このドキュメントの目的は、グラフィカルユーザインターフェイス(GUI)およびコマンドラインインターフェイス(CLI)を使用して、Sx350およびSx550Xシリーズスイッチに証明書を正常にインポートする手順を説明することです。
Sx350およびSx550Xスイッチに証明書をインポートするときに発生する問題の1つは、キーヘッダーが欠落している、または公開キーをロードできないエラーが発生することです。このドキュメントでは、証明書を正常にインポートするためにこれらのエラーを回避する方法について説明します。証明書は、個人、サーバ、会社、またはその他のエンティティを識別し、そのエンティティを公開キーに関連付ける電子ドキュメントです。証明書はネットワークで使用され、セキュアなアクセスを提供します。証明書は、外部の認証局(CA)によって自己署名またはデジタル署名できます。 自己署名証明書は、名前が示すように、独自の作成者によって署名されます。CAは証明書要求を管理し、ホスト、ネットワークデバイス、ユーザなどの参加エンティティに証明書を発行します。CA署名付きデジタル証明書は、業界標準で安全性が高いと見なされています。
SG350バージョン2.5.0.83
SG350Xバージョン2.5.0.83
SG350XGバージョン2.5.0.83
SF350バージョン2.5.0.83
SG550Xバージョン2.5.0.83
SF550Xバージョン2.5.0.83
SG550XGバージョン2.5.0.83
SX550Xバージョン2.5.0.83
自己署名証明書または認証局(CA)証明書が必要です。自己署名証明書を取得する手順については、この記事で説明します。CA証明書の詳細については、ここをクリックしてください。
ユーザ名とパスワードを入力して、スイッチのGUIにログインします。[Log In] をクリックします。
GUIの右上にあるDisplay Modeから、ドロップダウンオプションを使用してAdvancedを選択します。
Security > SSL Server > SSL Server Authenticationの順に選択します。
自動生成された証明書のいずれかを選択します。Certificate ID 1または2を選択し、Editボタンをクリックします。
自己署名証明書を生成するには、新しいポップアップウィンドウでRegenerate RSA Keyを有効にし、次のパラメータを入力します。
キーの長さ
共通名
組織単位
組織名
場所
都道府県
Country
期間
[Generate] をクリックします。
サードパーティCAから証明書を作成することもできます。
これで、SSLサーバキーテーブルの下にユーザ定義証明書が表示されるようになります。新しく作成した証明書を選択し、Detailsをクリックします。
ポップアップウィンドウで、証明書、公開キー(Psk)、および秘密キー(暗号化)の詳細を確認できます。これらは別のメモ帳ファイルにコピーできます。Display sensitive data as Plaintextをクリックします。
ポップアップウィンドウが開き、秘密キーがプレーンテキストで表示されていることを確認します。OKをクリックします。
これで、秘密キーがプレーンテキスト形式で表示されるようになります。そのプレーンテキスト出力をメモ帳ファイルにコピーします。[Close] をクリックします。
新しく作成したUser Defined証明書を選択し、Import Certificateをクリックします。
新しいポップアップウィンドウで、Import RSA Key-Pairオプションを有効にし、秘密キー(ステップ9でコピー)をプレーンテキスト形式で貼り付けます。[APPLY] をクリックします。
この例では、キーワードRSAが公開キーのBEGINとENDの位置に含まれています。
成功の通知が画面に表示されます。このウィンドウを閉じて、スイッチの設定を保存できます。
ここで説明するエラーは、公開キーに関連しています。通常、使用される公開キー形式には次の2種類があります。
1. RSA公開キーファイル(PKCS#1):これはRSAキー専用です。
タグで始まり、タグで終わります。
-----RSA公開キーの開始-----
BASE64エンコードされたデータ
-----RSA公開キーの終了-----
2. 公開キーファイル(PKCS#8):公開キーのタイプを識別し、関連データを含む、より一般的なキー形式です。
タグで始まり、タグで終わります。
-----BEGIN PUBLIC KEY-----
BASE64エンコードされたデータ
-----END PUBLIC KEY-----
シナリオ1:サードパーティCAから証明書を生成した。公開キーをコピーして貼り付け、「適用」をクリックしました。
「Error: Key header is missing」というメッセージが表示されます。ウィンドウを閉じます。この問題を解消するために、いくつかの変更を行うことができます。
このエラーを修正するには、次の手順を実行します。
公開キーの先頭にキーワードRSAを追加します:BEGIN RSA PUBLIC KEY
公開キーの最後にキーワードRSAを追加します:END RSA PUBLIC KEY
キーコードから最初の32文字を削除します。次に示す強調表示された部分は、最初の32文字の例です。
ほとんどの場合、設定を適用しても「Key header is missing」エラーは表示されません。
シナリオ2:あるスイッチで証明書を生成し、別のスイッチにインポートした。最初の32文字を削除した後、公開キーをコピーして貼り付け、「適用」をクリックしました。
画面に「Failed to load public key」エラーが表示される。
このエラーを修正するには、この場合は公開キーの最初の32文字を削除しないでください。
CLIを使用して証明書をインポートするには、次のコマンドを入力します。
switch(config)#crypto certificate [certificate number] importこの例では、証明書2がインポートされています。
switch(config)#crypto certificate 2 import入力を貼り付け、入力の後にピリオド(.)を別の行に追加します。
-----BEGIN RSA PRIVATE KEY-----これで、GUIおよびCLIを使用してSx350およびSx550Xシリーズスイッチに証明書を正常にインポートする手順を学習しました。