[WAN Edge List] タブで、[Validate] 列を確認します。ステータスは、次のいずれかになります。

• [Valid]（緑色で表示）：ルータの証明書は有効です。

• [Staging ]（黄色で表示）：ルータはステージング状態です。

• [Invalid]（赤色で表示）：ルータの証明書は無効です。

[Configuration] > [Devices] 画面を使用して Cisco vEdge デバイス と WAN ルータをネットワークに追加する際、[Validate the uploaded WAN Edge List and send to controllers] チェックボックスをクリックすることにより、ルータを自動的に検証し、そのシャーシ番号とシリアル番号をコントローラデバイスに送信することができます。このオプションをオンにしない場合は、各ルータを個別に検証し、そのシャーシ番号とシリアル番号をコントローラデバイスに送信する必要があります。次の手順を実行します。

1. [WAN Edge List] タブで、検証するルータを選択します。

2. [Validate] 列で、[Valid] をクリックします。

3. [OK] をクリックして、有効な状態への移行を確認します。

4. 検証するルータごとに上記の手順を繰り返します。

5. 画面の左上隅にある [Send to Controllers] ボタンをクリックして、検証済みルータのシャーシ番号とシリアル番号をネットワーク内のコントローラデバイスに送信します。Cisco SD-WAN Manager NMS は、プッシュ操作のステータスを示す [Push WAN Edge List] 画面を表示します。

WAN エッジルータを最初に起動して設定する場合、Cisco SD-WAN Manager インスタンスを使用してステージング状態にできます。ルータがステージングの状態の場合、ルータを設定し、ルータが Cisco SD-WAN コントローラ および Cisco SD-WAN Manager インスタンスとの動作可能な接続を確立できることをテストできます。

ルータを実稼働サイトに物理的に配置した後、ルータの状態をステージングから有効に変更します。ルータが実稼働ネットワークに参加するのは、この時点でのみです。ルータをステージングするには、次の手順を実行します。

1. [WAN Edge List] タブで、ステージングするルータを選択します。

2. [Validate] 列で、[Staging] をクリックします。

3. [OK] をクリックして、ステージング状態への移行を確認します。

4. 画面の左上隅にある [Send to Controllers] をクリックして、WAN エッジ認証シリアル番号ファイルをコントローラと同期します。Cisco SD-WAN Manager NMS は、プッシュ操作のステータスを示す [Push WAN Edge List] 画面を表示します。

5. ステージングを解除するには、WAN エッジルータを検証します。

1. [WAN Edge List] タブで、無効にするルータを選択します。

2. [Validate] 列で、[Invalid] をクリックします。

3. [OK] をクリックして、無効な状態への移行を確認します。

4. 無効にするルータごとに上記の手順を繰り返します。

5. 画面の左上隅にある [Send to Controllers] ボタンをクリックして、検証済みルータのシャーシとシリアル番号をネットワーク内のコントローラデバイスに送信します。 Cisco SD-WAN Manager インスタンスは、プッシュ操作のステータスを示す [Push WAN Edge List] 画面を表示します。

Cisco SD-WAN Validator は、オーバーレイネットワーク内の有効なコントローラを判別するために、コントローラのシリアル番号のリストを保持しています。Cisco SD-WAN Manager インスタンスは、証明書生成プロセス中にこれらのシリアル番号を学習します。

コントローラのシリアル番号を Cisco SD-WAN Validator に送信するには、次の手順を実行します。

1. [Controllers] タブで、画面の下部にある証明書ステータスバーを確認します。[Send to Controllers] チェックマークが緑色の場合、すべてのシリアル番号はすでに Cisco SD-WAN Validator に送信されています。灰色の場合は、1 つ以上のシリアル番号を Cisco SD-WAN Validator に送信できます。

   （注）	Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a 以降、Cisco Catalyst SD-WAN のブランド変更との一貫性を保つために、[Controllers] タブの名前が [Control Components] タブに変更されました。

2. [Controllers] タブの [Send to Validator] ボタンをクリックします。コントローラのシリアル番号と検証済みルータの UUID が Cisco SD-WAN Validator に送信されます。すべてのシリアル番号が送信済みの場合、[Send to Validator] をクリックすると、エラーメッセージが表示されます。コントローラのシリアル番号を再送信するには、最初にデバイスを選択してから、[Validity] 列で [Invalid] を選択する必要があります。

   （注）	Cisco IOS XE Catalyst SD-WAN リリース 17.14.x 以前では、[Controllers] タブで [Send to Validator] ボタンをクリックすると、コントローラのシリアル番号のみが Cisco SD-WAN Validator に 1 回送信されます。 Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a 以降、Cisco Catalyst SD-WAN のブランド変更との一貫性を保つために、[Controllers] タブの名前が [Control Components] タブに変更されました。

シリアル番号が送信されたら、Cisco SD-WAN Manager ツールバーの [Tasks] アイコンをクリックして、ファイルのダウンロードおよびその他の最近のアクティビティのログを表示します。

[Administration] > [Settings] > [Certificate Signing by Symantec] で、証明書生成プロセスに [Manual] オプションを選択した場合は、[Install Certificate] ボタンを使用して、コントローラデバイスに証明書を手動でインストールします。

Symantec またはエンタープライズルート CA は、証明書に署名すると、個別の署名済み証明書を含むファイルを返します。それらをローカルネットワーク内のサーバーに配置します。その後、それらを各コントローラーにインストールします。

1. [Controllers] タブの [Install Certificate] をクリックします。

   （注）	Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a 以降、Cisco Catalyst SD-WAN のブランド変更との一貫性を保つために、[Controllers] タブの名前が [Control Components] タブに変更されました。

2. [Install Certificate] ウィンドウで、ファイルを選択するか、証明書のテキストをコピーして貼り付けます。

3. [Install] をクリックしてデバイスに証明書をインストールします。証明書にはコントローラを識別する情報が含まれているため、証明書をインストールするデバイスを選択する必要はありません。

4. 上記の手順を繰り返して、追加の証明書をインストールします。

1. [Controllers] タブで、[Export Root Certificate] ボタンをクリックします。

   （注）	Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a 以降、Cisco Catalyst SD-WAN のブランド変更との一貫性を保つために、[Controllers] タブの名前が [Control Components] タブに変更されました。

2. [Export Root Certificate] ウィンドウで、[Download] をクリックしてルート証明書をファイルにエクスポートします。

3. [閉じる（Close）] をクリックします。

1. [WAN Edge List] または [Controllers] タブで、デバイスを選択します。

   （注）	Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a 以降、Cisco Catalyst SD-WAN のブランド変更との一貫性を保つために、[Controllers] タブの名前が [Control Components] タブに変更されました。

2. 行の右側にある [More Actions] アイコンをクリックし、[View CSR] をクリックして証明書署名要求（CSR）を表示します。

1. [WAN Edge List] または [Controllers] タブで、Cisco IOS XE Catalyst SD-WAN デバイス を選択します。

   （注）	Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a 以降、Cisco Catalyst SD-WAN のブランド変更との一貫性を保つために、[Controllers] タブの名前が [Control Components] タブに変更されました。

2. 行の右側にある [More Actions] アイコンをクリックし、[View Device CSR] をクリックして証明書署名要求（CSR）を表示します。

   トラストポイントが設定されている Cisco IOS XE Catalyst SD-WAN デバイス の場合は、[More Actions] アイコンをクリックすると、次の 3 つのオプションを表示できます。

   • [View Device CSR]

   • [Generate Feature CSR]

   • [View Feature CSR]

（注）	Cisco SD-WAN Manager は、デバイス証明書が Cisco SD-WAN Manager を介してインストールされている場合にのみアラームを生成します。証明書を手動でインストールした場合、Cisco SD-WAN Manager は証明書の期限切れのアラームを生成しません。

1. [Controllers] タブで、デバイスを選択します。

   （注）	Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a 以降、Cisco Catalyst SD-WAN のブランド変更との一貫性を保つために、[Controllers] タブの名前が [Control Components] タブに変更されました。

2. 行の右側にある [More Actions] アイコンをクリックし、[View Certificate] をクリックします。

以下の手順では、CSR の生成プロセスについて説明します。

1. [Controllers] タブで、デバイスを選択します。

   （注）	Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a 以降、Cisco Catalyst SD-WAN のブランド変更との一貫性を保つために、[Controllers] タブの名前が [Control Components] タブに変更されました。

2. 行の右側にある [More Actions] アイコンをクリックし、[Reset RSA] をクリックします。

3. [OK] をクリックしてデバイスの RSA キーのリセットを確認し、新しい公開キーまたは秘密キーで新しい CSR を生成します。

証明書関連のアクティビティのステータスを表示するには、次の手順を実行します。

1. Cisco SD-WAN Manager ツールバーにある [Task] アイコンをクリックします。Cisco SD-WAN Manager NMS には、すべての実行中タスクのリストと、成功と失敗の合計数が表示されます。

2. 行をクリックして、タスクの詳細情報を表示します。Cisco SD-WAN Manager NMS ではステータスウィンドウが開き、タスクのステータスとタスクが実行されたデバイスの詳細が表示されます。

署名付き証明書は、オーバーレイネットワーク内の Cisco SD-WAN デバイスの認証に使用されます。Cisco SD-WAN Manager を使用して署名付き証明書の内容を表示するには、次の手順を実行します。

1. Cisco SD-WAN Manager メニューから [Configuration] > [Certificates] の順に選択します。

2. [Controllers] をクリックします。

   （注）	Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a 以降、Cisco Catalyst SD-WAN のブランド変更との一貫性を保つために、[Controllers] タブの名前が [Control Components] タブに変更されました。

3. 目的のデバイスの [...] をクリックし、[View Certificate] を選択して、インストールされている証明書を表示します。

CA 証明書を取り消すには、次の手順を使用します。

1. Cisco SD-WAN Manager のメニューから、[Configuration] > [Configuration Groups] を選択します。

2. 設定グループ名の横にある […] をクリックし、[Edit] を選択します。

3. 目的のシステムプロファイルをクリックします。

4. CA 証明書の横にある […] をクリックし、[Delete Feature] を選択します。

5. 変更をデバイスに展開します。

CA 証明書を更新するには、次の手順を使用します。

1. 更新する CA 証明書を Cisco SD-WAN Manager にアップロードします。

2. Cisco SD-WAN Manager のメニューから、[Configuration] > [Configuration Groups] を選択します。

3. 設定グループ名の横にある […] をクリックし、[Edit] を選択します。

4. 目的のシステムプロファイルをクリックします。

5. CA 証明書の横にある […] をクリックし、[Delete Feature] を選択します。

6. [Configuration Groups] を使用して、設定グループに機能を追加し、「CA 証明書の設定」トピックのステップ 3 からステップ 7 の手順に従います。

Cisco Catalyst SD-WAN でエンタープライズ証明書を使用すると、Cisco SD-WAN Manager を使用して、侵害され、証明書が取り消された SD-WAN エッジデバイスを検疫できます。

（注）	証明書失効リスト (CRL) ベースの検疫機能は、デフォルトで無効になっています。

• Cisco SD-WAN Manager は、証明書失効リスト（CRL）に含まれている証明書を失効させます。 Cisco SD-WAN Manager は、認証局（CA）からこのリストを取得します。

• Cisco SD-WAN Manager は、定義された間隔で、最新の CRL について CRL サーバーをポーリングします。リストを受信すると、Cisco SD-WAN Manager はそれを分析して、隔離する SD-WAN エッジデバイスを決定します。

• Cisco SD-WAN Manager は、ネットワーク内の有効な各 SD-WAN エッジデバイスの証明書のシリアル番号が CRL 内の証明書のシリアル番号と一致するかどうかを確認します。一致が見つかった場合、SD-WAN エッジデバイス上の証明書は削除されないため、SD-WAN エッジデバイスは Cisco SD-WAN Manager への制御接続を保持できます。

SD-WAN エッジデバイスの検疫プロセスは次のとおりです。

• 検疫された各 SD-WAN エッジデバイスについて：

  • Cisco SD-WAN Manager は SD-WAN エッジデバイスをステージングモードに移行します。ステージングモードでは、Cisco SD-WAN Manager への制御接続を維持しながらデータトラフィックをシャットダウンします。

  • Cisco SD-WAN Manager は隔離されている SD-WAN エッジデバイスの通知を生成します。

隔離されたそれぞれの Cisco SD-WAN コントローラ について、Cisco SD-WAN Manager はコントローラへの通知を生成します。

（注）	CRL サーバーは、VPN 0 または VPN 512 を介して Cisco SD-WAN Manager に接続します。

• CRL ベースの検疫機能を使用できるのは、ハードウェア WAN エッジ証明書承認、コントローラ証明書承認、または WAN エッジ クラウド証明書承認の証明書に署名するエンタープライズ CA（認証局）がある場合のみです。

• CRL を無効にして、証明書の失効から検疫、または検疫から証明書の失効に切り替えます。証明書の失効と CRL ベースの検疫オプションを同時に有効にすることはできません。

1. Cisco SD-WAN Manager で、[Administration] > [Root CA Management] を選択します。

2. [Modify Root CA] をクリックします。

3. [Root Certificate] フィールドに証明書のテキストを貼り付けるか、[Select a File] をクリックしてファイルから証明書をロードします。

4. [Add]をクリックします。証明書テーブルで新しい証明書が表示されます。[Recent Status] 列は、証明書がまだインストールされていないことを示しています。

5. [Next] をクリックして、インストールされていない証明書の詳細を確認します。

6. [Save] をクリックして証明書をインストールします。証明書テーブルで新しい証明書が表示されます。

1. Cisco SD-WAN Manager で、[Administration] > [Root CA Management] を選択します。

2. （オプション）[検索] フィールドにテキストを入力して、証明書ビューをフィルタ処理します。証明書のテキストまたは属性値（シリアル番号など）でフィルタ処理できます。

3. 証明書のテーブルで、[More Actions (…)] をクリックし、[View] を選択します。ポップアップウィンドウが開き、証明書と詳細が表示されます。

この手順を使用して、ルート認証局（CA）証明書を削除します。

1. Cisco SD-WAN Manager で、[Administration] > [Root CA Management] を選択します。

2. [Modify Root CA] をクリックします。

3. テーブルにあるルート証明書を 1 つ以上選択し、[Action] 列のごみ箱アイコンをクリックします。削除対象としてマークされた証明書がテーブルに表示されます。

4. [Next] をクリックして、削除対象としてマークされている証明書の詳細を確認します。

5. [Save] をクリックして証明書を削除します。

エンタープライズ証明書を使用すると、組織は、公的証明書署名機関に依存することなく、独自のプライベート証明書署名機関を使用できます。[Set CSR Properties] フィールドを使用して、カスタム証明書プロパティを適用することもできます。

（注）	16.11/19.1 リリースでは、エンタープライズ証明書が導入されました。エンタープライズ証明書は、以前に使用されていたコントローラ証明書の承認に置き換わるものです。独立した組織がエンタープライズ証明書の署名を実施します。

[Configuration] > [Certificates]ページを使用して、証明書を管理し、オーバーレイネットワーク内の WAN エッジデバイスおよびコントローラデバイスを認証します。

Cisco Catalyst SD-WAN ソリューションの 2 つのコンポーネントで、デバイス認証が実行されます。

• 署名付き証明書は、オーバーレイネットワーク内のデバイスの認証に使用されます。認証されたデバイスは、相互にセキュアなセッションを確立できます。これらの証明書を生成し、それらをコントローラデバイス（Cisco SD-WAN Manager インスタンス、Cisco SD-WAN Validator、および Cisco SD-WAN コントローラ）にインストールするのは Cisco SD-WAN Manager からです。

• WAN エッジ認証シリアル番号ファイルには、ネットワーク内のすべての有効な vEdge ルータと WAN ルータのシリアル番号が含まれています。Cisco プラグアンドプレイ（PnP）からこのファイルを受信し、各ルータを有効または無効としてマークし、Cisco SD-WAN Manager からネットワーク内のコントローラデバイスにファイルを送信します。

Cisco Catalyst SD-WAN オーバーレイ ネットワーク コンポーネントが相互に検証および認証できるようにするには、証明書と WAN Edge 認定シリアル番号ファイルをコントローラデバイスにインストールする必要があります。インストールすると、オーバーレイネットワークが動作可能になります。

（注）	証明書管理の目的で、コントローラという用語は、Cisco SD-WAN Manager、Cisco SD-WAN コントローラ、および Cisco SD-WAN Validator をまとめて指します。

WAN エッジデバイスをリセットしたら、エンタープライズルート証明書を手動でデバイスにインストールする必要があります。アップグレードを実行しても、証明書は保持されます。

（注）	Cisco SD-WAN Manager は、Base 64 でエンコードされた証明書のみをサポートします。エンコードされた他の形式（DER など）はサポートされていません。 たとえば、PEM 拡張機能は、--BEGIN... 行のプレフィックスが付いた ASCII（Base64）装甲データを含むさまざまなタイプの X.509v3 ファイルに使用されます。

1. Cisco SD-WAN Manager メニューから、[Administration] > [Settings] > [Hardware WAN Edge Certificate Authorization] の順に選択します。

2. [Enterprise Certificate]（エンタープライズ CA によって署名済み）をクリックします。

   [On Box Certificate (TPM/SUDI Certificate)] はデフォルトのオプションです。

3. カスタム証明書プロパティを指定する場合は、[Set CSR Properties] をクリックし、次のプロパティを設定します。

   プロパティ	説明
   Domain Name	ネットワークドメイン名。 17 文字以下にする必要があります。
   Organizational Unit	このフィールドは編集できません。組織単位は、Cisco SD-WAN Manager で使用されている組織名と同じである必要があります。 （注）     Cisco IOS XE Catalyst SD-WAN リリース 17.9.3a、または Cisco IOS XE Release 17.9.x 以降、あるいは Cisco IOS XE Catalyst SD-WAN リリース 17.12.1a 以降を使用するデバイスの場合、デバイスにインストールする証明書では、組織単位フィールドを定義する必要はありません。ただし、署名付き証明書に組織単位フィールドが含まれている場合、フィールドはデバイスで構成されている組織名と一致する必要があります。これは、2022 年 9 月の時点で、認証局ブラウザフォーラム (CA/ブラウザフォーラム) のポリシーに対応し、署名付き証明書に組織単位を含めることを停止します。CA/ブラウザフォーラムのポリシーが変更されたにもかかわらず、一部の認証局では、署名付き証明書に組織単位が含まれている場合があります。
   Secondary Organization Unit	このオプションのフィールドは Cisco IOS XE SD-WAN リリース 17.2 または Cisco SD-WAN リリース 20.1.x から入手できます。このオプションのフィールドを指定すると、すべてのコントローラとエッジデバイスに適用されます。 （注）     署名付き証明書に [Organizational Unit] フィールドまたは [Secondary Organizational Unit] フィールドが含まれている場合、これらのフィールドのいずれかが、デバイスに設定されている組織名と一致する必要があります。これは、2022 年 9 月の時点で、認証局ブラウザフォーラム (CA/ブラウザフォーラム) のポリシーに対応し、署名付き証明書に組織単位を含めることを停止します。CA/ブラウザフォーラムのポリシーが変更されたにもかかわらず、一部の認証局では、署名付き証明書に組織単位が含まれている場合があります。
   Organization	組織名。
   City	市区町村郡の名前。
   State	都道府県の名前。
   Email	電子メール アドレス。
   2-Letter Country Code	国コード。
   Subject Altenative Name (SAN) DNS Names	任意で、複数のホスト名で同じ SSL 証明書を使用するように設定できます。 たとえば、cisco.com と cisco2.com を入力します。
   Subject Altenative Name (SAN) URIs	任意で、複数の Uniform Resource Identifier（URI）で同じ SSL 証明書を使用するように設定できます。 たとえば、cisco.com と support.cisco.com を入力します。

4. [Select a file] を選択して、ルート認証局ファイルをアップロードします。

   アップロードされたルート認証局がテキストボックスに表示されます。

5. [Save] をクリックします。

6. Cisco SD-WAN Manager メニューから、[Configuration] > [Devices]の順に選択します。

7. [Upload WAN Edge List] タブを選択します。

8. Cisco IOS XE Catalyst SD-WAN デバイス および Cisco vEdge デバイス リストの場所を参照し、[Upload] をクリックします。

9. [Configuration] > [Certificates]ページで [...] をクリックし、アクションを選択します。

   • [View Enterprise CSR]（証明書署名要求）：CSR をコピーし、エンタープライズルート証明書を使用して署名し、証明書のインストール操作を使用して Cisco SD-WAN Manager に署名済み証明書をアップロードします。Cisco SD-WAN Manager は、証明書をインストールする必要があるハードウェアエッジを自動的に検出します。

   • [View Enterprise Certificate]：証明書をインストールすると、インストールされた証明書を表示してダウンロードできます。

   • [Renew Enterprise CSR]：ハードウェアデバイスに新しい証明書をインストールする必要がある場合は、[Renew Enterprise CSR] オプションを使用できます。[Renew Enterprise CSR] オプションは CSR を生成します。次に、証明書を表示し（[View Enterprise CSR] オプション)、証明書をインストールします（[Install Certificate] オプション）。この手順により、制御接続が新しいシリアル番号としてフラップされます。新しいシリアル番号と有効期限のデータは、[Configuration] > [Certificates] ページで確認できます。

     （注）	Cisco Catalyst SD-WAN オーバーレイ内のデバイスにインストールする証明書では、組織単位フィールドを定義する必要はありません。ただし、署名付き証明書に組織単位フィールドが含まれている場合、フィールドはデバイスで構成されている組織名と一致する必要があります。

   • [Revoke Enterprise Certificate]：このオプションは、デバイスからエンタープライズ証明書を削除し、プレステージングに戻します。デバイスでは、Cisco SD-WAN Validator と Cisco SD-WAN Manager のコントロールのみが動作しています。

   Cisco IOS XE Catalyst SD-WAN デバイス の場合は、[...] をクリックしてアクションを選択します。

   • [View Feature CSR]：

     • Cisco IOS XE Catalyst SD-WAN デバイス から入手可能な CSR をコピーします。

     • 証明機関からのエンタープライズルート証明書を使用して証明書に署名します。

     • [Install Feature Certificate] 操作を使用して、署名付き証明書を Cisco SD-WAN Manager にアップロードします。

       Cisco SD-WAN Manager は、証明書をインストールする必要があるハードウェアエッジを自動的に検出します。機能証明書をインストールすると、[View Feature Certificate] オプションが使用可能になります。

   • [View Feature Certificate]：機能証明書をインストールすると、機能証明書を表示してダウンロードできます。

   • [Revoke Feature Certificate]：このオプションは、機能証明書またはトラストポイント情報を Cisco IOS XE Catalyst SD-WAN デバイス から削除します。証明書を取り消すと、デバイスに対するすべてのアクションが使用できなくなります。デバイスのすべてのアクションを表示するには、デバイスのログ情報を、認証タイプをサーバーとして Transport Layer Security（TLS）プロファイルに設定してから、相互に設定し直します。また、アクションを表示するには、Cisco IOS XE Catalyst SD-WAN デバイス を工場出荷時のデフォルト設定にリセットします。

     デバイスを工場出荷時のデフォルトにリセットするには、次の手順を実行します。

     • Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

     • 工場出荷時のデフォルトテンプレートを使用してデバイステンプレートを作成します。

       工場出荷時のデフォルトテンプレートは、Factory_Default_ feature-name _Template です。機能テンプレートを使用してデバイステンプレートを作成する方法については、Create a Device Template from Feature Templates [英語] を参照してください。

10. [Install Certificate] または [Install Feature Certificate] をクリックして、署名付き証明書をアップロードします。

    証明書は、署名付き証明書である必要があります。最初の状態は「CSR Generated」です。

    正常にインストールされると、状態が「Certificate Installed」に変わります。

11. Cisco SD-WAN Manager のメニューから[Configuration] > [Certificates]の順に選択します。デバイスタイプ、シャーシ ID、エンタープライズシリアル番号、エンタープライズ証明書の日付など、エンタープライズ証明書の列を確認できます。

WAN エッジデバイスを削除する前に、デバイスを無効にします。

1. Cisco SD-WAN Manager のメニューから[Configuration] > [Certificates]の順に選択します。

2. デバイスが表示されている行で、[Invalid] をクリックしてデバイスを無効にします。

1. Cisco SD-WAN Manager のメニューから[Administration] > [Settings] の順に選択します。

2. [Controller Certificate Authorization] 領域で、[Edit] をクリックします。

3. [Enterprise Root Certificate] をクリックします。警告が表示されたら、[Proceed] をクリックして続行します。

4. 必要に応じて、[Set CSR Properties] をクリックして、証明書署名要求（CSR）の詳細を手動で構成します。

   （注）

   マルチテナントシナリオで、CSR プロパティを手動で構成し、Cisco Catalyst SD-WAN 制御コンポーネントリリース 20.11.1 以降を使用している場合は、ネットワーク内のデバイスが Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a　以降を使用していることを確認してください。シングルテナントのシナリオでは、これは必要ありません。 マルチテナントシナリオで、CSR プロパティを手動で構成する場合、テナントデバイスの CSR を生成する準備ができたら、以下で説明する [Secondary Organizational Unit] フィールドにテナントの組織名を入力します。マルチテナントシナリオで、サービス プロバイダー デバイスの CSR を生成する場合、これは必要ありません。

   次のプロパティが表示されます。

   • [Domain Name]：ネットワークドメイン名。最大 17 文字を入力できます。

   • Organizational Unit

     （注）	[Organizational Unit] フィールドは編集できません。このフィールドには、[Administration] > [Settings] > [Organization Name] の Cisco SD-WAN Manager に対して構成した組織名が自動的に入力されます。

   • [Secondary Organizational Unit]：このオプションのフィールドは Cisco IOS XE SD-WAN リリース 17.2 または Cisco SD-WAN リリース 20.1.x 以降でのみ使用できます。このオプションのフィールドを指定すると、すべてのコントローラとエッジデバイスに適用されることに注意してください。

   • [Organization]：Cisco vManage リリース 20.11.1 以降では、WAN エッジクラウドデバイスでエンタープライズ証明書のコントローラ証明書認証を構成するときに、このフィールドで任意の組織を指定できます。[Viptela LLC]、[vIPtela Inc]、[Cisco Systems] などの名前に限定されません。これにより、組織の認証局名またはサードパーティの認証局名を使用できます。最大長は 64 文字で、スペースと特殊文字を含めることができます。名前を入力すると、Cisco SD-WAN Manager により、名前が検証されます。

   • 市区町村郡（City）

   • 都道府県（State）

   • 電子メール（Email）

   • 2 文字の国コード（2-Letter Country Code）

   • [Subject Altenative Name (SAN) DNS Names]：（オプション）同じ SSL 証明書を使用するように複数のホスト名を設定できます。例：cisco.com および cisco2.com

   • [Subject Altenative Name (SAN) URIs]：（オプション）複数の Uniform Resource Identifier（URI）を設定して、同じ SSL 証明書を使用できます。例：cisco.com および support.cisco.com

5. SSL 証明書を [Certificate] フィールドに貼り付けるか、[Select a file] をクリックして SSL 証明書ファイルに移動します。

6. （任意）[Subject Alternative Name (SAN) DNS Names] フィールドに複数のホスト名を入力して同じ SSL 証明書を使用することができます。

   たとえば、cisco.com と cisco2.com を入力します。

7. （任意）[Subject Alternative Name (SAN) URIs] フィールドに複数の URI を入力して同じ SSL 証明書を使用することができます。

   たとえば、cisco.com と support.cisco.com を入力します。

   これは、組織の異なる部分に異なるサブドメインを使用せず、ホスト名に単一の証明書を使用する組織に役立ちます。

オンサイト ブートストラップ プロセスには、ブート可能な USB ドライブまたは内部ブートフラッシュから SD-WAN をサポートするデバイスにロードするブートストラップ構成ファイルの生成が含まれます。デバイスは起動すると、構成ファイルの情報を使用してネットワークに接続します。

（注）	ブートストラップ構成を生成する必要がある場合は、[Configuration] > [Devices]ページを使用して […] をクリックし、[Generate Bootstrap Configuration] を選択します。

（注）

Cisco vManage リリース 20.7.1 以降、Cisco vEdge デバイス のブートストラップ構成ファイルを生成するときに使用できるオプションがあり、2 つの異なる形式のブートストラップ構成ファイルを生成できます。 Cisco Catalyst SD-WAN リリース 20.4.x 以前を使用している Cisco vEdge デバイス のブートストラップ構成ファイルを生成している場合は、[The version of this device is 20.4.x or earlier] チェックボックスをオンにします。 Cisco SD-WAN リリース 20.5.1 以降を使用している Cisco vEdge デバイス のブートストラップ構成を生成する場合は、チェックボックスを使用しないでください。

次の手順では、PnP および対象の SA/VA にアクセスできる必要があります。お客様は、独自の SA/VA にアクセスできます。