Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
java-trustpoint コマンド~ kill コマンド
java-trustpoint コマンド~ kill コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

java-trustpoint コマンド~ kill コマンド

java-trustpoint

join-failover-group

jumbo-frame reservation

keepout

kerberos-realm

key

key config-key password-encryption

keypair

keysize

keysize server

kill

java-trustpoint コマンド~ kill コマンド

java-trustpoint

指定したトラストポイントの位置から PKCS12 証明書およびキーイング情報を使用するように WebVPN Java オブジェクト署名機能を設定するには、webvpn コンフィギュレーション モードで java-trustpoint コマンドを使用します。

Java オブジェクト署名のトラストポイントを削除するには、このコマンドの no 形式を使用します。

java-trustpoint trustpoint

no java-trustpoint

 
構文の説明

trustpoint

crypto ca import コマンドにより設定されたトラストポイントの位置を指定します。

 
デフォルト

デフォルトでは、Java オブジェクト署名のトラストポイントは none に設定されています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(2)

このコマンドが追加されました。

 
使用上のガイドライン

トラストポイントは、Certificate Authority(CA; 認証局)または ID キー ペアを表します。java-trustpoint コマンドの場合、指定するトラストポイントにはアプリケーション署名エンティティの X.509 証明書、その証明書に対応する RSA 秘密キー、ルート CA までの認証局チェーンが含める必要があります。そのためには通常、 crypto ca import コマンドを使用して PKCS12 形式のバンドルをインポートします。PKCS12 バンドルは、信頼できる CA 認証局から入手するか、openssl などのオープン ソース ツールを使用して既存の X.509 証明書および RSA 秘密キーから手動で作成できます。

次の例では、最初に新しいトラストポイントを設定してから、トラストポイントを WebVPN Java オブジェクト署名用に設定します。次のコマンドは、mytrustpoint という新しいトラストポイントを作成します。

hostname(config)# crypto ca import mytrustpoint pkcs12 mypassphrase
Enter the base 64 encoded PKCS12.
End with the word “quit” on a line by itself.
[ PKCS12 data omitted ]
quit
INFO: Import PKCS12 operation completed successfully.
hostname(config)#
 

次に、WebVPN Java オブジェクトに署名する新しいトラストポイントを設定する例を示します。

hostname(config)# webvpn
hostname(config)# java-trustpoint mytrustpoint
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ca import

PKCS12 データを使用してトラストポイントの証明書およびキー ペアをインポートします。

join-failover-group

コンテキストをフェールオーバー グループに割り当てるには、コンテキスト コンフィギュレーション モードで join-failover-group コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

join-failover-group group_num

no join-failover-group group_num

 
構文の説明

group_num

フェールオーバー グループの番号を指定します。

 
デフォルト

フェールオーバー グループ 1。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

コンテキスト コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

管理コンテキストは、常にフェールオーバー グループ 1 に割り当てられます。フェールオーバー グループとコンテキストの関連付けを表示するには、 show context detail コマンドを使用します。

コンテキストをフェールオーバー グループに割り当てる前に、システム コンテキストで failover group コマンドを使用して、フェールオーバー グループを作成する必要があります。このコマンドは、コンテキストがアクティブ ステートになっているユニット上で入力します。デフォルトでは、未割り当てのコンテキストは、フェールオーバー グループ 1 のメンバーになっています。そのため、コンテキストが過去にフェールオーバー グループに割り当てられていない場合は、フェールオーバー グループ 1 がアクティブ ステートになっているユニット上で、このコマンドを入力する必要があります。

システムからフェールオーバー グループを削除する前に、 no join-failover-group コマンドを使用して、フェールオーバー グループからコンテキストをすべて削除する必要があります。

次に、ctx1 というコンテキストをフェールオーバー グループ 2 に割り当てる例を示します。

hostname(config)# context ctx1
hostname(config-context)# join-failover-group 2
hostname(config-context)# exit
 

 
関連コマンド

コマンド
説明

context

指定したコンテキストのコンテキスト コンフィギュレーション モードを開始します。

failover group

Active/Active フェールオーバーのためのフェールオーバー グループを定義します。

show context detail

名前、クラス、インターフェイス、フェールオーバー グループの関連付け、およびコンフィギュレーション ファイルの URL などのコンテキストの詳細情報を表示します。

jumbo-frame reservation

ASA 5580 でギガビットおよび 10 ギガビット イーサネット インターフェイスに対してジャンボ フレームをイネーブルにするには、グローバル コンフィギュレーション モードで jumbo-frame reservation コマンドを使用します。ジャンボ フレームは、内蔵管理ポートではサポートされていません。ジャンボ フレームをディセーブルにするには、このコマンドの no 形式を使用します。


) この設定を変更したら適応型セキュリティ アプライアンスをリブートする必要があります。


jumbo-frame reservation

no jumbo-frame reservation

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ジャンボ フレーム予約はデフォルトではディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

ジャンボ フレームは、最大 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)の標準イーサネット パケットより大きい、最大 9216 バイトのイーサネット パケットです。ジャンボ フレームのサポートにはメモリが余分に必要です。これにより、アクセス リストなど他の機能の最大使用に制限が加えられる可能性があります。

ジャンボ フレームの送信が必要な各インターフェイスの MTU には、必ずデフォルトの 1500 より大きい値を設定します。たとえば、 mtu コマンドを使用して値に 9000 を設定します。

ジャンボ フレームを使用する場合には、TCP の Maximum Segment Size(MSS; 最大セグメント サイズ)の値も必ず設定します。MSS は、MTU よりも 120 バイト小さい必要があります。たとえば、MTU を 9000 に設定する場合、MSS は 8880 に設定する必要があります。MSS は、 sysopt connection tcpmss コマンドで設定できます。

プライマリおよびセカンダリ ユニットの両方をリブートして、フェールオーバー ペアがジャンボ フレームをサポートするようにさせる必要があります。ダウンタイムを回避するには、次を実行します。

アクティブなユニット上でコマンドを発行します。

アクティブなユニット上で実行コンフィギュレーションを保存します。

プライマリおよびセカンダリ ユニットを 1 台ずつリブートします。

次に、ジャンボ フレーム予約をイネーブルにし、コンフィギュレーションを保存してから、適応型セキュリティ アプライアンスをリロードする例を示します。

hostname(config)# jumbo-frame reservation
WARNING: this command will take effect after the running-config is saved
and the system has been rebooted. Command accepted.
 
hostname(config)# write memory
Building configuration...
Cryptochecksum: 718e3706 4edb11ea 69af58d0 0a6b7cb5
 
70291 bytes copied in 3.710 secs (23430 bytes/sec)
[OK]
hostname(config)# reload
Proceed with reload? [confirm] Y
 

 
関連コマンド

コマンド
説明

mtu

インターフェイスの最大伝送ユニットを指定します。

show jumbo-frame reservation

jumbo-frame reservation コマンドの現在の設定を表示します。

keepout

(適応型セキュリティ アプライアンスのメンテナンスまたはトラブルシューティングの実行中に)新しいユーザ セッションのログイン ページではなく、管理者定義のメッセージを表示するには、webvpn コンフィギュレーション モードで keepout コマンドを使用します。過去に設定した立ち入り禁止ページを削除するには、このコマンドの no バージョンを使用します。

keepout

no keepout string

 
構文の説明

string

二重引用符で囲んだ英数字ストリング。

 
デフォルト

立ち入り禁止ページなし。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドがイネーブルの場合、クライアントレス WebVPN ポータル ページは使用できなくなります。ポータルのログイン ページではなく、ポータルが使用できないことを示す管理者定義のメッセージを受信します。keepout コマンドを使用すると、クライアントレス アクセスをディセーブルにして AnyConnect アクセスは許可したままにできます。メンテナンス中にこのコマンドを使用してポータルが使用できないことを示すこともできます。

次に、立ち入り禁止ページを設定する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# keepout “The system is unavailable until 7:00 a.m. EST.”
hostname(config-webvpn)#

 
関連コマンド

コマンド
説明

webvpn

webvpn コンフィギュレーション モードを開始します。このモードではクライアントレス SSLVPN 接続のアトリビュートを設定できます。

kerberos-realm

この Kerberos サーバのレルム名を指定するには、AAA サーバ ホスト コンフィギュレーション モードで kerberos-realm コマンドを使用します。レルム名を削除するには、このコマンドの no 形式を使用します。

kerberos-realm string

no kerberos-realm

 
構文の説明

string

大文字と小文字が区別される最大 64 文字の長さの英数字ストリング。ストリングにスペースは使用できません。

引数に小文字を使用できますが、小文字は大文字に変換されません。必ず大文字だけを使用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このリリースで追加されました。

 
使用上のガイドライン

このコマンドは Kerberos サーバに対してのみ有効です。

Kerberos レルムの Windows 2000 Active Directory サーバで実行する場合、 string 引数の値は、Microsoft Windows の set USERDNSDOMAIN コマンドと一致させる必要があります。次の例では、EXAMPLE.COM が Kerberos レルム名です。

C:\>set USERDNSDOMAIN
USERDNSDOMAIN=EXAMPLE.COM
 

string 引数には、数字および大文字のみを使用する必要があります。 kerberos-realm コマンドでは、大文字と小文字が区別され、適応型セキュリティ アプライアンスは、小文字を大文字に変換しません。

次に、 kerberos-realm コマンドを使用して、AAA サーバ ホストの設定のコンテキストで Kerberos レルムを「EXAMPLE.COM」に設定するシーケンスを示します。

hostname(config)# aaa-server svrgrp1 protocol kerberos
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry 7
hostname(config-aaa-server-host)# kerberos-realm EXAMPLE.COM
hostname(config-aaa-server-host)# exit
hostname(config)#

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション サブモードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コマンド ステートメントをコンフィギュレーションから削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

key

AAA サーバに対する NAS 認証に使用されるサーバ秘密値を指定するには、AAA サーバ ホスト コンフィギュレーション モードで key コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードは、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。キーを削除するには、このコマンドの no 形式を使用します。

key key

no key

 
構文の説明

key

最大 127 文字の長さの英数字キーワード。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

key の値は、大文字と小文字が区別される最大 127 文字の英数字のキーワードであり、TACACS+ サーバのキーと同じ値です。127 文字を超えて入力された文字があれば無視されます。このキーは、クライアントとサーバ間のデータをクライアントとサーバ間で暗号化するために使用されます。キーは、クライアントおよびサーバ システムの両方で同一である必要があります。キーにスペースは含められませんが、他の特殊文字は使用できます。キー(サーバ秘密)の値は、適応型セキュリティ アプライアンスを AAA サーバに対して認証します。

このコマンドは、RADIUS および TACACS+ サーバに対してのみ有効です。

旧バージョンの PIX Firewall の aaa-server コマンドの key パラメータは、同等の key コマンドに自動的に変換されます。

次に、ホスト「1.2.3.4」上で「srvgrp1」という TACACS+ AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、キーを「myexclusivemumblekey」として設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# key myexclusivemumblekey

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コマンド ステートメントをコンフィギュレーションから削除します。

show running-config aaa-server

AAA サーバ コンフィギュレーションを表示します。

key config-key password-encryption

暗号キーの生成に使用するパスフレーズを設定するには、グローバル コンフィギュレーション モードで key config-key password-encryption コマンドを使用します。パスフレーズで暗号化されたパスワードを復号化するには、このコマンドの no 形式を使用します。

key config-key password-encryption [<new pass phrase> [<old pass phrase>]]

no key config-key password-encryption [<current pass phrase>]

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドがイネーブルの場合は、暗号キーの生成に使用するパスフレーズを設定します。パスフレーズの初回設定時には、現在のパスワードを入力する必要はありません。それ以外の場合は、現在のパスワードを入力する必要があります。新しいパスフレーズの長さは、8 ~ 128 文字の間である必要があります。パスフレーズには、バックスペースおよび二重引用符以外の文字すべてが使用できます。

write erase コマンドに続いて reload コマンドを使用すると、マスター パスフレーズが紛失された場合にパスフレーズが削除されます。

次に、暗号キーの生成に使用するパスフレーズを設定する例を示します。

hostname(config)# key config-key password-encryption

 
関連コマンド

コマンド
説明

password encryption aes

パスワードの暗号化をイネーブルにします。

write erase

reload コマンドを続いて使用すると、マスター パスフレーズが紛失された場合にパスフレーズを削除します。

keypair

公開キーを認証するキー ペアを指定するには、暗号 CA トラストポイント コンフィギュレーション モードで keypair コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

keypair name

no keypair

 
構文の説明

name

キー ペア名を指定します。

 
デフォルト

デフォルトは、キー ペアを含めない設定です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次の例では、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central を認証するキー ペアを指定します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# keypair exchange
 

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

crypto key generate dsa

DSA キーを生成します。

crypto key generate rsa

RSA キーを生成します。

default enrollment

登録パラメータをデフォルト値に戻します。

keysize

ユーザ証明書登録でローカル Certificate Authority(CA; 認証局)サーバにより生成される公開キーおよび秘密キーのサイズを指定するには、CA サーバ コンフィギュレーション モードで keysize コマンドを使用します。keysize をデフォルトの長さの 1024 ビットに戻すには、このコマンドの no 形式を使用します。

keysize { 512 | 768 | 1024 | 2048 }

no keysize

 
構文の説明

512

証明書登録で生成される公開キーおよび秘密キーのサイズに 512 ビットを指定します。

768

証明書登録で生成される公開キーおよび秘密キーのサイズに 768 ビットを指定します。

1024

証明書登録で生成される公開キーおよび秘密キーのサイズに 1024 ビットを指定します。

2048

証明書登録で生成される公開キーおよび秘密キーのサイズに 2048 ビットを指定します。

 
デフォルト

デフォルトでは、キー ペアの各キーの長さは 1024 ビットです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

次に、ローカル CA サーバによりユーザに対して生成される公開キーおよび秘密キーのペアの、すべてのキー サイズに 2048 ビットを指定する例を示します。

hostname(config)# crypto ca server
hostname(config-ca-server))# keysize 2048
hostname(config-ca-server)#
 

次に、ローカル CA サーバによりユーザに対して生成される公開キーおよび秘密キーのペアの、すべてのキー サイズをデフォルトの長さの 1024 ビットに戻す例を示します。

hostname(config)# crypto ca server
hostname(config-ca-server)# no keysize
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

issuer-name

認証局証明書のサブジェクト名 DN を指定します。

subject-name-default

CA サーバが発行するすべてのユーザ証明書でユーザ名とともに使用される汎用的なサブジェクト名 DN を指定します。

keysize server

CA 自身のキー ペアサイズを設定するためにローカル Certificate Authority(CA; 認証局)サーバにより生成される公開および秘密キーのサイズを指定するには、CA サーバ コンフィギュレーション モードで keysize server コマンドを使用します。keysize をデフォルトの長さの 1024 ビットに戻すには、このコマンドの no 形式を使用します。

keysize server { 512 | 768 | 1024 | 2048 }

no keysize server

 
構文の説明

512

証明書登録で生成される公開キーおよび秘密キーのサイズに 512 ビットを指定します。

768

証明書登録で生成される公開キーおよび秘密キーのサイズに 768 ビットを指定します。

1024

証明書登録で生成される公開キーおよび秘密キーのサイズに 1024 ビットを指定します。

2048

証明書登録で生成される公開キーおよび秘密キーのサイズに 2048 ビットを指定します。

 
デフォルト

デフォルトでは、キー ペアの各キーの長さは 1024 ビットです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

次に、CA 自身の証明書のキー サイズに 2048 ビットを指定する例を示します。

hostname(config)# crypto ca server
hostname(config-ca-server))# keysize server 2048
hostname(config-ca-server)#
 

次に、CA 自身の証明書のキー サイズをデフォルトの長さの 1024 ビットに戻す例を示します。

hostname(config)# crypto ca server
hostname(config-ca-server)# no keysize server
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

issuer-name

認証局証明書のサブジェクト名 DN を指定します。

keysize

ユーザ証明書のキー ペア サイズを指定します。

subject-name-default

CA サーバが発行するすべてのユーザ証明書でユーザ名とともに使用される汎用的なサブジェクト名 DN を指定します。

kill

Telnet セッションを終了するには、特権 EXEC モードで kill コマンドを使用します。

kill telnet_id

 
構文の説明

telnet_id

Telnet セッション ID を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

kill コマンドは、Telnet セッションを終了します。Telnet セッション ID を表示するには、who コマンドを使用します。Telnet セッションを終了する場合、適応型セキュリティ アプライアンスはアクティブなコマンドがあれば終了してから、警告なしで接続をドロップします。

次に、ID「2」の Telnet セッションを終了する方法の例を示します。まず、who コマンドを入力してアクティブ Telnet セッションの一覧を表示します。次に、 kill 2 コマンドを入力して ID「2」の Telnet セッションを終了します。

hostname# who
2: From 10.10.54.0
 
hostname# kill 2

 
関連コマンド

コマンド
説明

telnet

適応型セキュリティ アプライアンスへの Telnet アクセスを設定します。

who

アクティブ Telnet セッションの一覧を表示します。