概要
この資料は CVP と SHA256 を使用するためにプロシージャを記述したものです。
前提条件
要件
次の項目に関する知識が推奨されます。
使用するコンポーネント
この資料に記載されている情報は CVP 10.5 に基づいています。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
January 2016 年はすべてのブラウザを開始して SHA1 署名入り認証を拒否しました。 これは SHA1 から SHA256 に移らなければ、要求したサービスを正しくしませんでした。
計算アルゴリズム、また爆発性計算キャパシティの最近の進展によって、SHA1 は一日一日とより弱くなりました。 これは SHA1 および終局死亡の基本的な劣化衝突抵抗の原因となりました。
設定
CVP オペレーション間の証明書交換プロシージャはコンソール接続を行います(OAMP):
OAMP
ステップ 1.エクスポート OAMP CERT。
c:\Cisco\CVP\jre\bin\keytool.exe -エクスポート- v - keystore .keystore - storetype JCEKS -エイリアス oamp_certificate -ファイル oamp_security_76.cer
ステップ 2. OAMP 証明書を Callserver にコピーし、インポートして下さい。
c:\Cisco\CVP\jre\bin\keytool.exe -インポート- trustcacerts - keystore .keystore - storetype JCEKS -エイリアス orm_oamp_certificate -ファイル oamp_security_76.cer
コール サーバ
ステップ 1.エクスポート CALLSERVER CERT。
c:\Cisco\CVP\jre\bin\keytool.exe -エクスポート- v - keystore .ormkeystore - storetype JCEKS -エイリアス orm_certificate -ファイル orm_security_108.cer
ステップ 2. CALLSERVER CERT に OAMP をコピーし、インポートして下さい。
c:\Cisco\CVP\jre\bin\keytool.exe -インポート- trustcacerts - keystore .keystore - storetype JCEKS -エイリアス oamp_orm_certificate -ファイル orm_security_108.cer
ステップ 3.コール サーバ keystore のエクスポート orm 証明書。
C:\Cisco\CVP\conf\security > c:\Cisco\CVP\jre\bin\keytool.exe -インポート- trustcacerts - keystore .keystore - storetype JCEKS -エイリアス vxml_orm_certificate -ファイル orm_security_108.cer
確認
セキュアコミュニケーションがコンポーネントの間で確立される場合検証できます。 OAMP ページ > デバイス管理に > <managed server> > 統計情報ナビゲートして下さい
統計は表示する必要があります。
セキュリティがきちんと設定される場合接続を確立するのに JConsole を使用できます:
OAMP 外観のステップ 1. c:\Cisco\CVP\conf\orm _jmx.conf のような:
javax.net.debug = all
com.sun.management.jmxremote.ssl.need.client.auth = false
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2099
com.sun.management.jmxremote.ssl = true
javax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.ormkeystore
javax.net.ssl.keyStorePassword=<local security password>
ステップ 2.コマンドからの jconsole を開いて下さい。 コマンドを使用します
C:\Cisco\CVP\jre\bin >jconsole.exe - J-Djavax.net.ss l.trustStore= C:\Cisco\CVP\conf\security\ .keystore - J-Djavax.net.ss l.trustStorePassword =<oamp セキュリティパスワード/jconsole client> - J-Djavax.net.ss l.keyStore = C:\Cisco\CVP\conf\security\ .keystore - J-Djavax.net.ss l.keyStorePassword =<oamp セキュリティパスワード/jconsole client> - J-Djavax.net.ss l.keyStoreType=JCEKS -デバッグ- J-Djavax.net.ss l.trustStoreType =JCEKS
<managed サーバ ip> でキー入力して下さい: リモート プロセス フィールドの <secure jmx ポート eg:2099>。
注: JConsole はアプリケーションのためのプロンプトなしで安全な方法をバイパスするために接続する必要があります。
ステップ 3. jconsole 接続が呼び出される間、Wireshark。 キャプチャはネゴシエートされる詳細に把握を間、セキュリティ ハンドシェイク与えます。
JMX のトレース
デバッグ トレースを記録 する JMX 使用 java.util.logging の実装。 これらのトレースの多数は内部 unexposed クラスにかかわりますが、起こっているものがアプリケーションと理解するのを助けることができます。
JMX 実装に 2 組のロガーがあります:
javax.management. \ *: JMX API に関するすべてのロガーjavax.management.remote. \ *: とりわけ JMX リモート API に関するロガー
JMX ロガーのより多くの完全な記述をここに見つけることができます。
2 つのさまざまな方法の JMX トレースをアクティブにすることができます:
- 静的に、logging.properties ファイルの使用と
- 動的に、JMXTracing MBean の使用と。 Java SE JMX コネクタがコマンド・ラインで有効に ならなくても、6 では、のためにアプリケーションこれをすることができます。
logging.properties ファイルを使用して下さい
これらのフラグとのアプリケーションを開始して下さい:
java -Djava.util.logging.config.file=<logging.properties> ....
logging.properties が JMX ロガーのためのトレースをアクティブにするところ:
handlers= java.util.logging.ConsoleHandler
.level=INFO
java.util.logging.FileHandler.pattern = %h/java%u.log
java.util.logging.FileHandler.limit = 50000
java.util.logging.FileHandler.count = 1
java.util.logging.FileHandler.formatter = java.util.logging.XMLFormatter
java.util.logging.ConsoleHandler.level = FINEST
java.util.logging.ConsoleHandler.formatter = java.util.logging.SimpleFormatter
// Use FINER or FINEST for javax.management.remote.level - FINEST is
// very verbose...
//
javax.management.level=FINEST
javax.management.remote.level=FINER
フィードバック