キーおよび証明書の管理
RDU は、キーストアでの認証に SSL プロトコルが必要とする証明書を保存します。このキーストアは、暗号キーと証明書を保存するファイルです。キーストアは、キーツールと呼ばれる JRE で使用可能なツールのヘルプとともに生成されます。SSL ソケットを確立する前に SSL 通信に生成された証明書が検証されます。キーストア ファイルは、デフォルトでBPR_HOME/lib/security のフォルダに保存されます。キーストアの場所は、プライム ケーブル プロビジョニングで設定可能です。デフォルトのキーストアの場所を変更した後、bprAgent を再起動する必要があります。
プライム ケーブル プロビジョニングを使用し、キーツールを使用してサーバ証明書キーストアおよび cacerts キーストアを設定できます。キーツールは、RDU サーバおよびクライアントで証明書を管理するために使用する、キーと証明書管理のユーティリティです。Keytool ユーティリティは、BPR_HOME/jre/bin/keytool のプライム ケーブル プロビジョニング デフォルト インストール ディレクトリに存在します。
(注) |
キーストア ファイル形式はキーツール リリース間で異なるため、このプライム ケーブル プロビジョニング バージョンでバンドルされるキーツール ユーティリティを実行する必要があります。 |
RDU サーバには 2 つのキーストアがあります。キーストアは cacerts キーストアとサーバ証明書キーストアです。
-
Cacerts キーストアには、サーバ証明書を認証するため、コンポーネントが信頼する公開キー証明書が含まれています。
-
サーバ証明書キーストアには、クライアントの認証に使用される、サーバ側証明書の秘密鍵と関連付けられている証明書チェーンが含まれています。
すべてのコンポーネント SSL サービスは、単一の cacerts キーストアを共有します。このキーストアには、認証局の任意の署名数を含めることができます。Cacerts キーストアの名前は固定であり、常に BPR_HOME/jre/lib/security ディレクトリに存在する必要があります。プライム ケーブル プロビジョニングはデフォルトの cacerts キーストアが同梱され、認証局の署名を追加したり削除したりして操作できます。
SSL インストール後の設定
プライム ケーブル プロビジョニングをインストール中に、SSL を設定することを求められます(セキュア モード通信)。[yes(はい)] を選択する場合、SSL モードが有効になり、RDU 証明書の詳細を入力するように求められます。何らかの理由で [No(いいえ)] を選択した場合、SSL は有効にならず、RDU 証明書が作成されます。
このセクションでは、インストール時に完了していない場合に、SSL を設定する方法について説明します。
RDU での SSL の設定
RDU で SSL を有効または無効にする -ssl オプションを使用できます。
RDU サーバで SSL を有効にするには。
手順
ステップ 1 |
BPR_Home/bin にあるキーツール ユーティリティ changeSSLProperties.sh を使用して、RDU にキーストアを生成します。これはサーバ証明書キーストアを作成し、秘密キーと関連付けられているクライアント公開キー証明書を含みます。
|
ステップ 2 |
次のコマンドが生成され、自己署名証明書をファイルにエクスポートし、RDU 証明書キーストアにエクスポートします。
|
ステップ 3 |
次のコマンドを実行して、RDU の秘密キー パスワードを設定します。
|
ステップ 4 |
RDU を停止します。
|
ステップ 5 |
次のコマンドを実行して、RDU で SSL を有効にします。
|
ステップ 6 |
RDU を開始します。
|
ステップ 7 |
RDU から新しいサーバ証明書キーストアを使用するようにクライアントを設定します。 |
ステップ 8 |
キーストアに加えた変更を有効にするには、ウォッチドッグ エージェント コマンド ラインからクライアントを再起動する必要があります(CLI コマンドのリストについては CLI からプライム ケーブル プロビジョニング プロセス ウォッチドッグを使用する を参照してください)。 |
DPE での SSL の設定
このセクションでは、DPE サービスで SSL を設定する方法について説明します。
DPE CLI から DPE セキュリティ オプションを設定することができます。詳細については、Cisco プライム ケーブル プロビジョニング 6.1.2 リファレンス ガイドを参照してください。
DPE で SSL を有効にするには。
手順
ステップ 1 |
Cacerts 信頼ストアに rootCA.crt ファイルをインポートするには、BPR_HOME/jre/lib/security/cacerts に移動し、次のコマンドを実行します。
|
ステップ 2 |
保護のため値を true に設定する必要がある場合、コマンド dpe rdu-server <host name> <port number> <secure> を実行します。
上記のコマンドでは、RDU がリッスンする正しいセキュリティで保護されたポート番号を入力する必要があります。デフォルトでは、RDU は 49188 ポートをリッスンします。 |
ステップ 3 |
dpe reload コマンドを使用してDPE を再起動し、変更が有効になっていることを確認します。 |
API クライアントでの SSL の設定
任意の API クライアントで SSL を設定するには、api.properties ファイルを使用します。
API クライアントで SSL を有効にするには。
手順
ステップ 1 |
API クライアントの JRE に署名済み rootCA 証明書をインポートします。 |
ステップ 2 |
Api.properties ファイルでは、property /server/rdu/secure/enabled 用に値を true に設定します。
|
ステップ 3 |
プロパティ/rdu/secure/servers を使用してセキュリティで保護された RDU サーバの詳細を提供します。プロパティの値は、次に示すようにホストとポート番号のカンマ区切りリストです。
|
ステップ 4 |
変更が有効になるように、API クライアントを再起動します。 |
Prime Network Registrar 拡張ポイントでの SSL の設定
ChangeNRProperties.sh ツールを使用して、Prime Network Registrar 拡張ポイントでセキュア通信を設定できます。
CPNR-EP で SSL を有効にするには:
手順
ステップ 1 |
BPR_HOME/lib/security フォルダに rootCA.pem ファイルをコピーします。 |
ステップ 2 |
次のコマンドを実行します。
|
ステップ 3 |
セキュア ポートを設定します。
|
ステップ 4 |
DHCP サーバを再起動します。 |
オーバーライド ペース接続を使用して設定 api.properties
プライム ケーブル プロビジョニングにより、既存の Java ソースを再コンパイルする必要なく、API クライアントの既存の PACE 接続署名を上書きできます。これは、api.properties に追加プロパティを定義することで実行します。ポート情報やセキュアおよび非セキュア接続間の切り替えなどプロパティは、api.properties によって制御できます。
API クライアントとその RDU 間でセキュア通信を有効にするには。
手順
ステップ 1 |
/Server/rdu/secure/enabled プロパティを true に設定します。セキュア通信を有効にする前に、証明書を適切に設定したことを確認します。
|
ステップ 2 |
RDU のホスト名とセキュア ポートの詳細とともに、プロパティ/rdu/secure/servers を定義します。API クライアントが複数の RDU に通信する場合、すべてのセキュア ホスト名とポートの詳細をカンマ区切りのリストで定義します。
|
RDU でデフォルトの非セキュア ポート番号(49187)を変更する場合、変更を有効にするために、適切なポート情報でプロパティ/rdu/unsecure/servers を設定する必要があります。Java ソースを変更する必要がありません。
/rdu/unsecure/servers=<hostname1:port1>,<hostname2:port2>,<hostname3:port3>, with your RDU hostnames and ports
任意の時点で、API クライアントはセキュアまたは非セキュア モード(両方ではない)のどちらかで RDU と通信できます。既存のユーザーとは別のモードで RDU と通信しようとすると、例外が発生します。その他のモードで接続を作成するには、既存モードのすべてライブ PACE 接続をリリースする必要があります。ただし、同じ API クライアントはさまざまなモードで他の RDU と通信できます。
(注) |
セキュアおよび非セキュア通信の両方に同じホスト名を定義した場合、セキュア通信は非セキュア通信よりも優先されます。 |
証明書の署名
プライム ケーブル プロビジョニングのインストール中に、証明書を自己署名して、外部認証局から署名を取得できます。自己署名証明書が発生した場合、証明書は通信を暗号化します。自己署名証明書が認証局によって署名されていないため、web ブラウザは証明書を潜在的な危険としてフラグ化します。この問題を回避するには、交換用として署名証明書をインポートする必要があります。
外部認証局を通して証明書に署名する
このセクションでは、外部認証局を通して署名された証明書を取得する方法について説明します。
(注) |
サーバ認証用のクライアント証明書の使用を有効にするには、サーバ証明書の認証局の公的証明書が cacerts キーストアにロードされたことを確認します。Cacerts キーストアに署名認証局の証明書をインポートするで説明する手順に従います。 |
サーバ証明書に署名するには。
手順
ステップ 1 |
RDU サーバのインストール中に作成していない場合、キーツールを使用して RDU の新しい秘密キーを生成します。新規 RDU 証明書の秘密キーの生成を参照してください。 |
ステップ 2 |
証明書署名要求(CSR)を生成します。証明書署名要求の生成を参照してください。 |
ステップ 3 |
CSR を使用した認証局から公開証明書を要求します。 |
ステップ 4 |
Cacerts キーストアに認証局の公開キーをロードします。Cacerts キーストアに署名認証局の証明書をインポートするを参照してください。 |
ステップ 5 |
サーバ キーストアに署名サーバ証明書をロードします。署名済み証明書をサーバ証明書キーストアにインポートするを参照してください。 |
ステップ 6 |
ウォッチドッグ コマンド ラインから command /etc/init.d/bprAgent restart rdu を使用して RDU を再起動します(CLI からプライム ケーブル プロビジョニング プロセス ウォッチドッグを使用する を参照してください)。 |
証明書への自己署名
自己署名証明書を作成するには、changeSSLProperties.sh ツールを使用します。ツールの正確な使用方法については、changeSSLProperties.sh の使用 を参照してください。
RDU で
手順
ステップ 1 |
-Gk オプションを使用して RDU キー ペアを作成します。Rducert エイリアスの証明書パスワードのメモを保持します。 |
ステップ 2 |
-exp オプションを使用して、自己署名証明書をエクスポートします。 |
ステップ 3 |
-Cpkp オプションを使用して RDU の秘密キーのパスワードを設定します。-gk オプションを使用して証明書を作成する際に、使用されている証明書のパスワードを使用します。 |
ステップ 4 |
/Etc/init.d/bprAgent stop rdu を実行することによって、RDU を停止します。 |
ステップ 5 |
-ssl rdu 有効化オプションを使用して、RDU サーバの SSL モードを有効にします。 |
ステップ 6 |
/etc/init.d/bprAgent start rdu を実行して RDU を開始します。 |
DPE で
手順
ステップ 1 |
前の手順で生成され BPR_HOME/lib/security ディレクトリに配置した RDU rootCA.crt ファイルを、DPE サーバの目的の場所にコピーします。 |
ステップ 2 |
-imp オプションを使用して、信頼ストアに証明書をインポートします。 |
ステップ 3 |
コマンド dpe rdu-server <hostname><port> true を実行して、DPE で RDU SSL 通信を有効にします。 |
ステップ 4 |
変更を有効にするには、DPE または PWS サーバをリロードします。 |
PWS で
手順
ステップ 1 |
前の手順で生成され BPR_HOME/lib/security ディレクトリに配置した RDU rootCA.crt ファイルを、PWS サーバの目的の場所にコピーします。 |
ステップ 2 |
-imp オプションを使用して、信頼ストアに証明書をインポートするには、imp オプション。 |
ステップ 3 |
changeSSLproperties.sh csp api を実行して、セキュア ホストの詳細を追加します。ホストとポートの詳細が表示されます。 |
ステップ 4 |
正しいホスト名とポート詳細を含むリストを追加または変更します。 |
ステップ 5 |
変更を有効にするには、PWS サーバをリロードします。 |
CNR-EP で
手順
ステップ 1 |
CNR-EP サーバの BPR_HOME/lib/security ディレクトリに配置した RDU rootCA.pem ファイルを、PWS サーバの目的の場所にコピーします。 |
ステップ 2 |
changeNRProperties.sh -ssl enable コマンドを実行して、CNR-EP で RDU SSL 通信を有効にします。 |
ステップ 3 |
changeNRProperties.sh -p 49188 を実行することで、セキュア ポートを設定します。 |
ステップ 4 |
変更を有効にするには、コマンド CNR_HOME/local/usrbin/nrcmd dhcp reload を実行して DHCP サーバをリロードします。 |
既存のサーバ証明書のインポート
署名サーバ証明書がすでにありキーストアにロードする場合は、証明書に関連付けられている秘密キーを知る必要があります。その場合、上記の手順に従うのではなく、このセクションで説明されている手順に従います。秘密キーと署名済み証明書の両方を結合する PCKS #12 ファイル形式を使用します。キーストアにこのファイルをロードするため、キーストア インポート pkcs12 コマンドを使用できます。
既存の署名済みサーバ証明書とサーバの証明書を設定するには。
手順
ステップ 1 |
keystore import-pkcs12 コマンドを使用して、RDU を SSL クライアントに認証するために使用される RDU 互換ファイルに、既存の秘密キーと証明書をロードします。 このコマンドを使用する場合、構文は次の通りです。
次に例を示します。
|
||
ステップ 2 |
新しいキーストアファイルを RDU BPR_HOME/dpe/conf ディレクトリにコピーします。 |
||
ステップ 3 |
CLI では、新しいキーストアを使用するため RDU サービスのいずれかを設定します。詳細については、『Configuring SSL Post Installation』を参照してください。 |
||
ステップ 4 |
ウォッチドッグ エージェント コマンド ラインから /etc/init.d/bprAgent restart rdu コマンドを使用して RDU を再起動します(CLI からプライム ケーブル プロビジョニング プロセス ウォッチドッグを使用する を参照してください)。 |
keytool コマンドの使用
keytool ユーティリティは、キーストアを設定するためにコマンド引数を使用します。次の表に、keytool コマンドとその説明を示します。
keytool コマンド |
Description |
---|---|
-alias alias |
証明書チェーンと秘密キーを保存する Keystore エントリに割り当てらてた ID を特定します。後続の keytool コマンドは、エンティティを参照するため同じエイリアスを使用する必要があります。 |
-dname dname |
件名や発行者の名前など、エンティティを識別するために使用される X.500 識別名を特定します。 |
-file csr_file |
エクスポートする CSR ファイルを特定します。 |
-file cert_file |
証明書の読み取り元のファイルを特定します。 |
-keyalgkeyalg |
キー ペアの作成に使用するアルゴリズムを特定します。値は DSA(デフォルト)と RSA です。 |
-keysize keysize |
64 ビットの倍数で値をキーサイズを指定します。 |
-keypasskeypass |
キー ペアに割り当てられているパスワードを特定します。 |
-keystore keystore |
名前と keystore の場所をカスタマイズします。 |
-noprompt |
インポート操作中に発行することを求めるプロンプトが発生しないように指定します。 |
-provider provider_class_name |
サービス プロバイダがセキュリティ プロパティ ファイルに記載されていない場合、サービス プロバイダのマスタ クラス ファイルの名前を特定します。 |
-rfc |
印刷可能なエンコード形式で表示される証明書の MD5 フィンガープリントの出力を指定します。 |
-storepassstorepass |
Keystore に割り当てられているパスワードを特定します。 |
-sigalgsigalg |
証明書の署名に使用されるアルゴリズムを指定します。 |
-storetypestoretype |
Keystore に割り当てられたタイプと Keystore へのエントリを特定します。 |
-trustcacerts |
追加の証明書が信頼のチェーンのと見なされるように指定します。 |
-v |
証明書の MD5 フィンガー プリントの出力が人が読める形式で印刷されるように指定します。 |
-validity valDays |
有効期間を特定します。デフォルトは、90 日です。 |
(注) |
Keytool および証明書の一般的な管理の概念の詳細については、Oracle のマニュアルを参照してください。 |
新規 RDU 証明書の秘密キーの生成
Keytool genkeyコマンドにより、キー ペア(公開キーおよび関連付けられた秘密キー)を生成し、単一要素の証明書チェーンとして保管される X.509 自己署名証明書に公開キーをまとめます。証明書チェーンと公開キーは、エイリアスで識別される新しいキーストア エントリに保管されます。
(注) |
複数のキー ペアがある場合、エイリアス の目的はキーストア内のキー ペアを固有に識別することです。プライム ケーブル プロビジョニングのコンテキストで、RDU キーに使用される エイリアス が重要です。プライム ケーブル プロビジョニングは、デフォルトの エイリアス として rducert を使用します。エイリアス を変更した場合は、rdu.properties ファイルの新しい エイリアス で /secure/rdu/certificateAlias プロパティを追加または更新します。 |
(注) |
RDU キー ペアを生成するキーツールを直接使用する場合は、changeSSLProperties.sh -cpkp コマンドを使用して、rdu.properties ファイルにキーペアを作成しているときに提供される公開キー パスワードを更新する必要があります。 |
次の例では、キーストア ファイルの名前として .keystore を使用します。
# ./keytool -genkey -alias rducert -storetype JCEKS -validity 730 -keyalg RSA -keystore /opt/CSCObac/lib/security/.keystore
Enter keystore password: changeit
Re-enter new password: changeit
What is your first and last name?
[Unknown]: BAC Testing
What is the name of your organizational unit?
[Unknown]: NMTG
What is the name of your organization?
[Unknown]: Cisco Systems Inc.
What is the name of your City or Locality?
[Unknown]: Bangalore
What is the name of your State or Province?
[Unknown]: KAR
What is the two-letter country code for this unit?
[Unknown]: IN
Is CN=BAC Testing, OU=NMTG, O=Cisco Systems Inc., L=Bangalore, ST=KAR, C=IN correct?
[no]: yes
Enter key password for <rducert>
(RETURN if same as keystore password):
自己署名証明書の表示
keytool -list 引数では、エイリアスによって識別される Keystore エントリの内容が表示されます。エイリアスを指定しない場合は、Keystore のコンテンツ全体が表示されます。
-list と -v を組み合わせる場合、エイリアスに関連付けられている証明書チェーンが表示されます。次の keytool -list サンプル出力には、単一の自己署名証明書を含む Keystore が表示されます。
# ./keytool -list -v -storetype JCEKS -keystore /opt/CSCObac/lib/security/.keystore
Enter keystore password: changeit
Keystore type: JCEKS
Keystore provider: SunJCE
Your keystore contains 1 entry
Alias name: rducert
Creation date: Aug 21, 2012
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=BAC Testing, OU=NMTG, O=Cisco Systems Inc., L=Bangalore, ST=KAR, C=IN
Issuer: CN=BAC Testing, OU=NMTG, O=Cisco Systems Inc., L=Bangalore, ST=KAR, C=IN
Serial number: 50331e4f
Valid from: Tue Aug 21 11:06:15 IST 2012 until: Mon Nov 19 11:06:15 IST 2012
Certificate fingerprints:
MD5: 8F:03:43:33:51:9B:DB:C5:0E:27:B5:B4:A1:FE:97:83
SHA1: A1:FB:63:CD:58:44:A0:CA:1A:A2:41:9B:09:C1:CC:5E:EB:66:B9:96
Signature algorithm name: SHA1withRSA
Version: 3
証明書署名要求の生成
手順内のこの時点で、キーストアには秘密キーおよび X.509 自己署名証明書を含みます。RDU がクライアントの初期ハンドシェイクに対してこの証明書を使用して応答する場合、クライアントは TLS アラートの不正 CA を使用している証明書を拒絶し、クライアントが信頼している認証局が証明書に署名しなかったことを示します。したがって、クライアントが信頼する認証局が証明書に署名する必要があります。
(注) |
SSL をサポートするため、クライアントには、信頼する署名認証局の事前設定パブリック証明書のリストが必要です。 |
Keytool certreq コマンド パラメータは、証明書署名要求(CSR)を生成します。このコマンドは、業界標準 PKCS #10 形式で、CSR を生成します。
次の例では、alias rducert の下で既存の自己署名証明書によるキーストアを使用して、証明書署名要求を生成し、train-1.csr ファイルに要求を出力します。
# ./keytool -alias rducert -certreq -file /opt/CSCObac/lib/security/rducert.csr -storetype JCEKS -keystore /opt/CSCObac/lib/security/.keystore
Enter keystore password: changeit
次の手順では、署名認証局に CSR ファイルを送信します。署名認証局の秘密キーを所持する署名認証局または管理者は、この要求に基づいて署名認証局を生成します。管理者から、署名認証局の公開証明書を取得する必要があります。
署名済み証明書の確認
署名済み証明書を受信した後は、keytool printcert コマンドを使用して、自己署名証明書が正しいファイル形式であり、正しい所有者と発行者のフィールドを使用していることを確認します。コマンドは -file cert_file パラメータから証明書を読み取り、人が読み取り可能な形式で内容を印刷します。
この例の rootCA.crt ファイルは、管理者が提供する署名済み証明書を特定します。
# ./keytool -printcert -file rootCA.crt
Owner: CN=BAC Testing, OU=NMTG, O=Cisco Systems Inc., L=Bangalore, ST=KAR, C=IN
Issuer: CN=BAC Testing, OU=NMTG, O=Cisco Systems Inc., L=Bangalore, ST=KAR, C=IN
Serial number: 50331e4f
Valid from: Tue Aug 21 11:06:15 IST 2012 until: Mon Nov 19 11:06:15 IST 2012
Certificate fingerprints:
MD5: 8F:03:43:33:51:9B:DB:C5:0E:27:B5:B4:A1:FE:97:83
SHA1: A1:FB:63:CD:58:44:A0:CA:1A:A2:41:9B:09:C1:CC:5E:EB:66:B9:96
Signature algorithm name: SHA1withRSA
Version: 3
(注) |
キーツールは、X.509 v1、v2、および v3 証明書、およびそのタイプの証明書を構成する PKCS #7 フォーマットの証明書チェーンを印刷できます。印刷するデータはバイナリエンコード形式か、印刷可能なエンコーディング形式(Base64 エンコードとも呼ばれる)で提供される必要があります。 |
Cacerts キーストアに署名認証局の証明書をインポートする
サーバ証明書キーストアに証明書をインポートする前に、cacerts キーストアに署名認証局の公開証明書をインポートする必要がアリアス。証明書がキーストアにインポートされるとき、キーツールは信頼のチェーンが証明書と署名認証局の間で確立可能か確認します。信頼のチェーンを確立できない場合、エラーメッセージが表示されます。
(注) |
Cacerts ファイルは、いくつかルート証明書の共通サードパーティの署名認証局に付属しているプライム ケーブル プロビジョニングと一緒にまとめられています。キーツール ユーティリティを使用して、cacerts キーストアを管理できます。デフォルトの cacerts キーストア パスワードは changeit です。Cacerts データベース ファイルは、 BPR_HOME/jre/lib/security ディレクトリに存在します。 Cacerts キーストアは、どこかにコピーする必要はありません。再起動されるとすぐに、クライアントは新しいキーストアを使用します。 |
# ./keytool -import -alias rducert-file rootCA.crt -keystore /opt/CSCObpr/jre/lib/security/cacerts
Enter keystore password: changeit
Owner: CN=BAC Testing, OU=NMTG, O=Cisco Systems Inc., L=Bangalore, ST=KAR, C=IN
Issuer: CN=BAC Testing, OU=NMTG, O=Cisco Systems Inc., L=Bangalore, ST=KAR, C=IN
Serial number: 50331e4f
Valid from: Tue Aug 21 11:06:15 IST 2012 until: Mon Nov 19 11:06:15 IST 2012
Certificate fingerprints:
MD5: 8F:03:43:33:51:9B:DB:C5:0E:27:B5:B4:A1:FE:97:83
SHA1: A1:FB:63:CD:58:44:A0:CA:1A:A2:41:9B:09:C1:CC:5E:EB:66:B9:96
Trust this certificate? [no]: yes
Certificate was added to keystore
(注) |
キーツールは、X.509 v1、v2、および v3 証明書、およびそのタイプの証明書を構成する PKCS #7 フォーマットの証明書チェーンをインポートできます。インポートするデータはバイナリエンコード形式か、印刷可能なエンコーディング形式(Base64 エンコードとも呼ばれる)で提供される必要があります。 |
署名済み証明書をサーバ証明書キーストアにインポートする
Cacerts キーストアに署名認証局のパブリック証明書をインポートすると、RDU サーバ証明書キーストアに署名済みサーバ証明書をインポートする必要があります。秘密キーと対応する自己自己署名証明書(公開キー)キーストアはすでに有しています。
証明書の応答(署名証明書)をインポートすることで、キーストアはサーバ証明書キーストアの既存の秘密キーに署名証明書を関連付けるように変更されます。
キーストアに証明書の応答をインポートするとき、- trustcacertsフラグを -import コマンドとともに cacerts ファイル内の証明書に使用して、サブジェクトのキーストアの証明書応答で信頼のチェインを確立するために使用される必要があります。
Keytool-import(署名済みサーバ証明書)
# ./keytool -import -trustcacerts -file rducert.crt -keystore /opt/CSCObac/lib/security/.keystore -alias rducert -storetype JCEKS
Enter key password: changeme
Enter keystore password: changeme
Certificate reply was installed in keystore
Certificate was added to keystore
RDU サーバ証明書キーストアに署名済みサーバ証明書をインポートした後、keytool - printcert コマンドを使用して、署名済み証明書の確認 で説明されているキーストア コンセプトを検証します。-Printcert 出力では、署名の証明機関の発行元と、ルート信頼済み証明書を持つ署名機関を使用して確立された信頼のチェーンを示す必要があります。
トラブルシューティング SSL
プライム ケーブル プロビジョニングは、RDU、DPE、CPNR 拡張機能および API クライアントの SSL ロギングをサポートします。これは、SSL 通信中に接続の問題処理に役立ちます。
SSL 通信ログは、次のログ ファイルに更新されます。
-
rdu.log:rdu.log に表示される SSL ログ上で、セキュリティ保護されたメッセージのデバッグ ロギングを有効にする必要があります。
-
dpe.log:DPE CLI で安全なメッセージングを有効にして、DPE SSL ロギングを有効にする必要があります。
-
name_dhcp_1_log:DHCP SSL の問題をデバッグするため、DHCP プロセスのトレース レベル 4 を有効にする必要があります。
クライアント API ログを設定し、設定に基づく任意の名前を設定できます。