ネットワーク管理 コンフィギュレーション ガイド Cisco IOS Release 15.1S
HTTPS:SSL 3.0 搭載 HTTP サーバおよび クライアント
HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアント
発行日;2012/02/02 | 英語版ドキュメント(2011/04/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアント

機能情報の入手

この章の構成

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアントの前提条件

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアントの制限事項

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアントについて

セキュア HTTP サーバおよびセキュア HTTP クライアント

認証局(CA)トラストポイント

CipherSuite

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアントの設定方法

認証局トラストポイントの宣言

SSL 3.0 搭載 HTTPS サーバの設定

前提条件

HTTPS サーバの設定の確認

セキュリティおよび効率の向上

SSL 3.0 搭載 HTTPS クライアントの設定

前提条件

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアント機能の設定例

その他の参考資料

関連資料

規格

関連 MIB

関連 RFC

シスコのテクニカル サポート

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアントの機能情報

用語集

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアント

HTTPS:Secure Socket Layer(SSL)3.0 搭載 HTTP サーバおよびクライアント機能は、Cisco IOS ソフトウェアにおける HTTP 1.1 サーバおよび HTTP 1.1 クライアントに対する SSL バージョン 3.0 のサポートを提供します。SSL は、サーバ認証、暗号化、メッセージ整合性を提供し、セキュリティ保護された HTTP 通信を実現します。SSL は、HTTP クライアント認証も実現します。HTTP over SSL は、HTTPS と短縮されます。

機能情報の入手

ご使用のソフトウェア リリースによっては、この章に記載されている機能の中に、一部サポートされていないものがあります。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアントの機能情報」を参照してください。

Cisco Feature Navigator を使用すると、プラットフォーム、Cisco IOS ソフトウェア イメージ、および Cisco Catalyst OS ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアントの前提条件

設定済みの Certificate Authority(CA; 認証局)トラストポイントを使用せずに、セキュリティ保護された HTTP 接続(暗号化)をイネーブルにするには、まず各デバイスが接続先のデバイスのキー(Rivest, Shamir, and Adleman(RSA)秘密キーまたは公開キーなど)を持っていることを確認する必要があります。通常、RSA キー ペアは自動的に生成されます。RSA キー ペアは自己署名証明書の作成に使用されます(自己署名証明書も自動的に生成されます)。

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアントの制限事項

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアント機能は、SSL をサポートする Cisco IOS ソフトウェア イメージ内でのみ使用できます。SSL は「IPSec 56」(イメージ名に「k8」を含む)および「IPSec 3DES」(イメージ名に「k9」を含む)イメージでサポートされます。「IPSec 56」イメージは最大 64 ビットまでの暗号化、「IPSec 3 DES」イメージは 64 ビット以上の暗号化をサポートします。次に、IPSec Data Encryption Standard(DES)イメージでサポートされる CipherSuite を示します。

SSL_RSA_WITH_RC4_128_MD5:RC4 128 ビット暗号化、およびメッセージ ダイジェストにメッセージ ダイジェスト アルゴリズム 5(MD5)を使用した RSA キー交換(RSA 公開キー暗号法)

SSL_RSA_WITH_RC4_128_SHA:RC4 128 ビット暗号化、およびメッセージダイジェストに Secure Hash Algorithm(SHA)を使用した RSA キー交換

SSL_RSA_WITH_3DES_EDE_CBC_SHA:メッセージの暗号化に 3DES と DES-EDE3-CBC、メッセージ ダイジェストに SHA を使用した RSA キー交換

SSL_RSA_WITH_DES_CBC_SHA:メッセージの暗号化に DES-CBC、メッセージ ダイジェストに SHA を使用した RSA キー交換

IPSec 56 イメージでは SSL_RSA_WITH_DES_CBC_SHA CipherSuite のみがサポートされます。CipherSuite の詳細については、インターネット ドラフト ドキュメント『 SSL Protocol Version 3.0 』(「その他の参考資料」を参照)を参照してください。

RSA(指定した暗号化とダイジェスト アルゴリズムの組み合わせと併用した場合)は、SSL 接続におけるキー生成と認証の両方に使用されます。この使用方法は、Certificate Authority(CA; 認証局)トラストポイントの設定場所との関連性はありません。

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアントについて

SSL 3.0 搭載の HTTP(HTTPS)を設定するには、次の概念を理解しておく必要があります。

「セキュア HTTP サーバおよびセキュア HTTP クライアント」

「認証局(CA)トラストポイント」

「CipherSuite」

セキュア HTTP サーバおよびセキュア HTTP クライアント

セキュリティ保護された HTTP 接続とは、HTTP サーバからのインターネット上にデータの送受信がインターネットに送信される前に、暗号化されることを意味します。SSL 暗号化を備えた HTTP は、ブラウザからルータを設定する機能などを実現できる安全な接続を提供します。シスコによるセキュア HTTP サーバおよびセキュア HTTP の実装には、SSL バージョン 3.0 の実装が使用されています。アプリケーション レイヤの暗号化は、リモート管理用に HTTP サーバに対するトンネルをセットアップしなければならないような古い方法に代わる方法を提供します。HTTP over SSL は、HTTPS と短縮され、セキュリティで保護された接続は http:// ではなく、https:// から始まります。

Cisco IOS HTTP セキュア サーバの主な役割は、指定ポート(デフォルトの HTTPS ポートは 443)で HTTPS の要求を待ち受け、その要求を HTTP 1.1 Web サーバに渡すことです。HTTP 1.1 サーバは要求を処理し、応答を(提供されたページ)を HTTP セキュア サーバに返します。そのセキュア HTTP サーバが代わりに元の要求に応答します。

Cisco IOS HTTP セキュア クライアントの主な役割は、Cisco IOS アプリケーションの HTTPS ユーザ エージェント サービスに応答し、そのアプリケーションが要求した HTTPS ユーザ エージェント サービスを実行してアプリケーションに応答を返すことです。

認証局(CA)トラストポイント

認証局(CA)は、証明書要求を管理し、関係する IP セキュリティ ネットワーク デバイスへの証明書の発行します。このようなサービスは、関連するデバイスに集中型のセキュリティ キーおよび証明書管理を提供します。特定の CA サーバは「トラストポイント」と呼ばれます。

接続が試行されると、HTTPS サーバは認証済みの X.509v3 証明書を提供して、クライアントにセキュリティ保護された接続を提供します。認証済みの X.509v3 証明書は、指定された CA トラストポイントから取得されます。また、クライアント(通常はブラウザ)は、証明書を認証する公開キーを保持しています。

セキュリティ保護された HTTP 接続には、CA トラストポイントを設定することを強く推奨します。ただし、HTTPS サーバを実行するルーティング デバイスに CA トラストポイントが設定されていない場合は、サーバがそれ自体を認証し、必要な RSA キー ペアを生成します。自己認証(自己署名)証明書は、十分なセキュリティを提供しないため、接続するクライアントは、証明書が自己認証型であることと、ユーザが接続を拒否する選択もできることを知らせる通知を生成します。このオプションは、内部ネットワーク トポロジ(テストなど)で使用できます。

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアント機能はオプションのコマンド( ip http secure-client-auth )も提供します。このコマンドがイネーブルの場合、HTTPS サーバはクライアントからの X.509v3 証明書を要求します。クライアントを認証することは、サーバ自体による認証よりもより強固なセキュリティが得られます。

認証局の詳細については、『 Cisco IOS Security Configuration Guide 』の「Configuring Certification Authority Interoperability」の章を参照してください。

CipherSuite

CipherSuite は、SSL で使用される暗号化アルゴリズムおよびダイジェスト アルゴリズムを指定します。HTTPS サーバに接続すると、ブラウザによりサポート対象の CipherSuite のリストが提供され、クライアントとサーバがそのリストから双方でサポートされている、最適な暗号化アルゴリズムの使用をネゴシエートします。たとえば、Netscape Communicator 4.76 は、RSA 公開キー暗号法、MD2、MD5、RC2-CBC、RC4、DES-CBC、および DES-EDE3-CBC を使用する米国のセキュリティをサポートします。

最適な暗号化を使用するには、128 ビット暗号化をサポートするブラウザを使用する必要があります(Microsoft Internet Explorer バージョン 5.5 以降、または Netscape Communicator バージョン 4.76 以降など)。SSL_RSA_WITH_DES_CBC_SHA CipherSuite は、128 ビット暗号化を提供しないため、他の CipherSuite よりもセキュリティが低くなります。

ルータの処理負荷(速度)に関しては、処理速度の速いものから順に並べたリストを示します(セキュリティが強固で複雑な CipherSuite になるほど、わずかながら処理時間が必要になります)。

1. SSL_RSA_WITH_DES_CBC_SHA

2. SSL_RSA_WITH_RC4_128_MD5

3. SSL_RSA_WITH_RC4_128_SHA

4. SSL_RSA_WITH_3DES_EDE_CBC_SHA

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアントの設定方法

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアント機能を設定するには、次に示す作業を実行します。

「認証局トラストポイントの宣言」

「SSL 3.0 搭載 HTTPS サーバの設定」

「セキュリティおよび効率の向上」

「SSL 3.0 搭載 HTTPS クライアントの設定」

認証局トラストポイントの宣言

セキュリティ保護された HTTP 接続には、CA トラストポイントを設定することを強く推奨します。セキュア HTTP サーバ(またはクライアント)向けの認証済み X.509v3 証明書は、指定された CA トラストポイントから取得されます。CA トラストポイントを宣言しないと、セキュアな HTTP 接続に自己署名証明書が使用されます。自己署名証明書は、自動的に生成されます。

手順の概要

1. enable

2. configure terminal

3. hostname name

4. ip domain-name name ip domain name

5. crypto key generate rsa usage-keys

6. crypto ca trustpoint name

7. enrollment url url

8. enrollment http-proxy host-name port-number

9. crl { query url | optional | best-effort }

10. primary

11. exit

12. crypto ca authenticate name

13. crypto ca enrollment name

14. copy running-config startup-config
または
copy system:running-config nvram:startup-config

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

hostname name

 

Router(config)# hostname Router

ルータのホスト名を指定します。

この手順は、ルータのホスト名が事前に設定されていない場合にのみ必要です。セキュリティ キーと証明書には完全修飾ドメイン名が必要であるため、ホスト名を指定する必要があります。

ステップ 4

ip domain-name name

 

Router(config)# ip domain-name example.com

ルータの IP ドメイン名を指定します。

この手順は、ルータの IP ドメイン名が事前に設定されていない場合にのみ必要です。セキュリティ キーと証明書には完全修飾ドメイン名が必要であるため、ドメイン名を指定する必要があります。

ステップ 5

crypto key generate rsa usage-keys

 

Router(config)# crypto key generate rsa usage-keys

(任意)RSA キー ペアを生成します。

usage-keys キーワードは 1 つの汎用目的キーの代わりに作成する必要がある 2 つの RSA 特殊用途キー ペア(暗号化ペア 1 つとシグニチャ ペア 1 つ)を指定します。

RSA キー ペアはインターネット キー エクスチェンジ(IKE)キー交換管理メッセージに使用されます。また、ルータの証明書を取得する際に必要です。

RSA キー ペアは自動的に生成されます。必要に応じて、このコマンドをキーの再生成に使用できます。

(注) このコマンドには、他にもキーワードや引数がありますが、この機能に関係するものではありません。

ステップ 6

crypto ca trustpoint name

 

Router(config)# crypto ca trustpoint TP1

CA トラストポイントのローカルの設定名を指定し、CA トラストポイント コンフィギュレーション モードを開始します。

コマンドに置き換えられました。

ステップ 7

enrollment url url

 

Router(ca-trustpoint)# enrollment url http://example.com

ルータが証明書要求を送信する CA の URL を指定します。

登録に Simple Certificate Enrollment Protocol(SCEP)を使用している場合 URL 引数は、 http:// CA-name CA-name は、CA トラストポイントのホスト Domain Name System(DNS; ドメイン ネーム システム)名、または IP アドレス)の形式で指定する必要があります。

ステップ 8

enrollment http-proxy host-name port-number

 

Router(ca-trustpoint)# enrollment http-proxy example.com 8080

(任意)HTTP プロキシ サーバ経由で CA から証明書を取得するように、ルータを設定します。

ステップ 9

crl { query url | optional | best-effort }

 

Router(ca-trustpoint)# crl query ldap://example.com

Certificate Revocation List(CRL; 証明書失効リスト)を要求し、CRL チェックをオプションにするか、CRL チェックを「ベストエフォート」ベースで実行するようにルータを設定します。

CRL により、ピアの証明書が失効していないことが確認されます。

crl optional コマンドは、適切な CRL をダウンロードできない場合でも証明書を受け入れるようにルータを設定します。

CA サーバの Lightweight Directory Access Protocol(LDAP)URL(例: ldap://another-server )を指定するには、 crl query url コマンドを使用します。

ステップ 10

primary

 

Router(ca-trustpoint)# primary

(任意)このトラストポイントが、CA の要求に対してプライマリ(デフォルト)トラストポイントとして使用されるように設定します。

このルータに複数の CA トラストポイントを設定する場合は、このコマンドを使用します。

ステップ 11

exit

 

Router(ca-trustpoint)# exit

CA トラストポイント コンフィギュレーションモードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 12

crypto ca authenticate name

 

Router(config)# crypto ca authenticate TP1

CA の公開キーを取得して CA を認証します。

crypto ca trustpoint コマンドで CA を宣言した際に使用した名前と同じ名前を使用します。

ステップ 13

crypto ca enrollment name

 

Router(config)# crypto ca enrollment TP1

指定した CA トラストポイントから証明書を取得します。

このコマンドは、各 RSA キー ペアに対して CA からの署名済み証明書を要求します。

ステップ 14

copy running-config startup-config

または

copy system:running-config nvram:startup-config

 

Router(config)# copy running-config startup-config

この設定を NVRAM に保存します。

このコマンドは証明書を NVRAM に保存する際に必要です。このコマンドを使用しないと、ルータをリロードした際に証明書が消去される可能性があります。

と入力します。

SSL 3.0 搭載 HTTPS サーバの設定

標準 HTTP サーバをディセーブルにし、SSL3.0 搭載 HTTPS サーバを設定するには、このセクションに示す手順を実行します。

前提条件

認証に認証局が使用されている場合は、セキュア HTTP サーバをイネーブルにする前にルーティング デバイスで CA トラストポイントを宣言する必要があります。

手順の概要

1. enable

2. show ip http server status

3. configure terminal

4. no ip http server

5. ip http secure-server

6. ip http secure-port port-number

7. ip http secure-ciphersuite [ 3des-ede-cbc-sha ] [ rc4-128-sha ] [ rc4-128-md5 ] [ des-cbc-sha ]

8. ip http secure-client-auth

9. ip http secure-trustpoint name

10. end

11. show ip http server secure status

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

Router# show ip http server status

 

Router# show ip http server status

 

(任意)HTTP サーバのステータスを表示します。

実行中のソフトウェア イメージで、セキュア HTTP サーバがサポートされているかどうかが確実ではない場合は、このコマンドを入力し「HTTP secure server capability: {Present | Not present}」という行を探します。

このコマンドは、イネーブルかディセーブルかにかかわらず、標準 HTTP サーバのステータスを表示します。

ステップ 3

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 4

no ip http server

 

Router(config)# no ip http server

標準 HTTP サーバをディセーブルにします。

(注) HTTPS サーバをイネーブルにする場合は、同じサービスに対するセキュリティ保護されていない接続を防ぐため、常に標準 HTTP サーバをディセーブルにする必要があります。これは予防的な手順です(通常、HTTP サーバはデフォルトではディセーブルです)。

ステップ 5

ip http secure-server
 

Router(config)# ip http secure-server

HTTPS サーバをイネーブルにします。

ステップ 6

ip http secure-port port-number

 

Router(config)# ip http secure-port 1025

(任意)HTTPS サーバが使用するポート番号を指定します。デフォルトのポート番号は 443 です。有効な選択肢は 443 または 1025 ~ 65535 の範囲のいずれかの数字です。

ステップ 7

ip http secure-ciphersuite [ 3des-ede-cbc-sha ] [ rc4-128-sha ] [ rc4-128-md5 ] [ des-cbc-sha ]

 

Router(config)# ip http secure-ciphersuite rc4-128-sha rc4-128-md5

(任意)HTTPS 接続上の暗号化で使用する CipherSuite(暗号化アルゴリズム)を指定します。

このコマンドを使用すると、サーバが接続しているクライアントに提供する CipherSuite のリストを制限できます。たとえば、最も安全な CipherSuite の使用のみを許可したい場合に、このコマンドを使用します。

ある CipherSuite を指定する理由がない場合、またはこれらの CipherSuite の詳細を熟知していない場合はこのコマンドを未設定のままにして、サーバとクライアント間で双方がサポートしている CipherSuite をネゴシエートさせます(これがデフォルトです)。

ステップ 8

ip http secure-client-auth

 

Router(config)# ip http secure-client-auth

(任意)接続プロセス中にクライアントを認証するため、クライアントから X.509v3 証明書を要求するよう HTTP サーバを設定します。

デフォルトの接続および認証プロセスでは、クライアントは HTTP サーバからの証明書を要求しますが、サーバはクライアントの認証を試行しません。クライアントを認証することで、サーバの認証自体よりもより強固なセキュリティを得ることができますが、すべてのクライアントに CA 認証が設定されているわけではありません。

ステップ 9

ip http secure-trustpoint name

 

Router(config)# ip http secure-trustpoint trustpoint-01

X.509v3 セキュリティ証明書の取得および接続するクライアントの証明書の認証に使用する CA トラストポイントを指定します。

このコマンドの使用は、すでに crypto ca trustpoint コマンドを使用して CA トラストポイントを宣言され、サブモード コマンドを関連付けられていることを前提としています。

関連付けた crypto ca trustpoint コマンドで使用したのと同じトラストポイント名を使用します。

ステップ 10

end

 

Router(config)# end

現在のコンフィギュレーション セッションを終了して、特権 EXEC モードに戻ります。

ステップ 11

show ip http server secure status

 

Router# show ip http server secure status

HTTP セキュア サーバ設定のステータスを表示します。

HTTPS サーバの設定の確認

HTTPS サーバの設定を確認するには、 https:// url (ここで url はルータの IP アドレスかホスト名)を入力し、ブラウザを使用して HTTPS サーバ実行しているルータに接続します。標準 http ではなく、 https プレフィクスを使用して接続に成功することは、HTTPS サーバが適切に設定されていることを意味します。デフォルト ポート以外のポートが( ip http secure-port コマンドを使用して)設定されている場合は、URL に続けてポート番号も指定する必要があります。次に例を示します。

https://209.165.202.129:1026

または

https://host.domain.com:1026
 

通常は、ブラウザのウィンドウの最下部に南京錠の画像が表示されているかどうかを確認して、HTTPS サーバが設定されていて接続がセキュリティ保護されていることを確認できます。また、セキュリティ保護された HTTP 接続の URL は「http:」ではなく「https:」から始まる点にも注意してください。

セキュリティおよび効率の向上

標準 HTTP サーバの設定は、セキュア HTTP サーバにも適用できます。標準 HTTP と HTTPS サーバの両方のセキュリティおよび効率性を向上させるには、このセクションに示す手順を実行します。

手順の概要

1. enable

2. configure terminal

3. ip http path path-name

4. ip http access-class access-list-number

5. ip http max-connections value

6. ip http timeout-policy idle seconds life seconds requests value

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip http path path-name

 

Router(config)# ip http path slot1:

(任意)HTML ファイル用のベース HTTP パスを設定します。

ベース パスは、ローカル システム上の HTTP サーバ ファイル(HTML ファイル)場所を指定する際に使用します。通常、HTML ファイルはシステム フラッシュ メモリに格納されます。

ステップ 4

ip http access-class access-list-number

 

Router(config)# ip http access-class 20

(任意)HTTP サーバへのアクセスを許可する際に使用するアクセス リストを指定します。

ステップ 5

ip http max-connections value

 

Router(config)# ip http max-connections 10

(任意)HTTP サーバへの同時接続数の最大許容数を設定します。デフォルト値は 5 です。

ステップ 6

ip http timeout-policy idle seconds life seconds requests value

 

Router(config)# ip http timeout-policy idle 30 life 120 requests 100

(任意)HTTP サーバに対する接続の維持時間を決定する特性を設定します。特性には次のものがあります。

idle :接続において送受信されるデータがない場合に、接続が開いたまま維持される最大時間(秒数)です。既存の接続に対しては、新しい値は適用されないことに注意してください。サーバがビジーの場合や、 life で制限された時間、または requests で制限された数に到達した場合は、設定より早く接続が閉じられる場合があります。デフォルト値は 180 秒(3 分)です。

life :接続が確立されてから開いたまま維持される最大時間(秒数)です。既存の接続に対しては、新しい値は適用されないことに注意してください。サーバがビジーの場合や、idle で制限された時間、または requests で制限された数に到達した場合は、設定より早く接続が閉じられる場合があります。また、サーバがアクティブに要求を処理している場合はサーバにより接続が閉じられることはないため、life で設定された最大秒数に達した際に処理が進行中の場合、 life で設定した時間より長く接続が開かれたままになります。この場合は、処理が終了すると接続が閉じられます。デフォルト値は 180 秒(3 分)です。最大値は 86,400 秒(24 時間)です。

requests :固定接続が閉じられるまでに処理する要求の最大数です。既存の接続に対しては、新しい値は適用されないことに注意してください。サーバがビジーの場合や、idle または life で制限された時間に到達した場合は、設定した最大数の要求が処理される前に接続が閉じられる場合があります。デフォルト値は 1 です。最大値は 86,400 です。

SSL 3.0 搭載 HTTPS クライアントの設定

SSL3.0 搭載 HTTPS クライアントを設定するには、このセクションに示す手順を実行します。

前提条件

標準 HTTP クライアント、およびセキュア HTTP クライアントは常にイネーブルです。

セキュア HTTP クライアントの認証には認証局が必要です。次に示す手順では、すでに CA トラストポイントがルーティング デバイスで宣言されていることを前提としています。CA トラストポイントが設定されておらず、リモート HTTPS サーバがクライアントの認証を必要とする場合、セキュア HTTP クライアントへの接続は失敗します。

手順の概要

1. enable

2. configure terminal

3. ip http client secure-trustpoint trustpoint-name

4. ip http client secure-ciphersuite [ 3des-ede-cbc-sha ] [ rc4-128-sha ] [ rc4-128-md5 ] [ des-cbc-sha ]

5. end

6. show ip http client secure status

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip http client secure-trustpoint trustpoint-name

 

Router(config)# ip http client secure-trustpoint trustpoint01

(任意)リモート HTTP サーバがクライアントの認証を要求した場合に使用する CA トラストポイントを指定します。

このコマンドの使用は、すでに crypto ca trustpoint コマンドを使用して CA トラストポイントを宣言され、サブモード コマンドを関連付けられていることを前提としています。

関連付けた crypto ca trustpoint コマンドで使用したのと同じトラストポイント名を使用します。

クライアントの認証が要求されていない場合や、プライマリ トラストポイントがすでに設定されている場合、このコマンドはオプションです。 ip http client secure-trustpoint コマンドが使用されていない場合、ルータは primary CA トラストポイント コンフィギュレーション モード コマンドで指定されたプライマリ トラストポイントを使用します。

ステップ 4

ip http client secure-ciphersuite [ 3des-ede-cbc-sha ] [ rc4-128-sha ] [ rc4-128-md5 ] [ des-cbc-sha ]

 

Router(config)# ip http client secure-ciphersuite rc4-128-sha rc4-128-md5

(任意)HTTPS 接続上の暗号化で使用する CipherSuite(暗号化アルゴリズム)を指定します。

このコマンドを使用すると、クライアントがセキュア HTTP サーバに接続する際に提供する CipherSuite のリストを制限できます。たとえば、最も安全な CipherSuite の使用のみを許可したい場合に、このコマンドを使用します。

ある CipherSuite を指定する理由がない場合、またはこれらの CipherSuite の詳細を熟知していない場合はこのコマンドを未設定のままにして、サーバとクライアント間で双方がサポートしている CipherSuite をネゴシエートさせます(これがデフォルトです)。

ステップ 5

end

 

Router(config)# end

現在のコンフィギュレーション セッションを終了して、特権 EXEC モードに戻ります。

ステップ 6

show ip http client secure status

 

Router# show ip http client secure status

HTTP セキュア サーバ設定のステータスを表示します。

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアント機能の設定例

次に、セキュア HTTP サーバがイネーブルであり、セキュア HTTP サーバ用のポートが 1025 に設定されていて、認証にリモート CA トラストポイント サーバ「CA-trust-local」を使用する場合の設定例を示します。

Router# show ip http server status
 
HTTP server status: Disabled
HTTP server port: 80
HTTP server authentication method: enable
HTTP server access class: 0
HTTP server base path:
Maximum number of concurrent server connections allowed: 5
Server idle time-out: 600 seconds
Server life time-out: 600 seconds
Maximum number of requests allowed on a connection: 1
HTTP secure server capability: Present
HTTP secure server status: Disabled
HTTP secure server port: 443
HTTP secure server ciphersuite: 3des-ede-cbc-sha des-cbc-sha rc4-128-md5 rc4-12a
HTTP secure server client authentication: Disabled
HTTP secure server trustpoint:
 
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip http secure-server
Router(config)# ip http client secure-trustpoint CA-trust-local
Router(config)# ip http secure-port 1024
Invalid secure port value.
 
Router(config)# ip http secure-port 1025
Router(config)# ip http secure-ciphersuite rc4-128-sha rc4-128-md5
Router(config)# end

Router# show ip http server secure status

HTTP secure server status: Enabled

HTTP secure server port: 1025

HTTP secure server ciphersuite: rc4-128-md5 rc4-128-sha

HTTP secure server client authentication: Disabled

HTTP secure server trustpoint: CA-trust-local
 

次の例では、CA トラストポイント「CA-trust-local」が指定されており、HTTPS クライアントはクライアント認証要求に対してこのトラストポイントを使用するように設定されています。

Router# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# crypto ca trustpoint CA-trust-local
Router(ca-trustpoint)# enrollment url http://example.com
Router(ca-trustpoint)# crl query ldap://example.com
Router(ca-trustpoint)# primary
Router(ca-trustpoint)# exit
Router(config)# ip http client secure-trustpoint CA-trust-local
Router(config)# end
Router# copy running-config startup-config

その他の参考資料

ここでは、HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアント機能の関連資料について説明します。

関連資料

関連トピック
参照先

SSL 3.0

『The SSL Protocol Version 3.0』

この資料は、オンラインのさまざまなソースから入手できます。

シスコの標準的な Web クライアント

『HTTP 1.1 Web Server and Client』

認証局の相互運用性

『Cisco IOS Security Configuration Guide: Secure Connectivity』

規格

規格
タイトル

この機能では、新しい規格または変更された規格はサポートされていません。

--

関連 MIB

MIB
MIB リンク

この機能では、新しい MIB または変更された MIB はサポートされていません。

選択したプラットフォーム、Cisco IOS Release、およびフィーチャ セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

関連 RFC

RFC
説明

RFC 2616

シスコの HTTP の実装は、 RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1 』に準拠しています。

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。
・テクニカル サポートを受ける
・ソフトウェアをダウンロードする
・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける
・ツールおよびリソースへアクセスする
- Product Alert の受信登録
- Field Notice の受信登録
- Bug Toolkit を使用した既知の問題の検索
・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する
・トレーニング リソースへアクセスする
・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/techsupport

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアントの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator により、どの Cisco IOS および Catalyst OS ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 1 HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアントの機能情報

機能名
リリース
機能情報

HTTPS:SSL 3.0 搭載 HTTP サーバおよびクライアント

12.2(15)T
12.2(33)SRA
12.2(33)SXH
12.2(33)SB
Cisco IOS XE 3.1.0SG

機能は、Cisco IOS ソフトウェアにおける HTTP 1.1 サーバおよび HTTP 1.1 クライアントに対する Secure Socket Layer(SSL)バージョン 3.0 のサポートを提供します。SSL は、サーバ認証、暗号化、メッセージ整合性を提供し、セキュリティ保護された HTTP 通信を実現します。SSL は、HTTP クライアント認証も実現します。

この機能は、SSL をサポートする Cisco ソフトウェア イメージ内でのみ使用できます。具体的には、SSL は「IPSec 56」および「IPSec 3DES」イメージ(イメージ名に「k8」または「k9」を含む)でサポートされます。

用語集

RSA:RSA は、広く使用されているインターネットの暗号化および認証システムであり、暗号化と復号化に公開キーと秘密キーを使用します。RSA アルゴリズムは 1978 年に Ron Rivest(ロナルド・リベスト)、Adi Shamir(アディ・シャミア)、Leonard Adleman(レオナルド・エーデルマン)により考案されました。RSA という省略形は、最初の開発者である 3 人のラストネームの頭文字に由来します。RSA アルゴリズムは Microsoft や Netscape のブラウザなどのさまざまなアプリケーションで使用されています。RSA 暗号化システムは RSA Security が所有しています。

SHA :Secure Hash Algorithm。SHA は、Secure Hash Standard(SHS、FIPS 180)に定められている、NIST により開発されたアルゴリズムです。しばしば、Digest 5 アルゴリズムに代わる方法として使用されます。

SSL 3.0 :Secure Socket Layer バージョン 3.0。SSL は、インターネット上の通信におけるプライバシーを提供するセキュリティ プロトコルです。このプロトコルを使用することにより、クライアントおよびサーバ アプリケーションは、盗聴、改ざん、またはメッセージの偽造を防止するように設計された方法で通信できます。SSL は、インターネットの HTTP レイヤと TCP レイヤの間に存在するプログラム レイヤを使用します。SSL は、大部分の Web サーバ製品およびインターネット ブラウザに搭載されています。SSL 3.0 の仕様は、次の URL に掲載されています。 http://home.netscape.com/eng/ssl3/

署名、デジタル :SSL を使用する状況において「signing(署名)」は秘密キーによる暗号化を意味します。デジタル署名では、署名アルゴリズムの入力方法として一方向ハッシュ関数が使用されます。RSA 署名では、36 バイト構造の 2 つのハッシュ(1 つは SHA、もう 1 つは MD5)に署名されます。