Catalyst 6500 シリーズ SSL サービス モジュール インストレーション コンフィギュレーション ノート
コマンド リファレンス
コマンド リファレンス
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

コマンド リファレンス

clear ssl-proxy conn

clear ssl-proxy session

clear ssl-proxy stats

crypto ca export pem

crypto ca import pem

crypto ca export pkcs12

crypto ca import pkcs12

crypto key export rsa pem

crypto key import rsa pem

debug ssl-proxy

show ssl-proxy admin-info

show ssl-proxy buffers

show ssl-proxy certificate-history

show ssl-proxy conn

show ssl-proxy crash-info

show ssl-proxy mac address

show ssl-proxy natpool

show ssl-proxy policy

show ssl-proxy service

show ssl-proxy stats

show ssl-proxy status

show ssl-proxy version

show ssl-proxy vlan

ssl-proxy crypto selftest

ssl-proxy mac address

ssl-proxy natpool

ssl-proxy pki history

ssl-proxy policy ssl

ssl-proxy policy tcp

ssl-proxy service

ssl-proxy ssl ratelimit

ssl-proxy vlan

コマンド リファレンス

この付録では、SSL Services Moduleのコマンドについて説明します。

表B-1 に、この付録で説明するコマンドの概要を示します。

 

表B-1 コマンドの説明

コマンド
説明

clear ssl-proxy conn

SSL接続を削除します。

clear ssl-proxy session

セッション キャッシュからエントリを削除します。

clear ssl-proxy stats

SSLサービス モジュールの各システム コンポーネントに保持された統計カウンタをリセットします。

crypto ca export pem

Privacy-Enhanced Mail(PEM)ファイルをSSLサービス モジュールからエクスポートします。

crypto ca import pem

PEMファイルをSSLサービス モジュールにインポートします。

crypto ca export pkcs12

PKCS12ファイルをSSLサービス モジュールからエクスポートします。

crypto ca import pkcs12

PKCS12ファイルをSSLサービス モジュールにインポートします。

crypto key export rsa pem

PEMフォーマットされたRSA鍵をSSLサービス モジュールからエクスポートします。

crypto key import rsa pem

PEMフォーマットされたRSA鍵をSSLサービス モジュールにインポートします。

debug ssl-proxy

各システム コンポーネントのデバッグ フラグをオンにします。

show ssl-proxy admin-info

管理VLAN(仮想LAN)、および関連するIPアドレスやゲートウェイ アドレスを表示します。

show ssl-proxy buffers

TCPバッファの使用方法に関する情報を表示します。

show ssl-proxy certificate-history

証明書イベント履歴情報を表示します。

show ssl-proxy conn

SSLサービス モジュールからのTCP接続を表示します。

show ssl-proxy crash-info

クラッシュ情報を表示します。

show ssl-proxy mac address

現在のMAC(メディア アクセス制御)アドレスを表示します。

show ssl-proxy natpool

NATプール情報を表示します。

show ssl-proxy policy

設定されたSSLポリシーまたはTCPポリシーを表示します。

show ssl-proxy service

設定されたSSL仮想サーバ情報を表示します。

show ssl-proxy stats

統計カウンタ情報を表示します。

show ssl-proxy status

ステータス情報を表示します。

show ssl-proxy version

現在のイメージ バージョンを表示します。

show ssl-proxy vlan

VLAN情報を表示します。

ssl-proxy crypto selftest

暗号セルフテストを開始します。

ssl-proxy mac address

MACアドレスを設定します。

ssl-proxy natpool

SSLモジュールがクライアントNATを実装するために使用するIPアドレスのプールを定義します。

ssl-proxy pki history

Public Key Infrastructure(PKI;公開鍵インフラストラクチャ)イベント履歴オプションをイネーブルにします。

ssl-proxy policy ssl

SSLポリシー コンフィギュレーション サブモードを開始します。このモードでは、1つまたは複数のSSLプロキシ サービス用TCPポリシーのSSLを定義することができます。

ssl-proxy policy tcp

プロキシ ポリシーTCPコンフィギュレーション サブモードを開始します。このモードでは、TCPポリシー テンプレートを定義することができます。

ssl-proxy service

プロキシ サービス コンフィギュレーション サブモードを開始します。このモードでは、プロキシ サービスに関連づけられた仮想IPアドレスとポート、および対応するターゲットIPアドレスとポートを設定することができます。プロキシのクライアント側とサーバ側の両方に、TCPポリシーおよびSSLポリシーを定義することもできます。

ssl-proxy ssl ratelimit

過負荷状態の場合に、新規接続を禁止します。

ssl-proxy vlan

プロキシVLANコンフィギュレーション サブモードを開始します。このモードでは、SSLサービス モジュール用のVLANを設定することができます。

表B-2 に、コマンドおよびサブモード コマンドを示します。

 

表B-2 コマンドおよびサブモード コマンド

コマンド
サブモード コマンド

ssl-proxy policy ssl

cipher { rsa-with-3des-ede-cbc-sha | rsa-with-des-cbc-sha | rsa-with-rc4-128-md5 | rsa-with-rc4-128-sha | all }

[ no ] close-protocol

default { cipher | close-protocol | session-cache | version }

exit

help

[ no ] session-cache

[ no ] session-cache size size

[ no ] timeout handshake time

[ no ] timeout session time [ absolute ]

version { all | ssl3 | tls1 }

ssl-proxy policy tcp

exit

[ no ] timeout fin-wait timeout-in-seconds

help

[ no ] timeout inactivity timeout-in-seconds

[ no ] buffer-share rx buffer-limit-in-bytes

[ no ] buffer-share tx buffer-limit-in-bytes

[ no ] mss max-segment-size-in-bytes

[ no ] timeout syn timeout-in-seconds

[ no ] timeout reassembly time-in-seconds

ssl-proxy service

certificate rsa general-purpose trustpoint trustpoint-name

default { nat }

exit

help

inservice

nat { server | client natpool-name }

server ipaddr ip-addr protocol protocol port portno

server policy tcp server-side-tcp-policy-name

virtual { ipaddr ip-addr } { protocol protocol } { port portno } [ secondary ]

virtual { policy ssl ssl-policy-name }

virtual { policy tcp client-side-tcp-policy-name }

ssl-proxy vlan

admin

exit

gateway prefix [ drop | forward ]

help

ipaddr prefix mask

no

route { prefix mask } { gateway prefix }

clear ssl-proxy conn

clear ssl-proxy conn コマンドを使用すると、システム全体のTCP接続をすべて削除できます。

clear ssl-proxy conn

 
構文の説明

service name

(任意)指定されたサービスの接続を削除します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュール Release 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

システム全体のTCP接続をすべて削除するには、オプションを指定せずに、 clear ssl-proxy connection コマンドを使用します。

次に、指定されたサービスの接続を削除する例を示します。

ssl-proxy# clear ssl-proxy conn service S6
 

次に、システム全体のTCP接続をすべて削除する例を示します。

ssl-proxy# clear ssl-proxy conn
ssl-proxy#
 

clear ssl-proxy session

clear ssl-proxy session コマンドを使用すると、セッション キャッシュからすべてのエントリを削除できます。

clear ssl-proxy session

 
構文の説明

service name

(任意)指定されたサービスのセッション キャッシュを削除します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

SSLサービス モジュールRelease 1.2(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

すべてのサービスにおけるセッション キャッシュからエントリをすべて削除するには、オプションを指定せずに、 clear ssl-proxy session コマンドを使用します。

次に、SSLサービス モジュールの指定されたサービスのセッション キャッシュからエントリを削除する例を示します。

ssl-proxy# clear ssl-proxy session service S6
 

次に、SSLサービス モジュールで維持されるセッション キャッシュのすべてのエントリを削除する例を示します。

ssl-proxy# clear ssl-proxy session
ssl-proxy#
 

clear ssl-proxy stats

clear ssl-proxy stats コマンドを使用すると、SSLサービス モジュールの各システム コンポーネントに保持された統計カウンタをリセットできます。

clear ssl-proxy stats [ crypto | fdu | ipc | pki | service | ssl | tcp ]

 
構文の説明

crypto

(任意)暗号統計情報を消去します。

fdu

(任意)F6DU統計情報を消去します。

ipc

(任意)Inter Processor Communication(IPC;プロセッサ間通信)統計情報を消去します。

pki

(任意)PKI統計情報を消去します。

service name

(任意)特定のサービスの統計情報を消去します。

ssl

(任意)SSL統計情報を消去します。

tcp

(任意)TCP統計情報を消去します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュール Release 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

SSLサービス モジュールに保持されている統計カウンタをすべてリセットするには、オプションを指定せずに、 clear ssl-proxy stats コマンドを使用します。

次に、SSLサービス モジュールの各システム コンポーネントに保持された統計カウンタをリセットする例を示します。

ssl-proxy# clear ssl-proxy stats crypto
ssl-proxy# clear ssl-proxy stats ipc
ssl-proxy# clear ssl-proxy stats pki
ssl-proxy# clear ssl-proxy stats service S6
 

次に、SSLサービス モジュールに保持された統計カウンタをすべて消去する例を示します。

ssl-proxy# clear ssl-proxy stats
ssl-proxy#
 

crypto ca export pem

crypto ca export pem コマンドを使用すると、PEMファイルをSSLサービス モジュールからエクスポートできます。

crypto ca export trustpoint_label pem { terminal { des | 3des } { url url }} pass_phrase

 
構文の説明

trustpoint-label

信頼点の名前

terminal

端末上に要求を表示します。

des

56ビットのDES-CBC暗号化アルゴリズムを指定します。

3des

168ビットのDES(3DES)暗号化アルゴリズムを指定します。

url url

URLの位置を指定します。有効値は、次のとおりです。

ftp: ― FTPファイル システムへのエクスポート

null: ― ヌル ファイル システムへのエクスポート

nvram: ― NVRAMファイル システムへのエクスポート

rcp: ― RCPファイル システムへのエクスポート

scp: ― SCPファイル システムへのエクスポート

system: ― システム ファイル システムへのエクスポート

tftp: ― TFTPファイル システムへのエクスポート

pass_phrase

秘密鍵を保護するのに使用されるパス フレーズ

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

SSLサービス モジュールRelease 1.2(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

pass_phrase は、スペースおよび句読点を含むあらゆるフレーズになりえます。ただし、Cisco IOSの解析に特別な意味を持つ[ ? ]は除きます。

パス フレーズの保護により、パス フレーズを鍵に関連付けます。鍵がエクスポートされるときに、パス フレーズは鍵を暗号化するのに使用されます。また、この鍵がインポートされるときには、これと同じパス フレーズを入力して鍵を複合化する必要があります。

エクスポート不可能としてマークされた鍵をエクスポートすることはできません。

要求されれば、デフォルトのファイル拡張子を変更することができます。デフォルトのファイル拡張子は次のとおりです。

公開鍵(.pub)

秘密鍵(.prv)

証明書(.crt)

CA証明書(.ca)

署名鍵(-sign)

暗号鍵(-encr)


) SSLソフトウェアRelease 1.2では、秘密鍵(.prv)、サーバ証明書(.crt)、およびサーバ証明書の発行者CA証明書(.ca)のみがエクスポートされます。すべてのCA証明書を含む証明書チェーン全体をエクスポートするには、PEMファイルではなくPKCS12ファイルを使用します。


次に、SSLサービス モジュールのPEMフォーマットファイルをエクスポートする例を示します。

ssl-proxy(config)#crypto ca import TP5 pem url tftp://10.1.1.1/TP5 password
% Importing CA certificate...
Address or name of remote host [10.1.1.1]?
Destination filename [TP5.ca]?
Reading file from tftp://10.1.1.1/TP5.ca
Loading TP5.ca from 10.1.1.1 (via Ethernet0/0.168): !
[OK - 1976 bytes]
 
% Importing private key PEM file...
Address or name of remote host [10.1.1.1]?
Destination filename [TP5.prv]?
Reading file from tftp://10.1.1.1/TP5.prv
Loading TP5.prv from 10.1.1.1 (via Ethernet0/0.168): !
[OK - 963 bytes]
 
% Importing certificate PEM file...
Address or name of remote host [10.1.1.1]?
Destination filename [TP5.crt]?
Reading file from tftp://10.1.1.1/TP5.crt
Loading TP5.crt from 10.1.1.1 (via Ethernet0/0.168): !
[OK - 1692 bytes]
% PEM files import succeeded.
ssl-proxy(config)#end
ssl-proxy#
*Apr 11 15:11:29.901: %SYS-5-CONFIG_I: Configured from console by console
 

 
関連コマンド

crypto ca import pem

crypto ca import pem

crypto ca import pem コマンドを使用すると、PEMフォーマットのファイルをSSLサービス モジュールにインポートできます。

crypto ca import trustpoint_label pem [exportable] {terminal | url url | usage-keys} pass_phrase

 
構文の説明

trustpoint-label

信頼点の名前

exportable

鍵がエクスポート可能に指定します。

terminal

端末上に要求を表示します。

url url

URLの位置を指定します。有効値は、次のとおりです。

ftp: ― FTPファイル システムへのエクスポート

null: ― ヌル ファイル システムへのエクスポート

nvram: ― NVRAMファイル システムへのエクスポート

rcp: ― RCPファイル システムへのエクスポート

scp: ― SCPファイル システムへのエクスポート

system: ― システム ファイル システムへのエクスポート

tftp: ― TFTPファイル システムへのエクスポート

pass_phrase

パス フレーズ

usage-keys

1つの汎用鍵ペアではなく、2つの特別使用の鍵ペアが生成されるよう指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

SSLサービス モジュールRelease 1.2(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

入力したパス フレーズが正しくない場合は、エラーが表示されます。 pass_phrase は、スペースおよび句読点を含むあらゆるフレーズになりえます。ただし、Cisco IOSの解析に特別な意味を持つ[ ? ]は除きます。

パス フレーズ保護により、パス フレーズは鍵に関連付けられます。鍵がエクスポートされるときに、パス フレーズは鍵を暗号化するのに使用されます。また、この鍵がインポートされるときには、これと同じパス フレーズを入力して鍵を複合化する必要があります。

RSA鍵をインポートすると、公開鍵またはそれに対応する証明書を使用できます。

crypto ca import pem コマンドを使用すると、秘密鍵(.prv)、サーバ証明書(.crt)、および発行者のCA証明書(.ca)のみをインポートします。証明書チェーンに複数のCAレベルがある場合は、このコマンドが認証用に発行される前にルートCA証明書および下位CA証明書をインポートする必要があります。ルートCA証明書および下位CA証明書をインポートするには、カットアンドペーストまたはTFTPを使用します。

次に、SSLサービス モジュールにPEMフォーマット ファイルをインポートする例を示します。

ssl-proxy(config)# crypto ca import TP5 pem url tftp://10.1.1.1/TP5 password
% Importing CA certificate...
Address or name of remote host [10.1.1.1]?
Destination filename [TP5.ca]?
Reading file from tftp://10.1.1.1/TP5.ca
Loading TP5.ca from 10.1.1.1 (via Ethernet0/0.168): !
[OK - 1976 bytes]
 
% Importing private key PEM file...
Address or name of remote host [10.1.1.1]?
Destination filename [TP5.prv]?
Reading file from tftp://10.1.1.1/TP5.prv
Loading TP5.prv from 10.1.1.1 (via Ethernet0/0.168): !
[OK - 963 bytes]
 
% Importing certificate PEM file...
Address or name of remote host [10.1.1.1]?
Destination filename [TP5.crt]?
Reading file from tftp://10.1.1.1/TP5.crt
Loading TP5.crt from 10.1.1.1 (via Ethernet0/0.168): !
[OK - 1692 bytes]
% PEM files import succeeded.
ssl-proxy(config)# end
ssl-proxy#
*Apr 11 15:11:29.901: %SYS-5-CONFIG_I: Configured from console by console
 

 
関連コマンド

crypto ca export pem

crypto ca export pkcs12

crypto ca export コマンドを使用すると、PKCS12ファイルをSSLサービス モジュールからエクスポートできます。

crypto ca export trustpoint_label pkcs12 file_system [ pkcs12_filename ] pass_phrase

 
構文の説明

trustpoint_label

信頼点ラベルを指定します。

file_system

ファイル システムを指定します。有効な値は scp:、ftp:、nvram:、rcp:、 および tftp: です。

pkcs12_filename

エクスポートするPKCS12ファイルの名前を指定します。

pass_phrase

PKCS12ファイルのパス フレーズを指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュール Release 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

インポートされた鍵ペアは、エクスポートできません。

Secure Shell(SSH)を使用している場合は、PKCS12ファイルをエクスポートするときに、SCP(セキュアなファイル転送)を使用することを推奨します。SCPはホストを認証して、転送セッションを暗号化します。

pkcs12_filename を指定しない場合は、デフォルトのファイル名( trustpoint_label )を受け入れるか、またはファイル名を入力するように要求されます。 ftp: 、または tftp: 値には、 pkcs12_filename のすべてのパスを含める必要があります。

入力したパス フレーズが正しくない場合は、エラーが表示されます。

複数のCAレベルがある場合は、ルートCAおよびすべての下位CA証明書がPKCS12ファイルでエクスポートされます。

次に、SCPを使用してPKCS12ファイルをエクスポートする例を示します。

ssl-proxy(config)#crypto ca export TP1 pkcs12 scp: sky is blue
Address or name of remote host []? 10.1.1.1
Destination username [ssl-proxy]? admin-1
Destination filename [TP1]? TP1.p12
 
Password:
 
Writing TP1.p12 Writing pkcs12 file to scp://admin-1@10.1.1.1/TP1.p12
 
Password:
!
CRYPTO_PKI:Exported PKCS12 file successfully.
ssl-proxy(config)#

crypto ca import pkcs12

crypto ca import コマンドを使用すると、PKCS12ファイルをSSLサービス モジュールにインポートできます。

crypto ca import trustpoint_label pkcs12 file_system [ pkcs12_filename ] pass_phrase

 
構文の説明

trustpoint_label

信頼点ラベルを指定します。

file_system

ファイル システムを指定します。有効な値は scp:、ftp:、nvram:、rcp:、 および tftp: です。

pkcs12_filename

インポートするPKCS12ファイルの名前を指定します。

pass_phrase

PKCS12ファイルのパス フレーズを指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

SSHを使用している場合は、PKCS12ファイルをインポートするときに、SCP(セキュアなファイル転送)を使用することを推奨します。SCPはホストを認証して、転送セッションを暗号化します。

pkcs12_filename を指定しない場合は、デフォルトのファイル名( trustpoint_label )を受け入れるか、またはファイル名を入力するように要求されます。 ftp: 、または tftp: 値には、 pkcs12_filename のすべてのパスを含める必要があります。

入力したパス フレーズが正しくない場合は、エラーが表示されます。

複数のCAレベルがある場合は、ルートCAおよびすべての下位CA証明書がPKCS12ファイルにエクスポートされます。

次に、SCPを使用してPKCS12ファイルをインポートする例を示します。

ssl-proxy(config)# crypto ca import TP2 pkcs12 scp: sky is blue
Address or name of remote host []? 10.1.1.1
Source username [ssl-proxy]? admin-1
Source filename [TP2]? /users/admin-1/pkcs12/TP2.p12
 
Password:password
Sending file modes:C0644 4379 TP2.p12
!
ssl-proxy(config)#
*Aug 22 12:30:00.531:%CRYPTO-6-PKCS12IMPORT_SUCCESS:PKCS #12 Successfully Imported.
ssl-proxy(config)#
 

crypto key export rsa pem

crypto key export rsa pem コマンドを使用すると、 PEMフォーマットのRSA鍵をSSLサービス モジュール からエクスポートできます。

crypto key export rsa keylabel pem { terminal | url url } {{ 3des | des} pass_phrase }

 
構文の説明

keylabel

鍵の名前

terminal

端末上に要求を表示します。

url url

URLの位置を指定します。有効値は、次のとおりです。

ftp: ― FTPファイル システムへのエクスポート

null: ― ヌル ファイル システムへのエクスポート

nvram: ― NVRAMファイル システムへのエクスポート

rcp: ― RCPファイル システムへのエクスポート

scp: ― SCPファイル システムへのエクスポート

system: ― システム ファイル システムへのエクスポート

tftp: ― TFTPファイル システムへのエクスポート

des

56ビットのDES-CBC暗号化アルゴリズムを指定します。

3des

168ビットのDES(3DES)暗号化アルゴリズムを指定します。

exportable

(任意)鍵をエクスポート可能に指定します。

pass_phrase

パス フレーズ

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

SSLサービス モジュールRelease 1.2(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

パス フレーズは、スペースおよび句読点を含むあらゆるフレーズになりえます。ただし、Cisco IOSの解析に特別な意味を持つ[ ? ]は除きます。

パス フレーズ保護により、パス フレーズは鍵に関連付けられます。パス フレーズは、鍵がエクスポートされるときに、鍵を暗号化するのに使用されます。また、この鍵がインポートされるときには、これと同じパス フレーズを入力して鍵を複合化する必要があります。

次に、SSLサービス モジュールから鍵をエクスポートする例を示します。

ssl-proxy(config)# crypto key export rsa test-keys pem url scp: 3des password
% Key name:test-keys
Usage:General Purpose Key
Exporting public key...
Address or name of remote host []? 7.0.0.7
Destination username [ssl-proxy]? lab
Destination filename [test-keys.pub]?
 
Password:
 
Writing test-keys.pub Writing file to scp://lab@7.0.0.7/test-keys.pub
Password:
!
Exporting private key...
Address or name of remote host []? 7.0.0.7
Destination username [ssl-proxy]? lab
Destination filename [test-keys.prv]?
 
Password:
 
Writing test-keys.prv Writing file to scp://lab@7.0.0.7/test-keys.prv
Password:
ssl-proxy(config)#

crypto key import rsa pem

crypto key import rsa pem コマンドを使用すると、PEMフォーマットのRSA鍵を SSLサービス モジュール にインポートできます。

crypto key import rsa keylabel pem [ usage-keys ] { terminal | url url } [ exportable ] passphrase }

 
構文の説明

keylabel

鍵の名前

usage-keys

(任意)1つの汎用鍵ペアではなく、2つの特別使用の鍵ペアが生成されるよう指定します。

terminal

端末上に要求を表示します。

url url

URLの位置を指定します。有効値は、次のとおりです。

ftp: ― FTPファイル システムへのエクスポート

null: ― ヌル ファイル システムへのエクスポート

nvram: ― NVRAMファイル システムへのエクスポート

rcp: ― RCPファイル システムへのエクスポート

scp: ― SCPファイル システムへのエクスポート

system: ― システム ファイル システムへのエクスポート

tftp: ― TFTPファイル システムへのエクスポート

exportable

(任意)鍵をエクスポート可能に指定します。

passphrase

パス フレーズ

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

SSLサービス モジュールRelease 1.2(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

パス フレーズは、スペースおよび句読点を含むあらゆるフレーズになりえます。ただし、Cisco IOSの解析に特別な意味を持つ[ ? ]は除きます。

パス フレーズ保護により、パス フレーズを鍵に関連付けます。パス フレーズは、鍵がエクスポートされるときに、鍵を暗号化するのに使用されます。また、この鍵がインポートされるときには、これと同じパス フレーズを入力して鍵を複合化する必要があります。

次に、PEMフォーマットのRSA鍵をSSLサービス モジュールにインポートする例を示します。

ssl-proxy(config)# crypto key import rsa newkeys pem url scp: password
% Importing public key or certificate PEM file...
Address or name of remote host []? 7.0.0.7
Source username [ssl-proxy]? lab
Source filename [newkeys.pub]? test-keys.pub
 
Password:
Sending file modes:C0644 272 test-keys.pub
Reading file from scp://lab@7.0.0.7/test-keys.pub!
% Importing private key PEM file...
Address or name of remote host []? 7.0.0.7
Source username [ssl-proxy]? lab
Source filename [newkeys.prv]? test-keys.prv
 
Password:
Sending file modes:C0644 963 test-keys.prv
Reading file from scp://lab@7.0.0.7/test-keys.prv!% Key pair import succeeded.
 
ssl-proxy(config)#
 

debug ssl-proxy

debug ssl-proxy コマンドを使用すると、各システム コンポーネントのデバッグ フラグをオンにすることができます。デバッグ フラグをオフにするには、このコマンドの no 形式を使用します。

debug ssl-proxy { app | fdu [ type ] | ipc | pki [ type ] | ssl [ type ] | tcp [ type ]}

 
構文の説明

app

アプリケーションのデバッグをオンにします。

fdu [ type ]

FDUのデバッグをオンにします。(任意) type の有効値は cli hash ipc 、および trace です。詳細については、「使用上の注意事項」を参照してください。

ipc

IPCのデバッグをオンにします。

pki [ type ]

PKIのデバッグをオンにします(任意) type の有効値は cert events history ipc 、および key です。詳細については、「使用上の注意事項」を参照してください。

ssl [ type ]

SSLのデバッグをオンにします。(任意) type の有効値は alert error handshake 、および pkt です。詳細については、「使用上の注意事項」を参照してください。

tcp [ type ]

TCPのデバッグをオンにします。(任意) type の有効値は event packet state 、および timers です。詳細については、「使用上の注意事項」を参照してください。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

fdu type には、次の値を入力します。

cli ― FDU CLI(コマンドライン インターフェイス)をデバッグします。

hash ― FDUハッシュをデバッグします。

ipc ― FDU IPCをデバッグします。

trace ― FDUトレースをデバッグします。

pki type には、次の値を入力します。

certs ― 証明書管理をデバッグします。

events ― イベントをデバッグします。

history ― 証明書履歴をデバッグします。

ipc ― IPCメッセージおよびバッファをデバッグします。

key ― 鍵管理をデバッグします。

ssl type には、次の値を入力します。

alert ― SSLアラート イベントをデバッグします。

error ― SSLエラー イベントをデバッグします。

handshake ― SSLハンドシェイク イベントをデバッグします。

pkt ― 送受信されたSSLパケットをデバッグします。


) TCPデバッグ コマンドは、負荷がほとんどない場合(仮想サーバまたは実サーバに接続が確立されていない場合など)に、基本的な接続問題のトラブルシューティングを行うときのみ使用してください。

TCPデバッグ コマンドを使用すると、TCPモジュールはコンソールにデバッグ情報を大量に表示するため、これによってモジュールのパフォーマンスが大幅に低下することがあります。モジュールのパフォーマンスが低いと、TCP接続タイマー、パケット、およびステート移行の処理に遅延が生じることがあります。


tcp type には次の値を入力します。

events ― TCPイベントをデバッグします。

pkt ― 送受信されたTCPパケットをデバッグします。

state ― TCPステートをデバッグします。

timers ― TCPタイマーをデバッグします。

次に、アプリケーションのデバッグをオンにする例を示します。

ssl-proxy# debug ssl-proxy app
ssl-proxy#
 

次に、FDUのデバッグをオンにする例を示します。

ssl-proxy# debug ssl-proxy fdu
ssl-proxy#
 

次に、IPCのデバッグをオンにする例を示します。

ssl-proxy# debug ssl-proxy ipc
ssl-proxy#
 

次に、PKIのデバッグをオンにする例を示します。

ssl-proxy# debug ssl-proxy pki
ssl-proxy#
 

次に、SSLのデバッグをオンにする例を示します。

ssl-proxy# debug ssl-proxy ssl
ssl-proxy#
 

次に、TCPのデバッグをオンにする例を示します。

ssl-proxy# debug ssl-proxy tcp
ssl-proxy#
 

次に、TCPのデバッグをオフにする例を示します。

ssl-proxy# no debug ssl-proxy tcp
ssl-proxy#

show ssl-proxy admin-info

show ssl-proxy admin-info コマンドを使用すると、管理VLANおよび関連するIPアドレスとゲートウェイ アドレスが表示されます。

show ssl-proxy admin-info

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

次に、管理VLANおよび関連するIPアドレスとゲートウェイ アドレスを表示する例を示します。

ssl-proxy# show ssl-proxy admin-info
STE administration VLAN: 2
STE administration IP address: 207.57.100.18
STE administration gateway: 207.0.207.5
ssl-proxy#

 
関連コマンド

ssl-proxy vlan

show ssl-proxy buffers

show ssl-proxy buffers コマンドを使用すると、TCPバッファの使用方法に関する情報が表示されます。

show ssl-proxy buffers

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

次に、TCPサブシステムのバッファの使用方法およびその他の情報を表示する例を示します。

ssl-proxy# show ssl-proxy buffers
Buffers info for TCP module 1
TCP data buffers used 2816 limit 112640
TCP ingress buffer pool size 56320 egress buffer pool size 56320
TCP ingress data buffers min-thresh 7208960 max-thresh 21626880
TCP ingress data buffers used Current 0 Max 0
TCP ingress buffer RED shift 9 max drop prob 10
Conns consuming ingress data buffers 0
Buffers with App 0
TCP egress data buffers used Current 0 Max 0
Conns consuming egress data buffers 0
In-sequence queue bufs 0 OOO bufs 0
ssl-proxy#

 
関連コマンド

ssl-proxy policy tcp

show ssl-proxy certificate-history

show ssl-proxy certificate-history コマンドを使用すると、証明書のイベント履歴情報が表示されます。

show ssl-proxy certificate-history [ service [ name ]]

 
構文の説明

service [ name ]

プロキシ サービスのすべての証明書レコード、および(任意で)指定したプロキシ サービスの証明書レコードを表示します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

show ssl-proxy certificate-history コマンドは、次のレコードを表示します。

サービスの名前

鍵ペアの名前

生成またはインポートの時刻

信頼点の名前

証明書の件名

証明書の発行者名

シリアル番号

日付

レコードごとにSyslogメッセージが生成されます。レコード数が上限である512を超えた場合は、古いレコードから順に削除されます。

次に、すべての証明書のイベント履歴を表示する例を示します。

ssl-proxy# show ssl-proxy certificate-history
Record 1, Timestamp:00:00:51, 16:36:34 UTC Oct 31 2002
Installed Server Certificate, Index 5
Proxy Service:s1, Trust Point:t3
Key Pair Name:k3, Key Usage:RSA General Purpose, Exportable
Time of Key Generation:12:27:58 UTC Oct 30 2002
Subject Name:OID.1.2.840.113549.1.9.2 = simpson5-2-ste.cisco.com, OID.1.2.840.113549.1.9.8 = 207.79.1.9, OID.2.5.4.5 = B0FFF235
Issuer Name:CN = SimpsonTestCA, OU = Simpson Lab, O = Cisco Systems, L = San Jose, ST = CA, C = US, EA =<16> simpson-pki@cisco.com
Serial Number:5D3D1931000100000D99
Validity Start Time:21:58:12 UTC Oct 30 2002
End Time:22:08:12 UTC Oct 30 2003
Renew Time:00:00:00 UTC Jan 1 1970
End of Certificate Record
 
Record 2, Timestamp:00:01:06, 16:36:49 UTC Oct 31 2002
Installed Server Certificate, Index 6
Proxy Service:s5, Trust Point:t10
Key Pair Name:k10, Key Usage:RSA General Purpose, Exportable
Time of Key Generation:07:56:43 UTC Oct 11 2002
Subject Name:CN = host1.cisco.com, OID.1.2.840.113549.1.9.2 = simpson5-2-ste.cisco.com, OID.1.2.840.113549.1.9.8 = 207.79.1.9, OID.2.5.4.5 = B0FFF235
Issuer Name:CN = SimpsonTestCA, OU = Simpson Lab, O = Cisco Systems, L = San Jose, ST = CA, C = US, EA =<16> simpson-pki@cisco.com
Serial Number:24BC81B7000100000D85
Validity Start Time:22:38:00 UTC Oct 19 2002
End Time:22:48:00 UTC Oct 19 2003
Renew Time:00:00:00 UTC Jan 1 1970
End of Certificate Record
 
Record 3, Timestamp:00:01:34, 16:37:18 UTC Oct 31 2002
Installed Server Certificate, Index 7
Proxy Service:s6, Trust Point:t10
Key Pair Name:k10, Key Usage:RSA General Purpose, Exportable
Time of Key Generation:07:56:43 UTC Oct 11 2002
Subject Name:CN = host1.cisco.com, OID.1.2.840.113549.1.9.2 = simpson5-2-ste.cisco.com, OID.1.2.840.113549.1.9.8 = 207.79.1.9, OID.2.5.4.5 = B0FFF235
Issuer Name:CN = SimpsonTestCA, OU = Simpson Lab, O = Cisco Systems, L = San Jose, ST = CA, C = US, EA =<16> simpson-pki@cisco.com
Serial Number:24BC81B7000100000D85
Validity Start Time:22:38:00 UTC Oct 19 2002
End Time:22:48:00 UTC Oct 19 2003
Renew Time:00:00:00 UTC Jan 1 1970
End of Certificate Record
 
Record 4, Timestamp:00:01:40, 16:37:23 UTC Oct 31 2002
Deleted Server Certificate, Index 0
Proxy Service:s6, Trust Point:t6
Key Pair Name:k6, Key Usage:RSA General Purpose, Not Exportable
Time of Key Generation:00:28:28 UTC Mar 1 1993
Subject Name:CN = host1.cisco.com, OID.1.2.840.113549.1.9.2 = simpson5-2-ste.cisco.com, OID.1.2.840.113549.1.9.8 = 207.79.1.8, OID.2.5.4.5 = B0FFF235
Issuer Name:CN = SimpsonTestCA, OU = Simpson Lab, O = Cisco Systems, L = San Jose, ST = CA, C = US, EA =<16> simpson-pki@cisco.com
Serial Number:5CB5CFD6000100000D97
Validity Start Time:19:30:26 UTC Oct 30 2002
End Time:19:40:26 UTC Oct 30 2003
Renew Time:00:00:00 UTC Jan 1 1970
End of Certificate Record
% Total number of certificate history records displayed = 4
ssl-proxy#

次に、指定したプロキシ サービスの証明書レコードを表示する例を示します。

ssl-proxy# show ssl-proxy certificate-history service s6
Record 3, Timestamp:00:01:34, 16:37:18 UTC Oct 31 2002
Installed Server Certificate, Index 7
Proxy Service:s6, Trust Point:t10
Key Pair Name:k10, Key Usage:RSA General Purpose, Exportable
Time of Key Generation:07:56:43 UTC Oct 11 2002
Subject Name:CN = host1.cisco.com, OID.1.2.840.113549.1.9.2 = simpson5-2-ste.cisco.com, OID.1.2.840.113549.1.9.8 = 207.79.1.9, OID.2.5.4.5 = B0FFF235
Issuer Name:CN = SimpsonTestCA, OU = Simpson Lab, O = Cisco Systems, L = San Jose, ST = CA, C = US, EA =<16> simpson-pki@cisco.com
Serial Number:24BC81B7000100000D85
Validity Start Time:22:38:00 UTC Oct 19 2002
End Time:22:48:00 UTC Oct 19 2003
Renew Time:00:00:00 UTC Jan 1 1970
End of Certificate Record
 
Record 4, Timestamp:00:01:40, 16:37:23 UTC Oct 31 2002
Deleted Server Certificate, Index 0
Proxy Service:s6, Trust Point:t6
Key Pair Name:k6, Key Usage:RSA General Purpose, Not Exportable
Time of Key Generation:00:28:28 UTC Mar 1 1993
Subject Name:CN = host1.cisco.com, OID.1.2.840.113549.1.9.2 = simpson5-2-ste.cisco.com, OID.1.2.840.113549.1.9.8 = 207.79.1.8, OID.2.5.4.5 = B0FFF235
Issuer Name:CN = SimpsonTestCA, OU = Simpson Lab, O = Cisco Systems, L = San Jose, ST = CA, C = US, EA =<16> simpson-pki@cisco.com
Serial Number:5CB5CFD6000100000D97
Validity Start Time:19:30:26 UTC Oct 30 2002
End Time:19:40:26 UTC Oct 30 2003
Renew Time:00:00:00 UTC Jan 1 1970
End of Certificate Record
Total number of certificate history records displayed = 2

 
関連コマンド

ssl-proxy service

show ssl-proxy conn

show ssl-proxy conn コマンドを使用すると、SSLサービス モジュールからのTCP接続が表示されます。

show ssl-proxy conn 4tuple [local { ip local-ip-addr local-port } [ remote [{ ip remote-ip-addr [ port remote-port ]} | { port remote-port [ ip remote-ip-addr ]}]]]

show ssl-proxy conn 4tuple [local { port local-port } [ remote [{ ip remote-ip-addr [ port remote-port ]} | { port remote-port [ ip remote-ip-addr ]}]]]

show ssl-proxy conn 4tuple [local { remote [{ ip remote-ip-addr [ port remote-port ]} | { port remote-port [ ip remote-ip-addr ]}]]

show ssl-proxy conn service name

 
構文の説明

4tuple

特定のアドレスに対するTCP接続を表示します。

local

(任意)特定のローカル デバイスに対するTCP接続を表示します。

ip local-ip-addr

ローカル デバイスのIPアドレス。

local-port

ローカル デバイスのポート番号。

remote

(任意)特定のリモート デバイスに対するTCP接続を表示します。

ip remote-ip-addr

リモート デバイスのIPアドレス。

port remote-port

リモート デバイスのポート番号。

port local-port

(任意)特定のローカル ポートに対するTCP接続を表示します。

service name

特定のプロキシ サービスに対するTCP接続を表示します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)EおよびS
SLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

次に、SSLサービス モジュールから確立されたTCP接続を表示する方法をいくつか示します。

ssl-proxy# show ssl-proxy conn
Connections for TCP module 1
Local Address Remote Address VLAN Conid Send-Q Recv-Q State
--------------------- --------------------- ---- ------ ------ ------ ------
2.0.0.10:4430 1.200.200.14:48582 2 0 0 0 ESTAB
1.200.200.14:48582 2.100.100.72:80 2 1 0 0 ESTAB
 
2.0.0.10:4430 1.200.200.14:48583 2 2 0 0 ESTAB
1.200.200.14:48583 2.100.100.72:80 2 3 0 0 ESTAB
 
2.0.0.10:4430 1.200.200.14:48584 2 4 0 0 ESTAB
1.200.200.14:48584 2.100.100.72:80 2 5 0 0 ESTAB
 
2.0.0.10:4430 1.200.200.14:48585 2 6 0 0 ESTAB
1.200.200.14:48585 2.100.100.72:80 2 7 0 0 ESTAB
 
2.0.0.10:4430 1.200.200.14:48586 2 8 0 0 ESTAB
1.200.200.14:48586 2.100.100.72:80 2 9 0 0 ESTAB
 
ssl-proxy# show ssl-proxy conn 4tuple local port 443
Connections for TCP module 1
Local Address Remote Address VLAN Conid Send-Q Recv-Q State
--------------------- --------------------- ---- ------ ------ ------ ------
2.50.50.133:443 1.200.200.12:39728 2 113676 0 0 TWAIT
No Bound Connection
 
2.50.50.133:443 1.200.200.12:39729 2 113680 0 0 TWAIT
No Bound Connection
 
2.50.50.131:443 1.200.200.14:40599 2 113684 0 0 TWAIT
No Bound Connection
 
2.50.50.132:443 1.200.200.13:48031 2 114046 0 0 TWAIT
No Bound Connection
 
2.50.50.132:443 1.200.200.13:48032 2 114048 0 0 TWAIT
No Bound Connection
 
2.50.50.132:443 1.200.200.13:48034 2 114092 0 0 TWAIT
No Bound Connection
 
2.50.50.132:443 1.200.200.13:48035 2 114100 0 0 TWAIT
No Bound Connection
 
ssl-proxy# show ssl-proxy conn 4tuple remote ip 1.200.200.14
Connections for TCP module 1
Local Address Remote Address VLAN Conid Send-Q Recv-Q State
--------------------- --------------------- ---- ------ ------ ------ ------
2.50.50.131:443 1.200.200.14:38814 2 58796 0 0 TWAIT
No Bound Connection
 
2.50.50.131:443 1.200.200.14:38815 2 58800 0 0 TWAIT
No Bound Connection
 
2.50.50.131:443 1.200.200.14:38817 2 58802 0 0 TWAIT
No Bound Connection
 
2.50.50.131:443 1.200.200.14:38818 2 58806 0 0 TWAIT
No Bound Connection
 
2.50.50.131:443 1.200.200.14:38819 2 58810 0 0 TWAIT
No Bound Connection
 
2.50.50.131:443 1.200.200.14:38820 2 58814 0 0 TWAIT
No Bound Connection
 
2.50.50.131:443 1.200.200.14:38821 2 58818 0 0 TWAIT
No Bound Connection
 
ssl-proxy# show ssl-proxy conn service iis1
Connections for TCP module 1
Local Address Remote Address VLAN Conid Send-Q Recv-Q State
--------------------- --------------------- ---- ------ ------ ------ ------
2.50.50.131:443 1.200.200.14:41217 2 121718 0 0 TWAIT
No Bound Connection
 
2.50.50.131:443 1.200.200.14:41218 2 121722 0 0 TWAIT
No Bound Connection
 
2.50.50.131:443 1.200.200.14:41219 2 121726 0 0 TWAIT
No Bound Connection
 
2.50.50.131:443 1.200.200.14:41220 2 121794 0 0 TWAIT
No Bound Connection
 
2.50.50.131:443 1.200.200.14:41221 2 121808 0 0 TWAIT
No Bound Connection
 
2.50.50.131:443 1.200.200.14:41222 2 121940 0 0 TWAIT
No Bound Connection
 
2.50.50.131:443 1.200.200.14:41223 2 122048 0 0 TWAIT
No Bound Connection

show ssl-proxy crash-info

show ssl-proxy crash-info コマンドを使用すると、SSLサービス モジュールのソフトウェア強制リセット情報を収集できます。

show ssl-proxy crash-info [ brief | details ]

 
構文の説明

brief

(任意)プロセッサ登録に制限されたソフトウェア強制リセット情報のサブセットを収集します。

details

(任意)例外および割り込みスタック ダンプを含む、ソフトウェア強制リセット情報のフル セットを収集します(出力が完了するまで最長で10分かかることがあります)。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

次に、ソフトウェア強制リセット情報を収集する例を示します。

ssl-proxy# show ssl-proxy crash-info
 
===== SSL SERVICE MODULE - START OF CRASHINFO COLLECTION =====
 
 
------------- COMPLEX 0 [FDU_IOS] ----------------------
 
NVRAM CHKSUM:0xEB28
NVRAM MAGIC:0xC8A514F0
NVRAM VERSION:1
 
++++++++++ CORE 0 (FDU) ++++++++++++++++++++++
 
CID:0
APPLICATION VERSION:2003.04.15 14:50:20 built for cantuc
APPROXIMATE TIME WHEN CRASH HAPPENED:14:06:04 UTC Apr 16 2003
THIS CORE DIDN'T CRASH
TRACEBACK:222D48 216894
CPU CONTEXT -----------------------------
 
$0 :00000000, AT :00240008, v0 :5A27E637, v1 :000F2BB1
a0 :00000001, a1 :0000003C, a2 :002331B0, a3 :00000000
t0 :00247834, t1 :02BFAAA0, t2 :02BF8BB0, t3 :02BF8BA0
t4 :02BF8BB0, t5 :00247834, t6 :00000000, t7 :00000001
s0 :00000000, s1 :0024783C, s2 :00000000, s3 :00000000
s4 :00000001, s5 :0000003C, s6 :00000019, s7 :0000000F
t8 :00000001, t9 :00000001, k0 :00400001, k1 :00000000
gp :0023AE80, sp :031FFF58, s8 :00000019, ra :00216894
LO :00000000, HI :0000000A, BADVADDR :828D641C
EPC :00222D48, ErrorEPC :BFC02308, SREG :34007E03
Cause 0000C000 (Code 0x0):Interrupt exception
 
CACHE ERROR registers -------------------
 
CacheErrI:00000000, CacheErrD:00000000
ErrCtl:00000000, CacheErrDPA:0000000000000000
 
PROCESS STACK -----------------------------
stack top:0x3200000
 
Process stack in use:
 
sp is close to stack top;
 
printing 1024 bytes from stack top:
 
031FFC00:06405DE0 002706E0 0000002D 00000001 .@]`.'.`...-....
031FFC10:06405DE0 002706E0 00000001 0020B800 .@]`.'.`..... 8.
031FFC20:031FFC30 8FBF005C 14620010 24020004 ..|0.?.\.b..$...
...........
...........
...........
FFFFFFD0:00000000 00000000 00000000 00000000 ................
FFFFFFE0:00627E34 00000000 00000000 00000000 .b~4............
FFFFFFF0:00000000 00000000 00000000 00000006 ................
 
 
===== SSL SERVICE MODULE - END OF CRASHINFO COLLECTION =======
 

次に、ソフトウェア強制リセット情報を収集する例を示します。

ssl-proxy# show ssl-proxy crash-info brief
 
 
===== SSL SERVICE MODULE - START OF CRASHINFO COLLECTION =====
 
 
------------- COMPLEX 0 [FDU_IOS] ----------------------
 
SKE CRASH INFO Error: wrong MAGIC # 0
 
CLI detected an error in FDU_IOS crash-info; wrong magic.
 
------------- COMPLEX 1 [TCP_SSL] ----------------------
 
 
Crashinfo fragment #0 from core 2 at offset 0 error:
Remote system reports wrong crashinfo magic.
Bad fragment received. Reception abort.
 
CLI detected an error in TCP_SSL crash-info;
 
 
===== SSL SERVICE MODULE - END OF CRASHINFO COLLECTION =======

show ssl-proxy mac address

show ssl-proxy mac address コマンドを使用すると、現在のMACアドレスが表示されます。

show ssl-proxy mac address

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

次に、SSLサービス モジュールで使用される現在のMACアドレスを表示する例を示します。

ssl-proxy# show ssl-proxy mac address
STE MAC address: 00e0.b0ff.f232
ssl-proxy#
 

show ssl-proxy natpool

show ssl-proxy natpool コマンドを使用すると、Network Address Translation(NAT;ネットワーク アドレス変換)プール情報が表示されます。

show ssl-proxy natpool [ name ]

 
構文の説明

name

(任意)NATプール名

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

次に、SSLサービス モジュールに設定された特定のNATアドレス プールに関する情報を表示する例を示します。

ssl-proxy# show ssl-proxy natpool NP1
Start ip: 207.57.110.1
End ip: 207.57.110.8
netmask: 255.0.0.0
vlan associated with natpool: 2
SSL proxy services using this natpool:
S2
S3
S1
S6
Num of proxies using this natpool: 4
ssl-proxy#

 
関連コマンド

ssl-proxy natpool

 

show ssl-proxy policy

show ssl-proxy policy コマンドを使用すると、設定されているSSLポリシーまたはTCPポリシーが表示されます。

show ssl-proxy policy { ssl | tcp } [ name ]

 
構文の説明

ssl

設定されているSSLポリシーを表示します。

tcp

設定されているTCPポリシーを表示します。

name

(任意)ポリシー名

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

次に、SSLサービス モジュールに設定された特定のSSLポリシーに関するポリシー情報を表示する例を示します。

ssl-proxy# show ssl-proxy policy ssl ssl-policy1
Cipher suites: (None configured, default ciphers included)
rsa-with-rc4-128-md5
rsa-with-rc4-128-sha
rsa-with-des-cbc-sha
rsa-with-3des-ede-cbc-sha
SSL Versions enabled:SSL3.0, TLS1.0
strict close protocol:disabled
Session Cache:enabled
Handshake timeout not configured (never times out)
Num of proxies using this poilicy:0
 

次に、SSLサービス モジュールに設定された特定のTCPポリシーに関するポリシー情報を表示する例を示します。

ssl-proxy# show ssl-proxy policy tcp tcp-policy1
MSS 1250
SYN timeout 75
Idle timeout 600
FIN wait timeout 75
Rx Buffer Share 32768
Tx Buffer Share 32768
 
Usage count of this policy:0
ssl-proxy#

show ssl-proxy service

show ssl-proxy service コマンドを使用すると、設定されているSSL仮想サーバに関する情報が表示されます。

show ssl-proxy service [ name ]

 
構文の説明

name

(任意) サービス名

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

次に、SSLサービス モジュールに設定されたすべてのSSL仮想サービスを表示する例を示します。

ssl-proxy# show ssl-proxy service
 
Proxy Service Name Admin Operation Events
status status
S2 up up
S3 up up
S1 up up
S6 down down
ssl-proxy#
 

次に、SSLサービス モジュールに設定された特定のSSL仮想サービスを表示する例を示します。

ssl-proxy# show ssl-proxy service S6
Service id: 0, bound_service_id: 256
Virtual IP: 10.10.1.104, port: 443
Server IP: 10.10.1.100, port: 80
Virtual SSL Policy: SSL1_PLC
rsa-general-purpose certificate trustpoint: tptest
Certificate chain for new connections:
Server Certificate:
Key Label: tptest
Serial Number: 01
Root CA Certificate:
Serial Number: 00
Certificate chain complete
Admin Status: up
Operation Status: down
Proxy status: No Client VLAN, No Server VLAN
ssl-proxy#
 

show ssl-proxy stats

show ssl-proxy stats コマンドを使用すると、統計カウンタ情報が表示されます。

show ssl-proxy stats [ type ]

 
構文の説明

type

(任意)情報タイプです。有効な値は crypto ipc pki service ssl 、および tcp です。詳細については、「使用上の注意事項」を参照してください。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

SSLサービス モジュールRelease 1.2(1)

show ssl-proxy stats コマンドの出力は、セッション割り当て障害およびセッション制限超過のテーブル情報を含むように変更されました。

 
使用上の注意事項

type には、次の値を入力します。

crypto ― 暗号統計情報を表示します。

ipc ― IPC統計情報を表示します。

pki ― PKI統計情報を表示します。

service ― プロキシ サービス統計情報を表示します。

ssl ― SSL詳細統計情報を表示します。

tcp ― TCP詳細統計情報を表示します。

次に、SSLサービス モジュールで収集されたすべての統計カウンタを表示する例を示します。

ssl-proxy# show ssl-proxy stats
TCP Statistics:
Conns initiated : 20636 Conns accepted : 20636
Conns established : 28744 Conns dropped : 28744
Conns closed : 41272 SYN timeouts : 0
Idle timeouts : 0 Total pkts sent : 57488
Data packets sent : 0 Data bytes sent : 0
Total Pkts rcvd : 70016 Pkts rcvd in seq : 0
Bytes rcvd in seq : 0
 
SSL Statistics:
conns attempted : 20636 conns completed : 20636
full handshakes : 0 resumed handshakes : 0
active conns : 0 active sessions : 0
renegs attempted : 0 conns in reneg : 0
handshake failures : 20636 data failures : 0
fatal alerts rcvd : 0 fatal alerts sent : 0
no-cipher alerts : 0 ver mismatch alerts : 0
no-compress alerts : 0 bad macs received : 0
pad errors : 0 session fails : 0
 
FDU Statistics:
IP Frag Drops : 0 Serv_Id Drops : 9
Conn Id Drops : 0 Bound Conn Drops : 0
Vlan Id Drops : 0 Checksum Drops : 0
IOS Congest Drops : 0 IP Version Drops : 0
Hash Full Drops : 0 Hash Alloc Fails : 0
Flow Creates : 41272 Flow Deletes : 41272
conn_id allocs : 41272 conn_id deallocs : 41272
Tagged Drops : 0 Non-Tagged Drops : 0
Add ipcs : 3 Delete ipcs : 0
Disable ipcs : 3 Enable ipcs : 0
Unsolicited ipcs : 0 Duplicate ADD ipcs : 0
IOS broadcast pkts : 29433 IOS unicast pkts : 5
IOS total pkts : 29438
ssl-proxy#
 

次に、 PKI統計情報 を表示する例を示します。

ssl-proxy# show ssl-proxy stats pki
PKI Memory Usage Counters:
Malloc count: 0
Setstring count: 0
Free count: 0
Malloc failed: 0
Ipc alloc count: 0
Ipc free count: 0
Ipc alloc failed: 0
PKI IPC Counters:
Request buffer sent: 0
Request buffer received: 0
Request duplicated: 0
Response buffer sent: 0
Response buffer received: 0
Response timeout: 0
Response with error status: 0
Response with no request: 0
Response duplicated: 0
Message type error: 0
PKI Accumulative Certificate Counters:
Proxy service trustpoint added: 0
Proxy service trustpoint deleted: 0
Proxy service trustpoint modified: 0
Keypair added: 0
Keypair deleted: 0
Wrong key type: 0
Server certificate added: 0
Server certificate deleted: 0
Server certificate rolled over: 0
Server certificate completed: 0
Intermediate CA certificate added: 0
Intermediate CA certificate deleted: 0
Root CA certificate added: 0
Root CA certificate deleted: 0
Certificate overwritten: 0
History records written: 0
History records read from NVRAM: 0
Key cert table entries in use: 0
ssl-proxy#

show ssl-proxy status

show ssl-proxy status コマンドを使用すると、ステータス情報が表示されます。

show ssl-proxy status

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

SSLサービス モジュールRelease 1.2(1)

show ssl-proxy status コマンドの出力は、1秒、1分、および5分あたりのCPU使用率に関するトラフィック レートで表示される統計情報を含むように変更されました。

次に、SSLサービス モジュールのステータスを表示する例を示します。

ssl-proxy# show ssl-proxy status
FDU cpu is alive!
FDU cpu utilization:
% process util : 0 % interrupt util : 0
 
proc cycles : 0x4D52D1B7 int cycles : 0x6B6C9937
total cycles: 0xB954D5BEB6FA
% process util (5 sec) : 0 % interrupt util (5 sec) : 0
 
% process util (1 min) : 0 % interrupt util (1 min): 0
% process util (5 min) : 0 % interrupt util (5 min) : 0
 
 
TCP cpu is alive!
TCP cpu utilization:
% process util : 0 % interrupt util : 0
 
proc cycles : 0xA973D74D int cycles : 0xAA03E1D89A
total cycles: 0xB958C8FF0E73
% process util (5 sec) : 0 % interrupt util (5 sec) : 0
 
% process util (1 min) : 0 % interrupt util (1 min): 0
% process util (5 min) : 0 % interrupt util (5 min) : 0
 
 
SSL cpu is alive!
SSL cpu utilization:
% process util : 0 % interrupt util : 0
 
proc cycles : 0xD475444 int cycles : 0x21865088E
total cycles: 0xB958CCEB8059
% process util (5 sec) : 0 % interrupt util (5 sec) : 0
 
% process util (1 min) : 0 % interrupt util (1 min): 0
% process util (5 min) : 0 % interrupt util (5 min) : 0
 

show ssl-proxy version

show ssl-proxy version コマンドを使用すると、現在のイメージ バージョンが表示されます。

show ssl-proxy version

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

次に、SSLサービス モジュールで現在稼働しているイメージのバージョンを表示する例を示します。

ssl-proxy# show ssl-proxy version
Cisco Internetwork Operating System Software
IOS (tm) SVCSSL Software (SVCSSL-K9Y9-M), Version 12.2(14.6)SSL(0.19) INTERIM TEST SOFTWARE
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Thu 10-Apr-03 03:03 by integ
Image text-base: 0x00400078, data-base: 0x00ABE000
 
ROM: System Bootstrap, Version 12.2(11)YS1 RELEASE SOFTWARE
 
ssl-proxy uptime is 3 days, 22 hours, 22 minutes
System returned to ROM by power-on
System image file is "tftp://10.1.1.1/unknown"
AP Version 1.2(1)
 
ssl-proxy#
 

show ssl-proxy vlan

show ssl-proxy vlan コマンドを使用すると、VLAN情報が表示されます。

show ssl-proxy vlan [ vlan-id | debug ]

 
構文の説明

vlan-id

(任意)VLAN IDです。 特定のVLANに関する情報を表示します。有効な値は1~1005です。

debug

(任意) デバッグ情報を表示します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

EXECモード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

次に、SSLサービス モジュールに設定されたすべてのVLANを表示する例を示します。

ssl-proxy# show ssl-proxy vlan
VLAN index 2 (admin VLAN)
IP addr 10.1.1.1 NetMask 255.0.0.0 Gateway 10.1.1.5
Network 10.1.1.2 Mask 255.0.0.0 Gateway 10.1.1.6
VLAN index 3
IP addr 10.1.1.3 NetMask 255.0.0.0 Gateway 10.1.1.6
VLAN index 6
IP addr 10.1.1.4 NetMask 255.0.0.0
 
ssl-proxy#

 
関連コマンド

ssl-proxy vlan

ssl-proxy crypto selftest

ssl-proxy crypto selftest コマンドを使用すると、暗号セルフテストを開始できます。暗号セルフテストをディセーブルにするには、このコマンドの no 形式を使用します。

ssl-proxy crypto selftest [ time-interval seconds ]

no ssl-proxy crypto selftest

 
構文の説明

time-interval seconds

(任意)テスト ケース間のタイム インターバルを設定します。有効な値は1~8秒です。

 
デフォルト

3秒

 
コマンド モード

グローバル コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

ssl-proxy crypto selftest コマンドを使用すると、一連の暗号化アルゴリズム テストをSSLプロセッサ上でバックグラウンド実行することができます。乱数生成、ハッシュ、暗号化と復号化、およびMAC生成が、特定のタイム インターバルでテストされます。

このテストは、トラブルシューティング専用です。このテストを実行すると、実行時のパフォーマンスに影響が出ます。

セルフテストの結果を表示するには、 show ssl-proxy stats crypto コマンドを入力します。

次に、暗号セルフテストを開始する例を示します。

ssl-proxy (config)# ssl-proxy crypto selftest
ssl-proxy (config)#
 

ssl-proxy mac address

ssl-proxy mac address コマンドを使用すると、MACアドレスを設定できます。

ssl-proxy mac address mac-addr

 
構文の説明

mac-addr

MACアドレス。詳細については、「使用上の注意事項」を参照してください。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

16進形式H.H.HでMACアドレスを入力します。

次に、MACアドレスを設定する例を示します。

ssl-proxy (config)# ssl-proxy mac address 00e0.b0ff.f232
ssl-proxy (config)#

 
関連コマンド

show ssl-proxy mac address

 

ssl-proxy natpool

ssl-proxy natpool コマンドを使用すると、SSLサービス モジュールがクライアントNATを実装するために使用するIPアドレスのプールを定義できます。

ssl-proxy natpool nat-pool-name start-ip-addr { netmask netmask }

 
構文の説明

nat-pool-name

NATプール名

start-ip-addr

先頭のIPアドレス

netmask netmask

ネットマスク。詳細については、「使用上の注意事項」を参照してください。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

次に、IPアドレスのプールを定義する例を示します。

ssl-proxy (config)# ssl-proxy natpool NP2 207.59.10.01 207.59.10.08 netmask 255.0.0.0
ssl-proxy (config)#

 
関連コマンド

show ssl-proxy natpool

ssl-proxy pki history

ssl-proxy pki history コマンドを使用すると、PKIイベント履歴オプションをイネーブルにすることができます。ロギングをディセーブルにして、メモリを消去するには、このコマンドの no 形式を使用します。

ssl-proxy pki history

no ssl-proxy pki history

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ディセーブル

 
コマンド モード

グローバル コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

ssl-proxy pki history コマンドを使用すると、プロキシ サービスごとに証明書履歴レコードを記録してメモリに格納し、レコードごとにSyslogメッセージを生成することができます。各レコードは、鍵ペアや証明書のプロキシ サービスの鍵テーブルおよび証明書テーブルへの追加または削除を記録します。

テーブルのインデックスが変更された場合、このコマンドは次の情報を記録します。

鍵ペアの名前

信頼点のラベル

サービスの名前

件名

証明書のシリアル番号

メモリに一度に格納できるレコード数は、最大で512です。

次に、PKIイベント履歴のオプションをイネーブルにする例を示します。

ssl-proxy (config)# ssl-proxy pki history
ssl-proxy (config)#

 
関連コマンド

show ssl-proxy stats

ssl-proxy policy ssl

ssl-proxy policy ssl コマンドを使用すると、SSLポリシー コンフィギュレーション サブモードを開始できます。

ssl-proxy policy ssl ssl-policy-name

 
構文の説明

ssl-policy-name

SSLポリシー名

 
デフォルト

デフォルト設定は次のとおりです。

cipher ― all

close-protocol ― イネーブル

session-caching ― イネーブル

version all

session-cache size size 262143エントリ

timeout session timeout 0秒

timeout handshake timeout 0秒

 
コマンド モード

グローバル コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

SSLサービス モジュールRelease 1.2(1)

このコマンドには、次のサブコマンドが追加されるように変更されました。

session-cache size size

timeout session timeout [ absolute ]

 
使用上の注意事項

SSLポリシー コンフィギュレーション サブモードでは、1つまたは複数のSSLプロキシ サービス用のSSLポリシーを定義することができます。

各SSLポリシー コンフィギュレーション サブモード コマンドは、それぞれ別の行に入力します。

表B-3 に、SSLポリシー コンフィギュレーション サブモードで使用可能なコマンドを示します。

 

表B-3 SSLポリシー コンフィギュレーション サブモード コマンドの説明

cipher-suite {RSA_WITH_3DES_EDE_CBC_SHA | RSA_WITH_DES_CBC_SHA | RSA_WITH_RC4_128_MD5 | RSA_WITH_RC4_128_SHA | all }

プロキシサーバが受け入れ可能な暗号スイートの一覧を設定できます。暗号スイートの詳細については、「使用上の注意事項」を参照してください。

[ no ] close-protocol enable

SSL終了プロトコルの動作を設定できます。終了プロトコルをディセーブルにするには、このコマンドの no 形式を使用します。

default { cipher | close-protocol | session-cache | version }

コマンドをデフォルト設定にします。

exit

SSLポリシー コンフィギュレーション サブモードを終了します。

help

対話型ヘルプ システムの説明を表示します。

[ no ] session-cache enable

セッションキャッシュ機能をイネーブルにできます。セッションのキャッシュをディセーブルにするには、このコマンドの no 形式を使用します。

session-cache size size

所定のサービスに割り当てられるセッション エントリの最大数を指定します。有効な値は、1~262143エントリです。

timeout handshake timeout

モジュールがハンドシェイク フェーズで接続を維持できる時間を設定できます。有効な値は0~65535秒です。

timeout session timeout [ absolute ]

セッション タイムアウトを設定できます。構文の説明は次のとおりです。

timeout ― セッション タイムアウト。有効な値は、0~72000秒です。

absolute ― (任意)セッション エントリは、設定タイムアウトが完了してから削除されます。

version { all | ssl3 | tls1 }

使用するSSLバージョンを次のいずれかに設定できます。

all ― SSL3とTLS1の両方のバージョンを使用します。

ssl3 ― SSLバージョン3を使用します。

tls1 ― TLSバージョン1を使用します。

SSLポリシー テンプレートを定義するには、 ssl-proxy policy ssl ssl-policy-name コマンドを使用します。 特定のプロキシ サーバにSSLポリシーを関連づけるには、プロキシ サーバ コンフィギュレーションCLIを使用します。SSLポリシー テンプレートを使用すると、SSLハンドシェイク スタックに関連する各種パラメータを定義することができます。

終了プロトコルがイネーブルの場合、サーバは終了通知アラート メッセージをクライアントに送信して、クライアントからの終了通知アラート メッセージを待機します。ディセーブルの場合、サーバは終了通知アラート メッセージをクライアントに送信しますが、クライアントからの終了通知アラート メッセージを待機せずに、セッションを終了します。

暗号スイート名の表記法は、既存のSSLスタックの表記法と同じです。

プロキシ サーバで使用可能な暗号スイートは、次のとおりです。

RSA_WITH_3DES_EDE_CBC_SHA--3des-shaと組み合わせた RSA

RSA_WITH_DES_CBC_SHA--des-shaと組み合わせた RSA

RSA_WITH_RC4_128_MD5--rc4-md5と組み合わせた RSA

RSA_WITH_RC4_128_SHA--rc4-shaと組み合わせた RSA

all ― すべてのサポート対象暗号

timeout session timeout absolute コマンドを入力すると、セッション エントリは設定タイムアウトまでセッション キャッシュに維持され、そのあとで削除されます。セッション キャッシュがいっぱいで、すべてのエントリに対するタイマーがアクティブであり、 absolute オプションが設定されている場合は、新たなセッションはすべて拒否されます。

timeout session timeout コマンドを absolute オプションなしで入力すると、指定されたタイムアウトは最長タイムアウトとして処理され、セッション エントリをセッション キャッシュ内に維持するようベストエフォート式が確立されます。セッション キャッシュでセッション エントリが不足した場合、現在使用されているセッション エントリは新しい着信接続に備えて削除されます。

次に、SSLポリシー コンフィギュレーション サブモードを開始する例を示します。

ssl-proxy (config)# ssl-proxy policy ssl sslpl1
ssl-proxy (config-ssl-policy)#
 

次に、SSLポリシーでサポートされる暗号スイートを定義する例を示します。

ssl-proxy (config-ssl-policy)# cipher RSA_WITH_3DES_EDE_CBC_SHA
ssl-proxy (config-ssl-policy)#
 

次に、SSLセッション終了プロトコルをイネーブルにする例を示します。

ssl-proxy (config-ssl-policy)# close-protocol enable
ssl-proxy (config-ssl-policy)#
 

次に、SSLセッション終了プロトコルをディセーブルにする例を示します。

ssl-proxy (config-ssl-policy)# no close-protocol enable
ssl-proxy (config-ssl-policy)#
 

次に、所定のコマンドをデフォルト設定にする例を示します。

ssl-proxy (config-ssl-policy)# default cipher
ssl-proxy (config-ssl-policy)# default close-protocol
ssl-proxy (config-ssl-policy)# default session-cache
ssl-proxy (config-ssl-policy)# default version
ssl-proxy (config-ssl-policy)#
 

次に、セッションキャッシュ オプションをイネーブルにする例を示します。

ssl-proxy (config-ssl-policy)# session-cache enable
ssl-proxy (config-ssl-policy)#
 

次に、セッションキャッシュ オプションをディセーブルにする例を示します。

ssl-proxy (config-ssl-policy)# no session-cache enable
ssl-proxy (config-ssl-policy)#
 

次に、所定のサービスに割り当てられるセッション エントリの最大数を設定する例を示します。

ssl-proxy (config-ssl-policy)# session-cache size 22000
ssl-proxy (config-ssl-policy)#
 
次に、セッション タイムアウトをabsolute(絶対値)に設定する例を示します。
ssl-proxy (config-ssl-policy)# timeout session 30000 absolute
ssl-proxy (config-ssl-policy)#
 

次に、複数のSSLバージョンをサポートできるようにする方法を示します。

ssl-proxy (config-ssl-policy)# version all
ssl-proxy (config-ssl-policy)# version ssl3
ssl-proxy (config-ssl-policy)# version tls1
ssl-proxy (config-ssl-policy)#
 

次に、一般的なヘルプ ページを出力する例を示します。

ssl-proxy (config-ssl-policy)# help
ssl-proxy (config-ssl-policy)#
 

 
関連コマンド

show ssl-proxy stats
show ssl-proxy stats ssl

ssl-proxy policy tcp

ssl-proxy policy tcp コマンドを使用すると、プロキシ ポリシーTCPコンフィギュレーション サブモードを開始できます。 プロキシ ポリシーTCPコンフィギュレーション サブモードでは、TCPポリシー テンプレートを定義できます。

ssl-proxy policy tcp tcp-policy-name

 
構文の説明

tcp-policy-name

TCPポリシー名

 
デフォルト

デフォルト設定は次のとおりです。

timeout inactivity ― 240秒

timeout fin-wait ― 600秒

buffer-share rx ― 32768バイト

buffer-share tx ― 32768バイト

mss ― 1500バイト

timeout syn ― 75秒

timeout reassembly ― 60秒

 
コマンド モード

グローバル コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

SSLサービス モジュールRelease 1.2(1)

このコマンドは、 timeout reassembly time サブコマンドを追加するよう変更されました。

 
使用上の注意事項

TCPポリシーを定義すると、プロキシ ポリシーTCPコンフィギュレーション サブモード コマンドを使用して、プロキシ サーバにTCPポリシーを関連づけることができます。

各プロキシ ポリシーTCPコンフィギュレーション サブモード コマンドは、それぞれ別の行に入力します。

表B-4 に、プロキシ ポリシーTCPコンフィギュレーション サブモードで使用可能なコマンドを示します。

 

表B-4 プロキシ ポリシーTCPコンフィギュレーション サブモード コマンドの説明

default

コマンドをデフォルト設定にします。

exit

プロキシ サービス コンフィギュレーション サブモードを終了します。

[ no ] timeout fin-wait timeout-in-seconds

FIN待機タイムアウトを設定できます。有効な値は75~600秒です。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

help

対話型ヘルプ システムの説明を表示します。

[ no ] timeout inactivity timeout-in-seconds

非アクティブ タイムアウトを設定できます。有効な値は0~960秒です。この値を設定すると、アイドル接続にエージング タイムアウトを設定して、接続リソースを保護することができます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

[ no ] buffer-share rx buffer-limit-in-bytes

共有受信バッファの最大サイズを接続ごとに設定できます。有効な値は8192~262144です。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

[ no ] buffer-share tx buffer-limit-in-bytes

共有送信バッファの最大サイズを接続ごとに設定できます。有効な値は8192~262144です。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

[ no ] mss max-segment-size-in-bytes

生成されたSYNパケット内で接続が識別する、最大セグメント サイズを設定します。有効な値は64~1460です。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

[ no ] timeout syn ti meout-in-seconds

接続確立のタイムアウトを設定できます。有効な値は5~75秒です。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

[ no ] timeout reassembly time

リアセンブリ キューが削除されるまでの時間を秒単位で設定できます。有効な値は、0~960秒です(0 = ディセーブル)。トランザクションが指定時間内で完了されない場合は、リアセンブリ キューが削除され、接続が中断されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

 
使用上の注意事項

SSLサービス モジュールに入力されたTCPコマンドは、グローバルにも、また特定のプロキシ サーバにも適用されます。

プロキシ サーバのクライアント側とサーバ側に、異なる最大セグメント サイズを設定できます。

TCPポリシー テンプレートを使用すると、TCPスタックに関連づけられたパラメータを定義することができます。

このコマンドの no 形式を使用してデフォルト設定に戻すか、または default オプションを使用することができます。

次に、プロキシ ポリシーTCPコンフィギュレーション サブモードを開始する例を示します。

ssl-proxy (config)# ssl-proxy policy tcp tcppl1
ssl-proxy (config-tcp-policy)#
 

次に、特定のコマンドをデフォルト値に設定する例を示します。

ssl-proxy (config-tcp-policy)# default timeout fin-wait
ssl-proxy (config-tcp-policy)# default inactivity-timeout
ssl-proxy (config-tcp-policy)# default buffer-share rx
ssl-proxy (config-tcp-policy)# default buffer-share tx
ssl-proxy (config-tcp-policy)# default mss
ssl-proxy (config-tcp-policy)# default timeout syn
ssl-proxy (config-tcp-policy)#
 

次に、FIN待機タイムアウトを秒単位で定義する例を示します。

ssl-proxy (config-tcp-policy)# timeout fin-wait 200
ssl-proxy (config-tcp-policy)#
 

次に、非アクティブ タイムアウトを秒単位で定義する例を示します。

ssl-proxy (config-tcp-policy)# timeout inactivity 300
ssl-proxy (config-tcp-policy)#
 

次に、最大受信バッファ サイズ設定を定義する例を示します。

ssl-proxy (config-tcp-policy)# buffer-share rx 16384
ssl-proxy (config-tcp-policy)#
 

次に、最大送信バッファ サイズ設定を定義する例を示します。

ssl-proxy (config-tcp-policy)# buffer-share tx 13444
ssl-proxy (config-tcp-policy)#
 

次に、TCPの最大セグメント サイズを定義する例を示します。

ssl-proxy (config-tcp-policy)# mss 1460
ssl-proxy (config-tcp-policy)#
 

次に、初期接続(SYN)のタイムアウト値を定義する例を示します。

ssl-proxy (config-tcp-policy)# timeout syn 5
ssl-proxy (config-tcp-policy)#
 

次に、リアセンブリ タイムアウト値を定義する例を示します。

ssl-proxy (config-tcp-policy)# timeout reassembly 120
ssl-proxy (config-tcp-policy)#

 
関連コマンド

show ssl-proxy policy

ssl-proxy service

ssl-proxy-service コマンドを使用すると、プロキシ サービス コンフィギュレーション サブモードを開始できます。プロキシ サービス コンフィギュレーション サブモードでは、プロキシ サービスに関連づけられた仮想IPアドレスとポート、および対応するターゲットIPアドレスとポートを設定することができます。プロキシのクライアント側(virtualキーワードを最初に入力)およびサーバ側( server キーワードを最初に入力)の両方にTCPポリシーおよびSSLポリシーを定義することもできます。

ssl-proxy service ssl-proxy-name

 
構文の説明

ssl-proxy-name

SSLプロキシ名

 
デフォルト

サーバNATはイネーブル、クライアントNATはディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

プロキシ サービス コンフィギュレーション サブモード コマンドは、それぞれ別の行に入力します。

表B-5 に、 プロキシ サービス コンフィギュレーション サブモードで使用可能なコマンドを示します。

 

表B-5 プロキシ サービス コンフィギュレーション サブモード コマンドの説明

構文
説明

certificate rsa general-purpose trustpoint trustpoint-name

証明書にRSA汎用鍵を設定して、この証明書に信頼点を関連づけます。

default { certificate | inservice | nat | server | virtual }

コマンドをデフォルト設定にします。

exit

SSL プロキシ サービス コンフィギュレーション サブモードを終了します。

help

対話型ヘルプ システムの説明を表示します。

inservice

プロキシ サーバを管理上のアップ ステータスとして宣言します。

nat { server | client natpool-name }

SSLサービス モジュールによって開かれたサーバ側の接続に、サーバNATまたはクライアントNATを使用するように指定します。

server ipaddr ip-addr protocol protocol port portno

プロキシ サーバのターゲット サーバのIPアドレスを定義します。ポート番号およびトランスポート プロトコルを指定することもできます。ターゲット サーバのIPアドレスには、SLBデバイスの仮想IPアドレス、またはWebサーバの実IPアドレスを指定できます。

server policy tcp server-side-tcp-policy-name

プロキシ サーバのサーバ側にTCPポリシーを適用します。ポート番号およびトランスポート プロトコルを指定することもできます。

virtual { ipaddr ip-addr } { protocol protocol } { port portno } [ secondary ]

STEがプロキシ処理を行う仮想サーバの仮想IPアドレスを定義します。ポート番号およびトランスポート プロトコルを指定することもできます。 protocol の有効値は、 tcp です。 portno の有効値は1~65535です。(任意) secondary オプションを指定すると、STEは仮想IPアドレスに着信するARP要求に応答しなくなります。

virtual { policy ssl ssl-policy-name }

プロキシ サーバのクライアント側にSSLポリシーを適用します。

virtual { policy tcp client-side-tcp-policy-name }

プロキシ サーバのクライアント側にTCPポリシーを適用します。

Content Switching Module(CSM)とSSLサービス モジュール間のセキュア モードおよびブリッジ モードの両方をサポートします。

(任意)ブリッジ モード トポロジーの場合は、 secondary オプションを使用します。

次に、プロキシ サービス コンフィギュレーション サブモードを開始する例を示します。

ssl-proxy (config)# ssl-proxy service S6
ssl-proxy (config-ssl-proxy)#
 

次に、指定されたSSLプロキシ サービスの証明書を設定する例を示します。

ssl-proxy (config-ssl-proxy)# certificate rsa general-purpose trustpoint tp1
ssl-proxy (config-ssl-proxy)#
 

次に、指定されたコマンドをデフォルト値に設定する例を示します。

ssl-proxy (config-ssl-proxy)# default certificate
ssl-proxy (config-ssl-proxy)# default inservice
ssl-proxy (config-ssl-proxy)# default nat
ssl-proxy (config-ssl-proxy)# default server
ssl-proxy (config-ssl-proxy)# default virtual
ssl-proxy (config-ssl-proxy)#
 

次に、指定された仮想サーバの仮想IPアドレスを設定する例を示します。

ssl-proxy (config-ssl-proxy)# virtual ipaddr 207.59.100.20 protocol tcp port 443
ssl-proxy (config-ssl-proxy)#
 

次に、指定された仮想サーバのSSLポリシーを設定する例を示します。

ssl-proxy (config-ssl-proxy)# virtual policy ssl sslpl1
ssl-proxy (config-ssl-proxy)#

次に、指定された仮想サーバのTCPポリシーを設定する例を示します。

ssl-proxy (config-ssl-proxy)# virtual policy tcp tcppl1
ssl-proxy (config-ssl-proxy)#
 

次に、SSLサービス モジュールによって復号化されたトラフィックの転送先となるクリア テキストWebサーバを設定する例を示します。

ssl-proxy (config-ssl-proxy)# server ipaddr 207.50.0.50 protocol tcp port 80
ssl-proxy (config-ssl-proxy)#
 

次に、指定されたクリア テキストWebサーバにTCPポリシーを設定する例を示します。

ssl-proxy (config-ssl-proxy)# server policy tcp tcppl1
ssl-proxy (config-ssl-proxy)#
 

次に、指定されたサービスのSSLオフロード サーバ接続に使用されるクライアント アドレス用のNATプールを設定する例を示します。

ssl-proxy (config-ssl-proxy)# nat client NP1
ssl-proxy (config-ssl-proxy)#
 

次に、指定されたサービスのSSLオフロード サーバ接続に対して、NATサーバ アドレスをイネーブルにする例を示します。

ssl-proxy (config-ssl-proxy)# nat server
ssl-proxy (config-ssl-proxy)#

 
関連コマンド

show ssl-proxy service

ssl-proxy ssl ratelimit

ssl-proxy ssl ratelimit コマンドを使用すると、過負荷状態のときに接続を新規に開くことができなくなります。メモリが使用可能な限り、新規接続を開くことができるようにするには、このコマンドの no 形式を使用します。

ssl-proxy ssl ratelimit

no ssl-proxy ssl ratelimit

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

次に、過負荷状態のときに新規接続を開くことができないようにする例を示します。

ssl-proxy (config)# ssl-proxy ssl ratelimit
ssl-proxy (config)#
 

次に、メモリが使用可能な限り、過負荷状態のときでも接続を新規に開くことができるようにする例を示します。

ssl-proxy (config)# no ssl-proxy ssl ratelimit
ssl-proxy (config)#

ssl-proxy vlan

ssl-proxy vlan コマンドを使用すると、プロキシVLANコンフィギュレーション サブモードを開始できます。プロキシVLANコンフィギュレーション サブモードでは、SSLサービス モジュールにVLANを設定することができます。

ssl-proxy vlan vlan

 
構文の説明

vlan

VLAN ID。有効値は1~1005です。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

Cisco IOS Release 12.1(13)Eおよび
SSLサービス モジュールRelease 1.1(1)

Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。

 
使用上の注意事項

CSMでは、VLAN 1はサポートされていません。

SSLサービス モジュールでは、拡張範囲VLANはサポートされていません。

プロキシVLAN コンフィギュレーション サブモード コマンドは、それぞれ別の行に入力します。

表B-6 に、 プロキシVLAN コンフィギュレーション サブモードで使用可能なコマンドを示します。

 

表B-6 プロキシVLANコンフィギュレーション サブモード コマンドの説明

構文
説明

admin

VLANを管理VLANとして設定します。

exit

プロキシVLAN コンフィギュレーション サブモードを終了します。

gateway prefix [ drop | forward ]

VLANにインターネットのゲートウェイを設定します。

help

対話型ヘルプ システムの説明を表示します。

ipaddr prefix mask

VLANにIPアドレスおよびサブネット マスクを設定します。

no

コマンドを否定するか、またはデフォルト設定に戻します。

route { prefix mask } { gateway prefix }

非直接接続のサブネットワークにSSLサービス モジュールが到達するように、ゲートウェイを設定します。

別の管理VLANを設定する場合は、事前に、現在の管理VLANの管理VLANステータスを削除する必要があります。

管理VLANは、証明書エージェント(PKI)および管理ステーション(SNMP)と通信するために使用されます。

ゲートウェイを設定するときに drop オプションを指定すると、パケットに関連する仮想サービスが見つからない場合に、SSLサービス モジュールはそのパケットを削除できます。

ゲートウェイを設定するときに forward オプションを指定すると、パケットに関連する仮想サービスが見つからない場合に、SSLサービス モジュールはそのパケットを指定されたVLANのゲートウェイに転送できます。

次に、プロキシVLANコンフィギュレーション サブモードを開始する例を示します。

ssl-proxy (config)# ssl-proxy vlan 6
ssl-proxy (config-vlan)#
 

次に、指定されたコマンドをデフォルト値に設定する例を示します。

ssl-proxy (config-vlan)# default admin
ssl-proxy (config-vlan)# default gateway
ssl-proxy (config-vlan)# default ipaddr
ssl-proxy (config-vlan)# default route
 

次に、指定されたVLANにゲートウェイを設定する例を示します。

ssl-proxy (config-vlan)# gateway 209.0.207.5
ssl-proxy (config-vlan)#
 

次に、指定されたVLANにIPアドレスおよびサブネット マスクを設定する例を示します。

ssl-proxy (config-vlan)# ipaddr 208.59.100.18 255.0.0.0
ssl-proxy (config-vlan)#
 

次に、非直接接続のサブネットワークにSSLサービス モジュールが到達するように、ゲートウェイを設定する例を示します。

ssl-proxy (config-vlan)# route 210.0.207.0 255.0.0.0 gateway 209.0.207.6
ssl-proxy (config-vlan)#

 
関連コマンド

show ssl-proxy vlan