Sx350およびSx550Xシリーズスイッチに証明書をインポートする方法
目的
このドキュメントの目的は、グラフィカルユーザインターフェイス(GUI)およびコマンドラインインターフェイス(CLI)を使用して、Sx350およびSx550Xシリーズスイッチに証明書を正常にインポートする手順を説明することです。
目次
はじめに
Sx350およびSx550Xスイッチに証明書をインポートするときに発生する問題の1つは、キーヘッダーが欠落している、または公開キーをロードできないエラーが発生することです。このドキュメントでは、証明書を正常にインポートするためにこれらのエラーを回避する方法について説明します。証明書は、個人、サーバ、会社、またはその他のエンティティを識別し、そのエンティティを公開キーに関連付ける電子ドキュメントです。証明書はネットワークで使用され、セキュアなアクセスを提供します。証明書は、外部の認証局(CA)によって自己署名またはデジタル署名できます。 自己署名証明書は、名前が示すように、独自の作成者によって署名されます。CAは証明書要求を管理し、ホスト、ネットワークデバイス、ユーザなどの参加エンティティに証明書を発行します。CA署名付きデジタル証明書は、業界標準で安全性が高いと見なされています。
該当するデバイスとソフトウェアバージョン
SG350バージョン2.5.0.83
SG350Xバージョン2.5.0.83
SG350XGバージョン2.5.0.83
SF350バージョン2.5.0.83
SG550Xバージョン2.5.0.83
SF550Xバージョン2.5.0.83
SG550XGバージョン2.5.0.83
SX550Xバージョン2.5.0.83
前提条件
自己署名証明書または認証局(CA)証明書が必要です。自己署名証明書を取得する手順については、この記事で説明します。CA証明書の詳細については、ここをクリックしてください。
GUIを使用したインポート
手順 1
ユーザ名とパスワードを入力して、スイッチのGUIにログインします。[Log In] をクリックします。
手順 2
GUIの右上にあるDisplay Modeから、ドロップダウンオプションを使用してAdvancedを選択します。
手順 3
Security > SSL Server > SSL Server Authenticationの順に選択します。
手順 4
自動生成された証明書のいずれかを選択します。Certificate ID 1または2を選択し、Editボタンをクリックします。
手順 5
自己署名証明書を生成するには、新しいポップアップウィンドウでRegenerate RSA Keyを有効にし、次のパラメータを入力します。
キーの長さ
共通名
組織単位
組織名
場所
都道府県
Country
期間
[Generate] をクリックします。
サードパーティCAから証明書を作成することもできます。
手順 6
これで、SSLサーバキーテーブルの下にユーザ定義証明書が表示されるようになります。新しく作成した証明書を選択し、Detailsをクリックします。
ステップ7
ポップアップウィンドウで、証明書、公開キー(Psk)、および秘密キー(暗号化)の詳細を確認できます。これらは別のメモ帳ファイルにコピーできます。Display sensitive data as Plaintextをクリックします。
手順 8
ポップアップウィンドウが開き、秘密キーがプレーンテキストで表示されていることを確認します。OKをクリックします。
手順 9
これで、秘密キーがプレーンテキスト形式で表示されるようになります。そのプレーンテキスト出力をメモ帳ファイルにコピーします。[Close] をクリックします。
手順 10
新しく作成したUser Defined証明書を選択し、Import Certificateをクリックします。
手順 11
新しいポップアップウィンドウで、Import RSA Key-Pairオプションを有効にし、秘密キー(ステップ9でコピー)をプレーンテキスト形式で貼り付けます。[APPLY] をクリックします。
この例では、キーワードRSAが公開キーのBEGINとENDの位置に含まれています。
手順 12
成功の通知が画面に表示されます。このウィンドウを閉じて、スイッチの設定を保存できます。
発生する可能性のあるエラー
ここで説明するエラーは、公開キーに関連しています。通常、使用される公開キー形式には次の2種類があります。
1. RSA公開キーファイル(PKCS#1):これはRSAキー専用です。
タグで始まり、タグで終わります。
-----RSA公開キーの開始-----
BASE64エンコードされたデータ
-----RSA公開キーの終了-----
2. 公開キーファイル(PKCS#8):公開キーのタイプを識別し、関連データを含む、より一般的なキー形式です。
タグで始まり、タグで終わります。
-----BEGIN PUBLIC KEY-----
BASE64エンコードされたデータ
-----END PUBLIC KEY-----
キーヘッダーが見つからないエラー
シナリオ1:サードパーティCAから証明書を生成した。公開キーをコピーして貼り付け、「適用」をクリックしました。
「Error: Key header is missing」というメッセージが表示されます。ウィンドウを閉じます。この問題を解消するために、いくつかの変更を行うことができます。
このエラーを修正するには、次の手順を実行します。
公開キーの先頭にキーワードRSAを追加します:BEGIN RSA PUBLIC KEY
公開キーの最後にキーワードRSAを追加します:END RSA PUBLIC KEY
キーコードから最初の32文字を削除します。次に示す強調表示された部分は、最初の32文字の例です。
ほとんどの場合、設定を適用しても「Key header is missing」エラーは表示されません。
公開キーの読み込みエラー
シナリオ2:あるスイッチで証明書を生成し、別のスイッチにインポートした。最初の32文字を削除した後、公開キーをコピーして貼り付け、「適用」をクリックしました。
画面に「Failed to load public key」エラーが表示される。
このエラーを修正するには、この場合は公開キーの最初の32文字を削除しないでください。
CLIを使用したインポート
手順 1
CLIを使用して証明書をインポートするには、次のコマンドを入力します。
switch(config)#crypto certificate [certificate number] importこの例では、証明書2がインポートされています。
switch(config)#crypto certificate 2 import手順 2
入力を貼り付け、入力の後にピリオド(.)を別の行に追加します。
-----BEGIN RSA PRIVATE KEY-----MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQC/rZQ6f0rj8neA
...24行切り捨て....
h27Zh+aWX7dxakaoF5QokBTqWDHcMAvNluwGiZ/O3BQYgSiI+SYrZXAbUiSvfIR4
NC1WqkWzML6jW+52lD/GokmU
-----END RSA PRIVATE KEY-----
-----RSA公開キーの開始-----
MIIBCgKCAQEAv62UOn9K4/J3gCAk7i9nYL5zYm4kQVQhCcAo7uGblEprxdWkfT0l
...3行切り捨て....
64jc5fzIfNnE2QpgBX/9M40E41BX5Z0B/QIDAQAB
-----RSA公開キーの終了-----
-----BEGIN CERTIFICATE-----
MIIFvTCCBKWgAwIBAgIRAOOBWg4bkStdWPvCNYjHpbYwDQYJKoZIhvcNAQELBQAw
—28行を切り捨てました。
8S+39m9wPAOZipI0JA1/0IeG7ChLWOXKncMeZWVTIUZaEwVFf0cUzqXwOJcsTrMV
JDPtnbKXG56w0Trecu6UQ9HsUBoDQnlsN5ZBHt1VyjAP
-----END CERTIFICATE-----
.
証明書が正常にインポートされました
発行者: C=xx、ST=Gxxxxx、L=xx、O=xx CA Limited、CN=xx RSA Organization Validation Secure Server CA
発効日:2017年6月14日00:00:00 GMT
有効期限:9月11日23:59:59 2020 GMT
件名: C=DE/postalCode=xxx, ST=xx, L=xx/street=xxx 2, O=xxx , OU=IT, CN=*.kowi.eu
SHAフィンガープリント:xxxxxx
結論
これで、GUIおよびCLIを使用してSx350およびSx550Xシリーズスイッチに証明書を正常にインポートする手順を学習しました。
フィードバック