto dynamic-map コマンドを使用して、aclist1 という名前のアクセス リストのアドレスを対応付ける例を示します。

hostname(config)# crypto dynamic-map mymap 10 match address aclist1
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto dynamic-map

すべてのダイナミック暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto dynamic-map

すべてのダイナミック暗号マップのすべてのコンフィギュレーションを表示します。

crypto dynamic-map set nat-t-disable

接続の NAT-T をこの暗号マップ エントリに基づいてディセーブルにするには、グローバル コンフィギュレーション モードで crypto dynamic-map set nat-t-disable コマンドを使用します。この暗号マップ エントリの NAT-T をイネーブルにするには、このコマンドの no 形式を使用します。

crypto dynamic-map dynamic-map-name dynamic-seq-num set nat-t-disable

no crypto dynamic-map dynamic-map-name dynamic-seq-num set nat-t-disable

 
構文の説明

dynamic-map-name

ダイナミック暗号マップ セットの名前を指定します。

dynamic-seq-num

ダイナミック暗号マップ エントリに割り当てる番号を指定します。

 
デフォルト

デフォルトの設定はオフです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

NAT-T をグローバルにイネーブルにするには、 isakmp nat-traversal コマンドを使用します。その後、 crypto dynamic-map set nat-t-disable コマンドを使用して、特定の暗号マップ エントリの NAT-T をディセーブルにできます。

次のコマンドは、mymap という名前のダイナミック暗号マップの NAT-T をディセーブルにします。

hostname(config)# crypto dynamic-map mymap 10 set nat-t-disable
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto dynamic-map

すべてのダイナミック暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto dynamic-map

すべてのダイナミック暗号マップのすべてのコンフィギュレーションを表示します。

crypto dynamic-map set peer

このコマンドの詳細については、 crypto map set peer コマンドを参照してください。

crypto dynamic-map dynamic-map-name dynamic-seq-num set peer ip_address | hostname

no crypto dynamic-map dynamic-map-name dynamic-seq-num set peer ip_address | hostname

 
構文の説明

dynamic-map-name

ダイナミック暗号マップ セットの名前を指定します。

dynamic-seq-num

ダイナミック暗号マップ エントリに対応するシーケンス番号を指定します。

ip_address

name コマンドの定義に従い、ダイナミック暗号マップ エントリのピアを IP アドレスで指定します。

hostname

name コマンドの定義に従い、ダイナミック暗号マップ エントリのピアをホスト名で指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次に、mymap という名前のダイナミック マップのピアを IP アドレス 10.0.0.1 に設定する例を示します。

hostname(config)# crypto dynamic-map mymap 10 set peer 10.0.0.1
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto dynamic-map

すべてのダイナミック暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto dynamic-map

すべてのダイナミック暗号マップのすべてのコンフィギュレーションを表示します。

crypto dynamic-map set pfs

ダイナミック暗号マップ セットを指定するには、グローバル コンフィギュレーション モードで crypto map dynamic-map set pfs コマンドを使用します。指定した dynamic-map 暗号マップ セットを削除するには、このコマンドの no 形式を使用します。

このコマンドの詳細については、 crypto map set pfs コマンドを参照してください。

crypto dynamic-map dynamic-map-name dynamic-seq-num set pfs [group1 | group2 | group5]

no crypto dynamic-map dynamic-map-name dynamic-seq-num set pfs [group1 | group2 | group5]

 
構文の説明

dynamic-map-name

ダイナミック暗号マップ セットの名前を指定します。

dynamic-seq-num

ダイナミック暗号マップ エントリに対応するシーケンス番号を指定します。

group1

IPSec で新しい Diffie-Hellman 交換を実行するときに、768 ビットの Diffie-Hellman プライム モジュラス グループを使用することを指定します。

group2

IPSec で新しい Diffie-Hellman 交換を実行するときに、1024 ビットの Diffie-Hellman プライム モジュラス グループを使用することを指定します。

group5

IPSec で新しい Diffie-Hellman 交換を実行するときに、1536 ビットの Diffie-Hellman プライム モジュラス グループを使用することを指定します。

set pfs

このダイナミック暗号マップ エントリ用の新しいセキュリティ アソシエーションの要求時に Perfect Forward Secrecy(PFS; 完全転送秘密)を要求するように IPSec を設定するか、または新しいセキュリティ アソシエーションの要求の受信時に PFS を要求するように IPSec を設定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは変更され Diffie-Hellman グループ 7 が追加されました。

8.0(4)

group 7 コマンド オプションは廃止されました。group 7 を設定しようとすると、エラー メッセージが生成され、代わりに group 5 が使用されます。

 
使用上のガイドライン

crypto dynamic-map コマンド( match address set peer s et pfs など)については、 crypto map コマンドの項で説明します。ピアがネゴシエーションを開始するときに、ローカル コンフィギュレーションで PFS が指定されている場合、ピアは PFS 交換を実行する必要があります。実行しない場合、ネゴシエーションは失敗します。ローカル コンフィギュレーションでグループが指定されていない場合、適応型セキュリティ アプライアンスはデフォルトの group2 が指定されているものと見なします。ローカル コンフィギュレーションで PFS が指定されていない場合、ピアからの PFS のオファーがすべて受け入れられます。

適応型セキュリティ アプライアンスは、Cisco VPN Client と対話するときに PFS 値を使用しません。その代わり、フェーズ 1 でネゴシエートされた値を使用します。

次に、ダイナミック暗号マップ mymap 10 用の新しいセキュリティ アソシエーションをネゴシエートするときに、必ず PFS を使用することを指定する例を示します。指定されたグループはグループ 2 です。

hostname(config)# crypto dynamic-map mymap 10 set pfs group2
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto dynamic-map

すべてのダイナミック暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto dynamic-map

すべてのダイナミック暗号マップのすべてのコンフィギュレーションを表示します。

crypto dynamic-map set reverse route

このコマンドの詳細については、 crypto map set reverse-route コマンドを参照してください。

crypto dynamic-map dynamic-map-name dynamic-seq-num set reverse route

no crypto dynamic-map dynamic-map-name dynamic-seq-num set reverse route

 
構文の説明

dynamic-map-name

暗号マップ セットの名前を指定します。

dynamic-seq-num

暗号マップ エントリに割り当てる番号を指定します。

 
デフォルト

デフォルトでは、このコマンドの値はオフになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次のコマンドは、mymap という名前のダイナミック暗号マップの RRI をイネーブルにします。

hostname(config)# crypto dynamic-map mymap 10 set reverse route
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto dynamic-map

すべてのダイナミック暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto dynamic-map

すべてのダイナミック暗号マップのすべてのコンフィギュレーションを表示します。

crypto dynamic-map set transform-set

ダイナミック暗号マップ エントリで使用するトランスフォーム セットを指定するには、グローバル コンフィギュレーション モードで crypto dynamic-map set transform-set コマンドを使用します。

crypto dynamic-map dynamic-map-name dynamic-seq-num set transform-set transform-set-name1 [ ... transform-set-name11 ]

ダイナミック暗号マップ エントリからトランスフォーム セットを削除するには、このコマンドの no 形式で、削除するトランスフォーム セットの名前を指定します。

no crypto dynamic-map dynamic-map-name dynamic-seq-num set transform-set transform-set-name1 [ ... transform-set-name11 ]

トランスフォーム セットをすべて指定するか何も指定せずに、このコマンドの no 形式を使用すると、ダイナミック暗号マップ エントリが削除されます。

no crypto dynamic-map dynamic-map-name dynamic-seq-num set transform-set

 
構文の説明

dynamic-map-name

ダイナミック暗号マップ セットの名前を指定します。

dynamic-seq-num

ダイナミック暗号マップ エントリに対応するシーケンス番号を指定します。

transform-set-name1 transform-set-name11

トランスフォーム セットの名前を 1 つ以上指定します。このコマンドで指定するトランスフォーム セットは、 crypto ipsec transform-set コマンドで定義されている必要があります。各暗号マップ エントリは、11 個までのトランスフォーム セットをサポートしています。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

7.2(1)

暗号マップ エントリにおけるトランスフォーム セットの最大数が変更されました。

 
使用上のガイドライン

ダイナミック暗号マップは、すべてのパラメータが設定されていない暗号マップです。ダイナミック暗号マップは、ポリシーのテンプレートとして機能し、未設定のパラメータは、IPSec ネゴシエーションでピアに必要な条件を照合するときに動的に学習されます。適応型セキュリティ アプライアンスは、スタティック暗号マップでピアの IP アドレスが指定されていない場合、ダイナミック暗号マップを適用してピアがトンネルをネゴシエートできるようにします。これは、次のようなピアに当てはまります。

パブリック IP アドレスが動的に割り当てられるピア。

LAN-to-LAN 接続のピアとリモート アクセスするピアはいずれも DHCP を使用してパブリック IP アドレスを取得します。適応型セキュリティ アプライアンスは、このアドレスをトンネルを開始するときにのみ使用します。

プライベート IP アドレスが動的に割り当てられるピア。

リモート アクセスのトンネルを要求するピアは、通常、ヘッドエンドによって割り当てられたプライベート IP アドレスを持っています。一般に、LAN-to-LAN トンネルには、事前に決定済みのプライベート ネットワークのセットがあり、これらはスタティック マップを設定するために使用され、したがって、IPSec SA を確立するために使用されます。

管理者がスタティック暗号マップを設定するため、(DHCP または別の方法で)動的に割り当てられた IP アドレスが不明の場合や、割り当て方法には関係なく他のクライアントのプライベート IP アドレスが不明の場合があります。通常、VPN クライアントはスタティック IP アドレスを持たないため、IPSec ネゴシエーションを開始するには、ダイナミック暗号マップが必要です。たとえば、ヘッドエンドが IKE のネゴシエーション中に Cisco VPN クライアントに IP アドレスを割り当て、クライアントはこのアドレスを IPSec SA のネゴシエーションで使用します。

ダイナミック暗号マップを使用すると、IPSec のコンフィギュレーションが簡単になります。ピアが常に事前に決定されていないネットワークで使用することを推奨します。動的に割り当てられた IP アドレスを取得する Cisco VPN クライアント(モバイル ユーザなど)およびルータに対して、ダイナミック暗号マップを使用します。


ヒント ダイナミック暗号マップの permit エントリに any キーワードを使用する場合は、注意が必要です。permit エントリなどが対象とするトラフィックに、マルチキャストやブロードキャストのトラフィックが含まれる場合、該当するアドレスの範囲について deny エントリをアクセス リストに挿入します。ネットワークとサブネットのブロードキャスト トラフィック、および IPSec で遮断されない他のすべてのトラフィックについて deny エントリを挿入するようにしてください。

ダイナミック暗号マップは、接続を開始するリモートのピアと SA をネゴシエートするときのみ機能します。適応型セキュリティ アプライアンスは、ダイナミック暗号マップを使用してリモート ピアと接続を開始できません。ダイナミック暗号マップが設定されている場合、発信トラフィックがアクセス リストの許可エントリと一致しても、対応する SA が存在しないと、適応型セキュリティ アプライアンスはトラフィックをドロップします。

暗号マップ セットには、ダイナミック暗号マップを含めることができます。ダイナミック暗号マップのセットは、暗号マップ セットで一番低いプライオリティの暗号マップにする必要があります(つまり、最も大きいシーケンス番号を設定する必要があります)。これは、適応型セキュリティ アプライアンスがその他の暗号マップを最初に評価するようにさせるためです。他の(スタティック)マップのエントリが一致しない場合に限り、ダイナミック暗号マップのセットが調べられます。

スタティック暗号マップ セットと同様、ダイナミック暗号マップ セットも、同じ dynamic-map-name を持つすべてのダイナミック暗号マップで構成されます。dynamic-seq-num で、セット内のダイナミック暗号マップが区別されます。ダイナミック暗号マップを設定する場合、暗号アクセス リストに対して IPSec ピアのデータ フローを特定する許可 ACL を挿入します。このように設定しないと、適応型セキュリティ アプライアンスは、ピアが提示するデータ フローの ID をすべて受け入れることになります。


注意 ダイナミック暗号マップ セットが設定された適応型セキュリティ アプライアンス インターフェイスに、トンネリングするトラフィック用のスタティック(デフォルト)ルートを割り当てないでください。トンネリングする必要があるトラフィックを指定するには、ダイナミック暗号マップに ACL を追加します。リモート アクセス トンネルに関連する ACL を設定する場合、適切なアドレス プールを指定してください。トンネルがアップ状態になった後でのみ、逆ルート注入を使用してルートをインストールします。

1 つの暗号マップ セット内に、スタティックとダイナミックの両方のマップ エントリを含めることができます。

次に、同じ 10 のトランスフォーム セットから構成される dynamic0 という名前のダイナミック暗号マップ エントリを作成する例を示します。「crypto ipsec transform-set(トランスフォーム セットの作成または削除)」の項に、トランスフォーム セットに関するコマンド例が 10 例示されています。

hostname(config)# crypto dynamic-map dynamic0 1 set transform-set 3des-md5 3des-sha 56des-md5 56des-sha 128aes-md5 128aes-sha 192aes-md5 192aes-sha 256aes-md5 256aes-sha
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ipsec transform-set

トランスフォーム セットを設定します。

crypto map set transform-set

暗号マップ エントリで使用するトランスフォーム セットを指定します。

clear configure crypto dynamic-map

すべてのダイナミック暗号マップをコンフィギュレーションからクリアします。

show running-config crypto dynamic-map

ダイナミック暗号マップのコンフィギュレーションを表示します。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto engine large-mod-accel

適応型セキュリティ アプライアンス モデル 5510、5520、5540、または 5550 におけるラージ モジュラス演算をソフトウェアからハードウェアに切り替えるには、コンフィギュレーション モードで crypto engine large-mod-accel コマンドを使用します。コンフィギュレーションからこのコマンドを削除するには、このコマンドの no 形式を使用します。

crypto engine large-mod-accel

no crypto engine large-mod-accel

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、適応型セキュリティ アプライアンスは、ソフトウェアでラージ モジュラス演算を実行します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.2(3)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、ASA モデル 5510、5520、5540、および 5550 だけで使用可能です。このコマンドは、ラージ モジュラス演算をソフトウェアからハードウェアに切り替えます。ハードウェアへの切り替えにより、以下が高速化されます。

2048 ビット RSA 公開キー証明書の処理。

Diffie Hellman Group 5(DH5; Diffie Hellman グループ 5)キーの生成。

1 秒あたりの接続数を改善する必要がある場合、このコマンドを使用することを推奨します。このコマンドが SSL のスループットに対して与えるパフォーマンス上の影響は、負荷により制限される場合があります。

また、ソフトウェアからハードウェアまたはハードウェアからソフトウェアへの処理の移行時に発生する可能性のある、パケットの一時的な損失を最小限にするために、このコマンドのいずれかの形式は、ユーザが少ない時間帯またはメンテナンス時に使用することを推奨します。

次に、ラージ モジュラス演算をソフトウェアからハードウェアに切り替える例を示します。

hostname(config)# crypto engine large-mod-accel
 

次に、前のコマンドをコンフィギュレーションから削除し、ラージ モジュラス演算をソフトウェアに戻す例を示します。

hostname(config)# no crypto engine large-mod-accel
 

 
関連コマンド

コマンド
説明

show running-config crypto engine

ラージ モジュラス演算がハードウェアに切り替えられているかどうかを示します。

clear configure crypto engine

ラージ モジュラス演算をソフトウェアに戻します。このコマンドは、 no crypto engine large-mod-accel コマンドと同等です。

crypto ipsec df-bit

IPSec パケットの DF ビット ポリシーを設定するには、グローバル コンフィギュレーション モードで crypto ipsec df-bit コマンドを使用します。

crypto ipsec df-bit [ clear-df | copy-df | set-df ] interface

 
構文の説明

clear-df

(任意)外部 IP ヘッダーから DF ビットをクリアすること、および IPSec カプセル化を追加するために、適応型セキュリティ アプライアンスでパケットをフラグメント化できるようにすることを指定します。

copy-df

(任意)適応型セキュリティ アプライアンスが元のパケット内で外部 DF ビット設定を探すことを指定します。

set-df

(任意)外部 IP ヘッダーに DF ビットを設定することを指定します。ただし、元のパケットから DF ビットがクリアされている場合、適応型セキュリティ アプライアンスはパケットをフラグメント化することがあります。

interface

インターフェイス名を指定します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。設定を指定せずにこのコマンドをイネーブルにすると、適応型セキュリティ アプライアンスはデフォルトとして copy-df 設定を使用します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

IPSec トンネル機能で DF ビットを使用すると、適応型セキュリティ アプライアンスで、カプセル化されたヘッダーから Don't Fragment(DF)ビットをクリア、設定、またはコピーできるかどうかを指定できます。IP ヘッダー内の DF ビットにより、デバイスがパケットをフラグメント化できるかどうかが決定されます。

カプセル化されたヘッダーに DF ビットを指定するように適応型セキュリティ アプライアンスを設定するには、グローバル コンフィギュレーション モードで crypto ipsec df-bit コマンドを使用します。

トンネル モードの IPSec トラフィックをカプセル化する場合は、DF ビットに対し clear-df 設定を使用します。この設定を使用すると、デバイスは使用可能な MTU のサイズよりも大きいパケットを送信できます。また、この設定は、使用可能な MTU のサイズが不明の場合にも適しています。

次に、グローバル コンフィギュレーション モードでの入力で、IPSec DF ポリシーを clear-df に設定する例を示します。

hostname(config)# crypto ipsec df-bit clear-df inside
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ipsec fragmentation

IPSec パケットのフラグメンテーション ポリシーを設定します。

show crypto ipsec df-bit

指定したインターフェイスの DF ビット ポリシーを表示します。

show crypto ipsec fragmentation

指定したインターフェイスのフラグメンテーション ポリシーを表示します。

crypto ipsec fragmentation

IPSec パケットのフラグメンテーション ポリシーを設定するには、グローバル コンフィギュレーション モードで crypto ipsec fragmentation コマンドを使用します。

crypto ipsec fragmentation { after-encryption | before-encryption } interface

 
構文の説明

after-encryption

暗号化の後に MTU の最大サイズに近くなるように IPSec パケットを適応型セキュリティ アプライアンスでフラグメント化することを指定します(事前フラグメント化をディセーブルにします)。

before-encryption

暗号化の前に MTU の最大サイズに近くなるように IPSec パケットを適応型セキュリティ アプライアンスでフラグメント化することを指定します(事前フラグメント化をイネーブルにします)。

interface

インターフェイス名を指定します。

 
デフォルト

この機能は、デフォルトでイネーブルにされています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

パケットが、暗号化を行う適応型セキュリティ アプライアンスの発信リンクの MTU のサイズに近い場合、IPSec ヘッダーを付けてカプセル化されると、発信リンクの MTU を超える可能性があります。MTU のサイズを超えると、暗号化の後にパケットがフラグメント化されます。このため、復号化デバイスはプロセス パスで再組み立てを行います。IPSec VPN の事前フラグメント化では、デバイスはプロセス パスではなく高性能な CEF パスで動作するため、復号化時のパフォーマンスが向上します。

IPSec VPN の事前フラグメント化では、暗号化デバイスは、IPSec SA の一部として設定されたトランスフォーム セットで使用可能な情報から、カプセル化されたパケットのサイズを事前に特定します。パケットが出力インターフェイスの MTU を超えることが事前に判明した場合、デバイスは、暗号化する前にそのパケットをフラグメント化します。これにより、復号化前のプロセス レベルの再組み立てが回避され、復号化のパフォーマンスおよび全体的な IPsec トラフィックのスループットが向上します。

次に、グローバル コンフィギュレーション モードでの入力で、デバイスでの IPSec パケットの事前フラグメント化をグローバルにイネーブルにする例を示します。

hostname(config)# crypto ipsec fragmentation before-encryption inside
hostname(config)#
 

次に、グローバル コンフィギュレーション モードでの入力で、インターフェイスでの IPSec パケットの事前フラグメント化をディセーブルにする例を示します。

hostname(config)# crypto ipsec fragmentation after-encryption inside
hostname(config)#
 

 
関連コマンド

コマンド
説明

crypto ipsec df-bit

IPSec パケットの DF ビット ポリシーを設定します。

show crypto ipsec fragmentation

IPSec パケットのフラグメンテーション ポリシーを表示します。

show crypto ipsec df-bit

指定したインターフェイスの DF ビット ポリシーを表示します。

crypto ipsec security-association lifetime

グローバル ライフタイム値を設定するには、グローバル コンフィギュレーション モードで crypto ipsec security-association lifetime コマンドを使用します。crypto ipsec エントリのライフタイム値をデフォルト値にリセットするには、このコマンドの no 形式を使用します。

crypto ipsec security-association lifetime { seconds seconds | kilobytes kilobytes }

no crypto ipsec security-association lifetime { seconds seconds | kilobytes kilobytes }

 
構文の説明

kilobytes

所定のセキュリティ アソシエーションの有効期限が切れるまでに、そのセキュリティ アソシエーションを使用してピア間を通過できるトラフィックの量を KB 単位で指定します。指定できる範囲は 10 ~ 2147483647 KB です。デフォルトは 4,608,000 KB です。

seconds

セキュリティ アソシエーションの有効期限が切れるまでの存続時間(秒数)を指定します。指定できる範囲は 120 ~ 214783647 秒です。デフォルトは 28,800 秒(8 時間)です。

token

ユーザ認証にトークン ベースのサーバを使用することを指定します。

 
デフォルト

デフォルトの KB 数は 4,608,000 で、デフォルトの秒数は 28,800 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

crypto ipsec security-association lifetime コマンドは、IPSec セキュリティ アソシエーションのネゴシエート時に使用されるグローバル ライフタイム値を変更します。

IPSec セキュリティ アソシエーションでは、共有秘密キーが使用されます。これらのキーとセキュリティ アソシエーションは、両方同時にタイムアウトになります。

個々の暗号マップ エントリにライフタイム値が設定されていない場合、適応型セキュリティ アプライアンスは、ネゴシエーション中に新しいセキュリティ アソシエーションを要求するとき、ピアへの要求の中でグローバル ライフタイム値を指定します。この値を、新しいセキュリティ アソシエーションのライフタイムとして使用します。適応型セキュリティ アプライアンスは、ピアからネゴシエーション要求を受信すると、ピアが提案するライフタイム値とローカルで設定されているライフタイム値のうち、小さい方を新しいセキュリティ アソシエーションのライフタイムとして使用します。

ライフタイムには、「期間」ライフタイムと、「トラフィック量」ライフタイムの 2 種類があります。セキュリティ アソシエーションは、いずれかのライフタイムに最初に到達した時点で期限切れになります。

適応型セキュリティ アプライアンスでは、ユーザは、暗号マップ、ダイナミック マップ、および ipsec 設定を動作中に変更できます。変更する場合、変更によって影響を受ける接続のみが適応型セキュリティ アプライアンスにより停止させられます。特に、アクセス リスト内のエントリを削除することによって、暗号マップに関連付けられている既存のアクセス リストを変更する場合は、関連する接続のみが停止させられます。アクセス リスト内の他のエントリに基づく接続は、影響を受けません。

グローバル期間ライフタイムを変更するには、 crypto ipsec security-association lifetime seconds コマンドを使用します。期間ライフタイムを使用すると、指定した秒数が経過した時点でセキュリティ アソシエーションはタイムアウトになります。

グローバル トラフィック量ライフタイムを変更するには、 crypto ipsec security-association lifetime kilobytes コマンドを使用します。トラフィック量ライフタイムを使用すると、指定した量のトラフィック(KB 単位)がセキュリティ アソシエーションのキーによって保護された時点で、セキュリティ アソシエーションはタイムアウトになります。

ライフタイムを短くするほど、攻撃者がキー再現攻撃を成功させることが困難になります。攻撃者にとっては、解析の対象となる、同じキーで暗号化されたデータの量が少なくなるためです。ただし、ライフタイムを短くするほど、新しいセキュリティ アソシエーションの確立にかかる CPU 処理時間が長くなります。

セキュリティ アソシエーション(およびそれに対応するキー)は、指定した秒数または指定したトラフィック量(KB 単位)のうち、いずれかを超えた時点で有効期限が切れます。

次に、セキュリティ アソシエーションのグローバル期間ライフタイムを指定する例を示します。

hostname(config)# crypto ipsec-security association lifetime seconds 240
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto map

すべての IPSec コンフィギュレーション(たとえば、グローバル ライフタイムやトランスフォーム セット)をクリアします。

show running-config crypto map

すべての暗号マップのすべてのコンフィギュレーションを表示します。

crypto ipsec security-association replay

IPSec アンチ リプレイのウィンドウ サイズを設定するには、グローバル コンフィギュレーション モードで crypto ipsec security-association replay コマンドを使用します。ウィンドウ サイズをデフォルト値にリセットするには、このコマンドの no 形式を使用します。

crypto ipsec security-association replay { window-size n | disable }

no crypto ipsec security-association replay { window-size n | disable }

 
構文の説明

n

ウィンドウ サイズを設定します。指定できる値は 64、128、256、512、または 1024 です。デフォルトは 64 です。

disable

アンチ リプレイ チェックをディセーブルにします。

 
デフォルト

デフォルトのウィンドウ サイズは 64 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(4)/8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

Cisco IPsec 認証では、暗号化されたパケットそれぞれに対して固有のシーケンス番号を割り当てることによって、暗号化されたパケットを複製する攻撃者に対するアンチ リプレイ保護が提供されます(セキュリティ アソシエーション アンチ リプレイは、レシーバが、リプレイ アタックから自身を保護するために、古いまたは重複したパケットを拒否できるセキュリティ サービスです)。すでに検知したシーケンス番号はデクリプタによって対象から外されます。エンクリプタによって、シーケンス番号が昇順で割り当てられます。すでに検出されている最も高いシーケンス番号である値 X はデクリプタによって記録されます。また、デクリプタによって、X-N+1 ~ X(N はウィンドウ サイズ)までのシーケンス番号を持つパケットが検出されているかどうかも記録されます。シーケンス番号 X-N を持つパケットは廃棄されます。現在、N は 64 に設定されているため、デクリプタによって追跡できるパケットは 64 までです。

ただし、64 パケットのウィンドウ サイズで不十分である場合もあります。たとえば、QoS によって、ハイプライオリティ パケットにプライオリティが与えられている場合、一部のロープライオリティ パケットが、デクリプタが受信した最新の 64 パケットの 1 つにもかかわらず、廃棄されてしまう可能性があります。このイベントにより、誤ったアラームである警告 syslog メッセージが生成される可能性があります。 crypto ipsec security-association replay コマンドを使用すると、ウィンドウ サイズを拡張でき、それにより、デクリプタは 64 を超えるパケットを追跡できます。

アンチリプレイのウィンドウ サイズを増加させても、スループットおよびセキュリティには影響はありません。メモリに対する影響もわずかなものです。これは、デクリプタでシーケンス番号を保存するために追加で必要になるのが、着信 IPsec SA ごとに 128 バイトのみであるためです。1024 というフル ウィンドウ サイズを使用して、アンチ リプレイ問題が発生する可能性を排除することを推奨します。

次に、セキュリティ アソシエーションのアンチ リプレイ ウィンドウ サイズを指定する例を示します。

hostname(config)# crypto ipsec security-association replay window-size 1024
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto map

すべての IPSec コンフィギュレーション(たとえば、グローバル ライフタイムやトランスフォーム セット)をクリアします。

shape

トラフィック シェーピングをイネーブルにします。

priority

プライオリティ キューイングをイネーブルにします。

show running-config crypto map

すべての暗号マップのすべてのコンフィギュレーションを表示します。

crypto ipsec transform-set(トランスフォーム セットの作成または削除)

トランスフォーム セットを作成または削除するには、グローバル コンフィギュレーション モードで crypto ipsec transform-set コマンドを使用します。 crypto ipsec transform-set コマンドを使用すると、トランスフォーム セットで使用される IPSec 暗号化およびハッシュ アルゴリズムを指定できます。トランスフォーム セットを削除するには、このコマンドの no 形式を使用します。

crypto ipsec transform-set transform-set-name encryption [ authentication ]

no crypto ipsec transform-set transform-set-name encryption [ authentication ]

 
構文の説明

authentication

(任意)IPSec データ フローの整合性を保証するために、次のいずれかの認証方法を指定します。

esp-md5-hmac :ハッシュ アルゴリズムとして MD5/HMAC-128 を使用する場合。

esp-sha-hmac :ハッシュ アルゴリズムとして SHA/HMAC-160 を使用する場合。

esp-none :HMAC 認証を使用しない場合。

encryption

IPSec データ フローを保護するために、次のいずれかの暗号化方法を指定します。

esp-aes :128 ビット キーで AES を使用する場合。

esp-aes-192 :192 ビット キーで AES を使用する場合。

esp-aes-256 :256 ビット キーで AES を使用する場合。

esp-des :56 ビットの DES-CBC を使用する場合。

esp-3des :Triple DES アルゴリズムを使用する場合。

esp-null :暗号化を使用しない場合。

transform-set-name

作成または変更するトランスフォーム セットの名前。すでにコンフィギュレーションに存在するトランスフォーム セットを表示するには、 show running-config ipsec コマンドを入力します。

 
デフォルト

認証設定のデフォルトは、esp-none(認証しない)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

7.2(1)

この項が改訂されました。

 
使用上のガイドライン

トランスフォーム セットを設定した後、そのセットを暗号マップに割り当てます。1 つの暗号マップにトランスフォーム セットを 6 つまで割り当てることができます。ピアが IPSec セッションを確立しようとするとき、適応型セキュリティ アプライアンスは、一致を検出するまで、各暗号マップのアクセス リストとピアを照合して評価します。次に、適応型セキュリティ アプライアンスは、一致を検出するまで、ピアがネゴシエートするすべてのプロトコル、アルゴリズム、およびその他の設定を、暗号マップに割り当てられているトランスフォーム セットと照合して評価します。ピアの IPSec ネゴシエーションがトランスフォーム セットの設定に一致する場合、適応型セキュリティ アプライアンスは、IPSec セキュリティ アソシエーションの一部としてその設定を、保護されたトラフィックに適用します。ピアがアクセス リストに一致しない場合、および暗号マップに割り当てられているトランスフォーム セット内に完全に一致するピアのセキュリティ設定が見つからない場合、適応型セキュリティ アプライアンスは IPSec セッションを終了します。

暗号化と認証のどちらを先に指定してもかまいません。また、認証を指定せずに暗号化を指定することもできます。作成するトランスフォーム セットで認証を指定する場合は、暗号化も指定する必要があります。変更するトランスフォーム セットで認証のみ指定した場合、現在の暗号化設定がそのまま残ります。

また、AES 暗号化を使用する場合、AES が提供する大きいサイズのキーを扱えるようにするために、グローバル コンフィギュレーション モードで isakmp policy priority group 5 コマンドを使用して Diffie-Hellman グループ 5 を割り当てることを推奨します。


ヒント 暗号マップまたはダイナミック暗号マップにトランスフォーム セットを適用し、後でそのマップに割り当てられているトランスフォーム セットを表示する場合は、トランスフォーム セットに設定内容を表す名前を付けておくと便利です。たとえば、次に示す最初の例の「3des-md5」という名前は、トランスフォーム セットで使用する暗号化と認証を示しています。この名前の後に続く値は、トランスフォーム セットに割り当てる実際の暗号化と認証の設定です。

次のコマンドは、使用できるすべての暗号化および認証のオプションを示しています。ただし、非暗号化および非認証を指定するオプションは除きます。

hostname(config)# crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac
hostname(config)# crypto ipsec transform-set 3des-sha esp-3des esp-sha-hmac
hostname(config)# crypto ipsec transform-set 56des-md5 esp-des esp-md5-hmac
hostname(config)# crypto ipsec transform-set 56des-sha esp-des esp-sha-hmac
hostname(config)# crypto ipsec transform-set 128aes-md5 esp-aes esp-md5-hmac
hostname(config)# crypto ipsec transform-set 128aes-sha esp-aes esp-sha-hmac
hostname(config)# crypto ipsec transform-set 192aes-md5 esp-aes-192 esp-md5-hmac
hostname(config)# crypto ipsec transform-set 192aes-sha esp-aes-192 esp-sha-hmac
hostname(config)# crypto ipsec transform-set 256aes-md5 esp-aes-256 esp-md5-hmac
hostname(config)# crypto ipsec transform-set 256aes-sha esp-aes-256 esp-sha-hmac
hostname(config)#
 

 
関連コマンド

コマンド
説明

show running-config ipsec

すべてのトランスフォーム セットのコンフィギュレーションを表示します。

crypto map set transform-set

暗号マップ エントリで使用するトランスフォーム セットを指定します。

crypto dynamic-map set transform-set

ダイナミック暗号マップ エントリで使用するトランスフォーム セットを指定します。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

show running-config crypto dynamic-map

ダイナミック暗号マップのコンフィギュレーションを表示します。

crypto isakmp am-disable

アグレッシブ モードの着信接続をディセーブルにするには、グローバル コンフィギュレーション モードで crypto isakmp am-disable コマンドを使用します。アグレッシブ モードの着信接続をイネーブルにするには、このコマンドの no 形式を使用します。

crypto isakmp am-disable

no crypto isakmp am-disable

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト値はイネーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

isakmp am-disable コマンドが追加されました。

7.2.(1)

isakmp am-disable コマンドが crypto isakmp am-disable コマンドに置き換えられました

次に、グローバル コンフィギュレーション モードでの入力で、アグレッシブ モードの着信接続をディセーブルにする例を示します。

hostname(config)# crypto isakmp am-disable
 

 
関連コマンド

コマンド
説明

clear configure crypto isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure crypto isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear crypto isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config crypto isakmp

アクティブなコンフィギュレーションをすべて表示します。

crypto isakmp disconnect-notify

ピアに対する切断通知をイネーブルにするには、グローバル コンフィギュレーション モードで crypto isakmp disconnect-notify コマンドを使用します。切断通知をディセーブルにするには、このコマンドの no 形式を使用します。

crypto isakmp disconnect-notify

no crypto isakmp disconnect-notify

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト値はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

isakmp disconnect-notify コマンドが追加されました。

7.2.(1)

isakmp disconnect-notify コマンドが crypto isakmp disconnect-notify コマンドに置き換えられました

次の例では、グローバル コンフィギュレーション モードで、ピアに対する切断通知をイネーブルにします。

hostname(config)# crypto isakmp disconnect-notify
 

 
関連コマンド

コマンド
説明

clear configure crypto isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure crypto isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear crypto isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config crypto isakmp

アクティブなコンフィギュレーションをすべて表示します。

crypto isakmp enable

IPSec ピアが適応型セキュリティ アプライアンスと通信するインターフェイスで ISAKMP ネゴシエーションをイネーブルにするには、グローバル コンフィギュレーション モードで crypto isakmp enable コマンドを使用します。インターフェイスで ISAKMP をディセーブルにするには、このコマンドの no 形式を使用します。

crypto isakmp enable interface-name

no crypto isakmp enable interface-name

 
構文の説明

interface-name

ISAKMP ネゴシエーションをイネーブルまたはディセーブルにするインターフェイスの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

この isakmp enable コマンドは既存のものです。

7.2(1)

isakmp enable コマンドが crypto isakmp enable コマンドに置き換えられました。

次の例では、グローバル コンフィギュレーション モードで、内部インターフェイス上で ISAKMP をディセーブルにする方法を示しています。

hostname(config)# no crypto isakmp enable inside
 

 
関連コマンド

コマンド
説明

clear configure crypto isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure crypto isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear crypto isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config crypto isakmp

アクティブなコンフィギュレーションをすべて表示します。

crypto isakmp identity

フェーズ 2 ID をピアに送信するように設定するには、グローバル コンフィギュレーション モードで crypto isakmp identity コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

crypto isakmp identity {address | hostname | key-id key-id-string | auto }

no crypto isakmp identity {address | hostname | key-id key-id-string | auto }

 
構文の説明

address

ISAKMP の識別情報を交換するホストの IP アドレスを使用します。

auto

ISAKMP ネゴシエーションを、接続のタイプよって判別します(事前共有キーの IP アドレス、または証明書認証用の証明書 DN)。

hostname

ISAKMP の識別情報を交換するホストの完全修飾ドメイン名を使用します(デフォルト)。この名前は、ホスト名とドメイン名で構成されます。

key-id key_id_string

リモート ピアが事前共有キーを検索するために使用する文字列を指定します。

 
デフォルト

デフォルトの ISAKMP ID は crypto isakmp identity auto です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

isakmp identity コマンドは既存のものです。

7.2(1)

isakmp identity コマンドが crypto isakmp identity コマンドに置き換えられました。

次の例では、グローバル コンフィギュレーション モードで、接続タイプに応じて、IPSec ピアと通信するためのインターフェイス上で ISAKMP ネゴシエーションをイネーブルにします。

hostname(config)# crypto isakmp identity auto
 

 
関連コマンド

コマンド
説明

clear configure crypto isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure crypto isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear crypto isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config crypto isakmp

アクティブなコンフィギュレーションをすべて表示します。

crypto isakmp ipsec-over-tcp

IPSec over TCP をイネーブルにするには、グローバル コンフィギュレーション モードで crypto isakmp ipsec-over-tcp コマンドを使用します。IPSec over TCP をディセーブルにするには、このコマンドの no 形式を使用します。

crypto isakmp ipsec-over-tcp [ port port1...port10 ]

no crypto isakmp ipsec-over-tcp [ port port1...port10 ]

 
構文の説明

port port1...port10

(任意)デバイスが IPSec over TCP 接続を受け入れるポートを指定します。最大 10 のポートを指定できます。ポート番号には 1 ~ 65535 の範囲の数値を指定できます。デフォルトのポート番号は 10000 です。

 
デフォルト

デフォルト値はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

isakmp ipsec-over-tcp コマンドが追加されました。

7.2.(1)

isakmp ipsec-over-tcp コマンドが crypto isakmp ipsec-over-tcp コマンドに置き換えられました

次の例では、グローバル コンフィギュレーション モードで、IPSec over TCP をポート 45 でイネーブルにします。

hostname(config)# crypto isakmp ipsec-over-tcp port 45
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure crypto isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear crypto isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config crypto isakmp

アクティブなコンフィギュレーションをすべて表示します。

crypto isakmp nat-traversal

NAT トラバーサルをグローバルにイネーブルにするには、グローバル コンフィギュレーション モードで ISAKMP がイネーブルになっていることを確認します( crypto isakmp enable コマンドでイネーブルにします)。NAT トラバーサルをディセーブルにするには、このコマンドの no 形式を使用します。

crypto isakmp nat-traversal natkeepalive

no crypto isakmp nat-traversal natkeepalive

 
構文の説明

natkeepalive

NAT キープアライブ間隔を、10 ~ 3600 秒の範囲で設定します。デフォルトは 20 秒です。

 
デフォルト

デフォルトでは、NAT トラバーサルはイネーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

isakmp nat-traversal コマンドは既存のものです。

7.2.(1)

isakmp nat-traversal コマンドが crypto isakmp nat-traversal コマンドに置き換えられました

8.0(2)

NAT トラバーサルがデフォルトでイネーブルになりました。

 
使用上のガイドライン

NAT(PAT を含む)は、IPSec も使用している多くのネットワークで使用されていますが、IPSec パケットが NAT デバイスを正常に通過することを妨げる非互換性が数多くあります。NAT トラバーサルを使用すると、ESP パケットが 1 つ以上の NAT デバイスを通過できるようになります。

適応型セキュリティ アプライアンスは、IETF の「UDP Encapsulation of IPsec Packets」ドラフトのバージョン 2 とバージョン 3( http://www.ietf.org/html.charters/ipsec-charter.html から入手可能)に記述されているとおりに NAT トラバーサルをサポートしています。また、ダイナミックとスタティックの両方の暗号マップについて NAT トラバーサルをサポートしています。

このコマンドは、適応型セキュリティ アプライアンス上で NAT-T をグローバルにイネーブルにします。暗号マップ エントリでディセーブルにするには、 crypto map set nat-t-disable コマンドを使用します。

次に、グローバル コンフィギュレーション モードでの入力で、ISAKMP をイネーブルにし、NAT トラバーサルのキープアライブ インターバルを 30 秒に設定する例を示します。

hostname(config)# crypto isakmp enable
hostname(config)# crypto isakmp nat-traversal 30

 
関連コマンド

コマンド
説明

clear configure crypto isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure crypto isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear crypto isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config crypto isakmp

アクティブなコンフィギュレーションをすべて表示します。

crypto isakmp policy authentication

IKE ポリシー内で認証方式を指定するには、グローバル コンフィギュレーション モードで crypto isakmp policy authentication コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション用のパラメータのセットを定義したものです。ISAKMP 認証方式を削除するには、関連する clear configure コマンドを使用します。

crypto isakmp policy priority authentication { crack | pre-share | rsa-sig }

 
構文の説明

crack

認証方式として IKE CRACK を指定します。

pre-share

認証方式として事前共有キーを指定します。

priority

IKE ポリシーを一意に識別し、そのポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。

rsa-sig

認証方式として RSA シグニチャを指定します。

RSA シグニチャにより、IKE ネゴシエーションに対して否認防止を実行できます。これは基本的に、ユーザがピアとの IKE ネゴシエーションを行ったかどうかを、第三者に証明できることを意味します。

 
デフォルト

デフォルトの ISAKMP ポリシー認証は pre-share です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

isakmp policy authentication コマンドは既存のものです。

7.2.(1)

isakmp policy authentication コマンドが crypto isakmp policy authentication コマンドに置き換えられました

 
使用上のガイドライン

RSA シグニチャを指定する場合は、CA サーバから証明書を取得するように適応型セキュリティ アプライアンスとそのピアを設定する必要があります。事前共有キーを指定する場合は、適応型セキュリティ アプライアンスとそのピア内に、事前共有キーを別々に設定する必要があります。

次の例は、グローバル コンフィギュレーション モードでの入力で、 crypto isakmp policy authentication コマンドを使用する方法を示しています。この例では、プライオリティ番号 40 の IKE ポリシーで RSA シグニチャの認証方式を使用するように設定しています。

hostname(config)# crypto isakmp policy 40 authentication rsa-sig
 

 
関連コマンド

コマンド
説明

clear configure crypto isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure crypto isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear crypto isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config crypto isakmp

アクティブなコンフィギュレーションをすべて表示します。

crypto isakmp policy encryption

IKE ポリシー内で使用する暗号化アルゴリズムを指定するには、グローバル コンフィギュレーション モードで crypto isakmp policy encryption コマンドを使用します。暗号化アルゴリズムをデフォルト値の des にリセットするには、このコマンドの no 形式を使用します。

crypto isakmp policy priority encryption { aes | aes-192| aes-256 | des | 3des }

no crypto isakmp policy priority encryption { aes | aes-192| aes-256 | des | 3des }

 
構文の説明

3des

IKE ポリシーで、Triple DES 暗号化アルゴリズムを使用することを指定します。

aes

IKE ポリシーで使用する暗号化アルゴリズムが、128 ビット キーを使用する AES であることを指定します。

aes-192

IKE ポリシーで使用する暗号化アルゴリズムが、192 ビット キーを使用する AES であることを指定します。

aes-256

IKE ポリシーで使用する暗号化アルゴリズムが、256 ビット キーを使用する AES であることを指定します。

des

IKE ポリシーで使用する暗号化アルゴリズムが、56 ビット DES-CBC であることを指定します。

priority

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ポリシーを一意に指定し、ポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。

 
デフォルト

デフォルトの ISAKMP ポリシー暗号化は、 3des です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

isakmp policy encryption コマンドは既存のものです。

7.2.(1)

isakmp policy encryption コマンドが crypto isakmp policy encryption コマンドに置き換えられました

次の例は、グローバル コンフィギュレーション モードでの入力で、 crypto isakmp policy encryption コマンドを使用する方法を示しています。この例では、プライオリティ番号 25 の IKE ポリシー内で使用するアルゴリズムとして、128 ビット キーの AES 暗号化を設定しています。

hostname(config)# crypto isakmp policy 25 encryption aes
 

次に、グローバル コンフィギュレーション モードでの入力で、プライオリティ番号 40 の IKE ポリシー内で 3DES アルゴリズムを使用するように設定する例を示します。

hostname(config)# crypto isakmp policy 40 encryption 3des
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure crypto isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear crypto isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config crypto isakmp

アクティブなコンフィギュレーションをすべて表示します。

crypto isakmp policy group

IKE ポリシーに対し Diffie-Hellman グループを指定するには、グローバル コンフィギュレーション モードで crypto isakmp policy group コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。Diffie-Hellman グループ識別子をデフォルト値にリセットするには、このコマンドの no 形式を使用します。

crypto isakmp policy priority group { 1 | 2 | 5 }

no crypto isakmp policy priority group

 
構文の説明

group 1

IKE ポリシーで、768 ビットの Diffie-Hellman グループを使用することを指定します。これがデフォルト値です。

group 2

IKE ポリシーで、1024 ビットの Diffie-Hellman グループ 2 を使用することを指定します。

group 5

IKE ポリシーで、1536 ビットの Diffie-Hellman グループ 5 を使用することを指定します。

priority

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ポリシーを一意に指定し、ポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。

 
デフォルト

デフォルトのグループ ポリシーは group 2 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

isakmp policy group コマンドが追加されました。

7.2.(1)

isakmp policy group コマンドが crypto isakmp policy group コマンドに置き換えられました

8.0(4)

group 7 コマンド オプションは廃止されました。group 7 を設定しようとすると、エラー メッセージが生成され、代わりに group 5 が使用されます。

 
使用上のガイドライン

グループ オプションには、768 ビット(DH Group 1)、1024 ビット(DH Group 2)、および 1536 ビット(DH Group 5)の 3 つがあります。1024 ビットと 1536 ビットの Diffie-Hellman グループは、セキュリティが高くなりますが、CPU の処理時間は長くなります。


) Cisco VPN クライアントのバージョン 3.x 以上では、ISAKMP ポリシーで DH Group 2 を使用する必要があります(DH Group 1 を設定した場合、Cisco VPN クライアントは接続できません)。

AES は、VPN-3DES のライセンスがあるセキュリティ アプライアンスに限りサポートされます。AES が提供するキーのサイズは大きいため、ISAKMP ネゴシエーションでは、Diffie-Hellman(DH)グループ 1 または 2 ではなく、グループ 5 を使用する必要があります。グループ 5 を設定するには、crypto isakmp policy priority group 5 コマンドを使用します。


次の例は、グローバル コンフィギュレーション モードでの入力で、 crypto isakmp policy group コマンドを使用する方法を示しています。この例では、プライオリティ番号 40 の IKE ポリシーに対し、グループ 2、1024 ビットの Diffie Hellman を使用するように設定しています。

hostname(config)# crypto isakmp policy 40 group 2
 

 
関連コマンド

コマンド
説明

clear configure crypto isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure crypto isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear crypto isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config crypto isakmp

アクティブなコンフィギュレーションをすべて表示します。

crypto isakmp policy hash

IKE ポリシーのハッシュ アルゴリズムを指定するには、グローバル コンフィギュレーション モードで crypto isakmp policy hash コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。ハッシュ アルゴリズムをデフォルト値の SHA-1 にリセットするには、このコマンドの no 形式を使用します。

crypto isakmp policy priority hash { md5 | sha }

no crypto isakmp policy priority hash

 
構文の説明

md5

IKE ポリシーのハッシュ アルゴリズムとして MD5(HMAC バリアント)を指定します。

priority

ポリシーを一意に識別し、そのポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。

sha

IKE ポリシーのハッシュ アルゴリズムとして SHA-1(HMAC バリアント)を指定します。

 
デフォルト

デフォルトのハッシュ アルゴリズムは SHA-1(HMAC バリアント)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

isakmp policy hash コマンドは既存のものです。

7.2.(1)

isakmp policy hash コマンドが crypto isakmp policy hash コマンドに置き換えられました

 
使用上のガイドライン

ハッシュ アルゴリズムのオプションには、SHA-1 と MD5 の 2 つがあります。MD5 のダイジェストの方が小さく、SHA-1 よりもやや速いと見なされています。

次の例は、グローバル コンフィギュレーション モードでの入力で、 crypto isakmp policy hash コマンドを使用する方法を示しています。この例では、プライオリティ番号 40 の IKE ポリシーに対し MD5 ハッシュ アルゴリズムを指定しています。

hostname(config)# crypto isakmp policy 40 hash md5

 
関連コマンド

コマンド
説明

clear configure crypto isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure crypto isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear crypto isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config crypto isakmp

アクティブなコンフィギュレーションをすべて表示します。

crypto isakmp policy lifetime

IKE セキュリティ アソシエーションの期限が切れるまでのライフタイムを指定するには、グローバル コンフィギュレーション モードで crypto isakmp policy lifetime コマンドを使用します。ピアがライフタイムを提示していなければ、無限のライフタイムを指定できます。セキュリティ アソシエーションのライフタイムをデフォルト値の 86,400 秒(1 日)にリセットするには、このコマンド no 形式を使用します。

crypto isakmp policy priority lifetime seconds

no crypto isakmp policy priority lifetime

 
構文の説明

priority

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ポリシーを一意に指定し、ポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。

seconds

各セキュリティ アソシエーションが期限切れになるまでの秒数を指定します。有限のライフタイムを提示するには、120 ~ 2147483647 秒の整数を使用します。無限のライフタイムを提示するには、0 秒を使用します。

 
デフォルト

デフォルト値は 86,400 秒(1 日)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

isakmp policy lifetime コマンドは既存のものです。

7.2.(1)

isakmp policy lifetime コマンドが crypto isakmp policy lifetime コマンドに置き換えられました

 
使用上のガイドライン

IKE は、ネゴシエーションを開始するとき、自身のセッション用のセキュリティ パラメータについて合意しようとします。次に、各ピアのセキュリティ アソシエーションが、合意されたパラメータを参照します。ピアは、ライフタイムが期限切れになるまで、セキュリティ アソシエーションを保持します。セキュリティ アソシエーションは、期限切れになるまで、その後の IKE ネゴシエーションで利用できるため、新しい IPSec セキュリティ アソシエーションを設定するときに時間を節約できます。ピアは、現在のセキュリティ アソシエーションが期限切れになる前に、新しいセキュリティ アソシエーションをネゴシエートします。

ライフタイムを長くするほど、適応型セキュリティ アプライアンスで以降の IPSec セキュリティ アソシエーションを設定する時間が節約されます。暗号化強度は十分なレベルにあるため、キーの再生成間隔を極端に短く(約 2 ~ 3 分ごとに)しなくてもセキュリティは保証されます。デフォルトをそのまま使用することを推奨します。


) IKE セキュリティ アソシエーションのライフタイムが無限に設定されている場合、ピアが有限のライフタイムを提示したときは、ピアからネゴシエートされた有限のライフタイムが使用されます。


次に、グローバル コンフィギュレーション モードでの入力で、プライオリティ番号 40 の IKE ポリシーに対して、IKE セキュリティ アソシエーションのライフタイムを 50,400 秒(14 時間)に設定する例を示します。

hostname(config)# crypto isakmp policy 40 lifetime 50400
 
 

次に、グローバル コンフィギュレーション モードでの入力で、IKE セキュリティ アソシエーションのライフタイムを無限に設定する例を示します。

hostname(config)# crypto isakmp policy 40 lifetime 0
 

 
関連コマンド

clear configure crypto isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure crypto isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear crypto isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config crypto isakmp

アクティブなコンフィギュレーションをすべて表示します。

crypto isakmp reload-wait

すべてのアクティブなセッションが自主終了しない限り適応型セキュリティ アプライアンスをリブートできないようにするは、グローバル コンフィギュレーション モードで crypto isakmp reload-wait コマンドを使用します。アクティブなセッションが終了するのを待たずに適応型セキュリティ アプライアンスをリブートするには、このコマンドの no 形式を使用します。

crypto isakmp reload-wait

no crypto isakmp reload-wait

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

isakmp reload-wait コマンドが追加されました。

7.2.(1)

isakmp reload-wait コマンドが crypto isakmp reload-wait コマンドに置き換えられました

次の例では、グローバル コンフィギュレーション モードで、すべてのアクティブなセッションが終了するまで待機してから適応型セキュリティ アプライアンスをリブートするように設定します。

hostname(config)# crypto isakmp reload-wait
 

 
関連コマンド

コマンド
説明

clear configure crypto isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure crypto isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear crypto isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config crypto isakmp

アクティブなコンフィギュレーションをすべて表示します。

crypto key generate rsa

ID 証明書用の RSA キー ペアを生成するには、グローバル コンフィギュレーション モードで crypto key generate rsa コマンドを使用します。

crypto key generate rsa [ usage-keys | general-keys ] [ label key-pair-label ] [ modulus size ] [ noconfirm ]

 
構文の説明

general-keys

汎用キーのペアを 1 つ生成します。これはデフォルトのキー ペア タイプです。

label key-pair-label

キー ペアに関連付ける名前を指定します。このキー ペアのラベルは一意である必要があります。同じラベルで別のキー ペアを作成しようとすると、適応型セキュリティ アプライアンスは警告メッセージを表示します。キーの生成時にラベルを指定しない場合、キー ペアにはスタティックに <Default-RSA-Key> という名前が付けられます。

modulus size

キー ペアのモジュラス サイズ(512、768、1024、または 2048)を指定します。デフォルトのモジュラス サイズは 1024 です。

noconfirm

すべての対話型プロンプトを非表示にします。

usage-keys

シグニチャ用と暗号化用の 2 つのキー ペアを生成します。これは、対応する ID 用に 2 通の証明書が必要なことを意味します。

 
デフォルト

デフォルトのキー ペア タイプは general key です。デフォルトのモジュラス サイズは 1024 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

SSL、SSH、および IPSec 接続をサポートする RSA キー ペアを生成するには、 crypto key generate rsa コマンドを使用します。生成されたキー ペアは、コマンド構文の一部として指定できるラベルで識別されます。キー ペアを参照しないトラストポイントは、デフォルトの <Default-RSA-Key> を使用できます。SSH 接続では常にこのキーが使用されます。SSL は独自の証明書やキーを動的に生成するため、トラストポイントに設定されていない限り、このことは SSL に影響を与えません。


) キー ペアを保存するための NVRAM スペースの容量は、ASA プラットフォームにより異なります。30 を超えるキー ペアを生成する場合、制限に達する可能性があります。



注意 1024 ビットを超える RSA キー ペアと ID 証明書を使用する多数の SSL 接続では、適応型セキュリティ アプライアンスでの CPU 使用率が高くなり、クライアントレス ログインが拒否される可能性があります。

次に、グローバル コンフィギュレーション モードでの入力で、mypubkey というラベルの RSA キー ペアを生成する例を示します。

hostname(config)# crypto key generate rsa label mypubkey
INFO: The name for the keys will be: mypubkey
Keypair generation process
hostname(config)#
 

次の例では、グローバル コンフィギュレーション モードでの入力で、誤って mypubkey というラベルの重複した RSA キー ペアを生成しようとしています。

hostname(config)# crypto key generate rsa label mypubkey
WARNING: You already have RSA keys defined named mypubkey
Do you really want to replace them? [yes/no] no
ERROR: Failed to create new RSA keys named mypubkey
hostname(config)#
 

次に、グローバル コンフィギュレーション モードでの入力で、デフォルト ラベルの RSA キー ペアを生成する例を示します。

hostname(config)# crypto key generate rsa
INFO: The name for the keys will be: <Default-RSA-Key>
Keypair generation process begin. Please wait...
hostname(config)#
 

グローバル コンフィギュレーション モードで入力された次の例では、RSA キーペアを保存する十分なスペースがないため、警告メッセージが生成されています。

hostname(config)# crypto key generate rsa label mypubkey mod 2048
INFO: The name for the keys will be: mypubkey
Keypair generation process begin. Please wait...
NV RAM will not have enough space to save keypair mypubkey. Remove any unnecessary keypairs and save the running config before using this keypair.
hostname(config)#

 
関連コマンド

コマンド
説明

crypto key zeroize

RSA キー ペアを削除します。

show crypto key

RSA キー ペアを表示します。

crypto key zeroize

指定したタイプ(rsa または dsa)のキー ペアを削除するには、グローバル コンフィギュレーション モードで crypto key zeroize コマンドを使用します。

crypto key zeroize { rsa | dsa } [ label key-pair-label ] [ default ] [ noconfirm ]

 
構文の説明

default

ラベルがない RSA キー ペアを削除します。このキーワードは、RSA キー ペアに対してのみ有効です。

dsa

キー タイプとして DSA を指定します。

label key-pair-label

指定したタイプ(rsa または dsa)のキー ペアを削除します。ラベルを指定しない場合、適応型セキュリティ アプライアンスは指定したタイプのキー ペアをすべて削除します。

noconfirm

すべての対話型プロンプトを非表示にします。

rsa

キー タイプとして RSA を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次に、グローバル コンフィギュレーション モードでの入力で、すべての RSA キー ペアを削除する例を示します。

hostname(config)# crypto key zeroize rsa
WARNING: All RSA keys will be removed.
WARNING: All router certs issued using these keys will also be removed.
 
Do you really want to remove these keys? [yes/no] y
hostname(config)#
 

 
関連コマンド

コマンド
説明

crypto key generate dsa

ID 証明書用の DSA キー ペアを生成します。

crypto key generate rsa

ID 証明書用の RSA キー ペアを生成します。

crypto large-cert-acceleration enable

適応型セキュリティ アプライアンスで、2048 ビット RSA キーの処理をハードウェアで実行できるようにするには、グローバル コンフィギュレーション モードで crypto large-cert-acceleration enable コマンドを使用します。2048 ビット RSA キーの処理をソフトウェアで実行するには、 no crypto large-cert-acceleration enable コマンドを使用します。

crypto large-cert-acceleration enable

no crypto large-cert-acceleration enable

 
構文の説明

このコマンドには、キーワードや引数はありません。

 
デフォルト

デフォルトでは、2048 ビット RSA キーの処理はソフトウェアで実行されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(3)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、ASA 5510、ASA 5520、ASA 5540、および ASA 5550 適応型セキュリティ アプライアンスでのみ使用できます。このコマンドは、ASA 5580 適応型セキュリティ アプライアンスでは使用できません。

次に、2048 ビット RSA キーの処理をハードウェアで実行できるようにする例を示します。

hostname (config)# show running-config crypto large-cert-acceleration
crypto large-cert-acceleration enable
hostname (config)#

 
関連コマンド

コマンド
説明

clear configure crypto

2048 ビット RSA キー コンフィギュレーションと残りの暗号コンフィギュレーションをクリアします。

show running-config crypto

2048 ビット RSA キー コンフィギュレーションと残りの暗号コンフィギュレーションを表示します。

crypto map interface

定義済みの暗号マップ セットをインターフェイスに適用するには、グローバル コンフィギュレーション モードで crypto map interface コマンドを使用します。暗号マップ セットをインターフェイスから削除するには、このコマンドの no 形式を使用します。

crypto map map-name interface interface-name [ipv6-local-address ipv6-address]

no crypto map map-name interface interface-name [ipv6-local-address ipv6-address]

 
構文の説明

 
構文の説明構文の説明

interface-name

適応型セキュリティ アプライアンスが VPN ピアとのトンネルの確立に使用するインターフェイスを指定します。ISAKMP をイネーブルにしていて、CA を使用して証明書を取得する場合は、CA 証明書内で指定されているアドレスを持つインターフェイスにする必要があります。

map-name

暗号マップ セットの名前を指定します。

ipv6-local-address ipv6-address

IPv6 アドレスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.3(1)

ipv6-local-address キーワードが追加されました。

既存

このコマンドは既存です。

 
使用上のガイドライン

このコマンドは、暗号マップ セットをアクティブな適応型セキュリティ アプライアンス インターフェイスに割り当てるために使用します。適応型セキュリティ アプライアンスでは、任意の、およびすべてのアクティブ インターフェイスを IPSec の終端にできます。インターフェイスで IPSec サービスを提供するには、事前にそのインターフェイスに暗号マップ セットを割り当てる必要があります。

インターフェイスに割り当てることができる暗号マップ セットは 1 つのみです。同じ map-name seq-num が異なる暗号マップ エントリが複数ある場合、それらのエントリは同じセットの一部であり、そのインターフェイスにすべてが適用されます。適応型セキュリティ アプライアンスは seq-num が最も小さい暗号マップ エントリを最初に評価します。

インターフェイスに複数の IPv6 アドレスが設定されており、IPv6 環境で LAN-to-LAN VPN トンネルをサポートするように適応型セキュリティ アプライアンスを設定する場合、ipv6-local-address キーワードを使用します。


) 適応型セキュリティ アプライアンスでは、暗号マップ、ダイナミック マップ、および ipsec 設定を動作中に変更できます。設定を変更する場合、変更によって影響を受ける接続のみが適応型セキュリティ アプライアンスによって停止させられます。特に、アクセス リスト内のエントリを削除することによって、暗号マップに関連付けられている既存のアクセス リストを変更する場合は、関連する接続のみが停止させられます。アクセス リスト内の他のエントリに基づく接続は、影響を受けません。

すべてのスタティック暗号マップは、アクセス リスト、トランスフォーム セット、および IPsec ピアの 3 つの部分を定義する必要があります。これらの 1 つが欠けている場合、暗号マップは不完全で、適応型セキュリティ アプライアンスは次のエントリに進みます。ただし、暗号マップがアクセス リストでは一致する一方で、他の 2 つの要件のいずれか一方または両方で一致しない場合、この適応型セキュリティ アプライアンスはトラフィックをドロップします。

すべての暗号マップが完全であることを確認するには、show running-config crypto map コマンドを使用します。不完全な暗号マップを修正するには、暗号マップを削除し、欠けているエントリを追加して再び適用します。


次に、グローバル コンフィギュレーション モードでの入力で、mymap という名前の暗号マップ セットを外部インターフェイスに割り当てる例を示します。トラフィックは、この外部インターフェイスを通過するとき、適応型セキュリティ アプライアンスによって mymap セット内のすべての暗号マップ エントリと照合され、評価されます。発信トラフィックが mymap 暗号マップ エントリの 1 つのアクセス リストと一致する場合、適応型セキュリティ アプライアンスはその暗号マップ エントリのコンフィギュレーションを使用して、セキュリティ アソシエーションを形成します。

hostname(config)# crypto map mymap interface outside
 

次に、必要な最小限の暗号マップ コンフィギュレーションの例を示します。

hostname(config)# crypto map mymap 10 ipsec-isakmp
hostname(config)# crypto map mymap 10 match address 101
hostname(config)# crypto map mymap set transform-set my_t_set1
hostname(config)# crypto map mymap set peer 10.0.0.1

 
関連コマンド

コマンド
説明

clear configure crypto map

すべての暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto map ipsec-isakmp dynamic

所定の暗号マップ エントリで既存のダイナミック暗号マップを参照するには、グローバル コンフィギュレーション モードで crypto map ipsec-isakmp dynamic コマンドを使用します。相互参照を削除するには、このコマンドの no 形式を使用します。

ダイナミック暗号マップ エントリを作成するには、 crypto dynamic-map コマンドを使用します。ダイナミック暗号マップ セットを作成した後、そのダイナミック暗号マップ セットをスタティック暗号マップに追加するには、 crypto map ipsec-isakmp dynamic コマンドを使用します。

crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name

no crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name

 
構文の説明

 

dynamic-map-name

既存のダイナミック暗号マップを参照する暗号マップ エントリの名前を指定します。

ipsec-isakmp

IKE がこの暗号マップ エントリの IPSec セキュリティ アソシエーションを確立することを指定します。

map-name

暗号マップ セットの名前を指定します。

seq-num

暗号マップ エントリに割り当てる番号を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが変更され、 ipsec-manual キーワードが削除されました。

 
使用上のガイドライン

暗号マップ エントリを定義した後、 crypto map interface コマンドを使用して、ダイナミック暗号マップ セットをインターフェイスに割り当てることができます。

ダイナミック暗号マップを使用することで、保護の対象となるトラフィックのフィルタリングと分類、そのトラフィックに適用するポリシーの定義という 2 つの機能を利用できます。最初の機能は、インターフェイス上のトラフィック フローが対象となり、2 番めの機能は、そのトラフィックのために(IKE を通じて)実行されるネゴシエーションが対象となります。

IPSec ダイナミック暗号マップは以下を指定します。

保護するトラフィック

セキュリティ アソシエーションを確立する IPSec ピア

保護対象のトラフィックに対し使用するトランスフォーム セット

キーおよびセキュリティ アソシエーションの使用方法または管理方法

暗号マップ セットは暗号マップ エントリの集合であり、各暗号マップ エントリは異なるシーケンス番号(seq-num)と共通のマップ名を持ちます。たとえば、所定のインターフェイスを介して、あるトラフィックには所定のセキュリティを適用してあるピアに転送し、その他のトラフィックには別の IPSec セキュリティを適用して同じピアまたは別のピアに転送できます。このような構成をセットアップするには、2 つの暗号マップ エントリを作成します。マップ名は同じ名前にし、シーケンス番号をそれぞれ別の番号にします。

シーケンス番号引数として割り当てる番号は、任意に決定しないようにしてください。この番号は、暗号マップ セットに含まれている複数の暗号マップ エントリにランクを付けます。シーケンス番号の小さい暗号マップ エントリは番号の大きいマップ エントリよりも先に評価されます。つまり、番号の小さいマップ エントリはプライオリティが高くなります。


) 暗号マップをダイナミック暗号マップにリンクする場合は、ダイナミック暗号マップを指定する必要があります。指定すると、crypto dynamic-map コマンドを使用して以前に定義した既存のダイナミック暗号マップに暗号マップがリンクされます。暗号マップ エントリが変換された後に加えた変更は有効になりません。たとえば、set peer 設定への変更は有効になりません。ただし、適応型セキュリティ アプライアンスは動作中に変更を保存します。ダイナミック暗号マップを変換して暗号マップに戻す場合、変更は有効で、show running-config crypto map コマンドの出力に表示されます。適応型セキュリティ アプライアンスは、リブートされるまでこれらの設定を維持します。


グローバル コンフィギュレーション モードで入力した次のコマンドでは、暗号マップ mymap が test という名前のダイナミック暗号マップを参照するように設定します。

hostname(config)# crypto map mymap ipsec-isakmp dynamic test
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto map

すべての暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto map match address

アクセス リストを暗号マップ エントリに割り当てるには、グローバル コンフィギュレーション モードで crypto map match address コマンドを使用します。暗号マップ エントリからアクセス リストを削除するには、このコマンドの no 形式を使用します。

crypto map map-name seq-num match address acl_name

no crypto map map-name seq-num match address acl_name

 
構文の説明

acl_name

暗号化アクセス リストの名前を指定します。この名前は、一致対象となる名前付き暗号化アクセス リストの名前引数と一致している必要があります。

map-name

暗号マップ セットの名前を指定します。

seq-num

暗号マップ エントリに割り当てる番号を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

このコマンドは、すべてのスタティック暗号マップに対して必要です。 crypto dynamic-map コマンドでダイナミック暗号マップを定義する場合は、このコマンドは必須ではありませんが、使用することを強く推奨します。

アクセス リストを定義するには、 access-list コマンドを使用します。アクセス リストのヒット カウントは、トンネルの開始時にのみ増加します。トンネルが動作状態になると、パケット単位のフローではヒット カウントは増加しません。トンネルがドロップされ、再び開始されると、ヒット カウントは増加します。

適応型セキュリティ アプライアンスは、アクセス リストを使用して、IPSec 暗号で保護するトラフィックと保護を必要としないトラフィックを区別します。また、許可 ACE に一致する発信パケットを保護し、許可 ACE に一致する着信パケットが保護されるようにします。

適応型セキュリティ アプライアンスは、パケットを deny ステートメントと照合し、一致するパケットが見つかった場合、暗号マップ内の残りの ACE とパケットの照合評価を省略し、次の暗号マップ内の ACE とパケットの照合評価を順番に再開します。 ACL のカスケード処理 には、ACL 内の残りの ACE の評価をバイパスする拒否 ACE の使用、および暗号マップ セット内の次の暗号マップに割り当てられた ACL とトラフィックの照合評価の再開が含まれます。各暗号マップを異なる IPSec 設定に関連付けることができるため、拒否 ACE を使用して、対応する暗号マップでの詳細な評価から特定のトラフィックを除外し、その特定のトラフィックを別の暗号マップの permit ステートメントと照合して異なるセキュリティを提供または要求できます。


) 暗号化用のアクセス リストは、インターフェイスを通過するトラフィックを許可するかまたは拒否するか判定しません。このような判定には、access-group コマンドを使用してインターフェイスに直接適用されるアクセス リストが使用されます。

トランスペアレント モードでは、宛先アドレスは適応型セキュリティ アプライアンスの IP アドレス、管理アドレスである必要があります。トランスペアレント モードでは、適応型セキュリティ アプライアンスへのトンネルのみが許可されます。


 
関連コマンド

コマンド
説明

clear configure crypto map

すべての暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto map set connection-type

この暗号マップ エントリのバックアップ Site-to-Site 機能の接続タイプを指定するには、グローバル コンフィギュレーション モードで crypto map set connection-type コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

crypto map m ap-name seq-num set connection-type {answer-only | originate-only | bidirectional}

no crypto map map-name seq-num set connection-type {answer-only | originate-only | bidirectional}

 
構文の説明

answer-only

このピアが、適切な接続先ピアを決定するための初期の専用交換中に、最初は着信 IKE 接続のみに応答することを指定します。

bidirectional

このピアが、この暗号マップ エントリに基づいて接続を受け入れ、発信できることを指定します。これはすべての Site-to-Site 接続のデフォルトの接続タイプです。

map-name

暗号マップ セットの名前を指定します。

originate-only

このピアが、適切な接続先ピアを決定するための最初の専用交換を開始することを指定します。

seq-num

暗号マップ エントリに割り当てる番号を指定します。

set connection-type

この暗号マップ エントリのバックアップ Site-to-Site 機能の接続タイプを指定します。answer-only、originate-only、および bidirectional の 3 タイプの接続があります。

 
デフォルト

デフォルト設定は bidirectional です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

crypto map set connection-type コマンドは、バックアップ Lan-to-Lan 機能の接続タイプを指定します。接続の一方の側で複数のバックアップ ピアを指定できます。

この機能は、次のプラットフォーム間のみで動作します。

2 つの Cisco ASA 5500 シリーズ セキュリティ アプライアンス

Cisco ASA 5500 シリーズ セキュリティ アプライアンスと Cisco VPN 3000 コンセントレータ

Cisco ASA 5500 シリーズ セキュリティ アプライアンスと、Cisco PIX セキュリティ アプライアンス ソフトウェア v7.0 以上を実行しているセキュリティ アプライアンス

バックアップ Lan-to-Lan 接続を設定するには、接続の一方の側を originate-only キーワードを使用して originate-only として設定し、複数のバックアップ ピアのある側を answer-only キーワードを使用して answer-only として設定することを推奨します。originate-only 側では、 crypto map set peer コマンドを使用してピアのプライオリティを指定します。originate-only セキュリティ アプライアンスは、リストの最初のピアとネゴシエートしようとします。ピアが応答しない場合、適応型セキュリティ アプライアンスは、ピアが応答するか、リストにピアがなくなるまで下に向かってリストを検索します。

このように設定した場合、originate-only ピアは、最初に専用のトンネルを確立してピアとネゴシエートしようとします。その後、いずれかのピアが通常の Lan-to-Lan 接続を確立でき、いずれかの側からのデータによりトンネル接続を開始できます。

トランスペアレント ファイアウォール モードでは、このコマンドは表示されますが、インターフェイスに対応付けられた暗号マップに含まれる暗号マップ エントリでは、connection-type 値は answer-only 以外の値に設定できません。

表 8-1 に、サポートされるすべてのコンフィギュレーションを示します。これら以外の組み合わせでは、予測できないルーティング問題が発生することがあります。

 

表 8-1 サポートされるバックアップ LAN-to-LAN 接続タイプ

リモート側
中央側

Originate-Only

Answer-Only

Bi-Directional

Answer-Only

Bi-Directional

Bi-Directional

次に、グローバル コンフィギュレーション モードでの入力で、暗号マップ mymap を設定し、接続タイプを originate-only に設定する例を示します。

hostname(config)# crypto map mymap 10 set connection-type originate-only
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto map

すべての暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto map set inheritance

この暗号マップ エントリ用に生成されるセキュリティ アソシエーションの精度(シングルまたはマルチ)を設定するには、グローバル コンフィギュレーション モードで set inheritance コマンドを使用します。この暗号マップ エントリの継承の設定を削除するには、このコマンドの no 形式を使用します。

crypto map map-name seq-num set inheritance {data| rule}

no crypto map map-name seq-num set inheritance {data | rule}

 
構文の説明

data

ルールで指定されているアドレス範囲内のすべてのアドレス ペアに 1 つのトンネルを指定します。

map-name

暗号マップ セットの名前を指定します。

rule

この暗号マップに関連付けられている各 ACL エントリに 1 つのトンネルを指定します。これはデフォルトの値です。

seq-num

暗号マップ エントリに割り当てる番号を指定します。

set inheritance

継承のタイプ( data または rule )を指定します。継承により、各 Security Policy Database(SPD)ルールに対して 1 つの Security Association(SA; セキュリティ アソシエーション)を生成すること、または範囲内の各アドレス ペアに対して複数のセキュリティ SA を生成することができます。

 
デフォルト

デフォルト値は rule です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、適応型セキュリティ アプライアンスがトンネルに応答するときではなく、トンネルを開始するときにのみ動作します。データ設定を使用すると、多数の IPSec SA が作成される可能性があります。この場合、メモリが消費され、トンネルが全体的に少なくなります。データ設定は、セキュリティ依存型のアプリケーションに対してのみ使用する必要があります。

次に、グローバル コンフィギュレーション モードでの入力で、暗号マップ mymap を設定し、継承タイプを data に設定する例を示します。

hostname(config)# crypto map mymap 10 set inheritance data
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto map

すべての暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto map set nat-t-disable

この暗号マップ エントリに基づく接続の NAT-T をディセーブルにするには、グローバル コンフィギュレーション モードで crypto map set nat-t-disable コマンドを使用します。この暗号マップ エントリの NAT-T をイネーブルにするには、このコマンドの no 形式を使用します。

crypto map map-name seq-num set nat-t-disable

no crypto map map-name seq-num set nat-t-disable

 
構文の説明

map-name

暗号マップ セットの名前を指定します。

seq-num

暗号マップ エントリに割り当てる番号を指定します。

 
デフォルト

このコマンドのデフォルト設定はオンではありません(したがって、NAT-T はデフォルトでイネーブルです)。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

NAT-T をグローバルにイネーブルにするには、 isakmp nat-traversal コマンドを使用します。その後、 crypto map set nat-t-disable コマンドを使用して、特定の暗号マップ エントリの NAT-T をディセーブルにできます。

グローバル コンフィギュレーション モードで入力した次のコマンドは、mymap という名前の暗号マップ エントリの NAT-T をディセーブルにします。

hostname(config)# crypto map mymap 10 set nat-t-disable
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto map

すべての暗号マップのすべてのコンフィギュレーションをクリアします。

isakmp nat-traversal

すべての接続の NAT-T をイネーブルにします。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto map set peer

暗号マップ エントリ内で IPSec ピアを指定するには、グローバル コンフィギュレーション モードで crypto map set peer コマンドを使用します。暗号マップ エントリから IPSec ピアを削除するには、このコマンドの no 形式を使用します。

crypto map map-name seq-num set peer { ip_address | hostname }{... ip_address | hostname10 }

no crypto map map-name seq-num set peer { ip_address | hostname }{... ip_address | hostname10 }

 
構文の説明

hostname

ピアを適応型セキュリティ アプライアンスの name コマンドで定義したホスト名で指定します。

ip_address

ピアを IP アドレス(IPv4 または IPv6)で指定します。

map-name

暗号マップ セットの名前を指定します。

peer

暗号マップ エントリ内で IPSec ピアをホスト名または IP アドレス(IPv4 または IPv6)で指定します。

seq-num

暗号マップ エントリに割り当てる番号を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが、最大 10 のピア アドレスを許容するように変更されました。

 
使用上のガイドライン

このコマンドは、すべてのスタティック暗号マップに対して必要です。 crypto dynamic-map コマンドでダイナミック暗号マップ エントリを定義する場合には、このコマンドは必須ではなく、ほとんど使用しません。これは、ピアが通常は不明であるためです。

複数のピアを設定することは、フォールバック リストを指定することと同じです。トンネルごとに、セキュリティ アプライアンスはリストの最初のピアとネゴシエートしようとします。ピアが応答しない場合、セキュリティ アプライアンスは、ピアが応答するか、リストにピアがなくなるまで下に向かってリストを検索します。バックアップ LAN-to-LAN 機能を使用している場合(つまり、暗号マップ接続タイプが originate-only の場合)にのみ複数のピアを設定できます。詳細については、 crypto map set connection-type コマンドを参照してください。

グローバル コンフィギュレーション モードで入力された次の例は、IKE を使用してセキュリティ アソシエーションを確立する暗号マップ コンフィギュレーションを示しています。この例では、ピア 10.0.0.1 またはピア 10.0.0.2 に対するセキュリティ アソシエーションをセットアップできます。

hostname(config)# crypto map mymap 10 ipsec-isakmp
hostname(config)# crypto map mymap 10 match address 101
hostname(config)# crypto map mymap 10 set transform-set my_t_set1
hostname(config)# crypto map mymap 10 set peer 10.0.0.1 10.0.0.2

 
関連コマンド

コマンド
説明

clear configure crypto map

すべての暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto map set pfs

この暗号マップ エントリ用の新しいセキュリティ アソシエーションの要求時に PFS を要求するように IPSec を設定するには、または新しいセキュリティ アソシエーションの要求の受信時に PFS を要求するように IPSec を設定するには、グローバル コンフィギュレーション モードで crypto map set pfs コマンドを使用します。IPSec で PFS を要求しないことを指定するには、このコマンドの no 形式を使用します。

crypto map map-name seq-num set pfs [group1 | group2 | group5]

no crypto map map-name seq-num set pfs [group1 | group2 | group5]

 
構文の説明

group1

IPSec で新しい Diffie-Hellman 交換を実行するときに、768 ビットの Diffie-Hellman プライム モジュラス グループを使用することを指定します。

group2

IPSec で新しい Diffie-Hellman 交換を実行するときに、1024 ビットの Diffie-Hellman プライム モジュラス グループを使用することを指定します。

group5

IPSec で新しい Diffie-Hellman 交換を実行するときに、1536 ビットの Diffie-Hellman プライム モジュラス グループを使用することを指定します。

map-name

暗号マップ セットの名前を指定します。

seq-num

暗号マップ エントリに割り当てる番号を指定します。

 
デフォルト

デフォルトでは、PFS は設定されません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドは変更され Diffie-Hellman グループ 7 が追加されました。

8.0(4)

group 7 コマンド オプションは廃止されました。group 7 を設定しようとすると、エラー メッセージが生成され、代わりに group 5 が使用されます。

 
使用上のガイドライン

PFS を使用すると、新しいセキュリティ アソシエーションをネゴシエートするたびに新しい Diffie-Hellman 交換が発生します。この交換によって、処理にかかる時間が長くなります。PFS を使用すると、セキュリティがいっそう向上します。1 つのキーが攻撃者によってクラックされた場合でも、信頼性が損なわれるのはそのキーで送信されたデータのみになるためです。

このコマンドを使用すると、ネゴシエーション中に暗号マップ エントリ用の新しいセキュリティ アソシエーションを要求するとき、IPSec は PFS を要求します。 set pfs ステートメントでグループが指定されていない場合、適応型セキュリティ アプライアンスはデフォルト(group2)を送信します。

ピアがネゴシエーションを開始するときに、ローカル コンフィギュレーションで PFS が指定されている場合、ピアは PFS 交換を実行する必要があります。実行しない場合、ネゴシエーションは失敗します。ローカル コンフィギュレーションでグループが指定されていない場合、適応型セキュリティ アプライアンスはデフォルトの group2 が指定されているものと見なします。ローカル コンフィギュレーションで group2 または group5 が指定されている場合、そのグループがピアのオファーに含まれている必要があります。含まれていない場合、ネゴシエーションは失敗します。

ネゴシエーションが成功するには、両方の側に PFS が設定されている必要があります。設定されている場合、グループは完全に一致する必要があります。一致しない場合、適応型セキュリティ アプライアンスは、ピアからの PFS のオファーをすべて受け入れません。

1536 ビットの Diffie-Hellman プライム モジュラス グループ group5 は、group1 や group2 よりも高いセキュリティを提供します。ただし、他のグループより処理時間が長くなります。

適応型セキュリティ アプライアンスは、Cisco VPN Client と対話するときに PFS 値を使用しません。その代わり、フェーズ 1 でネゴシエートされた値を使用します。

次に、グローバル コンフィギュレーション モードでの入力で、暗号マップ「mymap 10」用の新しいセキュリティ アソシエーションをネゴシエートするときに、必ず PFS を使用するように指定する例を示します。

hostname(config)# crypto map mymap 10 ipsec-isakmp
hostname(config)# crypto map mymap 10 set pfs group2

 
関連コマンド

コマンド
説明

clear isakmp sa

アクティブな IKE セキュリティ アソシエーションを削除します。

clear configure crypto map

すべての暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

tunnel-group

トンネル グループとそのパラメータを設定します。

crypto map set phase1-mode

メインまたはアグレッシブへの接続を開始する場合にフェーズ 1 の IKE モードを指定するには、グローバル コンフィギュレーション モードで crypto map set phase1-mode コマンドを使用します。フェーズ 1 IKE ネゴシエーションの設定を削除するには、このコマンドの no 形式を使用します。アグレッシブ モードで Diffie-Hellman グループを含めることはオプションです。含めない場合、適応型セキュリティ アプライアンスは group 2 を使用します。

crypto map map-name seq-num set phase1-mode {main | aggressive [group1 | group2 | group5]}

no crypto map map-name seq-num set phase1-mode {main | aggressive [group1 | group2 | group5]}

 
構文の説明

aggressive

フェーズ 1 IKE ネゴシエーションにアグレッシブ モードを指定します。

group1

IPSec で新しい Diffie-Hellman 交換を実行するときに、768 ビットの Diffie-Hellman プライム モジュラス グループを使用することを指定します。

group2

IPSec で新しい Diffie-Hellman 交換を実行するときに、1024 ビットの Diffie-Hellman プライム モジュラス グループを使用することを指定します。

group5

IPSec で新しい Diffie-Hellman 交換を実行するときに、1536 ビットの Diffie-Hellman プライム モジュラス グループを使用することを指定します。

main

フェーズ 1 IKE ネゴシエーションにメイン モードを指定します。

map-name

暗号マップ セットの名前を指定します。

seq-num

暗号マップ エントリに割り当てる番号を指定します。

 
デフォルト

デフォルトのフェーズ 1 のモードは main です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

8.0(4)

group 7 コマンド オプションは廃止されました。group 7 を設定しようとすると、エラー メッセージが生成され、代わりに group 5 が使用されます。

 
使用上のガイドライン

このコマンドは、発信側モードでのみ動作します。応答側モードでは動作しません。

次に、グローバル コンフィギュレーション モードでの入力で、暗号マップ mymap を設定し、group 2 を使用してフェーズ 1 のモードをアグレッシブに設定する例を示します。

hostname(config)# crypto map mymap 10 set phase1mode aggressive group2
hostname(config)#

 
関連コマンド

コマンド
説明

clear isakmp sa

アクティブな IKE セキュリティ アソシエーションを削除します。

clear configure crypto map

すべての暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto map set reverse-route

この暗号マップ エントリに基づく接続の RRI をイネーブルにするには、グローバル コンフィギュレーション モードで crypto map set reverse-route コマンドを使用します。この暗号マップ エントリに基づく接続の逆ルート注入をディセーブルにするには、このコマンドの no 形式を使用します。

crypto map map-name seq-num set reverse-route

no crypto map map-name seq-num s et reverse-route

 
構文の説明

map-name

暗号マップ セットの名前を指定します。

seq-num

暗号マップ エントリに割り当てる番号を指定します。

 
デフォルト

このコマンドのデフォルトの設定はオフです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、ルーティング テーブルにスタティック ルートを自動的に追加し、OSPF を使用してそれらのルートをプライベート ネットワーク ルータまたは境界ルータに通知できます。

次に、グローバル コンフィギュレーション モードでの入力で、mymap という名前の暗号マップの RRI をイネーブルにする例を示します。

hostname(config)# crypto map mymap 10 set reverse-route
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto map

すべての暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto map set security-association lifetime

特定の暗号マップ エントリについて、IPSec セキュリティ アソシエーションをネゴシエートするときに使用されるグローバル ライフタイム値を上書きするには、グローバル コンフィギュレーション モードで crypto map set security-association lifetime コマンドを使用します。暗号マップ エントリのライフタイム値をグローバル値にリセットするには、このコマンドの no 形式を使用します。

crypto map map-name seq-num set security-association lifetime { seconds seconds | kilobytes kilobytes }

no crypto map map-name seq-num set security-association lifetime { seconds seconds | kilobytes kilobytes }

 
構文の説明

kilobytes

所定のセキュリティ アソシエーションの有効期限が切れるまでに、そのセキュリティ アソシエーションを使用してピア間を通過できるトラフィックの量を KB 単位で指定します。
デフォルトは 4,608,000 KB です。

map-name

暗号マップ セットの名前を指定します。

seconds

セキュリティ アソシエーションの有効期限が切れるまでの存続時間(秒数)を指定します。デフォルトは 28,800 秒(8 時間)です。

seq-num

暗号マップ エントリに割り当てる番号を指定します。

 
デフォルト

デフォルトの KB 数は 4,608,000 で、デフォルトの秒数は 28,800 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

暗号マップのセキュリティ アソシエーションは、グローバル ライフタイム値に基づいてネゴシエートされます。

IPSec セキュリティ アソシエーションでは、共有秘密キーが使用されます。これらのキーとセキュリティ アソシエーションは、両方同時にタイムアウトになります。

特定の暗号マップ エントリにライフタイム値が設定されている場合、適応型セキュリティ アプライアンスは、セキュリティ アソシエーションのネゴシエーション中に新しいセキュリティ アソシエーションを要求するとき、ピアへの要求の中でこの暗号マップ ライフタイム値を指定します。これらの値を、新しいセキュリティ アソシエーションのライフタイムとして使用します。適応型セキュリティ アプライアンスは、ピアからネゴシエーション要求を受信すると、ピアが提示するライフタイム値とローカルに設定済みのライフタイム値のうち、小さい方を新しいセキュリティ アソシエーションのライフタイムとして使用します。

ライフタイムには、「期間」ライフタイムと、「トラフィック量」ライフタイムの 2 種類があります。セッション キーとセキュリティ アソシエーションは、いずれかのライフタイムに最初に到達した時点で期限切れになります。1 つのコマンドで両方を指定できます。


) 適応型セキュリティ アプライアンスでは、暗号マップ、ダイナミック マップ、および ipsec 設定を動作中に変更できます。設定を変更する場合、変更によって影響を受ける接続のみが適応型セキュリティ アプライアンスによって停止させられます。特に、アクセス リスト内のエントリを削除することによって、暗号マップに関連付けられている既存のアクセス リストを変更する場合は、関連する接続のみが停止させられます。アクセス リスト内の他のエントリに基づく接続は、影響を受けません。


期間ライフタイムを変更するには、 crypto map set security-association lifetime seconds コマンドを使用します。期間ライフタイムを使用すると、指定した秒数が経過した時点でキーおよびセキュリティ アソシエーションがタイムアウトになります。

グローバル コンフィギュレーション モードで入力された次のコマンドは、暗号マップ mymap のセキュリティ アソシエーション ライフタイムを秒単位および KB 単位で指定します。

hostname(config)# crypto map mymap 10 set security-association lifetime seconds 1400 kilobytes 3000000
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto map

すべての暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto map set transform-set

暗号マップ エントリで使用するトランスフォーム セットを指定するには、グローバル コンフィギュレーション モードで crypto map set transform-set コマンドを使用します。

crypto map map-name seq-num set transform-set transform-set-name1
[ ... transform-set-name11 ]

暗号マップ エントリから特定のトランスフォーム セット名を削除するには、トランスフォーム セットの名前を指定して、このコマンドの no 形式を使用します。

no crypto map map-name seq-num set transform-se t transform-set-name1
[ ... transform-set-name11 ]

トランスフォーム セットをすべて指定するか何も指定せずに、暗号マップ エントリを削除するには、このコマンドの no 形式を使用します。

no crypto map map-name seq-num set transform-se t

 
構文の説明

map-name

暗号マップ セットの名前を指定します。

seq-num

暗号マップ エントリのシーケンス番号を指定します。

transform-set-name1
transform-set-name11

トランスフォーム セットの名前を 1 つ以上指定します。このコマンドで指定するトランスフォーム セットは、 crypto ipsec transform-set コマンドで定義されている必要があります。各暗号マップ エントリは、11 個までのトランスフォーム セットをサポートしています。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

7.2(1)

暗号マップ エントリにおけるトランスフォーム セットの最大数が変更されました。

 
使用上のガイドライン

このコマンドは、すべての暗号マップ エントリに対して必要です。

IPSec 接続の開始側とは反対側にあるピアは、最初に一致したトランスフォーム セットをセキュリティ アソシエーションで使用します。ローカルの適応型セキュリティ アプライアンスがネゴシエーションを開始した場合、 crypto map コマンドで指定した順番どおりに、適応型セキュリティ アプライアンスはトランスフォームセットの内容をピアに提示します。ピアがネゴシエーションを開始すると、ローカルの適応型セキュリティ アプライアンスは、暗号マップ エントリの中で、ピアから送られた IPSec パラメータと一致する最初のトランスフォーム セットを使用します。

IPSec 接続の開始側とは反対側にあるピアが、一致するトランスフォーム セットの値を見つけられない場合、セキュリティ アソシエーションは確立されません。トラフィックを保護するセキュリティ アソシエーションがないため、開始側はトラフィックをドロップします。

トランスフォーム セットのリストを変更するには、古いリストの代わりになる新しいリストを指定します。

このコマンドを使用して暗号マップを変更する場合、適応型セキュリティ アプライアンスでは、指定したシーケンス番号と同じ番号の暗号マップ エントリのみが変更されます。たとえば、次のコマンドを入力した場合、適応型セキュリティ アプライアンスでは、56des-sha というトランス フォーム セットがリストの最後の位置に挿入されます。

hostname(config)# crypto map map1 1 set transform-set 128aes-md5 128aes-sha 192aes-md5
hostname(config)# crypto map map1 1 transform-set 56des-sha
hostname(config)#
 

次のコマンドへの応答は、上記の 2 つのコマンドで行った変更を合わせたものになります。

hostname(config)# show running-config crypto map
crypto map map1 1 set transform-set 128aes-md5 128aes-sha 192aes-md5 56des-sha
hostname(config)#
 

暗号マップ エントリ内のトランスフォーム セットの順番を再設定するには、最初にエントリを削除し、マップ名とシーケンス番号の両方を指定してから、エントリを作成し直します。たとえば、次のコマンドは、シーケンス番号 3 の map2 という暗号マップ エントリを再設定します。

asa2(config)# no crypto map map2 3 set transform-set
asa2(config)# crypto map map2 3 set transform-set 192aes-sha 192aes-md5 128aes-sha 128aes-md5
asa2(config)#

「crypto ipsec transform-set(トランスフォーム セットの作成または削除)」の項に、トランスフォーム セットに関するコマンド例が 10 例示されています。次に、その同じ 10 例のトランスフォーム セットから構成される暗号マップ エントリ map2 を作成する例を示します。

hostname(config)# crypto map map2 10 set transform-set 3des-md5 3des-sha 56des-md5 56des-sha 128aes-md5 128aes-sha 192aes-md5 192aes-sha 256aes-md5 256aes-sha
hostname(config)#
 

グローバル コンフィギュレーション モードで入力された次の例は、適応型セキュリティ アプライアンスが IKE を使用してセキュリティ アソシエーションを確立する場合に必要となる、最小限の暗号マップ コンフィギュレーションを示しています。

hostname(config)# crypto map map2 10 ipsec-isakmp
hostname(config)# crypto map map2 10 match address 101
hostname(config)# crypto map map2 set transform-set 3des-md5
hostname(config)# crypto map map2 set peer 10.0.0.1
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto dynamic-map

すべてのダイナミック暗号マップをコンフィギュレーションからクリアします。

clear configure crypto map

すべての暗号マップをコンフィギュレーションからクリアします。

crypto dynamic-map set transform-set

ダイナミック暗号マップ エントリで使用するトランスフォーム セットを指定します。

crypto ipsec transform-set

トランスフォーム セットを設定します。

show running-config crypto dynamic-map

ダイナミック暗号マップのコンフィギュレーションを表示します。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto map set trustpoint

暗号マップ エントリのフェーズ 1 ネゴシエーション中に、認証用に送信する証明書を指定するトラストポイントを指定するには、グローバル コンフィギュレーション モードで crypto map set trustpoint コマンドを使用します。暗号マップ エントリからトラストポイントを削除するには、このコマンドの no 形式を使用します。

crypto map map-name seq-num set trustpoint trustpoint-name [ chain]

no crypto map map-name seq-num set trustpoint trustpoint-name [chain]

 
構文の説明

chain

(任意)証明書チェーンを送信します。CA 証明書チェーンには、ルート証明書から ID 証明書まで、証明書の階層内のすべての CA 証明書が含まれています。デフォルト値はディセーブル(チェーンなし)です。

map-name

暗号マップ セットの名前を指定します。

seq-num

暗号マップ エントリに割り当てる番号を指定します。

trustpoint-name

フェーズ 1 ネゴシエーション中に送信する証明書を指定します。デフォルトは none です。

token

ユーザ認証にトークン ベースのサーバを使用することを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

この暗号マップ コマンドは、接続を開始する場合に限り有効です。応答側の情報については、 tunnel-group コマンドを参照してください。

次に、グローバル コンフィギュレーション モードでの入力で、暗号マップ mymap に tpoint1 という名前のトラストポイントを指定し、証明書のチェーンを含める例を示します。

hostname(config)# crypto map mymap 10 set trustpoint tpoint1 chain
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure crypto map

すべての暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

tunnel-group

トンネル グループを設定します。

csc

適応型セキュリティ アプライアンスでネットワーク トラフィックを CSC SSM に送信できるようにするには、クラス コンフィギュレーション モード csc コマンドを使用します。クラス コンフィギュレーション モードはポリシー マップ コンフィギュレーション モードからアクセスできます。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

csc { fail-open | fail-close }

no csc

 
構文の説明

fail-close

CSC SSM で障害が発生した場合、適応型セキュリティ アプライアンスでトラフィックをブロックすることを指定します。これは、クラス マップで選択されたトラフィックにのみ適用されます。CSC SSM に送信されていない他のトラフィックは、CSC SSM 障害による影響を受けません。

fail-open

CSC SSM で障害が発生した場合、適応型セキュリティ アプライアンスでトラフィックを許可することを指定します。これは、クラス マップで選択されたトラフィックにのみ適用されます。CSC SSM に送信されていない他のトラフィックは、CSC SSM 障害による影響を受けません。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

csc コマンドは、該当するクラス マップに一致するトラフィックすべてを CSC SSM に送信するようにセキュリティ ポリシーを設定します。この設定の後、適応型セキュリティ アプライアンスはトラフィックが宛先に進み続けるのを許可します。

CSC SSM がトラフィックをスキャンできない場合に、適応型セキュリティ アプライアンスが一致するトラフィックを取り扱う方法を指定できます。 fail-open キーワードは、CSC SSM が使用できない場合でも、トラフィックが宛先に進み続けるのを適応型セキュリティ アプライアンスが許可するように指定します。 fail-close キーワードは、CSC SSM が使用できない場合に、一致するトラフィックが宛先に進み続けるのを適応型セキュリティ アプライアンスが許可しないように指定します。

CSC SSM は、HTTP、SMTP、POP3、および FTP トラフィックをスキャンできます。CSC SSM は、これらのプロトコルをサポートしますが、サポートするのは、接続を要求するパケットの宛先ポートが、プロトコルの既知のポートである場合に限ります。つまり、CSC SSM は、次の接続のみスキャンできます。

TCP ポート 21 に対して開かれる FTP 接続。

TCP ポート 80 に対して開かれる HTTP 接続。

TCP ポート 110 に対して開かれる POP3 接続。

TCP ポート 25 に対して開かれる SMTP 接続。

csc コマンドを使用しているポリシーで、これらのポートを他のプロトコルに誤用する接続が選択された場合、適応型セキュリティ アプライアンスはパケットを CSC SSM に渡しますが、CSC SSM はパケットをスキャンせずに渡します。

CSC SSM の効率を最大にするには、 csc コマンドを実装しているポリシーが使用するクラス マップを次のように設定します。

サポートされているプロトコルのうち CSC SSM でスキャンするプロトコルのみを選択します。たとえば、HTTP トラフィックをスキャンしない場合は、サービス ポリシーにより HTTP トラフィックが CSC SSM に転送されないようにします。

適応型セキュリティ アプライアンスにより保護されている信頼できるホストを危険にさらす接続のみを選択します。これらの接続は、外部のネットワークまたは信頼できないネットワークから内部のネットワークへの接続です。次の接続をスキャンすることを推奨します。

発信 HTTP 接続。

適応型セキュリティ アプライアンスの内部のクライアントから適応型セキュリティ アプライアンスの外部のサーバへの FTP 接続。

セキュリティ アプライアンスの内部のクライアントから適応型セキュリティ アプライアンスの外部のサーバへの POP3 接続。

内部メール サーバ宛ての着信 SMTP 接続。

FTP スキャン

CSC SSM は、FTP セッションのプライマリ チャネルが標準ポート(TCP ポート 21)を使用している場合に限り、FTP ファイル転送のスキャンをサポートします。

CSC SSM でスキャンする FTP トラフィックに対して、FTP インスペクションがイネーブルである必要があります。これは、FTP が、データ転送用に動的に割り当てられたセカンダリ チャネルを使用するためです。適応型セキュリティ アプライアンスは、セカンダリ チャネルに割り当てられるポートを決定し、データ転送の実行を許可するピンホールを開きます。CSC SSM が FTP データをスキャンするように設定されている場合、適応型セキュリティ アプライアンスはデータ トラフィックを CSC SSM に転送します。

FTP インスペクションは、グローバルに適用すること、または csc コマンドが適用される同じインターフェイスに適用することができます。デフォルトでは、FTP インスペクションはグローバルにイネーブルにされています。デフォルトのインスペクション コンフィギュレーションを変更していない場合、CSC SSM による FTP スキャンをイネーブルにするために、これ以上の FTP インスペクション コンフィギュレーションは必要ありません。

FTP インスペクションまたはデフォルトのインスペクション コンフィギュレーションの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

内部ネットワーク上のクライアントから HTTP、FTP、および POP3 接続で外部のネットワークに要求されたトラフィック、および外部のホストから DMZ ネットワーク上のメール サーバに着信する SMTP 接続を CSC SSM に転送するように、適応型セキュリティ アプライアンスを設定する必要があります。内部のネットワークから DMZ ネットワーク上の Web サーバへの HTTP 要求は、スキャンしないでください。

次のコンフィギュレーションは、2 つのサービス ポリシーを作成します。最初のポリシー csc_out_policy は、内部のインターフェイスに適用され、csc_out アクセス リストを使用して、FTP および POP3 に関するすべての発信要求が必ずスキャンされるようにします。csc_out アクセス リストは、内部から外部インターフェイス上のネットワークへの HTTP 接続もスキャンされるようにしますが、このアクセス リストには、内部から DMZ ネットワーク上のサーバへの HTTP 接続を除外する拒否 ACE が含まれています。

2 番めのポリシーである csc_in_policy は、外部のインターフェイスに適用され、csc_in アクセス リストを使用して、外部インターフェイス上で DMZ ネットワーク宛に送信される SMTP および HTTP に関する要求が CSC SSM によりスキャンされるようにします。HTTP 要求をスキャンすることで、HTTP ファイルのアップロードから Web サーバを保護できます。

hostname(config)# access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 21
hostname(config)# access-list csc_out deny tcp 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0 eq 80
hostname(config)# access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 80
hostname(config)# access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 110
 
hostname(config)# class-map csc_outbound_class
hostname(config-cmap)# match access-list csc_out
 
hostname(config)# policy-map csc_out_policy
hostname(config-pmap)# class csc_outbound_class
hostname(config-pmap-c)# csc fail-close
 
hostname(config)# service-policy csc_out_policy interface inside
 
hostname(config)# access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 25
hostname(config)# access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 80
 
hostname(config)# class-map csc_inbound_class
hostname(config-cmap)# match access-list csc_in
 
hostname(config)# policy-map csc_in_policy
hostname(config-pmap)# class csc_inbound_class
hostname(config-pmap-c)# csc fail-close
 
hostname(config)# service-policy csc_in_policy interface outside
 

) FTP により転送されたファイルを CSC SSM がスキャンするには、FTP インスペクションがイネーブルである必要があります。FTP インスペクションは、デフォルトでイネーブルです。


 
関連コマンド

コマンド
説明

class(ポリシー マップ)

トラフィックの分類に使用するクラス マップを指定します。

class-map

ポリシー マップで使用するトラフィック分類マップを作成します。

match port

宛先ポートを使用してトラフィックを照合します。

policy-map

トラフィック クラスを 1 つ以上のアクションと関連付けることによって、ポリシー マップを作成します。

service-policy

ポリシー マップを 1 つ以上のインターフェイスと関連付けることによって、セキュリティ ポリシーを作成します。

csd enable

管理アクセスおよびリモート ユーザ アクセスに対して Cisco Secure Desktop をイネーブルにするには、webvpn コンフィギュレーション モードで csd enable コマンドを使用します。Cisco Secure Desktop をディセーブルにするには、このコマンドの no 形式を使用します。

csd enable

no csd enable

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

csd enable コマンドは、次の処理を実行します。

1. 以前の csd image path コマンドにより実行されたチェックを補足する有効性チェックを提供します。

2. disk0 上に sdesktop フォルダが存在しない場合は作成します。

3. sdesktop フォルダに data.xml(Cisco Secure Desktop コンフィギュレーション)ファイルが存在しない場合は挿入します。

4. フラッシュ デバイスから data.xml を実行コンフィギュレーションにロードします。

5. Cisco Secure Desktop をイネーブルにします。

show webvpn csd コマンドを入力して、Cisco Secure Desktop がイネーブルかどうか判断できます。

csd enable コマンドを入力する前に、実行コンフィギュレーション内に csd image path コマンドを含める必要があります。

no csd enable コマンドは、実行コンフィギュレーションで Cisco Secure Desktop をディセーブルにします。Cisco Secure Desktop がディセーブルの場合、ユーザは Cisco Secure Desktop Manager にアクセスできず、リモート ユーザは Cisco Secure Desktop を使用できません。

data.xml ファイルを転送または交換する場合、このファイルを実行コンフィギュレーションにロードするために、Cisco Secure Desktop をいったんディセーブルにしてからイネーブルにします。

次のコマンドの例は、Cisco Secure Desktop イメージのステータスの表示方法と、Cisco Secure Desktop イメージをイネーブルにする方法を示しています。

hostname(config-webvpn)# show webvpn csd
Secure Desktop is not enabled.
hostname(config-webvpn)# csd enable
hostname(config-webvpn)# show webvpn csd
Secure Desktop version 3.1.0.25 is currently installed and enabled.
hostname(config-webvpn)#
 

 
関連コマンド

コマンド
説明

show webvpn csd

Cisco Secure Desktop がイネーブルである場合、そのバージョンを示します。ディセーブルの場合、CLI に「Secure Desktop is not enabled.」と表示されます。

csd image

コマンドで指定された Cisco Secure Desktop イメージを、パスで指定されたフラッシュ ドライブから実行コンフィギュレーションにコピーします。

csd image

Cisco Secure Desktop 配布パッケージを検証して、実行コンフィギュレーションに追加するには(つまり、Cisco Secure Desktop をインストールするには)、webvpn コンフィギュレーション モードで csd image コマンドを使用します。CSD 配布パッケージを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

csd image path

no csd image [ path ]

 
構文の説明

path

Cisco Secure Desktop パッケージのパスおよびファイル名を 255 文字以内で指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを入力する前に、 show webvpn csd コマンドを入力して、Cisco Secure Desktop イメージがイネーブルであるかどうか判断します。現在インストールされている Cisco Secure Desktop イメージがイネーブルである場合、CLI によりそのバージョンが示されます。

http://www.cisco.com/cgi-bin/tablebuild.pl/securedesktop から新しい Cisco Secure Desktop イメージをコンピュータにダウンロードし、フラッシュ ドライブに転送してから、 csd image コマンドを使用して、イメージをインストールするか既存のイメージをアップグレードします。必ず、使用している適応型セキュリティ アプライアンスに合ったファイルをダウンロードしてください。ファイルの形式は、 securedesktop_asa_ < n > _ < n > *.pkg です。

no csd image を入力すると、Cisco Secure Desktop Manager への管理アクセスと、Cisco Secure Desktop へのリモート ユーザ アクセスの両方が削除されます。このコマンドを入力しても、適応型セキュリティ アプライアンスは、Cisco Secure Desktop ソフトウェアおよびフラッシュ ドライブ上の Cisco Secure Desktop コンフィギュレーションに対してどのような変更も行いません。


) 次回の適応型セキュリティ アプライアンスのリブート時に Cisco Secure Desktop を使用できることを保証するために、write memory コマンドを入力して実行コンフィギュレーションを保存します。


次のコマンド例は、現在の Cisco Secure Desktop 配布パッケージを表示し、フラッシュ ファイル システムの内容を表示して、新しいバージョンにアップグレードする方法を示しています。

hostname# show webvpn csd
Secure Desktop version 3.1.0.24 is currently installed and enabled.
hostname# config t
hostname(config)# webvpn
hostname(config-webvpn)# show disk all
-#- --length-- -----date/time------ path
6 8543616 Nov 02 2005 08:25:36 PDM
9 6414336 Nov 02 2005 08:49:50 cdisk.bin
10 4634 Sep 17 2004 15:32:48 first-backup
11 4096 Sep 21 2004 10:55:02 fsck-2451
12 4096 Sep 21 2004 10:55:02 fsck-2505
13 21601 Nov 23 2004 15:51:46 shirley.cfg
14 9367 Nov 01 2004 17:15:34 still.jpg
15 6594064 Nov 04 2005 09:48:14 asdmfile.510106.rls
16 21601 Dec 17 2004 14:20:40 tftp
17 21601 Dec 17 2004 14:23:02 bingo.cfg
18 9625 May 03 2005 11:06:14 wally.cfg
19 16984 Oct 19 2005 03:48:46 tomm_backup.cfg
20 319662 Jul 29 2005 09:51:28 sslclient-win-1.0.2.127.pkg
21 0 Oct 07 2005 17:33:48 sdesktop
22 5352 Oct 28 2005 15:09:20 sdesktop/data.xml
23 369182 Oct 10 2005 05:27:58 sslclient-win-1.1.0.133.pkg
24 1836210 Oct 12 2005 09:32:10 securedesktop_asa_3_1_0_24.pkg
25 1836392 Oct 26 2005 09:15:26 securedesktop_asa_3_1_0_25.pkg
 
38600704 bytes available (24281088 bytes used)
 
******** Flash Card Geometry/Format Info ********
 
COMPACT FLASH CARD GEOMETRY
Number of Heads: 4
Number of Cylinders 978
Sectors per Cylinder 32
Sector Size 512
Total Sectors 125184
 
COMPACT FLASH CARD FORMAT
Number of FAT Sectors 61
Sectors Per Cluster 8
Number of Clusters 15352
Number of Data Sectors 122976
Base Root Sector 123
Base FAT Sector 1
Base Data Sector 155
hostname(config-webvpn)# csd image disk0:securedesktop_asa_3_1_0_25.pkg
hostname(config-webvpn)# show webvpn csd
Secure Desktop version 3.1.0.25 is currently installed and enabled.
hostname(config-webvpn)# write memory
Building configuration...
Cryptochecksum: 5e57cfa8 0e9ca4d5 764c3825 2fc4deb6
 
19566 bytes copied in 3.640 secs (6522 bytes/sec)
[OK]
hostname(config-webvpn)#
 

 
関連コマンド

コマンド
説明

show webvpn csd

Cisco Secure Desktop がイネーブルである場合、そのバージョンを示します。ディセーブルの場合、CLI に「Secure Desktop is not enabled.」と表示されます。

csd enable

管理アクセスおよびリモート ユーザ アクセスに対し Cisco Secure Desktop をイネーブルにします。

ctl

Certificate Trust List プロバイダーをイネーブルにして、CTL クライアントの CTL ファイルを解析し、トラストポイントをインストールするには、CTL プロバイダー コンフィギュレーション モードで ctl コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

ctl install

no ctl instal

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、イネーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CTL プロバイダー コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

CTL プロバイダーをイネーブルにして、CTL クライアントの CTL ファイルを解析し、CTL ファイルのエントリに対しトラストポイントをインストールするには、CTL プロバイダー コンフィギュレーション モードで ctl コマンドを使用します。このコマンドでインストールされたトラストポイントの名前には、「_internal_CTL_<ctl_name>」というプレフィクスが付加されます。このコマンドはオプションであり、デフォルトではイネーブルです。

このコマンドがディセーブルの場合、crypto ca trustpoint コマンドと crypto ca certificate chain コマンドを使用して、各 CallManager サーバと CAPF 証明書を手動でインポートおよびインストールする必要があります。

次の例は、CTL プロバイダー インスタンスを作成する方法を示しています。

hostname(config)# ctl-provider my_ctl
hostname(config-ctl-provider)# client interface inside 172.23.45.1
hostname(config-ctl-provider)# client username CCMAdministrator password XXXXXX encrypted
hostname(config-ctl-provider)# export certificate ccm_proxy
hostname(config-ctl-provider)# ctl install
 

 
関連コマンド

コマンド
説明

ctl-provider

CTL プロバイダー インスタンスを定義し、プロバイダー コンフィギュレーション モードを開始します。

server trust-point

TLS ハンドシェイク中に提示するプロキシ トラストポイント証明書を指定します。

show tls-proxy

TLS プロキシを表示します。

tls-proxy

TLS プロキシ インスタンスを定義し、最大セッション数を設定します。

ctl-file(グローバル)

Phone Proxy 用に作成する CTL インスタンスを指定するには、またはフラッシュ メモリに保存されている CTL ファイルを解析するには、グローバル コンフィギュレーション モードで ctl-file コマンドを使用します。CTL インスタンスを削除するには、このコマンドの no 形式を使用します。

ctl-file ctl_name noconfirm

no ctl-file ctl_name noconfirm

 
構文の説明

ctl_name

CTL インスタンスの名前を指定します。

noconfirm

(任意) no コマンドとともに使用すると、CTL ファイルの削除時に、トラストポイントの削除に関する警告が適応型セキュリティ アプライアンス コンソールに出力されなくなります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

ユーザが LSC プロビジョニングを必要とする電話を使用する場合、 ctl-file コマンドで CTL ファイル インスタンスを設定するときに、CUMC から ASA 内に CAPF 証明書をインポートする必要もあります。『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。


) CTL ファイルを作成するには、CTL ファイル コンフィギュレーション モードで no shutdown コマンドを使用します。CTL ファイルのエントリの変更、CTL ファイルへのエントリの追加、または CTL ファイルの削除を行うには、shutdown コマンドを使用します。


このコマンドの no 形式を使用すると、CTL ファイル、および Phone Proxy により内部で作成されたすべての登録済みトラストポイントが削除されます。また、CTL ファイルを削除すると、関連する認証局から受信したすべての証明書が破棄されます。

次に、 ctl-file コマンドを使用して、Phone Proxy 機能用の CTL ファイルを設定する例を示します。

hostname(config)# ctl-file myctl
 

 
関連コマンド

コマンド
説明

ctl-file(Phone-Proxy)

Phone Proxy インスタンス設定時に使用する CTL ファイルを指定します。

cluster-ctl-file

CTL ファイルからトラストポイントをインストールするために、フラッシュ メモリに保存されている CTL ファイルを解析します。

phone-proxy

Phone Proxy インスタンスを設定します。

record-entry

CTL ファイルの作成に使用するトラストポイントを指定します。

sast

CTL レコード内に作成する SAST 証明書の数を指定します。

ctl-file(Phone-Proxy)

Phone Proxy の設定時に使用する CTL インスタンスを指定するには、Phone-Proxy コンフィギュレーション モードで ctl-file コマンドを使用します。CTL インスタンスを削除するには、このコマンドの no 形式を使用します。

ctl-file ctl_name

no ctl-file ctl_name

 
構文の説明

ctl_name

CTL インスタンスの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Phone-Proxy コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

次に、 ctl-file コマンドを使用して、Phone Proxy 機能用の CTL ファイルを設定する例を示します。

hostname(config-phone-proxy)# ctl-file myctl
 

 
関連コマンド

コマンド
説明

ctl-file(グローバル)

Phone Proxy コンフィギュレーション用に作成する CTL ファイル、またはフラッシュ メモリから解析するための CTL ファイルを指定します。

phone-proxy

Phone Proxy インスタンスを設定します。

ctl-provider

CTL プロバイダー モードで Certificate Trust List プロバイダー インスタンスを設定するには、グローバル コンフィギュレーション モードで ctl-provider コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

ctl-provider ctl_name

no ctl-provider ctl_name

 
構文の説明

ctl_name

CTL プロバイダー インスタンスの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

CTL プロバイダー コンフィギュレーション モードを開始して CTL プロバイダー インスタンスを作成するには、ctl-provider コマンドを使用します。

次の例は、CTL プロバイダー インスタンスを作成する方法を示しています。

hostname(config)# ctl-provider my_ctl
hostname(config-ctl-provider)# client interface inside 172.23.45.1
hostname(config-ctl-provider)# client username CCMAdministrator password XXXXXX encrypted
hostname(config-ctl-provider)# export certificate ccm_proxy
hostname(config-ctl-provider)# ctl install
 

 
関連コマンド

コマンド
説明

client

CTL プロバイダーへの接続が許可されるクライアントを指定し、クライアント認証用のユーザ名とパスワードも指定します。

ctl

CTL クライアントの CTL ファイルを解析し、トラストポイントをインストールします。

export

クライアントにエクスポートする証明書を指定します。

service

CTL プロバイダーがリッスンするポートを指定します。

tls-proxy

TLS プロキシ インスタンスを定義し、最大セッション数を設定します。

customization

トンネル グループ、グループ、またはユーザ用のカスタマイゼーションを指定するには、次のモードで customization コマンドを使用します。

トンネル グループ webvpn アトリビュート コンフィギュレーション モードと webvpn コンフィギュレーション モードの場合(グローバル コンフィギュレーション モードからアクセス可能)

customization name

no customization name

webvpn コンフィギュレーション モードの場合(グループ ポリシー アトリビュート コンフィギュレーション モードまたはユーザ名アトリビュート コンフィギュレーション モードからアクセス可能)

customization {none | value name }

no customization {none | value name }

 
構文の説明

name

適用する WebVPN カスタマイゼーションの名前を指定します。

none

グループまたはユーザのカスタマイゼーションをディセーブルにし、デフォルトの WebVPN ページを表示します。

value name

グループ ポリシーまたはユーザに適用するカスタマイゼーションの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ webvpn アトリビュート コンフィギュレーション

--

--

--

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

トンネル グループ webvpn アトリビュート コンフィギュレーション モードで customization コマンドを入力する前に、webvpn コンフィギュレーション モードで customization コマンドを使用してカスタマイゼーションに名前を付け、設定する必要があります。

モード別のコマンドのオプション

customization コマンドで使用できるキーワードは、モードによって異なります。グループ ポリシー アトリビュート > webvpn コンフィギュレーション モードおよびユーザ名アトリビュート > webvpn コンフィギュレーション モードでは、追加の none キーワードと value キーワードがあります。これらのモードでの完全な構文は、次のとおりです。

[ no ] customization {none | value name }

none は、グループまたはユーザのカスタマイゼーションをディセーブルにし、カスタマイゼーションを継承できないようにします。たとえば、ユーザ名アトリビュート > webvpn モードで customization none コマンドを入力すると、セキュリティ アプライアンスは、グループ ポリシーやトンネル グループに含まれる値を検索しません。

name は、グループまたはユーザに適用するカスタマイゼーションの名前です。

このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

次に、パスワード プロンプトを定義する「123」という名前の WebVPN カスタマイゼーションを最初に確立するコマンド シーケンスの例を示します。この例では、その後、「test」という WebVPN トンネル グループを定義し、 customization コマンドを使用して、「123」という WebVPN カスタマイゼーションを使用することを指定しています。

hostname(config)# webvpn
hostname(config-webvpn)# customization 123
hostname(config-webvpn-custom)# password-prompt Enter password
hostname(config-webvpn)# exit
hostname(config)# tunnel-group test type webvpn
hostname(config)# tunnel-group test webvpn-attributes
hostname(config-tunnel-webvpn)# customization 123
hostname(config-tunnel-webvpn)#
 

次に、「cisco」というカスタマイゼーションを「cisco_sales」というグループ ポリシーに適用する例を示します。グループ ポリシー アトリビュート > webvpn コンフィギュレーション モードで入力する customization コマンドでは、 value コマンド オプションを追加する必要があることに注意してください。

hostname(config)# group-policy cisco_sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# customization value cisco

 
関連コマンド

コマンド
説明

clear configure tunnel-group

すべてのトンネル グループのコンフィギュレーションを削除します。

show running-config tunnel-group

現在のトンネル グループ コンフィギュレーションを表示します。

tunnel-group webvpn-attributes

WebVPN トンネル グループ アトリビュートを設定する config-webvpn モードを開始します。