はじめに
このドキュメントでは、Cisco SD-WANソリューションのWeb証明書とコントローラ証明書の違いについて説明します。
前提条件
要件
次の項目に関する専門知識があることが推奨されます。
- 公開キーインフラストラクチャ(PKI)に関する基礎知識。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco vManage network management system(NMS)バージョン20.4.1
- Google Chromeバージョン94.0
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
Cisco SD-WANで使用される証明書
Cisco SD-WANソリューションで使用される証明書には、コントローラ証明書とWeb証明書の2種類があります。
Web証明書
vManageへのWebアクセスに使用されます。シスコは、デフォルトで自己署名証明書をインストールします。自己署名証明書は、独自の作成者によって署名されたセキュアソケットレイヤ(SSL)証明書です。 ただし、独自のWebサーバ証明書を使用することを推奨します。これは、ネットワーク企業がWebアクセス制限のあるファイアウォールを使用できる場合に特に有効です。 シスコでは、認証局(CA)によって発行されたパブリックWeb証明書を提供していません。
vManage Web証明書の生成方法の詳細については、ガイド「Webサーバ証明書の生成」および「vManage用の自己署名Web証明書の生成方法」を参照してください。
コントローラ証明書
vManage、vBond、vSmartsなどのコントローラ間の制御接続を構築するために使用されます。 これらの証明書は、SD-WANファブリックコントロールプレーン全体にとって重要であり、常に有効である必要があります。
コントローラ証明書の詳細については、「Cisco Systemsによる自動証明書署名」を参照してください。
vManageのWeb証明書について
Hypertext Transfer Protocol Secure(HTTPS)は、ユーザのコンピュータとWebサイト(この場合はvManage GUI)間のデータの整合性と機密性を保護するインターネット通信プロトコルです。ユーザは、vManageにアクセスする際にセキュアなプライベート接続を期待します。 セキュアでプライベートな接続を実現するには、セキュリティ証明書を取得する必要があります。証明書は、vManageドメインが実際に組織に属していることを検証する手順を実行する認証局(CA)によって発行されます。
ユーザがvManageにアクセスすると、ユーザPCがHTTPS接続を実行し、vManageサーバとコンピュータの間に認証用のSSL証明書がインストールされたセキュアトンネルが確立されます。SSL証明書の認証は、デバイスにインストールされている有効なルートCAのデータベースに対してユーザコンピュータで実行されます。通常、コンピュータは、Google、GoDaddy、Enterprise CA(この場合)、およびより多くの公共機関などの複数のCAをすでにインストールしています。したがって、証明書署名要求(CSR)がGoDaddyによって署名されている場合(単なる例)、そのCSRは信頼されます。
vManageの「Connection Is Not Private」メッセージ
vManage自己署名証明書がCAによって署名されていない。このサーバは同じvManageによって署名されており、パブリックCAからもプライベートCAからも署名されていないため、PCクライアントに対して信頼されません。これが原因で、ブラウザにvManage URLのnot secure/privacyエラー接続が表示されます。
図に示すように、Google Chromeブラウザによるデフォルトの自己署名証明書を使用したvMangeエラーの例。

注:view site informationオプションをクリックします。証明書が無効と表示される。

予防的な情報
誤ったWebサイト名に登録された証明書
サイトで使用するすべてのホスト名のWeb証明書が取得されていることを確認します。たとえば、証明書が架空のドメインwwwのみを対象とする場合です。vManage-example-testを使用します。comという名前のビジターで、vManage-example-testを使用してサイトをロードします。com (wwwを除く。 プレフィクス)、および パブリックCAによって署名付き証明書を取得します。この証明書は信頼されていますが、証明書名の不一致エラーを伴う別のエラーを取得します。
注:共通名の不一致エラーは、SSL/TLS証明書の共通名がブラウザのドメインまたはアドレスバーと一致しない場合に発生します。
関連情報