Cisco MDS 9000 ファミリー トラブルシューティング ガイド Release 3.x
デジタル証明書のトラブルシューティ ング
デジタル証明書のトラブルシューティング
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

デジタル証明書のトラブルシューティング

概要

デジタル証明書

認証局

RSA キー ペアおよび ID 証明書

ピア証明書の確認

CRL および OCSP のサポート

証明書および関連付けられたキー ペアのインポートとエクスポートのサポート

PKI 登録サポート

最大制限値

ベスト プラクティス

ライセンスの要件

トラブルシューティングの初期チェックリスト

Fabric Manager の一般的なトラブルシューティング ツール

CLI の一般的なトラブルシューティング用コマンド

デジタル証明書の問題

CA が ID 証明書を生成しない

PKCS#12 形式で ID 証明書をエクスポートできない

ピアで証明書が失敗した

Fabric Manager を使用した MDS スイッチ上の証明書の設定

CLI を使用した MDS スイッチ上の証明書の設定

リブート後に PKI が失敗した

バックアップから証明書および RSA キー ペアをインポートできない

Fabric Manager を使用したバックアップからの証明書および RSA キー ペアのインポート

CLI を使用したバックアップからの証明書および RSA キー ペアのインポート

デジタル証明書のトラブルシューティング

この章では、Cisco MDS 9000 ファミリで作成され、保守されるデジタル証明書のトラブルシューティングを行う方法について説明します。この章で説明する内容は、次のとおりです。

「概要」

「ベスト プラクティス」

「ライセンスの要件」

「トラブルシューティングの初期チェックリスト」

「デジタル証明書の問題」

概要

PKI(Public Key Infrastructure; 公開鍵インフラストラクチャ)のサポートは、Cisco MDS 9000 ファミリ スイッチがネットワークで安全に通信できるデジタル証明書を入手し、使用する手段を提供します。PKI サポートは、IPSec/IKE および SSH の管理機能と拡張性を提供します。

デジタル証明書

公開鍵暗号方式に基づくデジタル署名は、デバイスおよび個々のユーザをデジタル認証します。公開鍵暗号方式では、各デバイスまたはユーザが秘密鍵および公開鍵を含むキー ペアを持ちます。デジタル証明書は、リモート デバイスにデジタル署名をリンクします。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなどのユーザまたはデバイスを識別する情報が含まれます。また、エンティティの公開鍵のコピーも含まれます。証明書には、受信者が ID を検査し、デジタル証明書を作成するために明示的に信頼する第三者機関である certificate authority(CA; 認証局)の署名が付いています。

認証局

PKI サポートで使用される信頼モデルは、複数の設定可能な信頼できる CA からなる階層構造です。参加する各エンティティは、信頼できる CA のリストで設定されるので、セキュリティ プロトコルの交換中に取得されるピアの証明書を、ローカルに信頼できる CA の 1 つから発行されている場合に検査できます。そのため、CA の自己署名付きルート証明書(従属する CA の場合は証明書チェーン)がローカルに保存されます。また、MDS スイッチは、(たとえば IPSec/IKE 用の)ID 証明書を入手するために、信頼できる CA(トラスト ポイント CA)に登録できます。

RSA キー ペアおよび ID 証明書

1 つまたは複数の RSA キー ペアを生成し、MDS スイッチが ID 証明書を入手するために登録する信頼できる CA に RSA キー ペアを関連付けることができます。MDS スイッチには、CA 当たり 1 つのキー ペアおよび 1 つの ID 証明書から構成されるただ 1 つの ID が必要です。

ピア証明書の確認

ピア証明書を確認するプロセスには、次の手順が含まれます。

ピア証明書がローカルに信頼できる CA から発行されたことを確認します。

ピア証明書が現在有効(期限が切れていない)であることを確認します。

ピア証明書が発行 CA によって取り消されていないことを確認します。

CRL および OCSP のサポート

ピア証明書が取り消されていないことを確認するために、2 つの方式がサポートされています。Certificate Revocation List(CRL; 証明書失効リスト)およびオンライン証明書ステータス プロトコル(OCSP)です。スイッチは、これらの方式のいずれかまたは両方を使用して、ピア証明書が取り消されていないことを確認します。

CA は、期限より前に取り消された証明書の情報を提供するために CRL を保守し、リポジトリに公開します。

Cisco MDS SAN-OS を使用すると、信頼できる CA からダウンロードした CRL を手動で設定し、スイッチのブートフラッシュ(cert-store)にキャッシュできます。IPSec または SSH によるピア証明書の確認中、CRL を使用するために CRL がすでにローカルにキャッシュされ、取り消し検査が設定されている場合のみ、発行 CA の CRL が参照されます。そうでない場合、CRL 検査は実行されず、他の取り消し検査方式が設定されていない場合、証明書は取り消されていないとみなされます。

OCSP は、オンラインでの証明書の取り消し検査を容易にします。信頼できる各 CA の OCSP URL を指定できます。

証明書および関連付けられたキー ペアのインポートとエクスポートのサポート

CA 認証および登録プロセスの一環として、CA 証明書(従属する CA の場合はチェーン全体)および ID 証明書を標準の PEM(base64)形式でインポートできます。

トラスト ポイントの完全な ID 情報は、パスワードで保護された PKCS#12 標準形式でファイルにエクスポートできます。PKCS#12 ファイルの情報は、RSA キー ペア、ID 証明書、および CA 証明書(またはチェーン)から構成されます。

PKI 登録サポート

スイッチの PKI 登録プロセスには、次の手順が含まれます。

1. トラスト ポイントを作成し、CA を認証します。

2. スイッチで RSA キー ペアを生成します。

3. RSA キー ペアをトラスト ポイントに関連付けます。

4. 標準形式で証明書要求を生成し、CA に転送します。

5. CA が受信した登録要求を承認するために、CA サーバで CA 管理者が手動操作を実行する必要がある場合があります。

6. CA から発行された CA の秘密鍵で署名された証明書を受信します。

7. スイッチの不揮発性記憶域(ブートフラッシュ)に証明書を書き込みます。

Cisco MDS SAN-OS は、切り取り/貼り付け方式による手動の証明書検索および登録をサポートしています。切り取り/貼り付け方式では、文字通り、次のように(コンソール、Telnet、または SSH 接続を使用して)スイッチおよび CA の間で、証明書要求とその結果発行された証明書を切り取り、貼り付ける必要があります。

1. base64 符号化形式で表示される登録証明書要求を作成します。

2. 電子メール メッセージまたは Web 形式の符号化された証明書要求テキストを切り取り、貼り付け、CA に送信します。

3. 電子メール メッセージまたはブラウザ ダウンロードで、CA から発行される証明書(base64 符号化形式)を受信します。

4. 証明書インポート ファシリティを使用して、発行された証明書を切り取り、スイッチに貼り付けます。

最大制限値

表24-1 に、CA およびデジタル証明書パラメータの最大制限値を示します。

 

表24-1 CA およびデジタル証明書の最大制限値

機能
最大制限値

スイッチで宣言されるトラスト ポイント

16

スイッチで生成される RSA キー ペア

16

スイッチに設定される ID 証明書

16

証明書チェーン内の CA 証明書

10

特定の CA に認証されるトラスト ポイント

10

ベスト プラクティス

ここでは、Cisco SAN-OS ソフトウェアを実行する場合にデジタル証明書を実装するためのベスト プラクティスを提供します。

複数の CA を信頼するようにスイッチを設定します。複数の CA を信頼する場合、ピアに証明書を発行する特定の CA にスイッチを登録する必要はありません。

エクスポート可能な RSA キー ペアを作成して、PKCS#12 バックアップを容易にします。

証明書取り消し検査を自動化するために、OCSP を設定します。

パスワードで保護された ID 証明書のバックアップを作成し、バックアップ用に外部サーバに保存します。

ライセンスの要件

デジタル証明書機能は、Cisco MDS 9000 ファミリ スイッチにバンドルされています。

トラブルシューティングの初期チェックリスト

デジタル証明書に関する問題のトラブルシューティングを開始するときは、最初に、次の事項について確認します。

 

チェックリスト
確認済み

スイッチに完全修飾ドメイン名(FQDN)が設定されていることを確認します。

 

CA チェーン内のすべての CA 証明書がスイッチに追加されていることを確認します(CA が自己署名方式でない場合)。

 

ID 証明書をインストールしたことを確認します。

 

関連付けられた RSA キー ペアを削除する場合、ID 証明書を取り消したことを確認します。

 

Fabric Manager の一般的なトラブルシューティング ツール

Switches > Security > PKI を選択して、デジタル証明書にアクセスします。

CLI の一般的なトラブルシューティング用コマンド

デジタル証明書の問題のトラブルシューティングでは、次のコマンドが役に立ちます。

show crypto ca certificates

show crypto key

show crypto ca crl

show crypto ca trustpoint

デジタル証明書の問題

ここでは、デジタル証明書のトラブルシューティングについて説明します。具体的な内容は、次のとおりです。

「CA が ID 証明書を生成しない」

「PKCS#12 形式で ID 証明書をエクスポートできない」

「ピアで証明書が失敗した」

「リブート後に PKI が失敗した」

「バックアップから証明書および RSA キー ペアをインポートできない」

CA が ID 証明書を生成しない

現象 CA が ID 証明書を生成しません。

 

表24-2 CA が ID 証明書を生成しない

現象
考えられる原因
解決方法

CA が ID 証明書を生成しません。

FQDN が設定されていません。

ホスト名および IP ドメイン名を設定します。Fabric Manager で Switches を選択し、LogicalName フィールドをホスト名に設定します。Switches > Interfaces > Management > DNS を選択し、DefaultDomainName フィールドを設定します。

または、hostname および ip domain-name CLI コマンドを使用します。

空のチャレンジ パスワードが指定されています。

登録中に空でないチャレンジ パスワードを指定します。

エクスポート可能な RSA キーを作成します。Fabric Manager で Switches > Security > PKI を選択し、Trustpoint Action タブをクリックします。Command ドロップダウン メニューから certreq を選択し、URL フィールドに入力し、Password フィールドにチャレンジ パスワードを入力します。Apply Changes をクリックします。

または、crypto ca enroll CLI コマンドを使用し、登録中にチャレンジ パスワードを入力します。

PKCS#12 形式で ID 証明書をエクスポートできない

現象 PKCS#12 形式で ID 証明書をエクスポートできません。

 

表24-3 PKCS#12 形式で ID 証明書をエクスポートできない

現象
考えられる原因
解決方法

PKCS#12 形式で ID 証明書をエクスポートできません。

RSA キーがエクスポート不能です。

エクスポート可能な RSA キーを作成します。Fabric Manager で Switches > Security > PKI を選択し、Create Row をクリックします。Exportable チェック ボックスを選択し、RSA キー ペアを作成します。

または、crypto key generate rsa exportable CLI コマンドを使用します。

ピアで証明書が失敗した

現象 ピアで証明書が失敗しました。

 

表24-4 ピアで証明書が失敗した

現象
考えられる原因
解決方法

ピアで証明書が失敗しました。

証明書が発行されたあとで FQDN が変更されました。

証明書を取り消し、再作成します。詳細については、「Fabric Manager を使用した MDS スイッチ上の証明書の設定」および「CLI を使用した MDS スイッチ上の証明書の設定」を参照してください。

ローカル クロックとリモート クロックが同期していません。

クロックが同期していない場合、証明書が失効しているように見える場合があります。ローカル デバイスとピア デバイスでクロックを検査します。

ピアが、証明書を発行する CA を認識しません。

ピア デバイスが認識する CA 用の証明書を作成します。詳細については、「Fabric Manager を使用した MDS スイッチ上の証明書の設定」および「CLI を使用した MDS スイッチ上の証明書の設定」を参照してください。

Fabric Manager を使用した MDS スイッチ上の証明書の設定

Fabric Manager を使用して MDS スイッチ に証明書を設定する手順は、次のとおりです。


ステップ 1 Switches を選択し、LogicalName フィールドを設定して、スイッチのホスト名を設定します。

ステップ 2 Switches > Interfaces > Management > DNS を選択し、DefaultDomainName フィールドを設定して、スイッチの DNS ドメイン名を設定します。

ステップ 3 次の手順に従って、スイッチ用の RSA キー ペアを作成します。

a. Switches > Security > PKI を選択し、RSA Key-Pair タブを選択します。

b. Create Row をクリックし、name and size フィールドを設定します。

c. Exportable チェック ボックスを選択し、Create をクリックします。

ステップ 4 次の手順に従って、トラスト ポイントを作成し、RSA キー ペアを関連付けます。

a. Switches > Security > PKI を選択し、Trust Point タブを選択します。

b. Create Row をクリックし、TrustPointName フィールドを設定します。

c. KeyPairName ドロップダウン メニューから RSA キー ペアを選択します。

d. RevokeCheckMethods ドロップダウン メニューから証明書取り消し方式を選択します。

e. Createをクリックします。

ステップ 5 Switches > Copy Configuration を選択し、Apply Changes をクリックして、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーし、トラスト ポイントおよびキー ペアを保存します。

ステップ 6 トラスト ポイント CA として追加する CA から、CA 証明書をダウンロードします。

ステップ 7 次の手順に従って、トラスト ポイントに登録する CA を認証します。

a. Device Manager で、Admin > Flash Files を選択し、Copy を選択し、Protocols オプション ボタンから tftp を選択して、CA 証明書をブートフラッシュにコピーします。

b. Fabric Manager で、Switches > Security > PKI を選択し、TrustPoint Actions タブを選択します。

c. Command ドロップダウン リストでcauthを選択します。

d. URL フィールドで ... をクリックし、ブートフラッシュから CA 証明書を選択します。

e. Apply Changes をクリックして、トラスト ポイントに登録する CA を認証します。

f. Information ペインで、 Trust Point Actions タブをクリックします。

g. 問題のトラスト ポイントの IssuerCert FingerPrint カラムに表示される CA 証明書フィンガープリントを書き留めます。CA 証明書のフィンガープリントと CA の Web サイトから入手したフィンガープリントを比較します。フィンガープリントが正確に一致する場合は、 certconfirm トラスト ポイント処理を選択して、CA を受け入れます。そうでない場合は、 certnoconfirm トラスト ポイント処理を選択して、CA を拒否します。

h. 手順 g で certconfirm を選択した場合は、Trust Point Actions タブを選択し、Command ロップダウン メニューから certconfirm を選択し、 Apply Changes をクリックします。

i. 手順 g で certnoconfirm を選択した場合は、Trust Point Actions タブを選択し、Command ドロップダウン メニューから certnoconfirm を選択し、 Apply Changes をクリックします。

ステップ 8 次の手順に従って、そのトラスト ポイントに登録するための証明書要求を生成します。

a. Information ペインで、 Trust Point Actions タブを選択します。

b. Command ドロップダウン リストで certreq を選択します。このトラスト ポイント エントリに対応する CA から ID 証明書を入手するために必要な PKCS#10 証明書署名要求(CSR)が生成されます。

c. 生成された証明書要求を保存するための出力ファイル名を入力します。bootflash: ファイル名形式で指定する必要があり、PEM 形式で生成される CSR を保存するために使用されます。

d. CSR に入れる チャレンジ パスワードを入力します。チャレンジ パスワードは、設定とともに保存されません。このパスワードは、証明書を取り消すときに必要です。そのため、このパスワードを記憶する必要があります。

e. Apply Changes をクリックして、変更を保存します。

ステップ 9 CA から ID 証明書を要求します。


) CA は、ID 証明書を発行する前に、手動確認が必要になる場合があります。


ステップ 10 次の手順に従って、ID 証明書をインポートします。

a. Device Manager で、Admin > Flash Files を選択し、Copy を選択し、Protocols オプション ボタンから tftp を選択して、CA 証明書をブートフラッシュにコピーします。

b. Fabric Manager で、Switches > Security > PKI を選択し、TrustPoint Actions タブを選択します。

c. Command ドロップダウン メニューから certimport オプションを選択して、このトラスト ポイントに ID 証明書をインポートします。


) ID 証明書は、ブートフラッシュ内のファイルで PEM 形式で使用できる必要があります。


d. URL フィールドに、ブートフラッシュにコピーされた証明書ファイルの名前をbootflash: ファイル名形式で入力します。

e. Apply Changes をクリックして、変更を保存します。

成功すると、ID 証明書の値および証明書ファイル名のような関連オブジェクトが、ID 証明書の対応する属性に応じて適切な値で自動的にアップデートされます。


 

CLI を使用した MDS スイッチ上の証明書の設定

CLI を使用して MDS スイッチ に証明書を設定する手順は、次のとおりです。


ステップ 1 スイッチの FQDN を設定します。

switch# config t
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)# switchname Vegas-1
Vegas-1(config)#
 

ステップ 2 スイッチの DNS ドメイン名を設定します。

Vegas-1(config)# ip domain-name cisco.com
Vegas-1(config)#
 

ステップ 3 トラスト ポイントを作成します。

Vegas-1(config)# crypto ca trustpoint myCA
Vegas-1(config-trustpoint)# exit
Vegas-1(config)# do show crypto ca trustpoints
trustpoint: myCA; key:
revokation methods: crl
Vegas-1(config)#
 

ステップ 4 スイッチ用の RSA キー ペアを作成します。

Vegas-1(config)# crypto key generate rsa label myKey exportable modulus 1024
Vegas-1(config)# do show crypto key mypubkey rsa
key label: myKey
key size: 1024
exportable: yes
 
Vegas-1(config)#
 

ステップ 5 RSA キー ペアをトラスト ポイントに関連付けます。

Vegas-1(config)# crypto ca trustpoint myCA
Vegas-1(config-trustpoint)# rsakeypair myKey
Vegas-1(config-trustpoint)# exit
Vegas-1(config)# do show crypto ca trustpoints
trustpoint: myCA; key: myKey
revokation methods: crl
Vegas-1(config)#
 

ステップ 6 copy running-config startup-configコマンドを使用して、トラスト ポイントおよびキー ペアを保存します。

ステップ 7 トラスト ポイント CA として追加する CA から、CA 証明書をダウンロードします。

ステップ 8 トラスト ポイントに登録する CA を認証します。

Vegas-1(config)# crypto ca authenticate myCA
input (cut & paste) CA certificate (chain) in PEM format;
end the input with a line containing only END OF INPUT :
-----BEGIN CERTIFICATE-----
MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB
kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO
MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE
ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD
QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN
AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth
cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG
A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN
AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI
OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E
BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ
GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs
L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv
bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB
BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea
NBG7E0oN66zex0EOEfG1Vs6mXp1//w==
-----END CERTIFICATE-----
END OF INPUT
Fingerprint(s): MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12
 
Do you accept this certificate? [yes/no]:y
Vegas-1(config)#
 
Vegas-1(config)# do show crypto ca certificates
Trustpoint: myCA
CA certificate 0:
subject= /emailAddress=amandke@cisco.com/C=IN/ST=Karnataka/L=Bangalore/O=Cisco/O
U=netstorage/CN=Aparna CA
issuer= /emailAddress=amandke@cisco.com/C=IN/ST=Karnataka/L=Bangalore/O=Cisco/OU
=netstorage/CN=Aparna CA
serial=0560D289ACB419944F4912258CAD197A
notBefore=May 3 22:46:37 2005 GMT
notAfter=May 3 22:55:17 2007 GMT
MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12
purposes: sslserver sslclient ike
 
Vegas-1(config)#
 

ステップ 9 そのトラスト ポイントに登録するための証明書要求を生成します。

Vegas-1(config)# crypto ca enroll myCA
Create the certificate request ..
Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:nbv123
The subject name in the certificate will be: Vegas-1.cisco.com
Include the switch serial number in the subject name? [yes/no]:no
Include an IP address in the subject name [yes/no]:yes
ip address:172.22.31.162
The certificate request will be displayed...
-----BEGIN CERTIFICATE REQUEST-----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=
-----END CERTIFICATE REQUEST-----
Vegas-1(config)#
 

ステップ 10 CA から ID 証明書を要求します。


) CA は、ID 証明書を発行する前に、手動確認が必要になる場合があります。


ステップ 11 ID 証明書をインポートします。

Vegas-1(config)# crypto ca import myCA certificate
input (cut & paste) certificate in PEM format:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Vegas-1(config)#
 
Vegas-1(config)# do show crypto ca certificates
Trustpoint: myCA
certificate:
subject= /CN=Vegas-1.cisco.com
issuer= /emailAddress=amandke@cisco.com/C=IN/ST=Karnataka/L=Bangalore/O=Cisco/OU
=netstorage/CN=Aparna CA
serial=0A338EA1000000000074
notBefore=Nov 12 03:02:40 2005 GMT
notAfter=Nov 12 03:12:40 2006 GMT
MD5 Fingerprint=3D:33:62:3D:B4:D0:87:A0:70:DE:A3:87:B3:4E:24:BF
purposes: sslserver sslclient ike
 
CA certificate 0:
subject= /emailAddress=amandke@cisco.com/C=IN/ST=Karnataka/L=Bangalore/O=Cisco/O
U=netstorage/CN=Aparna CA
issuer= /emailAddress=amandke@cisco.com/C=IN/ST=Karnataka/L=Bangalore/O=Cisco/OU
=netstorage/CN=Aparna CA
serial=0560D289ACB419944F4912258CAD197A
notBefore=May 3 22:46:37 2005 GMT
notAfter=May 3 22:55:17 2007 GMT
MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12
purposes: sslserver sslclient ike
 


 

リブート後に PKI が失敗した

現象 リブート後に PKI が失敗しました。

 

表24-5 リブート後に PKI が失敗した

現象
考えられる原因
解決方法

リブート後に PKI が失敗しました。

証明書が NVRAM に保存されていません。

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存し、トラスト ポイントをスタートアップ コンフィギュレーションに保存します。次に、証明書を再度インポートします。詳細については、「Fabric Manager を使用した MDS スイッチ上の証明書の設定」および「CLI を使用した MDS スイッチ上の証明書の設定」を参照してください。

バックアップから証明書および RSA キー ペアをインポートできない

現象 バックアップから証明書および RSA キー ペアをインポートできません。

 

表24-6 バックアップから証明書および RSA キー ペアをインポートできない

現象
考えられる原因
解決方法

バックアップから証明書および RSA キー ペアをインポートできません。

設定されたトラスト ポイントが空でありません。

ID 証明書、CRL、および CA 証明書を削除し、この順序でトラスト ポイントから RSA キー ペアの関連付けを解除します。詳細については、「Fabric Manager を使用したバックアップからの証明書および RSA キー ペアのインポート」および「CLI を使用したバックアップからの証明書および RSA キー ペアのインポート」を参照してください。

インポートが失敗したトラスト ポイントと同じ名前を持つ RSA キー ペアが存在します。

RSA キー ペアを削除します。

Fabric Manager で、Switches > Security > PKI を選択します。削除する RSA キー ペアを右クリックし、Delete Row をクリックします。

または、no crypto key zeroize rsa CLI コマンドを使用します。

Fabric Manager を使用したバックアップからの証明書および RSA キー ペアのインポート

Fabric Manager を使用して、PKCS#12 バックアップ ファイルから証明書および RSA キー ペアをインポートする手順は、次のとおりです。


ステップ 1 Switches > Security > PKI を選択し、TrustPointDetails タブを選択して、トラスト ポイントが空であることを確認します。

ステップ 2 (オプション)次の手順に従って、トラスト ポイントを空にします。

a. Switches > Security > PKI を選択し、TrustPoint タブを選択します。

b. Key Pair Name フィールドから RSA キー ペアを削除し、Apply Changes をクリックします。

c. Switches > Security > PKI を選択し、TrustPoint Actions タブを選択します。

d. Command ドロップダウン メニューから cadelete を選択し、Apply Changes をクリックして、CA 証明書を削除します。

e. Command ドロップダウン メニューから forcecertdelete を選択し、Apply Changes をクリックして、ID 証明書を削除します。

ステップ 3 Device Manager で、Admin > Flash Files を選択し、Copy を選択して、PKCS#12 形式のファイルをスイッチのブートフラッシュにコピーします。

ステップ 4 Fabric Manager で、Switches > Security > PKI を選択し、TrustPoint Actions タブを選択します。

ステップ 5 Command ドロップダウン メニューから pkcs12import オプションを選択して、キー ペア、ID 証明書、および CA 証明書または証明書チェーンを、選択したトラスト ポイントに PKCS#12 形式でインポートします。

ステップ 6 PKCS#12 ファイルの入力を bootflash: ファイル名形式で入力します。

ステップ 7 必要なパスワードを入力します。PKCS#12 データをデコード するためのパスワードが設定されます。完了すると、インポートされたデータが、指定したファイルのbootflashで使用できるようになります。

ステップ 8 Apply Changes をクリックして、変更を保存します。

完了すると、インポートされたキー ペアに対応する RSA キー ペア テーブルにトラスト ポイントが作成されます。トラスト ポイントの証明書情報がアップデートされます。


) PKCS#12 インポートが成功するには、トラスト ポイントが空である(CA 認証を使用して RSA キー ペアおよび CA が関連付けられていない)必要があります。



 

CLI を使用したバックアップからの証明書および RSA キー ペアのインポート

CLI を使用して、PKCS#12 バックアップ ファイルから証明書および RSA キー ペアをインポートする手順は、次のとおりです。


ステップ 1 show crypto ca trustpoints コマンドを使用して、トラスト ポイントが空であることを確認します。

ステップ 2 (オプション)トラスト ポイント コンフィギュレーション サブモードで delete ca-certificate コマンドを使用して、トラスト ポイントから CA 証明書を削除します。

switch(config)# crypto ca trustpoint myCA

switch(config-trustpoint)# delete ca-certificate

 

ステップ 3 (オプション)トラスト ポイント コンフィギュレーション サブモードで delete certificate force コマンドを使用して、トラスト ポイントから証明書を削除します。

switch(config)# crypto ca trustpoint myCA

switch(config-trustpoint)# delete certificate force

 

ステップ 4 (オプション)トラスト ポイント コンフィギュレーション サブモードで no rsakeypair コマンドを使用して、トラスト ポイントから RSAキー ペアを削除します。

switch(config)# crypto ca trustpoint myCA

switch(config-trustpoint)# no rsakeypair SwitchA

 

ステップ 5 copy tftp コマンドを使用して、PKCS#12 形式のファイルをスイッチにコピーします。

switch# copy tftp:adminid.p12 bootflash:adminid.p12

 

ステップ 6 crypto ca import コマンドを使用して、証明書および RSA キー ペアをトラスト ポイントにインポートします。

switch(config)# crypto ca import admin-ca pkcs12 bootflash:adminid.p12 nbv123