Catalyst 6500 シリーズ SSL サービス モジュール インストレーション コンフィギュレーション ノート
SSLプロキシ サービスのテスト
SSLプロキシ サービスのテスト
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

SSLプロキシ サービスのテスト

自己署名証明書の生成

組み込みテスト証明書のインポート

SSLプロキシ サービスのテスト

SSLプロキシ サービスのテストまたはトラブルシューティングを行うには、次のいずれかを実行してください。

「自己署名証明書の生成」

「組み込みテスト証明書のインポート」

自己署名証明書の生成

test crypto pki self コマンドを入力して鍵ラベルおよび件名を指定すると、SSLプロキシ サービスのテスト用に複数の自己署名証明書を生成できます。自己署名証明書を生成する前に、ラベル付きの鍵ペアを生成する必要があります。鍵ペアの生成の詳細については、「RSA鍵ペアの生成」を参照してください。

test crypto pki self コマンドを入力すると、鍵ペアのラベルおよび証明書の件名が要求されます。信頼点の名前として鍵ペアのラベルがある信頼点が自動的に作成され、自己署名証明書の16進ダンプがコンソールに表示されます。その後、信頼点をテスト用のプロキシ サービスに割り当てることができます。必要に応じて、再起動後にこの手順を繰り返すことができます。証明書は、メモリにのみ格納されます。NVRAM(不揮発性RAM)に設定の一部として保存することはできません。


) 自己署名証明書を設定の一部として保存することはできません。



show crypto ca certificateコマンドでは、自己署名証明書は表示されません。


自己署名証明書を生成して、信頼点をプロキシ サービスに割り当てる手順は、次のとおりです。

 

コマンド
目的

ステップ 1

ssl-proxy# test crypto pki self

自己署名証明書を生成します。


) このコマンドを入力すると、件名(LDAPフォーマットを使用する)および鍵ペアの名前が要求されます。


ステップ 2

ssl-proxy# show crypto ca trustpoint label

信頼点に関する情報を表示します。

ステップ 3

ssl-proxy# configure terminal

terminalオプションを選択して、コンフィギュレーション モードを開始します。

ステップ 4

ssl-proxy(config)# ssl-proxy service proxy_name

SSLプロキシ サービスの名前を定義します。


proxy-nameは大文字/小文字の区別があります。


ステップ 5

ssl-proxy(config-ssl-proxy)# certificate rsa general-purpose trustpoint trustpoint_label

信頼点をプロキシ サーバに割り当てます。

ステップ 6

ssl-proxy(config-ssl-proxy)# end

コンフィギュレーション モードを終了します。

ステップ 7

ssl-proxy# show ssl-proxy service proxy-name

指定されたプロキシ サービスに使用される鍵ペアおよび証明書チェーンのシリアル番号を表示します。


proxy-nameは大文字/小文字の区別があります。



) 信頼点がすでに存在している場合は、テスト証明書に置き換えられる可能性があります。テスト証明書には固有の鍵ペアを生成することを推奨します。


次に、鍵ペアの生成、自己署名証明書の生成、および証明書のプロキシ サービスへの割り当てに関する例を示します。

ssl-proxy# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ssl-proxy(config)# crypto key generate rsa general-keys label k1 modulus 1024
The name for the keys will be:k1
 
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys ...[OK]
 
ssl-proxy(config)# end
ssl-proxy#
*Mar 20 14:34:01.543:%SYS-5-CONFIG_I:Configured from console by console
ssl-proxy#
ssl-proxy# test crypto pki self
Enter subject name for certificate
CN=testhost.my.com, O=lab, OU=testgroup
Enter name of key to be used
k1
ssl-proxy#
30 82 02 06 30 82 01 6F 02 20 45 32 30 38 39 32
45 37 38 31 42 41 46 45 45 45 44 45 37 37 41 36
43 41 44 37 44 43 45 38 34 37 30 0D 06 09 2A 86
48 86 F7 0D 01 01 04 05 00 30 3C 31 12 30 10 06
03 55 04 0B 13 09 74 65 73 74 67 72 6F 75 70 31
0C 30 0A 06 03 55 04 0A 13 03 6C 61 62 31 18 30
16 06 03 55 04 03 13 0F 74 65 73 74 68 6F 73 74
2E 6D 79 2E 63 6F 6D 30 1E 17 0D 30 33 30 33 32
30 31 34 33 35 30 30 5A 17 0D 31 33 30 33 31 37
31 34 33 35 30 30 5A 30 3C 31 12 30 10 06 03 55
04 0B 13 09 74 65 73 74 67 72 6F 75 70 31 0C 30
0A 06 03 55 04 0A 13 03 6C 61 62 31 18 30 16 06
03 55 04 03 13 0F 74 65 73 74 68 6F 73 74 2E 6D
79 2E 63 6F 6D 30 81 9F 30 0D 06 09 2A 86 48 86
F7 0D 01 01 01 05 00 03 81 8D 00 30 81 89 02 81
81 00 EC 21 35 B5 0E BF 9C 1C 71 05 05 B2 8A 47
C8 F9 13 6C 5A 14 77 63 BD 0C B7 D3 35 6A DB B8
0F C2 D2 39 A8 62 67 EE CB BC 8D 5E F8 C2 1E 8E
D6 39 62 07 B4 64 20 D8 29 25 1E 9E 06 C8 F8 F9
A6 29 05 19 CC D9 00 E9 2D 96 6D CE CA E0 D7 BF
DC 9D 1B 7E 71 C1 D7 3F 25 28 41 5A F9 FB 98 66
B9 A7 81 18 79 71 2A AC 55 F8 CC A4 4A 90 35 A7
E9 BD 79 66 BC 5B C5 98 16 B0 63 5B D3 6E 85 65
42 1B 02 03 01 00 01 30 0D 06 09 2A 86 48 86 F7
0D 01 01 04 05 00 03 81 81 00 A3 93 7A E6 60 54
8C 3A FF 6A 72 A8 1F 4B AD 79 53 C4 37 DF C4 D4
F9 F4 58 3C E4 D8 BE FF BB C5 F9 CD B0 20 7F 3D
0E B5 11 8E FA 33 02 9E 5E 52 36 4D 0F AB 21 41
97 A4 2D 94 4D DF D2 A0 B4 DE B0 2E 1C BA 16 A9
4C 28 34 72 8E D5 82 F6 B6 B2 D6 4E B5 1A F0 BB
6B 65 E7 85 52 72 9F 9C BC A7 D9 B4 79 AB 6B C2
DC FD AD 02 D3 28 87 CD 06 8B 11 3C 22 85 28 1B
DC 04 05 8D 4F 1D 07 8D D0 BC
 
ssl-proxy# show crypto ca trustpoint k1
Trustpoint k1:
Subject Name:
CN = testhost.my.com
O = lab
OU = testgroup
Serial Number:4532303839324537383142414645454544453737413643414437444345383437
Application generated trust point
 
ssl-proxy# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ssl-proxy(config)# ssl-proxy service ser1
ssl-proxy(config-ssl-proxy)# certificate rsa general trustpoint k1
ssl-proxy(config-ssl-proxy)#
*Mar 20 14:36:09.567:%STE-6-PKI_SERVER_CERT_INSTALL:Proxy:ser1, Trustpoint:k1, Key:k1, Serial#:4532303839324537383142414645454544453737413643414437444345383437, Index:3
ssl-proxy(config-ssl-proxy)# end
ssl-proxy#
*Mar 20 14:36:16.363:%SYS-5-CONFIG_I:Configured from console by console
ssl-proxy#
ssl-proxy# show ssl-proxy service ser1
Service id:2, bound_service_id:258
Virtual IP address not configured
Server IP address not configured
rsa-general-purpose certificate trustpoint:k1
Certificate chain for new connections:
Server Certificate:
Key Label:k1
Serial Number:4532303839324537383142414645454544453737413643414437444345383437
Self-signed
Certificate chain complete
Admin Status:down
Operation Status:down
ssl-proxy#

組み込みテスト証明書のインポート

モジュールのSSLソフトウェアには、テスト用PKCS12ファイル(test/testssl.p12)が組み込まれています。このファイルをNVRAMにインストールして、テストや概念の検証に使用することができます。PKCS12ファイルをインストールした後に、このファイルを信頼点にインポートして、テスト用に設定されたプロキシ サービスに割り当てることができます。

テスト ファイルをインストールおよびインポートする手順は、次のとおりです。

 

コマンド
目的

ステップ 1

ssl-proxy# test ssl-proxy certificate install

テスト用PKCS12ファイルをNVRAMにインストールします。

ステップ 2

ssl-proxy(config)# crypto ca import trustpoint_label pkcs12 nvram:test/testssl.p12 passphrase

テスト用PKCS12ファイルをモジュールにインポートします。


) テスト用証明書のpassphrasesky is blueです。


ステップ 3

ssl-proxy(config)# ssl-proxy service test_service

テスト用プロキシ サービスの名前を定義します。

ステップ 4

ssl-proxy(config-ssl-proxy)# certificate rsa general-purpose trustpoint trustpoint_label

信頼点の設定をプロキシ サーバに適用します。

ステップ 5

ssl-proxy# show ssl-proxy stats test_service

テストの統計情報を表示します。

次に、テスト用PKCS12ファイルをインポートする例を示します。

ssl-proxy# test ssl-proxy certificate install
% Opening file, please wait ...
% Writing, please wait ............
% Please use the following config command to import the file.
"crypto ca import <trustpoint-name> pkcs12 nvram:test/testssl.p12 sky is blue"
% Then you can assign the trustpoint to a proxy service for testing.
 
ssl-proxy# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ssl-proxy(config)# crypto ca import test-tp pkcs12 nvram:test/testssl.p12 sky is blue
Source filename [test/testssl.p12]?
ssl-proxy(config)#
ssl-proxy(config)# ssl-proxy service test-service
ssl-proxy(config-ssl-proxy)# certificate rsa general-purpose trustpoint test-tp
ssl-proxy(config-ssl-proxy)# end
ssl-proxy#