Cisco DNA Center セキュリティのベストプラクティスガイド

セキュリティ Cisco DNA Center

Cisco DNA Center は、それ自体とモニタおよび管理対象のホスト/ネットワークデバイス用の多数のセキュリティ機能を提供します。セキュリティ機能は、明確に理解して、正しく設定する必要があります。次のセキュリティに関する推奨事項に従うことを強く推奨します。

Cisco DNA Center は、プライベート内部ネットワーク内、およびインターネットなどの信頼できないネットワークに対して Cisco DNA Center を開いていないファイアウォールの背後に導入してください。
管理ネットワークとエンタープライズネットワークが個別にある場合は、Cisco DNA Center の管理インターフェイスとエンタープライズインターフェイスをそれぞれ管理ネットワークとエンタープライズネットワークに接続してください。これにより、Cisco DNA Center の管理に使用されるサービスと、ネットワークデバイスとの通信および管理に使用されるサービスとの間で確実にネットワーク分離が行われます。
3 ノードクラスタセットアップで Cisco DNA Center を展開する場合は、クラスタインターフェイスが分離されたネットワークに接続されていることを確認してください。
Cisco DNA Center の自己署名サーバ証明書を、内部認証局（CA）によって署名された証明書に置き換えてください。
パッチのアナウンス後できる限り早急に、セキュリティパッチを含む重要なアップグレードで Cisco DNA Center をアップグレードしてください。詳細については、『Cisco DNA CenterUpgrade Guide』を参照してください。
HTTPS プロキシサーバを使用する Cisco DNA Center によってアクセスされるリモート URL を制限してください。Cisco DNA Center は、インターネット経由でアクセスして、ソフトウェアアップデート、ライセンス、デバイスソフトウェアをダウンロードしたり、最新のマップ情報、ユーザフィードバックなどを提供したりするように設定されています。これらの目的でインターネット接続を提供することは必須要件です。ただし、HTTPS プロキシサーバを介して安全な接続を提供します。詳細については、必要なインターネット URL と完全修飾ドメイン名へのインターネットアクセスの保護を参照してください。
既知の IP アドレスおよび範囲のみを許可し、未使用のポートへのネットワーク接続をブロックすることにより、ファイアウォールを使用した Cisco DNA Center への入力および出力管理とエンタープライズネットワーク接続を制限してください。詳細については、通信ポートを参照してください。

ユーザロールの考慮事項

ユーザには、実行が許可される機能へのアクセスを制御するロールが割り当てられます。

Cisco DNA Center は次のユーザロールをサポートしています。詳細については、『Cisco DNA Center Administrator Guide』の「About User Roles」および「Create Local Users」を参照してください。

管理者（SUPER-ADMIN-ROLE）：このロールを持つユーザは、Cisco DNA Center のすべての機能へのフルアクセスが可能です。管理者は、SUPER-ADMIN-ROLE を含むさまざまなロールを持つ他のユーザプロファイルを作成できます。このロールを持つユーザの数は制限するようにしてください。
ネットワーク管理者（NETWORK-ADMIN-ROLE）：このロールを持つユーザは、Cisco DNA Center のすべてのネットワーク関連機能へのフルアクセスが可能です。ただし、バックアップと復元など、システム関連の機能へのアクセス権はありません。
オブザーバ（OBSERVER-ROLE）：このロールを持つユーザは、Cisco DNA Center の機能への表示専用アクセスが可能です。オブザーバロールを持つユーザは、Cisco DNA Center やそれが管理するデバイスを設定または制御する機能にはアクセスできません。

Cisco DNA Center では、上記の事前設定されたユーザロールに加え、カスタムのユーザロールの作成もサポートされており、きめ細かいアクセスポリシーを使用して Cisco DNA Center の特定の機能へのユーザアクセスを許可または制限するカスタムロールを作成できます。詳細については、『Cisco DNA Center Administrator Guide』の「Configure Role Based Access Control」を参照してください。

（注）

管理者は重要な機能の設定を制御できるため、管理者ロールを持つユーザの数を制限することを強くお勧めします。

Cisco DNA Center では、Cisco Identity Services Engine（ISE）やその他の認証、許可、およびアカウンティング（AAA）サーバをユーザ認証に使用できます。詳細については、『Cisco DNA Center Administrator Guide』の「Configure Authentication and Policy Servers」を参照してください。

Cisco DNA Center の展開の保護

Cisco DNA Center は、それ自体とモニタおよび管理対象のホスト/ネットワークデバイス用の多数のセキュリティ機能を提供します。ここに示すように、Cisco DNA Center と Cisco ISE はローカルデータセンター（キャンパスのヘッド）またはリモートデータセンターのいずれかのファイアウォールの背後に配置することを強くお勧めします。

Cisco DNA Center に Web GUI からアクセスし、Cisco DNA Center がネットワークデバイスと対話できるようにするには、ファイアウォールで特定のポートを設定する必要があります。Cisco DNA Center はクラウドと統合し、実際の遅延要件に合わせて世界中に分散されます。

通信ポート

セキュリティに関する推奨事項：

Cisco DNA Center の展開を保護するための多層防御アプローチとして、Cisco DNA Center と管理ネットワークやエンタープライズネットワークの間にファイアウォールを展開します。
特定の IP アドレス/範囲のポートを開きます。

次の表に、Cisco DNA Center が使用するポート、それらのポート上で通信するサービスの名前、およびポート使用における製品の目的を示します。「推奨処置」列は、ネットワークトラフィックを既知の IP アドレスまたは範囲に制限できるかどうか、Cisco DNA Center のポートやサービスとの間のネットワーク接続を Cisco DNA Center の機能に影響を与えることなくブロックできるかどうか、ポートを開いておく必要があるかどうかを示します。

Cisco DNA Center の宛先ポートは一部重複しています。サブセクションに用途と関連するネットワークサービスを示してあります。ファイアウォールルールで送信元や宛先の IP アドレスまたは範囲を制限できるほか、Cisco DNA Center の展開で使用していないサービスについてはポートを完全に開かないように選択できます。

ポート

サービス名（Service Name）

目的

推奨処置

管理/設定 Cisco DNA Center

TCP 443

UI、REST、HTTPS

Web UI、REST、HTTPS 管理ポート。

ポートを開いておく必要があります。

TCP 2222

Cisco DNA Center シェル

Cisco DNA Center シェルに接続します。

ポートを開いておく必要があります。既知の IP アドレスを送信元に制限します。

TCP 9004

Web UI インストール

Web UI ベースのインストールページを提供します（Web ベースのオプションを使用して Cisco DNA Center をインストールする場合にのみ必要です）。

ノードのインストールが完了するまでポートを開いておく必要があります。

TCP 9005

Web UI インストール API サービス

Web ベースのインストール用の API を提供します（ブラウザクライアントによってポート 9004 から接続されます。外部エージェントはアクセスを必要としません）。

クラスタの形成が完了するまでポートを開いておく必要があります。

Cisco DNA Center からデバイス/他のシステムへのアウトバウンド

—

ICMP

Cisco DNA Center では、ネットワークデバイスの検出やネットワーク接続の問題のトラブルシューティングに ICMP メッセージを使用します。

ICMP を有効にします。

TCP 22

SSH

Cisco DNA Center では、次の目的でネットワークデバイスに接続する際に SSH を使用します。

検出用にデバイス設定を読み取る。
設定を変更する。

また、Cisco DNA Center では、Cisco Identity Services Engine への接続や初期統合にも SSH を使用します。

Cisco DNA Center と以下の間で SSH を開いておく必要があります。

管理対象ネットワーク
Cisco Identity Services Engine

TCP 23

Telnet

Telnet は使用しないことを強く推奨します。

Telnet は推奨されませんが、Cisco DNA Center では検出用のデバイス設定の読み取りや設定の変更に Telnet を使用できます。

Telnet はデバイス管理に使用できますが、SSH のようなセキュリティメカニズムがないため推奨されません。

TCP 49

TACACS+

Cisco Identity Services Engine などの TACACS+ サーバを使用した外部認証を使用している場合のみ必要です。

TACACS+ サーバを使用した外部認証を使用している場合のみ、ポートを開いておく必要があります。

UDP 53

DNS

Cisco DNA Center では、ホスト名の解決に DNS を使用します。

DNS によるホスト名の解決用にポートを開いておく必要があります。

UDP 123

NTP

Cisco DNA Center では、指定したソースとの時刻の同期に NTP を使用します。

時刻の同期用にポートを開いておく必要があります。

UDP 161

SNMP

Cisco DNA Center では、ネットワークデバイスの検出、デバイスタイプを含むデバイスインベントリの詳細の読み取り、CPU や RAM などのテレメトリデータの収集に SNMP を使用します。

ネットワークデバイスの管理と検出用にポートを開いておく必要があります。

TCP 443

HTTPS

クラウド接続型のアップグレードに使用されます。

クラウド接続、テレメトリ、およびソフトウェアアップグレード用にポートを開いておく必要があります。

TCP 830

NETCONF

Cisco DNA Center では、デバイスのインベントリ、検出、および設定に NETCONF を使用できます。

NETCONF をサポートするネットワークデバイスの管理と検出用にポートを開いておく必要があります。

UDP 1645、1812

RADIUS

RADIUS サーバを使用した外部認証を使用する場合のみ必要です。

Cisco DNA Center へのユーザログインの認証に外部 RADIUS サーバを使用している場合のみ、ポートを開いておく必要があります。

TCP 5222、8910

Cisco ISE

Cisco ISE XMP（PxGrid 用）。

Cisco ISE 用にポートを開いておく必要があります。

TCP 9060

Cisco ISE

Cisco ISE ERS API トラフィック。

Cisco ISE 用にポートを開いておく必要があります。

デバイスから Cisco DNA Center

—

ICMP

デバイスは ICMP メッセージを使用してネットワーク接続の問題を通知します。

ICMP を有効にします。

TCP 22、80、443

HTTPS、SFTP、HTTP

Cisco DNA Center からのソフトウェアイメージのダウンロードに HTTPS 443、SFTP 22、HTTP 80 を使用します。

Cisco DNA Center からの証明書のダウンロードに HTTPS 443、HTTP 80（Cisco 9800 ワイヤレスコントローラ、PnP）、センサー/テレメトリを使用します。

（注）

ポート 80 については、プラグアンドプレイ（PnP）、ソフトウェアイメージ管理（SWIM）、組み込みイベント管理（EEM）、デバイス登録、および Cisco 9800 ワイヤレスコントローラを使用しない場合はブロックしてください。

これらのポートで Cisco DNA Center にアクセスできるホストまたはネットワークデバイスの送信元 IP がファイアウォールルールで制限されていることを確認してください。

（注）

HTTP 80 の使用は推奨されません。可能な限り HTTPS 443 を使用してください。

UDP 123

NTP

デバイスは時刻の同期に NTP を使用します。

デバイスが時刻を同期できるようにポートを開いておく必要があります。

UDP 162

SNMP

Cisco DNA Center はデバイスから SNMP ネットワークテレメトリを受信します。

SNMP に基づくデータ分析用にポートを開いておく必要があります。

UDP 514

Syslog

Cisco DNA Center はデバイスから syslog メッセージを受信します。

syslog に基づくデータ分析用にポートを開いておく必要があります。

UDP 6007

NetFlow

Cisco DNA Center はデバイスから NetFlow ネットワークテレメトリを受信します。

NetFlow に基づくデータ分析用にポートを開いておく必要があります。

TCP 9991

Wide Area Bonjour サービス

Cisco DNA Center は、Bonjour 制御プロトコルを使用して、サービス検出ゲートウェイ（SDG）エージェントからマルチキャストドメインネームシステム（mDNS）トラフィックを受信します。

Bonjour アプリケーションがインストールされている場合、Cisco DNA Center でポートを開いておく必要があります。

UDP 21730

アプリケーション可視性サービス

アプリケーション可視性サービスの CBAR デバイス通信。

ネットワークデバイスで CBAR が有効になっている場合、ポートを開いておく必要があります。

TCP 25103

Cisco 9800 ワイヤレスコントローラ

Cisco 9800 ワイヤレスコントローラのテレメトリに使用されます。

Cisco DNA Center で Cisco 9800 ワイヤレスコントローラが展開されている場合のみ、ポートを開いておく必要があります。

TCP 32626

インテリジェントキャプチャ（gRPC）コレクタ

Cisco DNA アシュアランスインテリジェントキャプチャ（gRPC）機能で使用されるトラフィック統計情報とパケットキャプチャデータの受信に使用されます。

Cisco DNA アシュアランスインテリジェントキャプチャ（gRPC）機能を使用する場合、ポートを開いておく必要があります。

Cisco DNA Center 監視の管理/設定（ディザスタリカバリ用）

TCP 2222

Cisco DNA Center

監視シェル（ディザスタリカバリ）

Cisco DNA Center 監視シェルに接続します。

Cisco DNA Center ディザスタリカバリアプリケーションを使用していて、Cisco DNA Center 監視を展開している場合、ポートを開いておく必要があります。既知の IP アドレスを送信元に制限します。

Cisco DNA Center クラスタから Cisco DNA Center クラスタ（ディザスタリカバリ用）

TCP/UDP 8300 ～ 8302

TCP 31000、31001、31002、31003、31004

ディザスタリカバリ

Cisco DNA Center では、ディザスタリカバリサービスを使用して、パッシブ接続クラスタにクラスタ状態を複製し、ネットワーク管理業務を接続クラスタに移すことでクラスタ障害シナリオから回復します。

Cisco DNA Center ディザスタリカバリアプリケーションを使用している場合、ポートを開いておく必要があります。

UDP 500、4500

ディザスタリカバリ（IPSEC トンネル用）

Cisco DNA Centerのディザスタリカバリサービスでは、アクティブクラスタ、パッシブクラスタ、監視システムの間のデータ転送に IPSEC トンネルを使用します。

Cisco DNA Center ディザスタリカバリアプリケーションを使用している場合、ポートを開いておく必要があります。

Cisco DNA Center 監視から Cisco DNA Center クラスタ（ディザスタリカバリ用）

TCP/UDP 8300 ～ 8302

TCP 443

ディザスタリカバリ

Cisco DNA Center では、ディザスタリカバリサービスを使用して、パッシブ接続クラスタにクラスタ状態を複製し、ネットワーク管理業務を接続クラスタに移すことでクラスタ障害シナリオから回復します。

Cisco DNA Center ディザスタリカバリアプリケーションを使用している場合、ポートを開いておく必要があります。

UDP 500、4500

ディザスタリカバリ（IPSEC トンネル用）

Cisco DNA Centerのディザスタリカバリサービスでは、アクティブクラスタ、パッシブクラスタ、監視システムの間のデータ転送に IPSEC トンネルを使用します。

Cisco DNA Center ディザスタリカバリアプリケーションを使用している場合、ポートを開いておく必要があります。

Cisco DNA Center のディザスタリカバリの有効化

Cisco DNA Center は、Cisco DNA Center クラスタの損失（またはデータセンターの損失）から回復し、運用の継続性を維持するメカニズムを備えています。これは、Cisco DNA Center の「ディザスタリカバリ」アプリケーションによるもので、メイン Cisco DNA Center クラスタから 2 番目のスタンバイ（リカバリ）Cisco DNA Center クラスタにすべての重要なデータを複製することで実現されます。

セキュリティに関する推奨事項：Cisco DNA Center クラスタの損失（またはデータセンターの損失）から回復し、運用の継続性を維持するために、Cisco DNA Center のディザスタリカバリサービスを有効にすることを推奨します。

Cisco DNA Center リカバリクラスタには、メイン Cisco DNA Center クラスタから複製されたすべての重要なデータ（MongoDB、Postgresql、クレデンシャルと証明書、ファイルサービス）が含まれており、メイン Cisco DNA Center クラスタが失われた場合に制御を引き継ぎます。詳細については、『Cisco DNA Center Administrator Guide』の「Configure Disaster Recovery」を参照してください。

（注）

ディザスタリカバリでは、ディザスタリカバリシステム（メイン、リカバリ、および監視）間のネットワークトラフィックを保護するために IPsec トンネリングを使用します。ディザスタリカバリシステム間の IPsec トンネリングを設定するための認証は、証明書ベースの認証（OpenSSL 証明書）を通じて行われます。

IPsec トンネリングでは、IPsec プロトコルのキー交換フェーズに安全で堅牢な IKE2 プロトコルを使用します。

ディザスタリカバリには別の証明書（HTTPS 接続用の DNA Center システム証明書とは別の証明書）を使用します。詳細については、『Cisco DNA Center Administrator Guide』の「Add Disaster Recovery Certificate」を参照してください。

必要なインターネット URL と完全修飾ドメイン名へのインターネットアクセスの保護

セキュリティに関する推奨事項：HTTP（s）プロキシによるセキュアなアクセスを許可するのは、Cisco DNA Center で必要な URL と完全修飾ドメイン名だけにすることを推奨します。

詳細については、最新の『Cisco DNA Center Second-Generation Appliance Installation Guide』の「Required Internet URLs and Fully Qualified Domain Names」および「Provide Secure Access to the Internet」を参照してください。

管理インターフェイスの保護

Cisco Integrated Management Controller（IMC）を使用している場合、Cisco DNA Center アプライアンスで最初に実行するセキュリティアクションは、アウトオブバンド管理インターフェイス（Cisco IMC）アカウントの保護です。パスワードポリシーに従って、admin アカウントのデフォルトパスワードをより強力な値に変更します。『Cisco DNA Center Appliance Installation Guide』の「Enable Browser Access to Cisco IMC」および『Cisco DNA Center Administrator Guide』の「Configure External Authentication」を参照してください。

（注）

スーパー管理者アクセス権を持つ Maglev CLI ユーザのパスワードを保護する必要があります。詳細については、『Cisco DNA Center Appliance Installation Guide』の「Configure the Primary Node」を参照してください。

インターフェイスへの IP トラフィックのレート制限

セキュリティに関する推奨事項：ネットワークデバイスから Cisco DNA Center への着信 IP トラフィックにレート制限を適用することを推奨します。

デフォルトでは、Cisco DNA Center のインターフェイスへの IP トラフィックにはレート制限は適用されません。ただし、内部のネットワークの脅威からの DOS/DDOS 攻撃に対する保護として、特定の送信元 IP からの着信 IP トラフィックまたは Cisco DNA Center インターフェイスへのすべてのトラフィック（特定の送信元 IP からのトラフィックまたはすべてのトラフィック）にレート制限を適用することをお勧めします。

始める前に

この手順を実行するためには、maglev SSH アクセス権限が必要です。

手順

ステップ 1

SSH クライアントを使用して、設定ウィザードで指定した IP アドレスで Cisco DNA Center アプライアンスにログインします。

SSH クライアントで入力する IP アドレスは、ネットワークアダプタ用に設定した IP アドレスです。この IP アドレスは、アプライアンスを外部ネットワークに接続します。

ステップ 2

要求された場合は、SSH アクセス用にユーザ名とパスワードを入力します。

ステップ 3

特定の送信元からの着信トラフィックを制限するには、次のコマンドを入力します。

/opt/maglev/bin/throttle_ip [options]
Options
-h show this help text
-i IP to rate limit (default: 0.0.0.0 i.e. ALL traffic)
-c Committed Information Rate in KBps (default: 100 K Bps)
-n Interface number (Mandatory parameter)
-d delete the last config and move the NIC to default configuration
-a Insert the new IP (to be throttled) in the already build filter list
-s show the current filter

（注）

特定の IP アドレスを入力しない場合、インターフェイス全体がスロットリングされます。インターフェイス名は必須で、トラフィックのすべてのクラスの入力転送レートがユーザ定義の基準に基づいて制限されます。

例

#To create a new filter list
./throttle_ip -i 192.0.2.105 -n enp0s8 -c 256

#To add a new IP with different bandwidth
./throttle_ip -a 192.0.2.106 -n enp0s8 -c 512

#To delete all the IP from the List
./throttle_ip -d -n enp0s8

#To show the filters
./throttle_ip -s -n enp0s8

ステップ 4

Cisco DNA Center アプライアンスからログアウトします。

最小 TLS バージョンの変更と RC4-SHA の有効化（安全でない）

外部ネットワークからのノースバウンド REST API 要求（ノースバウンド REST API ベースのアプリケーション、ブラウザ、および HTTPS を使用して Cisco DNA Center に接続しているネットワークデバイスなど）は、Transport Layer Security（TLS）プロトコルを使用して保護されます。

デフォルトでは、Cisco DNA Center は TLSv1.1 と TLSv1.2 をサポートしますが、RC4 暗号には既知の弱点があるため、SSL/TLS 接続の RC4 暗号はサポートしません。ネットワークデバイスでサポートされている場合は、最小 TLS バージョンを TLSv1.2 にアップグレードすることを推奨します。

Cisco DNA Center 制御下のネットワークデバイスが既存の最小 TLS バージョン（TLSv1.1）または暗号をサポートできない場合、Cisco DNA Center には最小 TLS バージョンをダウングレードし、RC4-SHA を有効にする設定オプションが用意されています。ただし、セキュリティ上の理由から、Cisco DNA Center TLS のバージョンをダウングレードしたり RC4-SHA 暗号を有効にしたりすることは推奨されません。

Cisco DNA Center で TLS のバージョンの変更や RC4-SHA の有効化が必要な場合は、アプライアンスにログインし、CLI を使用して行います。

（注）

CLI コマンドは、リリースごとに変更される可能性があります。次の CLI の例では、すべての Cisco DNA Center リリースに適用されない可能性のあるコマンド構文を使用しています。

始める前に

この手順を実行するためには、maglev SSH アクセス権限が必要です。

重要	このセキュリティ機能は、Cisco DNA Center にポート 443 を適用します。この手順の実行により、Cisco DNA Center インフラストラクチャへのポートのトラフィックが数秒間無効になることがあります。したがって、TLS の設定は頻繁に行わないようにし、オフピーク時間またはメンテナンス期間中にのみ行う必要があります。

手順

ステップ 1

SSH クライアントを使用して、設定ウィザードで指定した IP アドレスで Cisco DNA Center アプライアンスにログインします。

SSH クライアントで入力する IP アドレスは、ネットワークアダプタ用に設定した IP アドレスです。この IP アドレスは、アプライアンスを外部ネットワークに接続します。

ステップ 2

要求された場合は、SSH アクセス用にユーザ名とパスワードを入力します。

ステップ 3

次のコマンドを入力して、クラスタで現在有効になっている TLS バージョンを確認します。

例

Input
$ magctl service tls_version --tls-min-version show
Output
TLS minimum version is 1.1

ステップ 4

クラスタの TLS バージョンを変更する場合は、次のコマンドを入力します。たとえば、Cisco DNA Center 制御下のネットワークデバイスが既存の TLS バージョンをサポートできない場合は、現在の TLS バージョンを下位バージョンに変更する必要が生じることがあります。

例：TLS バージョン 1.1 から 1.0 への変更

Input
$ magctl service tls_version --tls-min-version 1.0
Output
Enabling TLSv1.0 is recommended only for legacy devices
Do you want to continue? [y/N]: y
WARNING: Enabling TLSv1.0 for api-gateway
deployment.extensions/kong patched

例：TLS バージョン 1.1 から 1.2 への変更（RC4-SHA を有効にしていない場合のみ可能）

Input
$ magctl service tls_version --tls-min-version 1.2
Output
Enabling TLSv1.2 will disable TLSv1.1 and below
Do you want to continue? [y/N]: y
WARNING: Enabling TLSv1.2 for api-gateway
deployment.extensions/kong patched

（注）

RC4-SHA 暗号が有効になっている場合、TLS バージョン 1.2 を最小バージョンとして設定することはサポートされていません。

ステップ 5

クラスタで RC4-SHA を有効にするには、次のコマンドを入力します（セキュアでないため、必要な場合だけにしてください）。

TLS バージョン 1.2 が最小バージョンである場合、RC4-SHA 暗号を有効にすることはサポートされていません。

例：TLS バージョン 1.2 が有効になっていない

Input
$ magctl service ciphers --ciphers-rc4=enable kong
Output
Enabling RC4-SHA cipher will have security risk
Do you want to continue? [y/N]: y
WARNING: Enabling RC4-SHA Cipher for kong
deployment.extensions/kong patched

ステップ 6

プロンプトで次のコマンドを入力して、TLS および RC4-SHA が設定されていることを確認します。

例

Input
$ magctl service display kong 
Output
      containers:
      - env:
        - name: TLS_V1
          value: "1.1"
        - name: RC4_CIPHERS
          value: "true"

RC4 および TLS の最小バージョンが設定されている場合は、magctl service display kong コマンドの env: にリストされます。これらの値が設定されていない場合は、env: に表示されません。

ステップ 7

以前に有効にした RC4-SHA 暗号を無効にする場合は、クラスタで次のコマンドを入力します。

Input
$ magctl service ciphers --ciphers-rc4=disable kong
Output
WARNING: Disabling RC4-SHA Cipher for kong
deployment.extensions/kong patched

ステップ 8

Cisco DNA Center アプライアンスからログアウトします。

Cisco DNA Centerでの HTTPS 接続への OCSP および CRL の使用

Cisco DNA Center では、オンライン証明書ステータスプロトコル（OCSP）と証明書失効リスト（CRL）を使用して、リモート証明書が失効していないことを確認します。

そのプロセスは次のとおりです。

手順

ステップ 1

Cisco DNA Center は OCSP をチェックします。証明書の Authority Information Access（AIA）フィールドに有効な OCSP URI/URL が記載されていれば、Cisco DNA Center は失効ステータスを検証するためにその URI/URL に OCSP 要求を送信します。

証明書が失効している場合、Cisco DNA Center は接続を終了し、エラーを返します。
証明書が失効していない場合、接続に進みます。
接続がタイムアウトした場合（エアギャップネットワークの場合など）、次の手順に進みます。

ステップ 2

Cisco DNA Center は CRL をチェックします。証明書に CRL Distribute Points フィールドがあり、そのフィールドに有効な CRL URI/URL のエントリが少なくとも 1 つ記載されていれば、Cisco DNA Center はその URI/URL から CRL をダウンロードし、ダウンロードした CRL と照合して証明書を検証します。

証明書が失効している場合、Cisco DNA Center は接続を終了し、エラーを返します。
証明書が失効していない場合、接続に進みます。
接続がタイムアウトした場合（エアギャップネットワークの場合など）、接続に進みます。これが最後のチェックであり、ほかには証明書が失効していることを確認する方法がないためです。

（注）

Cisco DNA Center では、HTTP タイプの CRL または OCSP をサポートしていますが、Lightweight Directory Access Protocol（LDAP）CRL の使用はサポートしていません。

たとえば、Microsoft Certification Authority（MS CA）にリモートシステムの証明書を要求するときは、OCSP/HTTP URL を追加して LDAP CRL を削除するように CDP および AIA 拡張を設定できます。詳細については、「Configure the CDP and AIA Extensions on CA1」を参照してください。

クレデンシャルとパスワードの管理

クラスタのパスワード

Cisco DNA Center は、3 ノード構成のクラスタをサポートします。効率性とセキュリティのために、次のことを推奨します。

クラスタを作成する際は、エンタープライズネットワークへの接続用、クラスタ内ネットワークの形成用、および専用管理ネットワークへの接続用に、それぞれ専用のインターフェイスを作成してください。
クラスタ内ネットワークは隔離されたレイヤ 2 セグメントとして作成し、他のネットワークセグメントを介して接続またはルーティングしないようにします。
Cisco DNA Center のクラスタメンバー間でパスワード（Cisco IMC または SSH）を再利用しないでください。

SSH/Maglev パスワードの回復

SSH パスワードは保護する必要があります。SSH パスワードを共有する相手はスーパー管理者だけにしてください。Cisco DNA Center には SSH パスワードを回復する機能はありません。

SSH アカウントのロックアウトと回復

SSH を使用したログイン試行に 6 回連続して失敗すると、最後に失敗した時点から 5 分間、maglev アカウントが一時的にロックされます。このロックアウト期間中は、正しいパスワードでのログイン試行も失敗し、ログイン失敗としてカウントされます。SSH ログインのアカウントのロックは、その間にログインアクティビティがなければ 5 分後に解除されます。ただし、ロックアウト期間中も Cisco IMC コンソールを使用したログインは引き続き機能します。管理者は、Linux シェルで次のコマンドを実行することで、ロックアウト期間中に SSH ログインを有効にできます。

sudo pam_tally2 --reset

Web UI パスワードの回復

Web UI ユーザがパスワードを忘れた場合は、コマンドラインシェルを使用してパスワードをリセットできます。これには SSH またはコンソールアクセスが必要です。『Cisco DNA Center Administrator Guide』の「Reset a Forgotten Password」を参照してください。

パスワードの暗号化

Cisco DNA Center の着脱可能な認証モジュール（PAM）では、デフォルトでは SHA-512 ハッシュアルゴリズムを使用してローカルユーザアカウントのパスワードを保存およびハッシュします（UNIX ベースのシステムで使用可能な最も強力な方法）。Cisco DNA Center のパスワード暗号化メカニズムについて、ユーザが設定可能なアクションはありません。

ログとデータベース管理

システムログは、昇格された権限（sudo アクセス）を持つオペレーティングシステム管理者ユーザが使用できます。アプリケーションログは Elasticsearch に保存され、認証後に Web UI からアクセスできます。データベースはクレデンシャルによって保護されます。クレデンシャルはインストール時にランダムに生成され、データベースアクセスを必要とするアプリケーションに安全に渡されます。これらの設定の変更について、ユーザが設定可能なアクションはありません。

通信プロトコルのペイロード暗号化

クラスタモードでは、Cisco DNA Center のノードはクラスタ内ネットワークを介して相互に通信します。クラスタ内トラフィックに個別の暗号化は適用されません。クラスタ内ネットワークを分離しておくことが重要です。

（注）

相互に機密データを交換するサービスでは HTTPS を使用します。

Web UI ユーザと Linux/Maglev ユーザのパスワードの変更

セキュリティに関する推奨事項：Cisco DNA Center Web UI ユーザのパスワードと Maglev ユーザのパスワードは定期的に変更することを推奨します。

手順

ステップ 1

Linux/Maglev ユーザのパスワードを変更するには、次の手順を実行します。

SSH クライアントを使用して、設定ウィザードで指定した IP アドレスで Cisco DNA Center アプライアンスにログインします。SSH クライアントで入力する IP アドレスは、ネットワークアダプタ用に設定した IP アドレスです。
要求された場合は、SSH アクセス用にユーザ名とパスワードを入力します。
次のコマンドを入力します。
```
Input
$ sudo maglev-config update
```
Maglev 設定ウィザードのようこそ画面が開きます。
[User Account Settings] ウィザード画面が表示されるまで [next>>] をクリックします。
maglev ユーザの Linux パスワードを入力します。

[CONFIGURATION SUCCEEDED!] メッセージが表示されるまで [next>>] をクリックします。

（注）

詳細については、『Cisco DNA Center Second-Generation Appliance Installation Guide』の「Configure the Appliance Using the Maglev Wizard」の章を参照してください。

ステップ 2

Web UI ユーザのパスワードを変更するには、次の手順を実行します。

（注）

ユーザ自身だけが Cisco DNA Center にログインするために入力するパスワードを変更できます。管理者権限を持つユーザも、別のユーザのパスワードを変更できません。管理者が別のユーザのパスワードを変更する必要がある場合は、削除して新しいパスワードを持つユーザを再度追加する必要があります。

Cisco DNA Center Web UI にログインします。
Cisco DNA Center GUI で [Menu] アイコン（）をクリックして選択します。[System] > [Users & Roles] > [Change Password] の順にクリックします。
必要なフィールドに情報を入力し、[Update] をクリックします。

デフォルトの証明書

セキュリティに関する推奨事項：Cisco DNA Center のデフォルトの TLS 証明書を内部認証局の署名付き証明書に変更することを推奨します。

デフォルトでは、Cisco DNA Center は自己署名証明書を使用します。Cisco DNA Center によるデバイスの管理には、それ以外に展開されていなければ、デバイスの自己署名証明書が使用されます。展開時には内部認証局の署名付き証明書を使用することを強く推奨します。

（注）

Cisco DNA Center の証明書を自己署名証明書から内部 CA の署名付き証明書、またはルート CA の証明書から下位 CA の証明書に変更する際は、ネットワーク機能が中断します。証明書のアップグレードは展開の開始前に行うことを強く推奨します。

証明書および秘密キーのサポート

Cisco DNA Center は、セッション（HTTPS）の認証に使用される PKI 証明書管理機能をサポートしています。これらのセッションでは、CA と呼ばれる一般に認められた信頼されたエージェントを使用します。Cisco DNA Center は、PKI 証明書管理機能を使用して、内部 CA から X.509 証明書をインポートして保存し、管理します。インポートされた証明書は Cisco DNA Center のアイデンティティ証明書になり、Cisco DNA Center は認証のためにこの証明書をクライアントに提示します。クライアントは、ノースバウンド API アプリケーションとネットワークデバイスです。

Cisco DNA Center GUI を使用して次のファイルを（PEM または PKCS ファイル形式で）インポートできます。

X.509 証明書
秘密キー（Private key）

（注）

秘密キーについては、Cisco DNA Center で RSA キーのインポートをサポートしています。DSA、DH、ECDH、および ECDSA キータイプはサポートされていないため、インポートしないでください。また、独自のキー管理システムで秘密キーを保護する必要があります。秘密キーのモジュラスサイズは最小でも 2048 ビット必要です。

インポートする前に、内部 CA で発行された有効な X.509 証明書と秘密キーを取得する必要があります。証明書は所有する秘密キーに対応している必要があります。インポートすると、X.509 証明書と秘密キーに基づくセキュリティ機能が自動的にアクティブ化されます。Cisco DNA Center は証明書を、要求するデバイスまたはアプリケーションに提示します。ノースバウンド API アプリケーションとネットワークデバイスでは、これらのログイン情報を使用して Cisco DNA Center との信頼関係を確立できます。

（注）

自己署名証明書を使用したり、Cisco DNA Center にインポートしたりすることは推奨されません。内部 CA から有効な X.509 証明書をインポートすることをお勧めします。さらに、PnP 機能を正常に動作させるには、自己署名証明書（デフォルトで Cisco DNA Center にインストールされている）を、内部 CA によって署名された証明書で置き換える必要があります。

Cisco DNA Center は一度に 1 つのインポート済み X.509 証明書および秘密キーだけをサポートします。2 つ目の証明書および秘密キーをインポートすると、最初の（既存の）インポート済み証明書および秘密キーの値が上書きされます。

証明書チェーンのサポート

Cisco DNA Center では、GUI を介して証明書と秘密キーをインポートできます。Cisco DNA Center にインポートされる証明書（署名された証明書）につながる証明書チェーンに含まれる下位証明書がある場合は、それらの下位証明書とそれらの下位 CA のルート証明書がいっしょに、インポートされる単一のファイルに追加される必要があります。これらの証明書を追加する場合は、認定の実際のチェーンと同じ順序で追加する必要があります。

次の証明書は、単一の PEM ファイルに一緒に貼り付ける必要があります。証明書のサブジェクト名と発行元を調べて、正しい証明書がインポートされ、正しい順序が維持されていることを確認してください。また、チェーンに含まれるすべての証明書がいっしょに貼り付けられていることを確認してください。

[Signed Cisco DNA Center certificate]：件名フィールドに CN=<FQDN of Cisco DNA Center> が含まれていて、発行元が発行機関の CN を持っている。

（注）

サードパーティ証明書をインストールする場合は、Cisco DNA Center へのアクセスに使用するすべての DNS 名（DNA Center の FQDN を含む）が証明書の alt_names セクションで指定されていることを確認してください。詳細については、Open SSL を使用した証明書要求の生成のステップ 3 を参照してください。

[Issuing (subordinate) CA certificate that issues the Cisco DNA Center certificate]：件名フィールドに Cisco DNA Center の証明書を発行する（下位）CA の CN が含まれていて、発行元がルート CA の CN である。
[Next issuing (root/subordinate CA) certificate that issues the subordinate CA certificate]：件名フィールドがルート CA で、発行元が件名フィールドと同じ値である。それらが同じ値でない場合は、その次の発行元を追加していきます。

Open SSL を使用した証明書要求の生成

手順

ステップ 1

SSH クライアントを使用して Cisco DNA Center クラスタにログインし、/home/maglev の下に一時フォルダを作成します。たとえば、ホームディレクトリで mkdir tls-cert;cd tls-cert コマンドを入力します。

ステップ 2

次の手順に進む前に、maglev cluster network display コマンドを入力して、Cisco DNA Center の設定時に Cisco DNA Center のホスト名（FQDN）が設定されていることを確認します。

Input 
$ maglev cluster network display 
Output 
cluster_network: 
	cluster_dns: 169.254.20.10 
	cluster_hostname: fqdn.cisco.com 

NOTE: You need to have root privileges to run this command

出力フィールド cluster_hostname が空であるか目的のものと異なる場合は、maglev cluster config-update コマンドを入力して Cisco DNA Center のホスト名（FQDN）を追加または変更します。

Input 
$ maglev-config update 
Output 
Maglev config wizard GUI 

NOTE: You need to have root privileges to run this command

入力プロンプト [Cluster's hostname] を含む [MAGLEV CLUSTER DETAILS] という手順が表示されるまで、[next] をタップおよびクリックします。ホスト名を目的の Cisco DNA Center の FQDN に設定します。Cisco DNA Center が新しい FQDN で再設定されるまで [next] と [proceed] をクリックします。

ステップ 3

任意のテキストエディタを使用して、openssl.cnf という名前のファイルを作成し、前の手順で作成したディレクトリにアップロードします。次の例を参考に、展開に合わせて調整してください。

認証局管理チームから 2048/sha256 を求められた場合は、default_bits と default_md を調整します。
req_distinguished_name セクションと alt_names セクションのすべてのフィールドの値を指定します。唯一の例外は OU フィールドで、このフィールドは省略可能です。認証局管理チームから求められていなければ OU フィールドは省略します。
emailAddress フィールドは省略可能です。認証局管理チームから求められていなければ省略します。

alt_names セクション：証明書の設定要件は Cisco DNA Center のバージョンによって異なります。

FQDN は Cisco DNA Center 2.1.1 以降でサポートされます。Cisco DNA Center 2.1.1 より前のバージョンでは、証明書のサブジェクト代替名（SAN）に IP アドレスを含める必要があります。Cisco DNA Center 2.1.1 以降のバージョンと Cisco DNA Center 2.1.1 より前のバージョンのそれぞれについて、alt_names セクションの設定を次に示します。

Cisco DNA Center 2.1.1 以降のバージョン：

alt_names セクションに、Web ブラウザまたは PnP や Cisco ISE などの自動プロセスで Cisco DNA Center へのアクセスに使用するすべての DNS 名（Cisco DNA Center の FQDN を含む）が含まれている必要があります。

alt_names セクションの最初の DNS エントリは Cisco DNA Center の FQDN にする必要があります（DNS.1 = FQDN-of-Cisco-DNA-Center）。Cisco DNA Center の FQDN の代わりにワイルドカードの DNS エントリを追加することはできません。ただし、alt-names セクションの後続の DNS エントリ（PnP およびその他の DNS エントリ）にはワイルドカードを使用できます。たとえば、*.domain.com は有効なエントリです。

重要	ディザスタリカバリ設定に同じ証明書を使用している場合、ディザスタリカバリシステムサイトの DNS エントリを alt_names セクションに追加する際にワイルドカードを使用することはできません。ただし、ディザスタリカバリ設定には別の証明書を使用することを推奨します。詳細については、『Cisco DNA Center Administrator Guide』の「Add Disaster Recovery Certificate」のセクションを参照してください。

alt_names セクションに、DNS エントリとして FQDN-of-Cisco-DNA-Center が含まれている必要があります。これは、Cisco DNA Center の設定時に設定ウィザード（入力フィールド [Cluster's hostname]）で設定した Cisco DNA Center のホスト名（FQDN）と一致している必要があります。

Cisco DNA Center では、現在のところ、すべてのインターフェイスに対して 1 つのホスト名（FQDN）のみがサポートされています。DNS クエリを受信したネットワークに基づいて Cisco DNA Center のホスト名（FQDN）の管理 IP/仮想 IP とエンタープライズ IP/仮想 IP を解決する GeoDNS ポリシーを設定する必要があります。

（注）

Cisco DNA Center のディザスタリカバリを有効にしている場合は、DNS クエリを受信したネットワークに基づいて Cisco DNA Center のホスト名（FQDN）のディザスタリカバリ管理仮想 IP とディザスタリカバリエンタープライズ仮想 IP を解決する GeoDNS ポリシーを設定する必要があります。

Cisco DNA Center 2.1.1 より前のバージョン：

alt_names セクションに、Web ブラウザまたは PnP や Cisco ISE などの自動プロセスで Cisco DNA Center へのアクセスに使用するすべての IP アドレスと DNS 名が含まれている必要があります（この例では、3 ノードの Cisco DNA Center クラスタを想定しています。スタンドアロンデバイスの場合は、そのノードと VIP のみの SAN を使用します。後でデバイスをクラスタ化する場合は、証明書を再作成して新しいクラスタメンバの IP アドレスを含めることができます）。

クラウドインターフェイスを設定していない場合は、クラウドポートのフィールドを省略します。
- extendedKeyUsage 拡張の属性 serverAuth と clientAuth は必須です。いずれかの属性を省略すると、Cisco DNA Center で SSL 証明書が拒否されます。
- 自己署名証明書をインポートする場合（非推奨）、X.509 の基本制約の「CA:TRUE」拡張を含める必要があります。

openssl.cnf の例（Cisco DNA Center 2.1.1 以降のバージョン用）

req_extensions = v3_req
distinguished_name = req_distinguished_name
default_bits = 4096
default_md = sha512
prompt = no
[req_distinguished_name]
C = <two-letter-country-code>
ST = <state-or-province>
L = <city>
O = <company-name>
OU = MyDivision
CN = FQDN-of-Cisco-DNA-Center
emailAddress = responsible-user@mycompany.tld

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = FQDN-of-Cisco-DNA-Center
DNS.2 = pnpserver.DomainAssignedByDHCPDuringPnP.tld
DNS.3 = *.domain.com

openssl.cnf の例（Cisco DNA Center 2.1.1 より前のバージョン用）

req_extensions = v3_req
distinguished_name = req_distinguished_name
default_bits = 4096
default_md = sha512
prompt = no
[req_distinguished_name]
C = <two-letter-country-code>
ST = <state-or-province>
L = <city> O = <company-name>
OU = MyDivision
CN = FQDN-of-Cisco-DNA-Centeron-GUI-port
emailAddress = responsible-user@mycompany.tld
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = FQDN-of-Cisco-DNA-Center-on-GUI-port
DNS.2 = FQDN-of-Cisco-DNA-Center-on-enterprise-port
DNS.3 = pnpserver.DomainAssignedByDHCPDuringPnP.tld
IP.1 = Enterprise port IP node #1
IP.2 = Enterprise port IP node #2
IP.3 = Enterprise port IP node #3
IP.4 = Enterprise port VIP
IP.5 = Cluster port IP node #1
IP.6 = Cluster port IP node #2
IP.7 = Cluster port IP node #3
IP.8 = Cluster port VIP
IP.9 = GUI port IP node #1
IP.10 = GUI port IP node #2
IP.11 = GUI port IP node #3
IP.12 = GUI port VIP
IP.13 = Cloud port IP node #1
IP.14 = Cloud port IP node #2
IP.15 = Cloud port IP node #3
IP.16 = Cloud port VIP

（注）

クラスタの IP アドレスが openssl.cnf ファイルに含まれていないと、ソフトウェアイメージの有効化をスケジュールできません。この問題を解決するには、クラスタの IP アドレスを SAN として証明書に追加します。

ステップ 4

次のコマンドを入力して秘密キーを作成します。認証局管理チームから求められた場合は、キーの長さを 2048 に調整します。

openssl genrsa -out csr.key 4096

ステップ 5

openssl.cnf ファイルのフィールドの読み込みが完了したら、前の手順で作成した秘密キーを使用して証明書署名要求を生成します。

openssl req -config openssl.cnf -new -key csr.key -out DNAC.csr

ステップ 6

証明書署名要求の内容を確認し、DNS 名（Cisco DNA Center 2.1.1より前のバージョンの場合は IP アドレスを含む）がサブジェクト代替名フィールドに正しく読み込まれていることを確認します。

openssl req -text -noout -verify -in DNAC.csr

ステップ 7

証明書署名要求をコピーし、CA（MS CA など）に貼り付けます。

選択した証明書テンプレートがクライアント認証とサーバ認証の両方に設定されていることを確認します（手順 2 の openssl.cnf ファイルの例に示した extendedKeyUsage の行を参照）。

ステップ 8

発行された証明書とその発行元 CA チェーンの収集に進みます。

ステップ 9

証明書発行元から p7b で証明書の完全なチェーン（サーバおよび CA）が提供された場合は、次の手順を実行します。

p7b バンドルを DER 形式でダウンロードし、dnac-chain.p7b として保存します。
dnac-chain.p7b 証明書を Cisco DNA Center クラスタに SSH を介してコピーします。

次のコマンドを入力します。

openssl pkcs7 -in dnac-chain.p7b -inform DER -out dnac-chain.pem -print_certs

ステップ 10

証明書発行元からルーズファイルで証明書とその発行元 CA チェーンが提供された場合は、次の手順を実行します。

PEM（base64）ファイルを収集するか、openssl を使用して DER を PEM に変換します。
証明書とその発行元 CA を連結し、証明書から下位 CA に続いてルート CA までを dnac-chain.pem ファイルに出力します。
```
cat certificate.pem subCA.pem rootCA.pem > dnac-chain.pem
```

ステップ 11

Cisco DNA Center クラスタで生成された dnac-chain.pem ファイルをローカルシステムにコピーします。

ステップ 12

Cisco DNA Center GUI で [Menu] アイコン（）をクリックして選択します。[System] > [Settings] > [Certificates] の順に選択します。

ステップ 13

[Replace Certificate] をクリックします。

ステップ 14

[Certificate] フィールドで、[PEM] オプションボタンをクリックし、次の作業を行います。

[Certificate] フィールドで、[Drag n' Drop a File Here] フィールドにファイルをドラッグアンドドロップして dnac-chain.pem ファイルをインポートします。
[Private Key] フィールドで、[Drag n' Drop a File Here] フィールドにファイルをドラッグアンドドロップして秘密キー（csr.key）をインポートします。
秘密キーの [Encrypted] ドロップダウンリストで [No] を選択します。

ステップ 15

[Upload/Activate] をクリックします。

Cisco DNA Center サーバ証明書の更新

Cisco DNA Center は、X.509 証明書と秘密キーの Cisco DNA Center へのインポートとストレージをサポートします。インポートをすると、証明書と秘密キーを使用して、Cisco DNA Center、ノースバウンド API アプリケーション、およびネットワークデバイスの間に安全で信頼できる環境を作成することができます。

GUI の [Certificate] ウィンドウを使用して、証明書と秘密キーをインポートできます。

始める前に

内部 CA から発行された有効な X.509 証明書を取得する必要があります。証明書は所有する秘密キーに対応している必要があります。

手順

ステップ 1

Cisco DNA Center GUI で [Menu] アイコン（）をクリックして選択します。[System] > [Settings] > [Trust & Privacy] > [System Certificate] の順に選択します。

ステップ 2

[System Certificate] ウィンドウで、現在の証明書データを確認します。

このウィンドウを最初に表示したときに現在の証明書として表示されるのは、Cisco DNA Center の自己署名証明書のデータです。自己署名証明書の有効期限は、数年先に設定されています。

（注）

[Expiration Date and Time] は、グリニッジ標準時（GMT）値で表示されます。証明書有効期限の 2 ヵ月前に、Cisco DNA Center の GUI にシステム通知が表示されます。

[Certificate] ウィンドウに表示されるその他のフィールドは次のとおりです。

[Current Certificate Name]：現在の証明書の名前
[Issuer]：証明書に署名し、証明書を発行したエンティティの名前
[Authority]：自己署名または CA の名前
[Expires]：証明書の有効期限

ステップ 3

現在の証明書を置換するには、[Replace Certificate] をクリックします。

次の新しいフィールドが表示されます。

[Certificate]：証明書データを入力するフィールド
[Private Key]：秘密キーデータを入力するフィールド

ステップ 4

[Certificate] ドロップダウンリストから、Cisco DNA Center にインポートする証明書のファイル形式タイプを選択します。

[PEM]：プライバシーエンハンストメールファイル形式
[PKCS]：公開キー暗号化標準ファイル形式

ステップ 5

[PEM] を選択した場合、次のタスクを実行します。

[Certificate] フィールドで、[Drag and Drop] 領域にファイルをドラッグアンドドロップして、[PEM] ファイルをインポートします。

（注）

PEM ファイルには、有効な PEM 形式の拡張子（.pem、.cert、.crt）が必須です。証明書の最大ファイルサイズは 10 KB です。

[Private Key] フィールドで、[Drag and Drop] 領域にファイルをドラッグアンドドロップして、秘密キーをインポートします。

秘密キーの [Encrypted] ドロップダウンリストから、暗号化オプションを選択します。

暗号化を選択した場合、[Password] フィールドに秘密キーのパスフレーズを入力します。

（注）

秘密キーには、有効な秘密キー形式の拡張子（.pem または .key）が必須です。

ステップ 6

[PKCS] を選択した場合、次のタスクを実行します。

[Certificate] フィールドで、[Drag and Drop] 領域にファイルをドラッグアンドドロップして、[PKCS] ファイルをインポートします。

（注）

PKCS ファイルには、有効な PKCS 形式の拡張子（.pfx、.p12）が必須です。証明書の最大ファイルサイズは 10 KB です。

[Certificate] フィールドについては、[Password] フィールドで証明書用のパスフレーズを入力します。

（注）

PKCS の場合は、インポートした証明書もパスフレーズを必要とします。

[Private Key] フィールドについては、秘密キーの暗号化オプションを選択します。
[Private Key] フィールドで、暗号化を選択した場合は、[Passphrase] フィールドに秘密キーのパスフレーズを入力します。

ステップ 7

[Upload/Activate] をクリックします。

ステップ 8

[Certificate] ウィンドウに戻り、更新された証明書データを確認します。

[Certificate] ウィンドウに表示される情報が更新され、新しい証明書名、発行者、および認証局が反映されます。

PKI 認証局

クライアントでは、Cisco DNA Center との HTTPS 接続を確立する際、アイデンティティを確認して認証を完了するためにサーバ CA を使用します。Cisco DNA Center では、クライアントとの接続を確立するために、サーバ CA に加えて公開キーインフラストラクチャ（PKI）CA（ルート CA または下位 CA として設定）も使用します。PKI CA を使用すると、Cisco DNA Center のサーバ CA に関連付けられているものとは別のレルム信頼（署名 CA）を使用できます。

PKI 証明書のロールをルートから下位に変更

デバイス PKI CA は Cisco DNA Center のプライベート CA であり、サーバとクライアントの間の接続の確立と保護に使用される証明書やキーを管理します。デバイス PKI CA のロールをルート CA から下位 CA に変更するには、次の手順を実行します。

Cisco DNA Center のプライベート CA をルート CA から下位 CA に変更するときは、次のことに注意してください。

Cisco DNA Center が下位 CA の役割を果たすようにする場合、すでにルート CA（たとえば Microsoft CA）があり、Cisco DNA Center を下位 CA として認めているものと見なされます。
下位 CA が完全に設定されていない限り、Cisco DNA Center は内部ルート CA としての役割を継続します。

Cisco DNA Center 用の証明書署名要求ファイルを生成し（次の手順の記述に従う）、手動で外部ルート CA に署名させる必要があります。

（注）

Cisco DNA Center は、この期間中は内部ルート CA として実行し続けます。

証明書署名要求が外部ルート CA によって署名された後、GUI を使用してこの署名ファイルを Cisco DNA Center にインポートし直す必要があります（次の手順の記述に従う）。

インポート後、Cisco DNA Center は下位 CA として自身を初期化し、下位 CA の既存機能をすべて提供します。
内部ルート CA から管理対象デバイスで使用する下位 CA へのスイッチオーバーは自動ではサポートされません。したがって、内部ルート CA でまだデバイスが設定されていないことが前提となります。デバイスが設定されている場合、下位 CA に切り替える前に、ネットワーク管理者が既存のデバイス ID 証明書を手動で取り消す必要があります。
GUI に表示されている下位 CA 証明書有効期間は、証明書から読み取られたもので、システム時刻を使って計算されたものではありません。したがって今日、証明書を有効期間 1 年でインストールして来年の 7 月に GUI で見ると、証明書の有効期間はそのときでも 1 年間と表示されます。
下位 CA 証明書として PEM または DER 形式のみを使用できます。
下位 CA は上位の CA と連携しないため、上位レベルの証明書がある場合は、その失効に注意してください。このため、下位 CA からネットワークデバイスに対して、証明書の失効に関する情報が通知されることもありません。下位 CA にはこの情報がないため、すべてのネットワークデバイスは下位 CA を Cisco Discovery Protocol（CDP）送信元としてのみ使用します。

[PKI Certificate Management] ウィンドウの GUI を使用して、Cisco DNA Center のプライベート（内部）CA のロールをルート CA から下位 CA に変更できます。

始める前に

ルート CA 証明書のコピーが必要です。

手順

ステップ 1	Cisco DNA Center GUI で [Menu] アイコン（）をクリックして選択します。[System] > [Settings] > [PKI Certificate] の順に選択します。
ステップ 2	[CA Management] タブをクリックします。
ステップ 3	GUI で既存のルートまたは下位 CA 証明書の設定情報を確認します。 [Root CA Certificate]：現在のルート CA 証明書（外部または内部）を表示します。 [Root CA Certificate Lifetime]：現在のルート CA 証明書の最新の有効期間を表示します（日数）。 [Current CA Mode]：現在の CA モードを表示します（ルート CA または下位 CA）。 [Sub CA mode]：ルート CA から下位 CA に変更できます。
ステップ 4	[CA Management] タブで、[Sub CA Mode] チェックボックスをオンにします。
ステップ 5	[Next] をクリックします。
ステップ 6	表示される警告内容を確認します。ルート CA から下位 CA に変更するプロセスは元に戻すことができません。ルート CA モードで登録された、または証明書が発行されたネットワークデバイスがないことを確認する必要があります。ネットワークデバイスを誤ってルート CA モードで登録した場合は、ルート CA から下位 CA に変更する前に、取り消しをする必要があります。下位 CA の設定プロセスが終了しなければ、ネットワークデバイスをオンラインにできません。
ステップ 7	[OK] をクリックして続行します。 [PKI Certificate Management] ウィンドウに、[Import External Root CA Certificate] フィールドが表示されます。
ステップ 8	[Import External Root CA Certificate] フィールドにルート CA 証明書をドラッグアンドドロップして、[Upload] をクリックします。ルート CA 証明書が Cisco DNA Center にアップロードされ、証明書署名要求の生成に使用されます。アップロードプロセスが完了すると、「Certificate Uploaded Successfully」というメッセージが表示されます。
ステップ 9	[Next] をクリックします。 Cisco DNA Center で証明書署名要求が生成されて表示されます。
ステップ 10	Cisco DNA Center で生成された証明書署名要求を GUI で確認し、次のアクションのいずれかを実行します。 [Download] リンクをクリックして、証明書署名要求ファイルのローカルコピーをダウンロードします。その後、この証明書署名要求ファイルを電子メールに添付して、ルート CA に送信することができます。 [Copy to the Clipboard] リンクをクリックして、証明書署名要求ファイルの内容をコピーします。その後、この証明書署名要求の内容を電子メールに貼り付けるか、電子メールに添付ファイルとして添付して、ルート CA に送信することができます。
ステップ 11	証明書署名要求ファイルをルート CA に送信します。ルート CA から下位 CA ファイルが返されます。このファイルを Cisco DNA Center にインポートし直す必要があります。
ステップ 12	ルート CA から下位 CA ファイルを受信した後、Cisco DNA Center の GUI に再度アクセスし、[PKI Certificate Management] ウィンドウに戻ります。
ステップ 13	[CA Management] タブをクリックします。
ステップ 14	[Change CA mode] ボタンの [Yes] をクリックします。 [Yes] をクリックすると、GUI に証明書署名要求が表示されます。
ステップ 15	[Next] をクリックします。 [PKI Certificate Management] ウィンドウに、[Import Sub CA Certificate] フィールドが表示されます。
ステップ 16	[Import Sub CA Certificate] フィールドに下位 CA 証明書をドラッグアンドドロップして、[Apply] をクリックします。下位 CA 証明書が Cisco DNA Center にアップロードされます。アップロードが完了すると、GUI の [CA Management] タブに、下位 CA モードが表示されます。
ステップ 17	[CA Management] タブのフィールドを確認します。 [Sub CA Certificate]：現在の下位 CA 証明書を表示します。 [External Root CA Certificate]：ルート CA 証明書を表示します。 [Sub CA Certificate Lifetime]：下位 CA 証明書の有効期間を表示します（日数）。 [Current CA Mode]：SubCA モードを表示します。

ロールオーバー下位 CA 証明書のプロビジョニング

Cisco DNA Center では、既存の下位 CA の有効期間が 70% 以上経過している場合に、ユーザがロールオーバー下位 CA として下位証明書を適用することができます。

始める前に

下位 CA ロールオーバープロビジョニングを開始するには、PKI 証明書の権限を下位 CA モードに変更しておく必要があります。PKI 証明書のロールをルートから下位に変更を参照してください。
現在の下位 CA 証明書の有効期間が 70% 以上経過していることが必要です。この状態になると、Cisco DNA Center の [CA Management] タブの下に [Renew] ボタンが表示されます。
ロールオーバー下位 CA の署名付き PKI 証明書のコピーが必要です。

手順

ステップ 1	Cisco DNA Center GUI で [Menu] アイコン（）をクリックして選択します。[System] > [Settings] > [Trust & Privacy] > [PKI Certificate] の順に選択します。
ステップ 2	[CA Management] タブをクリックします。
ステップ 3	CA 証明書の設定情報を確認します。 [Subordinate CA Certificate]：現在の下位 CA 証明書を表示します。 [External Root CA Certificate]：ルート CA 証明書を表示します。 [Subordinate CA Certificate Lifetime]：現在の下位 CA 証明書の有効期間（日数）を表示します。 [Current CA Mode]：SubCA モードを表示します。
ステップ 4	[Renew] をクリックします。 Cisco DNA Center は既存の下位 CA を使用して、ロールオーバー下位 CA の証明書署名要求を生成し、表示します。
ステップ 5	生成された証明書署名要求を GUI で確認し、次のアクションのいずれかを実行します。 [Download] リンクをクリックして、証明書署名要求ファイルのローカルコピーをダウンロードします。その後、この証明書署名要求ファイルを電子メールに添付して、ルート CA に送信することができます。 [Copy to the Clipboard] リンクをクリックして、証明書署名要求ファイルの内容をコピーします。その後、この証明書署名要求の内容を電子メールに貼り付けるか、電子メールに添付ファイルとして添付して、ルート CA に送信することができます。
ステップ 6	証明書署名要求ファイルをルート CA に送信します。次にルート CA がロールオーバー下位 CA ファイルを返送してくると、それを Cisco DNA Center にインポートし直す必要があります。下位 CA ロールオーバーの証明書署名要求は、RootCA モードから SubCA モードに切り替えた際にインポートした下位 CA に署名したルート CA と同じルート CA によって署名される必要があります。
ステップ 7	ルート CA からロールオーバー下位 CA ファイルを受信した後、[PKI Certificate Management] ウィンドウに戻ります。
ステップ 8	[CA Management] タブをクリックします。
ステップ 9	証明書署名要求が表示されている GUI で [Next] をクリックします。 [PKI Certificate Management] ウィンドウに、[Import Sub CA Certificate] フィールドが表示されます。
ステップ 10	下位ロールオーバー CA 証明書を [Import Sub CA Certificate] フィールドにドラッグアンドドロップし、[Apply] をクリックします。ロールオーバー下位 CA 証明書が Cisco DNA Center にアップロードされます。アップロードが終了すると、GUI が変更され、[CA Management] タブの [Renew] ボタンが無効になります。

デバイス証明書の有効期間の設定

Cisco DNA Center によって、ユーザはプライベート（内部）Cisco DNA Center の CA で管理、モニタされているネットワークデバイスの証明書の有効期間を変更できます。Cisco DNA Center での証明書の有効期間のデフォルト値は 365 日です。Cisco DNA Center GUI を使用して証明書の有効期間を変更すると、それ以降に Cisco DNA Center に対して証明書を要求するネットワークデバイスにその有効期間の値が割り当てられます。

（注）

デバイス証明書のライフタイム値を CA 証明書のライフタイム値より大きくすることはできません。さらに、CA 証明書の残りの有効期間が設定されたデバイスの証明書の有効期間より短い場合、デバイス証明書の有効期間の値は CA 証明書の残りの有効期間と同じになります。

GUI の [PKI Certificate Management] ウィンドウを使用してデバイス証明書の有効期間を変更できます。

手順

ステップ 1	Cisco DNA Center GUI で [Menu] アイコン（）をクリックして選択します。[System] > [Settings] > [Trust & Privacy] > [PKI Certificate] の順に選択します。
ステップ 2	[Device Certificate] タブをクリックします。
ステップ 3	デバイス証明書と現在のデバイス証明書の有効期間を確認します。
ステップ 4	[Device Certificate Lifetime] フィールドに、新しい値（日数）を入力します。
ステップ 5	[保存（Save）] をクリックします。
ステップ 6	（オプション）[PKI Certificate Management] ウィンドウを更新して、新しいデバイス証明書の有効期間の値を確認します。

Cisco DNA Center Trustpool のサポート

Cisco DNA Center および Cisco IOS デバイスは trustpool と呼ばれる特別な PKI 証明書ストアをサポートします。trustpool は信頼できる CA を特定する X.509 証明書を保持します。Cisco DNA Center およびネットワークのデバイスは trustpool バンドルを使用して、相互の信頼関係、およびそれらの CA との信頼関係を管理します。Cisco DNA Center はこの PKI 証明書ストアを管理し、プール内の証明書が失効したり、再発行されたりした場合、またはその他の理由で変更する必要がある場合は、管理者（ROLE_ADMIN）が Cisco DNA Center の GUI を使って証明書を更新することができます。

（注）

Cisco DNA Center は、trustpool 機能を使用して、GUI でアップロードする証明書ファイルが有効な trustpool CA 署名付き証明書であるかどうかも判別します。

Cisco DNA Center には、ios.p7b という名前のシスコの署名付き trustpool バンドルがデフォルトでプリインストールされています。この trustpool バンドルは、シスコのデジタル署名証明書で署名されているので、サポートされているシスコのネットワークデバイスによりネイティブで信頼されます。この trustpool バンドルは、シスコのネットワークデバイスが純正のアプリケーションおよびサービスとの信頼を確立するために重要です。この Cisco PKI trustpool バンドルファイルは https://www.cisco.com/security/pki/ にあります。

Cisco DNA Center の PnP 機能にアクセスするために、Cisco DNA Center で管理および監視するサポート対象のシスコデバイスに Cisco PKI trustpool バンドルファイルをインポートする必要があります。サポートされているシスコデバイスは最初のブート時に、Cisco DNA Center にアクセスしてこのファイルをインポートします。

Cisco DNA Center trustpool の管理機能は次のように動作します。

PnP 機能をサポートするネットワーク内のシスコデバイスをブートします。

すべてのシスコデバイスが PnP をサポートするわけではないことに注意してください。サポート対象のシスコデバイスの一覧については、「Cisco Digital Network Architecture Compatibility Matrix」を参照してください。
PnP の最初のフローの一部として、サポート対象のシスコデバイスは、HTTP を使用して trustpool バンドルを Cisco DNA Center から直接ダウンロードします。

シスコデバイスは、PnP トラフィックフローに従って詳細なデバイス設定およびプロビジョニングを取得するために Cisco DNA Center と通信できる状態になります。

Cisco DNA Center とそれらのシスコデバイスの間に HTTP プロキシゲートウェイが存在する場合は、Cisco DNA Center にプロキシゲートウェイの証明書をインポートする必要があることに注意してください。

（注）

trustpool 内の一部の証明書の期限切れ、再発行、またはその他の理由で、trustpool バンドルの新しいバージョンへの更新が必要になる場合があります。trustpool バンドルの更新が必要な場合は、Cisco DNA Center の GUI を使用して更新します。Cisco DNA Center は Cisco Cloud（シスコ認定の trustpool バンドルが含まれている）にアクセスして最新の trustpool バンドルをダウンロードできます。ダウンロード後に、Cisco DNA Center は、現在の古い trustpool バンドルファイルを上書きします。ベストプラクティスとして、CA から新しい証明書をインポートする前に trustpool バンドルを更新することをお勧めします。

PnP サーバの証明書の確認

このセクションでは、ゼロタッチ展開で Cisco IOS および Cisco IOS XE デバイスの PnP エージェントの証明書を確認する方法について説明します。

PnP サーバから提供される証明書には、サーバアイデンティティを確認するための有効なサブジェクト代替名（SAN）フィールドが含まれている必要があります。

このチェックは、PnP プロファイルの設定で使用されるサーバの DNS 名または IP アドレスに適用されます。

pnp profile SOME_NAME
transport https ipv4 IP_ADDRESS port 443

pnp profile SOME_NAME
transport https host DNS_NAME port 443

強制は、証明書の SAN フィールドをデバイスで設定されている PnP プロファイルで使用される値と比較することによって適用されます。

次の表に、適用される強制の概要を示します。


PnP プロファイルの設定	証明書の強制
DHCP オプション 43 またはオプション 17 による明示的な IPv4 または IPv6 アドレスを使用した PnP サーバの検出	サーバ証明書の SAN フィールドにオプション 43 またはオプション 17 で使用される明示的な IPv4 または IPv6 アドレスが含まれている必要があります。
DHCP オプション 43 またはオプション 17 による DNS 名を使用した PnP サーバの検出	サーバ証明書の SAN フィールドに特定の DNS 名が含まれている必要があります。
DNS による PnP サーバの検出	サーバ証明書の SAN フィールドに pnpserver.`<local-domain>` が含まれている必要があります。
Cisco.com による PnP サーバの検出	次の条件のいずれかが適用されます。クラウドリダイレクションプロファイル設定で IP アドレスが使用されている場合、サーバ証明書の SAN フィールドに明示的な IP アドレスが含まれている必要があります。クラウドリダイレクションプロファイル設定で DNS 名が使用されている場合、サーバ証明書の SAN フィールドに特定の DNS 名が含まれている必要があります。
Day-2（手動設定）の PnP プロファイル作成	サーバ証明書の SAN フィールドに PnP プロファイル設定で使用される IP アドレスまたは DNS 名が含まれている必要があります。

IP アドレスに変更があっても機能に影響しないため、DNS 名に基づく検出方法を使用することを推奨します。

手順

ステップ 1	PnP サーバログを使用して問題を診断します。デバイスへのトラストポイントのインストール後、デバイスとの HTTPS 接続が確立されているかどうかを確認します。 PnP サーバログに、デバイスが CERTIFICATE_INSTALL_REQUESTED ステージから FILESYSTEM_INFO_REQUESTED ステージに移行し、それ以上は進まないことが示されています。次に例を示します。 `2018-11-28 12:05:40,711 \| INFO \| qtp226594800-88458 \| \| com.cisco.enc.pnp.state.ZtdState \| Device state has changed from CERTIFICATE_INSTALL_REQUESTED to FILESYSTEM_INFO_REQUESTED \| sn=SOME_SN, address=SOME_IP` その後、PnP プロビジョニングが次のようなエラーで失敗します。 `2018-11-28 12:25:56,289 \| ERROR \| eHealthCheckFirstBucket-2 \| \| c.c.e.z.impl.ZtdHistoryServiceImpl \| Failed health check since device is stuck in non-terminal state FILESYSTEM_INFO_REQUESTED for more than threshold time: 0 hours, 16 minutes, 0 seconds \| sn=SOME_SN`
ステップ 2	デバイス側のデバッグで、次の推奨出力を使用して、問題がサーバ ID の確認に関連しているかどうかを特定します。 `debug crypto pki val debug crypto pki api debug crypto pki call debug crypto pki tr debug ssl openssl error debug ssl openssl msg debug ssl openssl state debug ssl openssl ext show crypto pki certificate show running show pnp tech`
ステップ 3	デバッグを有効にしてから PnP の検出を開始します。
ステップ 4	Linux ワークステーションまたは Mac 端末の CLI から次のコマンドを入力して、サーバ証明書の SAN フィールドを確認します。`SERVER_IP` を Cisco DNA Center クラスタアドレスに置き換えてください。 `echo \| openssl s_client -showcerts -servername SERVER_IP -connect SERVER_IP:443 2>/dev/null \| openssl x509 -inform pem -noout -text`
ステップ 5	出力の X509v3 extensions にある X509v3 Subject Alternative Name を確認します。このフィールドを PnP サーバの詳細と照合する必要があります。出力は次のようになります。 [username@toolkit ~]$ echo \| openssl s_client -showcerts -servername SERVER_IP -connect SERVER_IP:443 2>/dev/null \| openssl x509 -inform pem -noout -text Certificate: Data: Version: 3 (0x2) Serial Number: 18:92:63:49:41:36:99:43:00:57:43:86:06:10:44:57:32:48:65:00 Signature Algorithm: sha256WithRSAEncryption Issuer: CN=e328c7fc-3495-4bc1-81a4-66a31d0507f6, C=US, ST=California, L=SanJose, OU=DNAC, O=Cisco Validity Not Before: Aug 24 05:55:29 2017 GMT Not After : Aug 23 05:55:29 2022 GMT Subject: CN=SERVER_IP, ST=California, C=US, O=Cisco, OU=DNAC Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:a2:21:ba:52:b4:9e:50:02:c0:68:2e:b3:43:0a: <snip> 9e:1b:ef:19:96:f9:2b:e3:6a:58:05:b3:c5:b3:d3: 24:ab Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 Subject Alternative Name: IP Address:SERVER_IP
ステップ 6	使用している証明書のタイプに応じて、次のいずれかを実行します。署名付き証明書を使用している場合は、適切な SAN フィールドを含め、CA の署名付きの新しい証明書署名要求を生成します。「Cisco DNA Center サーバ証明書の更新」を参照してください。自己署名証明書（非推奨）を使用している場合は、Open SSL を使用した証明書要求の生成を参照してください。

ピア接続するシステムの証明書 Cisco DNA Center

Cisco DNA Center が通信する外部システム（Cisco ISE、IPAM、vManage、Stealthwatch セキュリティ分析など）の証明書を設定する際は、システムの証明書用に HTTP タイプの CRL 配布ポイントがサポートされ、LDAP の前に配置されている（LDAP の配布ポイントが複数ある場合）ことを確認してください。

CRL 配布ポイントを LDAP の前に配置しないと、LDAP タイプの CRL エントリについての外部システムによる認証が失敗する可能性があります。

ブラウザベースのアプライアンス設定ウィザード

Cisco DNA Center の最初のリリースで提供されたアプライアンス設定ウィザードに加えて、ブラウザベースのアプライアンス設定ウィザードも提供されています。このウィザードを無効化または再有効化する方法については、以降のトピックを参照してください。

ウィザードの無効化

Cisco DNA Center アプライアンスには自己署名証明書が付属しています。実稼働環境で自己署名証明書の使用が許容されない場合は、ブラウザベースのアプライアンス設定ウィザードに関連するサービスをシャットダウンすることを推奨します。ウィザードを使用してアプライアンスの設定を開始した直後に、次の手順を実行します。

（注）

この手順はルート権限を持つユーザのみが実行できます。

手順

ステップ 1	SSH クライアントで、設定時に入力した IP アドレスを使用して Cisco DNA Center アプライアンスにログインします。入力画面が表示されたら、ユーザ名とパスワードを入力します。
ステップ 2	（任意）ブラウザベースのアプライアンス設定ウィザードを無効化または再有効化するために実行する必要があるコマンドの使用方法に関する情報を表示するには、maglev-config webinstall コマンドを実行します。次の出力が表示されます。 `Usage: maglev-config webinstall [OPTIONS] COMMAND [ARGS]... Enable/Disable Maglev web install feature Options: --help Show this message and exit. Commands: disable Stops and disables Maglev webinstall service... enable Enables Maglev webinstall feature service`
ステップ 3	maglev-config webinstall disable コマンドを実行して、ブラウザベースの設定ウィザードを無効にします。操作が完了すると、次の出力が表示されます。 `Maglev Web install feature disabled`

ウィザードの再有効化

次のタスクを実行する際、ブラウザベースの設定ウィザードがアプライアンスで現在無効になっている場合は再度有効にしてから実行します。

高可用性（HA）を有効にする予定の 3 ノード Cisco DNA Center クラスタにノードを追加する。
HA が有効になっている 3 ノードクラスタからノードを削除して新しいノードと交換する。この場合は、他の 2 つのクラスタノードの少なくとも 1 つでブラウザベースの設定ウィザードを有効になっていることを確認してください。

（注）

この手順はルート権限を持つユーザのみが実行できます。

手順

ステップ 1	SSH クライアントで、設定時に入力した IP アドレスを使用して Cisco DNA Center アプライアンスにログインします。入力画面が表示されたら、ユーザ名とパスワードを入力します。
ステップ 2	maglev-config webinstall enable コマンドを実行して、ウィザードを再度有効にします。操作が完了すると、次の出力が表示されます。 `Maglev Web install feature enabled`

レガシーデバイスのアップグレード

レガシーネットワークデバイスがある場合は、最新のデバイスソフトウェアにアップグレードする必要があります。

Cisco SD-Access でサポートされるソフトウェアバージョンについては、Cisco SD-Access の製品互換性ページを参照してください。
Cisco DNA Center の全般的なデバイスサポート情報については、Cisco DNA Center のサポート対象デバイスのスプレッドシートを参照してください。

Cisco Aironet 1800 シリーズアクセスポイントバージョン 8.5 などの一部のデバイスでは TLSV1 を使用しており、セキュアではありません。TLS のバージョンをアップグレードするには、デバイスのソフトウェアバージョンを 8.8 にアップグレードする必要があります。

ネットワークデータの保護

Cisco DNA Center では、データ匿名化機能を使用して、有線および無線のエンドクライアントのアイデンティティを Cisco DNA アシュアランスダッシュボードに表示されないようにすることができます。詳細については、『Cisco DNA Assurance ユーザガイド』の「View or Update Collector Configuration Information」を参照してください。

Syslog 管理

Cisco DNA Center では、ユーザ名、パスワード、IP アドレスなど、ユーザの機密データの syslog が保護されます。

監査ログの表示

監査ログは、Cisco DNA Centerで実行されているさまざまなアプリケーションに関する情報を取得します。さらに、監査ログは、デバイス Public Key Infrastructure（PKI）通知についての情報も取得します。これらの監査ログの情報は、アプリケーションまたはデバイス PKI 証明書に関連する問題（ある場合）のトラブルシューティングを支援するために使用できます。

監査ログは、発生したシステムイベント、発生した場所、開始したユーザを記録するシステムでもあります。監査ログを使用すると、監査用の別のログファイルにシステムの設定変更が記録されます。

手順

ステップ 1

Cisco DNA Center GUI で [Menu] アイコン（）をクリックして選択します。[アクティビティ（Activity）] > [監査ログ（Audit Logs）] 。

[監査ログ（Audit Logs）] ウィンドウで、ネットワーク内の現在のポリシーに関するログを表示できます。これらのポリシーは、Cisco DNA Center にインストールされているアプリケーションによってネットワークデバイスに適用されます。

ステップ 2

タイムラインスライダをクリックして、ウィンドウに表示するデータの時間範囲を次のとおり指定します。

[時間範囲（Time Range）] エリアで、[過去 2 週間（Last 2 Weeks）]、[過去 7 日間（Last 7 Days）]、[過去 24 時間（Last 24 Hours）]、または [過去 3 時間（Last 3 Hours）] の時間範囲を選択します。
カスタム範囲を指定するには、[日付（By date）] をクリックし、開始日時と終了日時を指定します。
[Apply] をクリックします。

ステップ 3

対応する子監査ログを表示するには、監査ログの横にある矢印をクリックします。

各監査ログは、いくつかの子監査ログの親になることができます。矢印をクリックすると、一連の追加の子監査ログを表示できます。

（注）

監査ログは、Cisco DNA Center によって実行されたタスクに関するデータをキャプチャします。子監査ログは、Cisco DNA Center によって実行されたタスクのサブタスクです。

ステップ 4

（任意）左側のペインに表示された監査ログのリストで特定の監査ログメッセージをクリックします。右側のペインで [イベント ID（Event ID）] > [イベント ID をクリップボードにコピー（Copy Event ID to Clipboard）] をクリックします。コピーされた ID を活用すると、API を使用してイベント ID に基づいて監査ログメッセージを取得できます。

監査ログの右側のペインに各ポリシーの [説明（Description）]、[ユーザ（User）]、[インターフェイス（Interface）]、[宛先（Destination）] が表示されます。

（注）

監査ログには、ペイロード情報を含む POST、DELETE、PUT などのノースバウンド操作の詳細と、デバイスにプッシュされた設定などのサウスバウンド操作の詳細が表示されます。Cisco DevNet の API の詳細については、『 CISCO DNA Center PlatformIntent APIs』を参照してください。

ステップ 5

（オプション）[フィルター（Filter）] をクリックして、ユーザ ID またはイベント ID でログをフィルタリングします。

ステップ 6

右側のペインで、[検索 (Search）] フィールドを使用して、ログメッセージ内の特定のテキストを検索します。

ステップ 7

Cisco DNA Center GUI で [Menu] アイコン（）をクリックして選択します。[Activity] > [Scheduled Tasks] で、OS の更新やデバイスの交換などの予定（upcoming）、進行中（in progress）、完了（completed）および失敗（failed）管理タスクを表示します。

Syslog サーバへの監査ログのエクスポート

セキュリティに関する推奨事項：より安全で簡単なログモニタリングのために、監査ログを Cisco DNA Center からネットワーク内のリモート Syslog サーバにエクスポートすることを強く推奨します。

syslog サーバを複数登録することで、監査ログを Cisco DNA Center から複数の syslog サーバにエクスポートできます。

始める前に

[System] > [Settings] > [External Services] > [Destinations] > [Syslog] 領域で syslog サーバを設定する必要があります。

手順

ステップ 1	Cisco DNA Center GUI で [Menu] アイコン（）をクリックして選択します。 [Activity] > [Audit Logs] の順に選択します。
ステップ 2	[登録（Subscribe）] をクリックします。
ステップ 3	登録する syslog サーバを選択し、[Save] をクリックします。
ステップ 4	登録を解除するには、syslog サーバの選択を解除し、[Save] をクリックします。

監査ログに対する Syslog 通知の作成

監査ログの syslog 通知を作成できます。たとえば、Postman などのサードパーティ製ソフトウェア開発 API ツールを使用して、監査ログ通知を syslog サーバに送信する POST メソッドを作成します。次に例を示します。

POST <cluster-ip>/dna/intent/api/v1/subscription'

Cisco DNA Center から syslog サーバへの監査ログ通知を実行およびテストできます。Cisco DNA Center GUI で [Menu] アイコン（）をクリックして選択します。[Platform] > [Developer Toolkit] > [APIs]の順に選択します。

セキュリティアドバイザリレポートの表示

Cisco DNA Center には、セキュリティアドバイザリレポートを作成する機能が用意されています。関連するセキュリティアドバイザリについてシスコのネットワークデバイスがスキャンされ、公開されている脆弱性に関する情報が提供されます。

セキュリティに関する推奨事項：このレポートを定期的に確認および実行して、公開されているシスコセキュリティアドバイザリでネットワークに影響があるものがないかどうかを確認し、必要に応じて適切な措置を講じることを強くお勧めします。

セキュリティアドバイザリレポートには、デバイスデータに加え、デバイス名、IP アドレス、デバイスタイプ、シリアル番号、イメージバージョン、サイト、アドバイザリ ID、CVSS スコア、影響などの関連するアドバイザリデータが表示されます。

（注）

デバイスとアドバイザリは 1 対多の関係になることもあるため、レポートの各行にデバイスとアドバイザリの一意の組み合わせが示されます。
スキャンされなかったデバイスもレポートに含まれ、未スキャンのラベルが付けられます。
スキャンされてアドバイザリが見つからなかったデバイスについては、アドバイザリなしのラベルが付けられます。

セキュリティアドバイザリレポートの実行方法の詳細と手順については、『Cisco DNA Center Platform User Guide』の「Run a Security Advisories Report」のセクションを参照してください。

Cisco DNA Center セキュリティのベストプラクティスガイド

ダウンロード オプション

偏向のない言語

翻訳について

セキュリティ強化の概要

セキュリティ Cisco DNA Center

ユーザロールの考慮事項

Cisco DNA Center の展開の保護

通信ポート

Cisco DNA Center のディザスタリカバリの有効化

必要なインターネット URL と完全修飾ドメイン名へのインターネットアクセスの保護

管理インターフェイスの保護

インターフェイスへの IP トラフィックのレート制限

始める前に

手順

最小 TLS バージョンの変更と RC4-SHA の有効化（安全でない）

始める前に

手順

Cisco DNA Centerでの HTTPS 接続への OCSP および CRL の使用

手順

クレデンシャルとパスワードの管理

Web UI ユーザと Linux/Maglev ユーザのパスワードの変更

手順

デフォルトの証明書

証明書および秘密キーのサポート

証明書チェーンのサポート

Open SSL を使用した証明書要求の生成

手順

Cisco DNA Center サーバ証明書の更新

始める前に

手順

PKI 認証局

PKI 証明書のロールをルートから下位に変更

始める前に

手順

ロールオーバー下位 CA 証明書のプロビジョニング

始める前に

手順

デバイス証明書の有効期間の設定

手順

Cisco DNA Center Trustpool のサポート

PnP サーバの証明書の確認

手順

ピア接続するシステムの証明書 Cisco DNA Center

ブラウザベースのアプライアンス設定ウィザード

ウィザードの無効化

手順

ウィザードの再有効化

手順

レガシーデバイスのアップグレード

ネットワークデータの保護

Syslog 管理

監査ログの表示

手順

Syslog サーバへの監査ログのエクスポート

始める前に

手順

監査ログに対する Syslog 通知の作成

セキュリティ アドバイザリ レポートの表示

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

ダウンロードオプション

セキュリティアドバイザリレポートの表示