Cisco Unified Communications Manager Release 9.0(1) の IM and Presence サービスに対するドメイン間フェデレーション
Cisco Adaptive Security Appliance(ASA)と Microsoft Access Edge との間における VeriSign を使用したセキュリティ証明書交換の設定
Cisco Adaptive Security Appliance(ASA)と Microsoft Access Edge との間における VeriSign を使用したセキュリティ証明書交換の設定
発行日;2013/01/06   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

Cisco Adaptive Security Appliance(ASA)と Microsoft Access Edge との間における VeriSign を使用したセキュリティ証明書交換の設定

Cisco Adaptive Security Appliance でのセキュリティ証明書の設定

古い証明書とトラストポイントを削除する

この手順では、古い中間証明書、署名済み証明書、およびルート証明書のトラストポイントを Cisco Adaptive Security Appliance で削除する方法について説明します。

はじめる前に

次の章に記載されている設定タスクを実行したことを確認します。

手順
    ステップ 1   設定モードで、次のように入力します。
    >Enable >password
    >config t
    
    ステップ 2   次のコマンドを入力して、トラストポイントを表示します。
    show crypto ca trustpoints
    ステップ 3   次のコマンドを入力して、トラストポイントと関連する証明書を削除します。
    no crypto ca trustpoint <name of trustpoint>
    

    次の警告の出力が表示されます。

    WARNING: Removing an enrolled trustpoint will destroy allcertificates received from the related Certificate Authority.
    
    ステップ 4   トラストポイントの削除を確認するメッセージが表示されたら、yes と入力します。

    次の作業

    VeriSign 用の新しいトラストポイントを生成する

    VeriSign 用の新しいトラストポイントを生成する

    手順
      ステップ 1   設定モードで、次のように入力します。
      >Enable >password
      >config t
      
      ステップ 2   次のコマンドを入力して、この証明書のキー ペアを生成します。
      crypto key generate rsa label keys_for_verisign 
      ステップ 3   次の一連のコマンドを入力して、IM and Presence のトラストポイントを作成します。
      crypto ca trustpoint <name of trustpoint>
      (config-ca-trustpoint)# enrollment terminal
      (config-ca-trustpoint)# subject-name cn=<fqdn>, OU=<organisational_unit>,O=<organisation_name>,C=<country>,St=<state>,L=<locality>
      (config-ca-trustpoint)# keypair keys_for_verisign
      (config-ca-trustpoint)# fqdn none
      (config-ca-trustpoint)# exit
      
      (注)     

      更新の証明書署名要求(CSR)ファイルを VeriSign に送信する場合、件名の値には次の情報を含める必要があります。

      • 国(Country)(2 文字の国コードのみ)
      • 都道府県(State)(省略なし)
      • 市区町村(Locality)(省略なし)
      • 組織名(Organization Name)
      • Organizational Unit
      • 一般名(Common Name)(FQDN)- この値はパブリック IM and Presence の FQDN にする必要があります。

      トラブルシューティングのヒント

      show crypto key mypubkey rsa コマンドを入力して、キー ペアが生成されていることを確認します。


      次の作業

      中間証明書をインポートする

      ルート証明書をインポートする

      はじめる前に

      VeriSign 用の新しいトラストポイントを生成するの手順を実行します。

      手順
        ステップ 1   設定モードで、次のように入力します。
        >Enable >password
        >config t
        
        ステップ 2   次のコマンドを入力して、証明書を Cisco Adaptive Security Appliance にインポートします。
        crypto ca authenticate <name of trustpoint>
        
        ステップ 3   次のように CA 証明書を入力します。
        -----BEGIN CERTIFICATE-----MIIDAzCCAmwCEQC5L2DMiJ+hekYJuFtwbIqvMA0GCSqGSIb3DQEBBQUAMIH...
        -----END CERTIFICATE-----
        quit
        (注)     

        別の行に "quit" という単語を入力して終了します。

        ステップ 4   証明書の承認を確認するメッセージが表示されたら、yes と入力します。

        次の作業

        証明書署名要求を生成する

        証明書署名要求を生成する

        はじめる前に

        ルート証明書をインポートするの手順を実行します。

        手順
          ステップ 1   設定モードで、次のように入力します。
          >Enable >password
          >config t
          
          ステップ 2   次のコマンドを入力して、CA に対する登録要求を送信します。
          crypto ca enroll <name of trustpoint>
          

          次の警告の出力が表示されます。

          %WARNING: The certificate enrollment is configured with an fqdnthat differs from the system fqdn. If this certificate will be
          used for VPN authentication this may cause connection problems.
          
          ステップ 3   登録の続行を確認するメッセージが表示されたら、yes と入力します。
          % Start certificate enrollment..% The subject name in the certificate will be: <fqdn>, OU=<organisational_unit>,O=<organisation_name>,C=<country>,St=<state>,L=<locality> 
          ステップ 4   サブジェクト名にデバイスのシリアル番号を含めることを確認するメッセージが表示されたら、no と入力します。
          ステップ 5   端末に証明書要求を表示することを確認するメッセージが表示されたら、yes と入力します。

          証明書要求が表示されます。


          次の作業

          証明書署名要求を VeriSign に送信する

          証明書署名要求を VeriSign に送信する

          証明書署名要求を送信すると、VeriSign から次の証明書ファイルが提供されます。

          • verisign-signed-cert.cer(署名済み証明書)
          • trial-inter-root.cer(下位中間ルート証明書)
          • verisign-root-ca.cer(ルート CA 証明書)

          証明書ファイルをダウンロードしたら、別のメモ帳ファイルに証明書ファイルを保存します。

          はじめる前に
          • 証明書署名要求を生成するの手順を実行します。
          • 証明書署名要求を生成するときは、定義したチャレンジ パスワードが必要になります。
          手順
            ステップ 1   VeriSign Web サイトにアクセスします。
            ステップ 2   記載されている手順に従って証明書署名要求を入力します。
            ステップ 3   プロンプトが表示されたら、証明書署名要求のチャレンジ パスワードを送信します。
            ステップ 4   表示されるウィンドウに証明書署名要求を貼り付けます。
            (注)     

            -----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- までを(これらの文字列を含めて)貼り付ける必要があります。


            次の作業

            証明書署名要求に使用した証明書を削除する

            証明書署名要求に使用した証明書を削除する

            証明書署名要求の生成に使用した一時ルート証明書は削除する必要があります。

            はじめる前に

            証明書署名要求を VeriSign に送信するの手順を実行します。

            手順
              ステップ 1   設定モードで、次のように入力します。
              >Enable >password
              >config t
              
              ステップ 2   次のコマンドを入力して、証明書を表示します。
              show running-config crypto calook for crypto ca certificate chain <name of trustpoint> 
              ステップ 3   次のコマンドを入力して、証明書を削除します。
              (config)# crypto ca certificate chain <name of trustpoint>
              (config-cert-chain)# no certificate ca 00b92f60cc889fa17a4609b85b70$
              

              次の警告の出力が表示されます。

              WARNING: The CA certificate will be disassociated from this trustpoint andwill be removed if it is not associated with any other trustpoint. Any
              other certificates issued by this CA and associated with this trustpoint
              will also be removed. 
              ステップ 4   トラストポイントの削除を確認するメッセージが表示されたら、yes と入力します。

              次の作業

              中間証明書をインポートする

              中間証明書をインポートする

              はじめる前に

              証明書署名要求に使用した証明書を削除するの手順を実行します。

              手順
                ステップ 1   設定モードで、次のように入力します。
                >Enable >password
                >config t
                
                ステップ 2   次のコマンドを入力して、証明書を Cisco Adaptive Security Appliance にインポートします。
                crypto ca authenticate <name of trustpoint> 
                ステップ 3   次のように CA 証明書を入力します。
                -----BEGIN CERTIFICATE-----MIIEwDCCBCmgAwIBAgIQY7GlzcWfeIAdoGNs+XVGezANBgkqhkiG9w0BAQU....
                -----END CERTIFICATE-----
                quit
                (注)     

                別の行に "quit" という単語を入力して終了します。

                ステップ 4   証明書の承認を確認するメッセージが表示されたら、yes と入力します。

                次の作業

                ルート証明書のトラストポイントを作成する

                ルート証明書のトラストポイントを作成する

                はじめる前に

                中間証明書をインポートするの手順を実行します。

                手順
                  ステップ 1   設定モードで、次のように入力します。
                  >Enable >password
                  >config t
                  
                  ステップ 2   次のコマンドを入力して、トラストポイントを生成します。
                  crypto ca trustpoint verisign_root
                  ステップ 3   次の一連のコマンドを入力します。
                  (config-ca-trustpoint)# revocation-check none(config-ca-trustpoint)# keypair keys_for_verisign
                  (config-ca-trustpoint)# enrollment terminal
                  (config-ca-trustpoint)# exit
                  

                  ルート証明書をインポートする

                  はじめる前に

                  ルート証明書のトラストポイントを作成するの手順を実行します。

                  手順
                    ステップ 1   設定モードで、次のように入力します。
                    >Enable >password
                    >config t
                    
                    ステップ 2   次のコマンドを入力して、証明書を Cisco Adaptive Security Appliance にインポートします。
                    crypto ca authenticate verisign_root
                    ステップ 3   次のように CA 証明書を入力します。
                    -----BEGIN CERTIFICATE-----MIICmDCCAgECECCol67bggLewTagTia9h3MwDQYJKoZIhvcNAQECBQAw....
                    -----END CERTIFICATE-----
                    quit
                    (注)     

                    別の行に "quit" という単語を入力して終了します。

                    ステップ 4   証明書の承認を確認するメッセージが表示されたら、yes と入力します。

                    次の作業

                    署名した証明書をインポートする

                    署名した証明書をインポートする

                    はじめる前に

                    ルート証明書をインポートするの手順を実行します。

                    手順
                      ステップ 1   設定モードで、次のように入力します。
                      >Enable >password
                      >config t
                      
                      ステップ 2   次のコマンドを入力して、証明書を Cisco Adaptive Security Appliance にインポートします。
                      crypto ca import verisignca certificate

                      次の警告の出力が表示されます。

                      WARNING: The certificate enrollment is configured with an fqdnthat differs from the system fqdn. If this certificate will be
                      used for VPN authentication this may cause connection problems.
                      
                      ステップ 3   証明書の登録の続行を確認するメッセージが表示されたら、yes と入力します。
                      ステップ 4   次のように CA 証明書を入力します。
                      -----BEGIN CERTIFICATE-----MIIFYTCCBEmgAwIBAgIQXtEPGWzZ0b9gejHejq+HazANBgkqhkiG9w0B....
                      -----END CERTIFICATE-----
                      quit
                      (注)     

                      別の行に "quit" という単語を入力して終了します。

                      ステップ 5   証明書の承認を確認するメッセージが表示されたら、yes と入力します。

                      次の作業

                      VeriSign 証明書を Microsoft Access Edge にインポートする

                      VeriSign 証明書を Microsoft Access Edge にインポートする

                      この手順では、VeriSign のルート証明書と中間証明書を Microsoft のアクセス エッジ サーバにインポートする方法について説明します。

                      はじめる前に

                      VeriSign から提供された証明書をアクセス エッジ サーバ(C:\ など)に保存します。

                      手順
                        ステップ 1   アクセス エッジ サーバで、run コマンドから mmc を実行します。
                        ステップ 2   [ファイル(File)] > [スナップインの追加/削除(Add/Remove Snap-in)] を選択します。
                        ステップ 3   [追加(Add)] をクリックします。
                        ステップ 4   [証明書(Certificates)] をクリックします。
                        ステップ 5   [追加(Add)] をクリックします。
                        ステップ 6   [コンピュータ アカウント(Computer account)] を選択します。
                        ステップ 7   [次へ(Next)] をクリックします。
                        ステップ 8   [ローカル コンピュータ(Local Computer)] を選択します。
                        ステップ 9   [終了(Finish)] をクリックします。
                        ステップ 10   [OK] をクリックして [スナップインの追加/削除(Add/Remove Snap-in)] を閉じます。
                        ステップ 11   メイン コンソールで、証明書ツリーを展開します。
                        ステップ 12   [信頼されたルート証明書(Trusted Root Certificates)] のブランチを開きます。
                        ステップ 13   [証明書(Certificates)] を右クリックします。
                        ステップ 14   [すべてのタスク(All Tasks)] > [インポート(Import)] を選択します。
                        ステップ 15   証明書ウィザードの [[次へ(Next)](Next)] をクリックします。
                        ステップ 16   C:\ ディレクトリにある VeriSign 証明書を参照します。
                        ステップ 17   [証明書をすべて次のストアに配置する(Place all certificates in the following store)] をクリックします。
                        ステップ 18   証明書ストアとして、[信頼されたルート証明機関(Trusted Root Certification Authorities)] を選択します。
                        ステップ 19   手順 13 ~ 18 を繰り返して追加の VeriSign 証明書をインポートします。