この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
(注) | 通常の方法で Cisco Nexus Data Broker を起動した場合は、デバイスへの接続に HTTP が使用されます。TLS プロトコルを使用して Cisco Nexus Data Broker を起動した場合は、デバイスへの接続に HTTPS が使用されます。 |
Cisco Nexus Data Broker と OpenFlow スイッチの間の TLS 接続を有効にするには、TLS キーストア ファイルとトラストストア ファイルが必要になります。TLS キーストア ファイルと TLS トラストストア ファイルはパスワードで保護されています。
OpenFlow を使用して Cisco Nexus Data Broker に接続する Cisco Nexus シリーズ スイッチには、秘密キー、証明書、認証局(CA)などの追加のクレデンシャルが必要です。
TLS キーストア ファイルには、Cisco Nexus Data Broker が使用する秘密キーと証明書情報が含まれます。
TLS トラストストア ファイルには、接続するスイッチの証明書に署名するために使用される認証局(CA)の証明書が含まれます。
Cisco Nexus Data Broker の実装において TLS 接続が必要な場合は、ネットワーク内の接続をすべて TLS で暗号化する必要があり、TLS を有効にして Cisco Nexus Data Broker を実行する必要があります。TLS を有効にして Cisco Nexus Data Broker を起動した後は、Cisco Nexus Data Broker の TLS キーストア ファイルのパスワードを設定するコマンドを実行してキーストア ファイルのロックを解除する必要があります。
OpenFlow スイッチを使用するには、暗号設定で TLS をイネーブルにする必要があります。
現在、NX-API プロトコル プラグインでは TLS がサポートされていて、デバイスとのセキュア通信が可能です。NX-API プロトコル プラグインにはセキュア ポート 443 を使用して接続できます。設定、検出、および統計情報の収集はすべてセキュア通信を使用して行われます。そのためには、Cisco Nexus Data Broker で必要な証明書を設定し、Cisco Nexus Data Broker をセキュア モードで起動する必要があります。Cisco Nexus Data Broker を TLS モードで起動すると、すべてのデバイスで TLS 接続がサポートされます。スイッチへの暗号化されていない通常の接続は受け入れられません。
注意 | 小規模環境でテストを行う場合を除き、自己署名証明書は使用しないでください。セキュリティを強化し、証明書の使用と失効をきめ細かく制御するため、組織の認証局によって生成された証明書を使用することを強く推奨します。また、実稼働環境では、この手順で生成されたキーと証明書を使用しないでください。 |
以下の手順を実行する Linux ホストに OpenSSL がインストールされていることを確認します。
1.
mkdir -p TLS コマンドを使用して TLS ディレクトリを作成し、cd TLS コマンドを使用してそのディレクトリに移動します。
2. CA システムの作業用ディレクトリを設定します。mkdir -p mypersonalca/<directory name> コマンドを使用して mypersonalca の下に 3 つのディレクトリを作成します。serial ファイルと index.txt ファイルを初期化するため、echo "01" > mypersonalca/serial コマンドと touch mypersonalca/index.txt コマンドをそれぞれ入力します。
3. CA コンフィギュレーション ファイル(ca.cnf)を作成します。ca.cnf ファイルを保存する前に、各デバイスに固有の変更を加える必要があります。たとえば、ca.cnf ファイルの [alt_names] セクションでデバイスの IP アドレスを指定する必要があります。これらの IP アドレスはコンフィギュレーション ファイルで必ず指定されている必要があります。IP/DNS 名を増やしたり減らしたりする必要がある場合は、行を追加または削除できます。
4. ディレクトリ構造を作成し、コンフィギュレーション ファイル(ca.cnf)をディスクに保存したら、TLS 証明書ファイルを作成します。
5. server.key および server.crt を各デバイスにコピーし、次のコマンドを使用してインストールします。
6. TLS キーストア ファイルの作成
7. TLS 信頼ストア ファイルの作成
8. TLS モードでのアプリケーションの起動