vManageのWeb証明書について
はじめに
このドキュメントでは、Cisco SD-WANソリューションのWeb証明書とコントローラ証明書の違いについて説明します。
前提条件
要件
次の項目に関する専門知識があることが推奨されます。
- 公開キーインフラストラクチャ(PKI)に関する基礎知識。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco vManage network management system(NMS)バージョン20.4.1
- Google Chromeバージョン94.0
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
Cisco SD-WANで使用される証明書
Cisco SD-WANソリューションで使用される証明書には、コントローラ証明書とWeb証明書の2種類があります。
Web証明書
vManageへのWebアクセスに使用されます。シスコは、デフォルトで自己署名証明書をインストールします。自己署名証明書は、独自の作成者によって署名されたセキュアソケットレイヤ(SSL)証明書です。 ただし、独自のWebサーバ証明書を使用することを推奨します。これは、ネットワーク企業がWebアクセス制限のあるファイアウォールを使用できる場合に特に有効です。 シスコでは、認証局(CA)によって発行されたパブリックWeb証明書を提供していません。
コントローラ証明書
vManage、vBond、vSmartsなどのコントローラ間の制御接続を構築するために使用されます。 これらの証明書は、SD-WANファブリックコントロールプレーン全体にとって重要であり、常に有効である必要があります。
vManageのWeb証明書について
Hypertext Transfer Protocol Secure(HTTPS)は、ユーザのコンピュータとWebサイト(この場合はvManage GUI)間のデータの整合性と機密性を保護するインターネット通信プロトコルです。ユーザは、vManageにアクセスする際にセキュアなプライベート接続を期待します。 セキュアでプライベートな接続を実現するには、セキュリティ証明書を取得する必要があります。証明書は、vManageドメインが実際に組織に属していることを検証する手順を実行する認証局(CA)によって発行されます。
ユーザがvManageにアクセスすると、ユーザPCがHTTPS接続を実行し、vManageサーバとコンピュータの間に認証用のSSL証明書がインストールされたセキュアトンネルが確立されます。SSL証明書の認証は、デバイスにインストールされている有効なルートCAのデータベースに対してユーザコンピュータで実行されます。通常、コンピュータは、Google、GoDaddy、Enterprise CA(この場合)、およびより多くの公共機関などの複数のCAをすでにインストールしています。したがって、証明書署名要求(CSR)がGoDaddyによって署名されている場合(単なる例)、そのCSRは信頼されます。
vManageの「Connection Is Not Private」メッセージ
vManage自己署名証明書がCAによって署名されていない。このサーバは同じvManageによって署名されており、パブリックCAからもプライベートCAからも署名されていないため、PCクライアントに対して信頼されません。これが原因で、ブラウザにvManage URLのnot secure/privacyエラー接続が表示されます。
図に示すように、Google Chromeブラウザによるデフォルトの自己署名証明書を使用したvMangeエラーの例。
予防的な情報
誤ったWebサイト名に登録された証明書
サイトで使用するすべてのホスト名のWeb証明書が取得されていることを確認します。たとえば、証明書が架空のドメインwwwのみを対象とする場合です。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
30-Jun-2025
|
タイトル、概要、スタイル要件、SEO、代替テキスト、機械翻訳、およびフォーマットが更新されました。 |
1.0 |
30-Sep-2021
|
初版 |
フィードバック