セキュリティ コンフィギュレーション ガイド: セキュア接続、Cisco IOS Release 15.1S
証明書/ISAKMP プロファイルマッピング
証明書/ISAKMP プロファイルマッピング
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

証明書/ISAKMP プロファイルマッピング

機能情報の入手

この章の構成

証明書/ISAKMP プロファイルマッピングの前提条件

証明書/ISAKMP プロファイルマッピングの制約事項

証明書/ISAKMP プロファイルマッピングに関する情報

証明書/ISAKMP プロファイルマッピングの概要

証明書/ISAKMP プロファイルマッピングの動作方法

ピアへの ISAKMP プロファイルおよびグループ名の割り当て

ISAKMP プロファイル マッピングに証明書を設定する方法

ISAKMP プロファイルへの証明書のマッピング

証明書がマッピングされたことの確認

ピアへのグループ名の割り当て

ISAKMP プロファイル マッピングに対応する証明書のモニタおよびメンテナンス

証明書/ISAKMP プロファイルマッピングの設定例

任意のフィールドに基づいた ISAKMP プロファイルへの証明書のマッピング例

ISAKMP プロファイルに関連付けられたピアに割り当てられるグループ名の例

ISAKMP プロファイルへの証明書のマッピング検証例

ピアに割り当てられたグループ名の検証例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

証明書/ISAKMP プロファイルマッピングの機能情報

証明書/ISAKMP プロファイルマッピング

証明書/ISAKMP プロファイルマッピング機能を使用すると、証明書内の任意のフィールドの内容に基づいて、ピアに Internet Security Association and Key Management Protocol(ISAKMP)プロファイルを割り当てることができます。また、この機能では、ISAKMP プロファイルに割り当てられたピアにグループ名を割り当てることもできます。

機能情報の入手

ご使用のソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「証明書/ISAKMP プロファイルマッピングの機能情報」を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスしてください。Cisco.com のアカウントは必要ありません。

証明書/ISAKMP プロファイルマッピングの前提条件

証明書マップの設定を理解している必要があります。

ISAKMP プロファイルの設定を理解している必要があります。

証明書/ISAKMP プロファイルマッピングの制約事項

証明書を交換しないで、Rivest、Shamir、Adelman(RSA)シグニチャまたは RSA 暗号化認証を使用する場合は、この機能を適用できません。ISAKMP ピアは、証明書を使用して RSA シグニチャまたは RSA 暗号化認証を実行するように設定する必要があります。

同じ認証局(CA)サーバに登録された 2 つのトラストポイントを使用する IPsec はサポートされません。2 つ以上の ISAKMP プロファイルがあり、各プロファイルが、同じ CA サーバに登録されているが異なるトラストポイントを持っている場合、応答側は最後のグローバル トラストポイントを選択します(トラストポイントは、グローバルに定義された順序と逆の順序で選択されます)。ピアが IPsec トンネルの確立を成功させるには、発信側が選択したトラストポイントは、応答側が選択したトラストポイントと一致する必要があります。トラストポイントが一致しない場合、他のすべての IPsec トンネルは、接続の確立に失敗します。

証明書/ISAKMP プロファイルマッピングに関する情報

証明書/ISAKMP プロファイルマッピング機能を設定するには、次の概念を理解しておく必要があります。

「証明書/ISAKMP プロファイルマッピングの概要」

「証明書/ISAKMP プロファイルマッピングの動作方法」

「ピアへの ISAKMP プロファイルおよびグループ名の割り当て」

証明書/ISAKMP プロファイルマッピングの概要

Cisco IOS Release 12.3(8)T 以前では、ピアを ISAKMP プロファイルにマッピングする方法は、次の方法だけでした。ISAKMP 交換の ISAKMP ID フィールドは、ピアを ISAKMP プロファイルにマッピングするために使用されていました。証明書が認証に使用されるとき、ISAKMP ID ペイロードに証明書からの所有者名が含まれていました。CA が、要求されたグループ値を証明書の最初の Organizational Unit(OU; 組織ユニット)フィールドに表示しなかった場合、ISAKMP プロファイルをピアに割り当てることはできませんでした。

Cisco IOS Release 12.3(8)T でも、上記のように、ピアをマッピングできます。証明書/ISAKMP プロファイルマッピング機能を使用すると、証明書内の任意のフィールドの内容に基づいて、ピアに ISAKMP プロファイルを割り当てることができます。以前は、証明書の所有者名に基づいて ISAKMP プロファイルを割り当てるという方法しかありませんでした。また、この機能により、ISAKMP プロファイルが割り当てられたピアにグループを割り当てることができます。

証明書/ISAKMP プロファイルマッピングの動作方法

図 1 に、証明書マップを ISAKMP プロファイルに接続し、証明書マップにグループ名を割り当てる方法を示します。

図 1 プロファイル グループを割り当てるためにマッピングされた証明書マップ

ISAKMP プロファイルには複数の証明書マップを接続できますが、証明書マップは 1 つの ISAKMP プロファイルにしか接続できません。

証明書マップにより、証明書を指定の一連の基準と照合できるようになります。ISAKMP プロファイルは、自身を証明書マップにバインドできます。また、提示された証明書が ISAKMP プロファイル内に存在する証明書マップと一致した場合、ピアに ISAKMP プロファイルが割り当てられます。ISAKMP プロファイルにクライアント設定グループ名が含まれている場合、同じグループ名がピアに割り当てられます。この ISAKMP プロファイル情報により、ID_KEY_ID アイデンティティまたは証明書の最初の OU フィールドの情報が上書きされます。

ピアへの ISAKMP プロファイルおよびグループ名の割り当て

証明書内の任意のフィールドに基づいて、ピアに ISAKMP プロファイルを割り当てるには、ISAKMP プロファイルを定義してから、 match certificate コマンドを使用します。

また、ピアに割り当てられる ISAKMP プロファイルにグループ名を関連付けるには、ISAKMP プロファイルを定義してから、 client configuration group コマンドを使用します。

ISAKMP プロファイル マッピングに証明書を設定する方法

ここでは、次の各手順について説明します。

「ISAKMP プロファイルへの証明書のマッピング」(必須)

「証明書がマッピングされたことの確認」(任意)

「ピアへのグループ名の割り当て」(必須)

「ISAKMP プロファイル マッピングに対応する証明書のモニタおよびメンテナンス」(任意)

ISAKMP プロファイルへの証明書のマッピング

ISAKMP プロファイルに証明書をマッピングするには、次の手順を実行します。この設定により、証明書内の任意のフィールドの内容に基づいて、ピアに ISAKMP プロファイルを割り当てることができます。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp profile profile-name

4. match certificate certificate-map

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router# enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp profile profile-name

 

Router (config)# crypto isakmp profile vpnprofile

ISAKMP プロファイルを定義し、暗号 ISAKMP プロファイル コンフィギュレーション モードを開始します。

ステップ 4

match certificate certificate-map

 

Router (conf-isa-prof)# match certificate map1

証明書マップの名前を受け入れます。

証明書がマッピングされたことの確認

次の show コマンドを使って、証明書マップの所有者名が適切に設定されているか確認できます。

概要

1. enable

2. show crypto ca certificates

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router# enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show crypto ca certificates

 

Router# show crypto ca certificates

証明書に関する情報を表示します。

ピアへのグループ名の割り当て

ピアを ISAKMP プロファイルにマッピングするときにグループ名をピアに関連付けるには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp profile profile-name

4. client configuration group group-name

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router# enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp profile profile-name

 

Router (config)# crypto isakmp profile vpnprofile

ISAKMP プロファイルを定義し、ISAKMP プロファイル コンフィギュレーション モードを開始します。

ステップ 4

client configuration group group-name

 

Router (conf-isa-prof)# client configuration group group1

この暗号 ISAKMP プロファイルにピアを割り当てるときに、そのピアに割り当てられるグループ名を受け入れます。

ISAKMP プロファイル マッピングに対応する証明書のモニタおよびメンテナンス

ISAKMP プロファイル マッピングに対応する証明書をモニタし、メンテナンスするには、次の debug コマンドを使用します。

手順の概要

1. enable

2. debug crypto isakmp

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router# enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug crypto isakmp

 

Router# debug crypto isakmp

証明書が、証明書マップの照合を経て、ISAKMP プロファイルと一致することを示す出力を表示します。

このコマンドは、ピアにグループが割り当てられたことを確認する場合にも使用できます。

証明書/ISAKMP プロファイルマッピングの設定例

ここでは、次の設定例を示します。

「任意のフィールドに基づいた ISAKMP プロファイルへの証明書のマッピング例」

「ISAKMP プロファイルに関連付けられたピアに割り当てられるグループ名の例」

「ISAKMP プロファイルへの証明書のマッピング検証例」

「ピアに割り当てられたグループ名の検証例」

任意のフィールドに基づいた ISAKMP プロファイルへの証明書のマッピング例

次の設定例では、証明書に「ou = green」が含まれているときは必ず、ISAKMP プロファイル「cert_pro」がピアに割り当てられることを示します。

crypto pki certificate map cert_map 10
subject-name co ou = green
!
!
crypto isakmp identity dn
crypto isakmp profile cert_pro
ca trust-point 2315
ca trust-point LaBcA
initiate mode aggressive
match certificate cert_map

ISAKMP プロファイルに関連付けられたピアに割り当てられるグループ名の例

次の例は、グループ「some_group」が、ISAKMP プロファイルが割り当てられたピアに関連付けられることを示しています。

crypto isakmp profile id_profile
ca trust-point 2315
match identity host domain cisco.com
client configuration group some_group

ISAKMP プロファイルへの証明書のマッピング検証例

次の例は、ISAKMP プロファイルに証明書がマッピングされたことを示します。この例には、応答側および発信側の設定、証明書マップの所有者名が設定されたこと確認する show コマンド出力、および証明書が証明書マップの照合を経て、ISAKMP プロファイルに一致したことを示す debug コマンド出力が含まれています。

応答側の設定

crypto pki certificate map cert_map 10
! The above line is the certificate map definition.
subject-name co ou = green
! The above line shows that the subject name must have “ou = green.”
!
crypto isakmp profile certpro
! The above line shows that this is the ISAKMP profile that will match if the certificate of the peer matches cert_map (shown on third line below).
ca trust-point 2315
ca trust-point LaBcA
match certificate cert_map
initiate mode aggressive

発信側の設定

crypto ca trustpoint LaBcA
enrollment url http://10.76.82.20:80/cgi-bin/openscep
subject-name ou=green,c=IN
! The above line ensures that the subject name “ou = green” is set.
revocation-check none

発信側の show crypto ca certificates コマンド出力

Router# show crypto ca certificates
 
Certificate
Status: Available
Certificate Serial Number: 21
Certificate Usage: General Purpose
Issuer:
cn=blue-lab CA
o=CISCO
c=IN
Subject:
Name: Router1.cisco.com
c=IN
ou=green
! The above line is a double check that “ou = green” has been set as the subject name.
hostname=Router1.cisco.com
Validity Date:
start date: 14:34:30 UTC Mar 31 2004
end date: 14:34:30 UTC Apr 1 2009
renew date: 00:00:00 UTC Jan 1 1970
Associated Trustpoints: LaBcA

応答側の debug crypto isakmp コマンド出力

Router# debug crypto isakmp
 
6d23h: ISAKMP (0:268435460): received packet from 192.0.0.2 dport 500 sport 500 Global (R) MM_KEY_EXCH
6d23h: ISAKMP: Main Mode packet contents (flags 1, len 892):
6d23h: ID payload
6d23h: FQDN <Router1.cisco.com> port 500 protocol 17
6d23h: CERT payload
6d23h: SIG payload
6d23h: KEEPALIVE payload
6d23h: NOTIFY payload
6d23h: ISAKMP:(0:4:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
6d23h: ISAKMP:(0:4:HW:2):Old State = IKE_R_MM4 New State = IKE_R_MM5
 
6d23h: ISAKMP:(0:4:HW:2): processing ID payload. message ID = 0
6d23h: ISAKMP (0:268435460): ID payload
next-payload : 6
type : 2
FQDN name : Router1.cisco.com
protocol : 17
port : 500
length : 28
6d23h: ISAKMP:(0:4:HW:2):: peer matches *none* of the profiles
6d23h: ISAKMP:(0:4:HW:2): processing CERT payload. message ID = 0
6d23h: ISAKMP:(0:4:HW:2): processing a CT_X509_SIGNATURE cert
6d23h: ISAKMP:(0:4:HW:2): peer's pubkey isn't cached
6d23h: ISAKMP:(0:4:HW:2): OU = green
6d23h: ISAKMP:(0:4:HW:2): certificate map matches certpro profile
! The above line shows that the certificate has gone through certificate map matching and that it matches the “certpro” profile.
6d23h: ISAKMP:(0:4:HW:2): Trying to re-validate CERT using new profile
6d23h: ISAKMP:(0:4:HW:2): Creating CERT validation list: 2315, LaBcA,
6d23h: ISAKMP:(0:4:HW:2): CERT validity confirmed.

ピアに割り当てられたグループ名の検証例

次の設定およびデバッグ出力は、グループがピアに割り当てられたことを示します。

発信側の設定

crypto isakmp profile certpro
ca trust-point 2315
ca trust-point LaBcA
match certificate cert_map
client configuration group new_group
! The statement on the above line will assign the group “new_group” to any peer that matches the ISAKMP profile “certpro.”
initiate mode aggressive

!

応答側の debug crypto isakmp プロファイル コマンド出力

次のデバッグ出力例は、ピアが「certpro」という ISAKMP プロファイルと照合され、「new_group」というグループが割り当てられたことを示します。

Router# debug crypto isakmp profile
6d23h: ISAKMP (0:268435461): received packet from 192.0.0.2 dport 500 sport 500 Global (R) MM_KEY_EXCH
6d23h: ISAKMP: Main Mode packet contents (flags 1, len 892):
6d23h: ID payload
6d23h: FQDN <Router1.cisco.com> port 500 protocol 17
6d23h: CERT payload
6d23h: SIG payload
6d23h: KEEPALIVE payload
6d23h: NOTIFY payload
6d23h: ISAKMP:(0:5:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
6d23h: ISAKMP:(0:5:HW:2):Old State = IKE_R_MM4 New State = IKE_R_MM5
 
6d23h: ISAKMP:(0:5:HW:2): processing ID payload. message ID = 0
6d23h: ISAKMP (0:268435461): ID payload
next-payload : 6
type : 2
FQDN name : Router1.cisco.com
protocol : 17
port : 500
length : 28
6d23h: ISAKMP:(0:5:HW:2):: peer matches *none* of the profiles
6d23h: ISAKMP:(0:5:HW:2): processing CERT payload. message ID = 0
6d23h: ISAKMP:(0:5:HW:2): processing a CT_X509_SIGNATURE cert
6d23h: ISAKMP:(0:5:HW:2): peer's pubkey isn't cached
6d23h: ISAKMP:(0:5:HW:2): OU = green
6d23h: ISAKMP:(0:5:HW:2): certificate map matches certpro profile
6d23h: ISAKMP:(0:5:HW:2): Trying to re-validate CERT using new profile
6d23h: ISAKMP:(0:5:HW:2): Creating CERT validation list: 2315, LaBcA,
6d23h: ISAKMP:(0:5:HW:2): CERT validity confirmed.
6d23h: ISAKMP:(0:5:HW:2):Profile has no keyring, aborting key search
6d23h: ISAKMP:(0:5:HW:2): Profile certpro assigned peer the group named new_group

その他の参考資料

ここでは、証明書/ISAKMP プロファイルマッピング機能に関連する関連資料について説明します。

関連資料

内容
参照先

ISAKMP プロファイルの設定

『VRF-Aware IPSec』

セキュリティ コマンド

『Cisco IOS Security Command Reference』

規格

規格
タイトル

この機能に関連する新しい規格や変更された規格はありません。

--

MIB

MIB
MIB リンク

この機能に関連する新しい MIB や変更された MIB はありません。

選択したプラットフォーム、Cisco IOS ソフトウェア リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。
・テクニカル サポートを受ける
・ソフトウェアをダウンロードする
・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける
・ツールおよびリソースへアクセスする
- Product Alert の受信登録
- Field Notice の受信登録
- Bug Toolkit を使用した既知の問題の検索
・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する
・トレーニング リソースへアクセスする
・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/techsupport

証明書/ISAKMP プロファイルマッピングの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 1 証明書/ISAKMP プロファイルマッピングの機能情報

機能名
リリース
機能情報

証明書/ISAKMP プロファイルマッピング

12.3(8)T

12.2(33)SRA

12.2(33)SXH

証明書/ISAKMP プロファイルマッピング機能を使用すると、証明書内の任意のフィールドの内容に基づいて、ピアに Internet Security Association and Key Management Protocol(ISAKMP)プロファイルを割り当てることができます。また、この機能では、ISAKMP プロファイルに割り当てられたピアにグループ名を割り当てることもできます。

この機能は、Cisco IOS
Release 12.3(8)T で導入されました。

この機能は、Cisco IOS
Release 12.2(33)SRA に統合されました。

この機能は、Cisco IOS
Release 12.2(33)SXH に統合されました。