この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ここでは、Software Authentication Manager(SAM)を設定するために使用される Cisco IOS XR ソフトウェア コマンドについて説明します。
SAM の概念、設定作業、および例の詳細については、 『Cisco ASR 9000 Series Aggregation Services Router System Security Configuration Guide』の「Configuring Software Authentication Manager on Cisco ASR 9000 Series Router」モジュールを参照してください。
証明書テーブルに新しい証明書を追加するには、EXEC モードで sam add certificate コマンドを使用します。
sam add certificate filepath location { trust | untrust }
filepath |
証明書のソース ロケーションへの絶対パス。 |
location |
証明書の保管場所。 root、mem、disk0、disk1、またはルータ上の他のフラッシュ デバイス名のいずれかを使用します。 |
trust |
Software Authentication Manager(SAM)による検証を行わずに、証明書を証明書テーブルに追加します。 ルート証明書を追加するには、trust キーワードを使用する必要があります。 ルート証明書は、untrust キーワードを使用して追加できません。 |
untrust |
SAM が証明書を検証してから証明書テーブルに追加します。 ルート証明書は、untrust キーワードを使用して追加できません。 ルート証明書を追加するには、trust キーワードを使用する必要があります。 |
なし
EXEC
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
セキュリティ上の理由から、sam add certificate コマンドはネットワーキング デバイスのコンソール ポートまたは AUX ポート以外からは発行できません。このコマンドは、ネットワーキング デバイスの他のインターフェイスへの Telnet 接続からは発行できません。
証明書は、ネットワーク デバイスにコピーしなければ、証明書テーブルに追加できません。 証明書テーブルに証明書がすでに存在する場合は、SAM が追加を拒否します。
ルート証明書を追加する場合は、次の注意事項に従ってください。
trust キーワードを使用すると、信頼できるソースから新しい証明書を受信したので、SAM による検証を行わなくても十分に信頼できると見なされます。 信頼できるソースから証明書を取得する 1 例は、ユーザ認証を要求する CA サーバ(Cisco.com など)から証明書をダウンロードする場合です。 別の例は、個人の認識票のチェックなどによって確認できる個人またはエンティティからの証明書を取得する場合です。 SAM が提供する検証による保護を実行しない場合、他の有効なプロセスによって証明書の識別情報および整合性を確認する必要があります。
メモリ(mem)ロケーションに追加された証明書は、メモリにインストールされているソフトウェアを検証します。 disk0 ロケーションまたは disk1 ロケーションに追加された証明書は、それぞれこれらのデバイスを検証します。
(注) |
証明書の失効を示すメッセージが表示されて sam add certificate コマンドが失敗する場合、ネットワーキング デバイスのクロックが正しく設定されていない可能性があります。 show clock コマンドを使用して、クロックが正常に設定されているかを確認します。 |
タスク ID |
操作 |
---|---|
crypto |
execute |
次に、最初に証明書の検証を行わずに、/bootflash/ca.bin にある証明書をルート ロケーションの証明書テーブルに追加する例を示します。
RP/0/RSP0/CPU0:router# sam add certificate /bootflash/ca.bin root trust
SAM: Successful adding certificate /bootflash/ca.bin
次に、検証後に、/bootflash/css.bin にある証明書をメモリ(mem)ロケーションの証明書テーブルに追加する例を示します。
RP/0/RSP0/CPU0:router# sam add certificate /bootflash/css.bin mem untrust
SAM: Successful adding certificate /bootflash/css.bin
コマンド |
説明 |
---|---|
証明書テーブルから証明書を削除します。 |
|
証明書の場所など、証明書テーブル内の情報を表示します。 |
|
show clock |
ネットワーキング デバイスのクロック情報を表示します。 詳細については、 『Cisco ASR 9000 Series Aggregation Services Router System Management Command Reference』を参照してください。 |
証明書テーブルから証明書を削除するには、EXEC モードで sam delete certificate コマンドを使用します。
sam delete certificate location certificate-index
location |
証明書の保管場所。 root、mem、disk0、disk1、またはルータ上の他のフラッシュ デバイス名のいずれかを使用します。 |
certificate-index |
1 ~ 65000 の範囲の番号。 |
なし
EXEC
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
セキュリティ上の理由から、sam delete certificate コマンドはネットワーキング デバイスのコンソール ポート以外からは発行できません。このコマンドは、ネットワーキング デバイスの他のインターフェイスへの Telnet 接続からは発行できません。
インデックス番号を使用して証明書を表示するには、show sam certificate summary コマンドを使用します。
無意識のうちに認証局(CA)証明書を削除してはいけないので、CA 証明書を削除しようとすると、Software Authentication Manager(SAM)がユーザに確認を求めます。
システムに保存されている証明書がすでに有効ではない場合(たとえば、証明書が失効した場合)、sam delete certificate コマンドを使用してリストから証明書を削除できます。
タスク ID |
操作 |
---|---|
crypto |
execute |
次に、インデックス番号 2 で識別される証明書をメモリ ロケーションから削除する例を示します。
RP/0/RSP0/CPU0:router# sam delete certificate mem 2
SAM: Successful deleting certificate index 2
次に、インデックス番号 1 で識別される証明書のルート ロケーションからの削除をキャンセルする例を示します。
RP/0/RSP0/CPU0:router# sam delete certificate root 1
Do you really want to delete the root CA certificate (Y/N): N
SAM: Delete certificate (index 1) canceled
次に、インデックス番号 1 で識別される証明書をルート ロケーションから削除する例を示します。
RP/0/RSP0/CPU0:router# sam delete certificate root 1
Do you really want to delete the root CA certificate (Y/N): Y
SAM: Successful deleting certificate index 1
コマンド |
説明 |
---|---|
証明書テーブルに新しい証明書を追加します。 |
|
証明書の保存場所など、証明書テーブル内の情報を表示します。 |
Software Authentication Manager(SAM)が起動時に異常な状況を検出したときに、ユーザに入力を求めた後で待機するインターバルを設定し、指定されたインターバル内にユーザからの入力を受信しなかった場合の SAM の応答方法を決定するには、グローバル コンフィギュレーション モードで sam promptinterval コマンドを使用します。 プロンプト インターバルおよび応答をデフォルト値にリセットするには、このコマンドの no 形式を使用します。
sam promptinterval time-interval { proceed | terminate }
no sam promptinterval time-interval { proceed | terminate }
time-interval |
プロンプト時間。0 ~ 300 秒の範囲です。 |
proceed |
プロンプト インターバルが終了したとき、SAM が「yes」を受信したように応答させます。 |
terminate |
プロンプト インターバルが終了したとき、SAM が「no」を受信したように応答させます。 |
SAM のデフォルトの応答は、10 秒間待機してから認証タスクを終了させます。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
起動時の SAM の初期化中に失効した証明書などシステムが例外条件を検出した時に実行するアクションを制御するには、sam prompt-interval コマンドを使用します。 次のメッセージは、認証局(CA)証明書が失効したという異常な状況を検出した場合に表示されます。
SAM detects expired CA certificate. Continue at risk (Y/N):
ユーザがプロンプトに対して応答するまで、または sam prompt-interval コマンドによって制御されるインターバルが終了するまでのいずれか早いイベントを待機します。 プロンプトに対して「N」と応答すると、起動プロセスは完了できますが、パッケージはインストールできません。
次のメッセージは、Code Signing Server(CSS; コード サイニング サーバ)証明書が失効したという異常な状況を検出した場合に表示されます。
SAM detects CA certificate (Code Signing Server Certificate Authority) has expired. The validity period is Oct 17, 2000 01:46:24 UTC - Oct 17, 2015 01:51:47 UTC. Continue at risk? (Y/N) [Default:N w/in 10]:
プロンプトに対して応答しないと、SAM は指定されたインターバルが終了するまで待機し、(proceed キーワードまたは terminate キーワードのいずれかを使用して)sam prompt-interval コマンドで指定されたアクションを実行します。
proceed キーワードを使用してこのコマンドを入力した場合、SAM は指定されたインターバルが終了するまで待機し、ユーザがプロンプトに対して「yes」と応答したように続行します。
terminate キーワードを使用してコマンドを入力した場合、SAM は指定されたインターバルが終了するまで待機し、ユーザがプロンプトに対して「no」と応答したように続行します。 このようにコマンドを使用することによって、システム コンソールが無人の場合にシステムが無期限に待機しないようにさせます。
(注) |
ソフトウェアが起動した後に、このコマンドを使って time-interval 引数を設定しても無効です。 この値が適用されるのは、起動時だけです。 |
タスク ID |
操作 |
---|---|
crypto |
read, write |
次の例は、プロンプトに対するユーザの応答を SAM に 30 秒間待機させ、要求された SAM プロセス タスクを終了させる方法を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# sam promptinterval 30 terminate
コマンド |
説明 |
---|---|
SAM の現在のステータス情報を表示します。 |
Message Digest 5(MD5)ハッシュ アルゴリズムを使用してフラッシュ メモリ カードのソフトウェア コンポーネントの整合性を確認し、送信中に改ざんされていないことを保証するには、EXEC モードで sam verify コマンドを使用します。
sam verify { location | file-system } { MD5 | SHA [digest] }
location |
フラッシュ メモリ カード スロットの名前。disk0 または disk1 のいずれかです。 |
file-system |
確認対象のファイルへの絶対パス。 |
MD5 |
単方向のハッシュ アルゴリズムを指定し、指定されたソフトウェア コンポーネントの 128 ビットのハッシュ(またはメッセージ ダイジェスト)を生成します。 |
SHA |
セキュア ハッシュ アルゴリズム(264 ビット未満の長さのメッセージを受け取り、160 ビットのメッセージ ダイジェストを生成するハッシュ アルゴリズム)を指定します。 大きいメッセージ ダイジェストは、ブルートフォース コリジョンおよび反転攻撃に対するセキュリティを提供します。 |
digest |
(任意)ハッシュ アルゴリズムによって生成されるメッセージ ダイジェストは、ソフトウェア コンポーネントの整合性を確認する際に比較されます。 |
なし
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
所定のデバイス用にメッセージ ダイジェストを生成するには、sam verify コマンドを使用します。 メッセージ ダイジェストは、フラッシュ メモリ カード上のソフトウェアが送信中に改ざんされていないことを確認するのに有用です。 このコマンドによって、送信時と受信時のソフトウェアの整合性を比較するために使用できるハッシュ コードが生成されます。
たとえば、ソフトウェアがプリインストールされているフラッシュ メモリ カードと以前に生成された MD5 メッセージ ダイジェストがある場合、sam verify コマンドを使用してソフトウェアの整合性を確認できます。
sam verify device MD5 digest
device 引数は、フラッシュ デバイスを指定します。 digest 引数は、ソフトウェアのオリジネータから供給されたメッセージ ダイジェストを指定します。
このメッセージ ダイジェストと sam verify コマンドによって生成されたメッセージ ダイジェストが一致した場合、ソフトウェア コンポーネントは有効です。
(注) |
フラッシュ メモリ カードにロードされている一連のファイルとは異なるファイルを使用して、宛先ネットワーキング デバイスでフラッシュ メモリ コードのコンテンツについてハッシュ コードを計算する必要があります。 権限のないユーザが同じソフトウェア バージョンを使用して目的とする(一致する)ハッシュ コードを生成し、それによって誰かが新しいソフトウェアを改ざんしたように偽装できます。 |
タスク ID |
操作 |
---|---|
crypto |
execute |
ここでは、不一致に対する Software Authentication Manager(SAM)の応答を示すための、第 3 の sam verify コマンドを示します。このコマンドは、メッセージ ダイジェストが不一致であることを示すメッセージとともに発行されます。 次の例は、MD5 を使用してスロット 0 のフラッシュ メモリ カード上のファイル システム全体についてメッセージ ダイジェストを生成し、ダイジェスト比較を実行するための入力値としてこれらのメッセージ ダイジェストを使用する方法を示します。
RP/0/RSP0/CPU0:router# sam verify disk0: MD5 Total file count in disk0: = 813 082183cb6e65a44fd7ca95fe8e93def6 RP/0/RSP0/CPU0:router# sam verify disk0: MD5 082183cb6e65a44fd7ca95fe8e93def6 Total file count in disk0: = 813 Same digest values RP/0/RSP0/CPU0:router# sam verify disk0: MD5 3216c9282d97ee7a40b78a4e401158bd Total file count in disk0: = 813 Different digest values
次の例は、MD5 を使用してメッセージ ダイジェストを生成し、これらのメッセージ ダイジェストをダイジェスト比較を実行するための入力値として使用する方法を示します。
RP/0/RSP0/CPU0:router# sam verify disk0: /crl_revoked.bin MD5 38243ffbbe6cdb7a12fa9fa6452956ac RP/0/RSP0/CPU0:router# sam verify disk0: /crl_revoked.bin MD5 38243ffbbe6cdb7a12fa9fa6452956ac Same digest values
証明テーブル内の情報を表示するには、EXEC モードで show sam certificate コマンドを使用します。
detail |
選択された(location 引数および certificate-index 引数で指定された)テーブル エントリのすべての属性を表示します。 |
location |
表示するエントリの保存場所を指定します。 次のいずれかの値を使用します。 |
certificate-index |
表示する証明書テーブル内のエントリのインデックス番号。1 ~ 65000 の範囲です。 |
brief |
証明書テーブル内のエントリの属性のサブセットを表示します。 |
location |
表示するエントリの保存場所を指定します。 次のいずれかの値を使用します。 |
なし
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
システムに保存されているすべての証明書を表示するときは、show sam certificate コマンドを使用します。 属性は、認証番号、認証フラグ、シリアル番号、サブジェクト名、発行元、バージョン、発行アルゴリズム、発効日と失効日、公開キー、およびシグニチャです。
認証番号を取得するには、certificate-index 引数を使用します。 brief キーワードと all キーワードを使用した場合、テーブル内のすべてのエントリに対して、選択されたすべての属性が表示されます。
タスク ID |
操作 |
---|---|
none |
— |
次の例では、ルート ロケーションに 1 つの証明書が存在し、ディスク 0 に 1 つの証明書が存在します。 次の出力例は、show sam certificate コマンドを実行した結果です。
RP/0/RSP0/CPU0:router# show sam certificate
brief
all
-------------------- SUMMARY OF CERTIFICATES -------------------
Certificate Location :root
Certificate Index :1
Certificate Flag :VALIDATED
Serial Number :32:E0:A3:C6:CA:00:39:8C:4E:AC:22:59:1B:61:03:9F
Subject Name :
cn=Code Signing Server Certificate Authority,o=Cisco,c=US
Issued By :
cn=Code Signing Server Certificate Authority,o=Cisco,c=US
Validity Start :[UTC] Tue Oct 17 01:46:24 2000
Validity End :[UTC] Sat Oct 17 01:51:47 2015
CRL Distribution Point
file://\\CodeSignServer\CertEnroll\Code%20Signing%20Server%20Certificate
%20Authority.crl
Certificate Location :mem
Certificate Index :1
Certificate Flag :VALIDATED
Serial Number :01:27:FE:79:00:00:00:00:00:05
Subject Name :
cn=Engineer code sign certificate
Issued By :
cn=Code Signing Server Certificate Authority,o=Cisco,c=US
Validity Start :[UTC] Tue Oct 9 23:14:28 2001
Validity End :[UTC] Wed Apr 9 23:24:28 2003
CRL Distribution Point
file://\\CodeSignServer\CertEnroll\Code%20Signing%20Server%20Certificate %20Authority.crl
次の表に、この出力で表示される重要なフィールドの説明を示します。
フィールド |
説明 |
---|---|
Certificate Location |
証明書の場所。root、mem、disk0、disk1、または他のフラッシュ デバイス名のいずれかです。 |
Certificate Index |
Software Authentication Manager が証明書に自動的に割り当てるインデックス番号。 |
Certificate Flag |
TRUSTED、VALIDATED、EXPIRED、または REVOKED のいずれかです。 |
Serial Number |
発行元によって割り当てられた、証明書の一意のシリアル番号。 |
Subject Name |
証明書の発行対象エンティティの名前。 |
Issued By |
証明書を発行したエンティティの名前。 |
show sam certificate コマンドを実行した結果である次の出力例は、特定の SAM の詳細の表示方法を示します。
RP/0/RSP0/CPU0:router# show sam certificate detail mem 1
------------------------------------------------------------
Certificate Location :mem
Certificate Index :1
Certificate Flag :VALIDATED
----------------------- CERTIFICATE ------------------------
Serial Number :01:27:FE:79:00:00:00:00:00:05
Subject Name :
cn=Engineer code sign certificate
Issued By :
cn=Code Signing Server Certificate Authority,o=Cisco,c=US
Validity Start :[UTC] Tue Oct 9 23:14:28 2001
Validity End :[UTC] Wed Apr 9 23:24:28 2003
CRL Distribution Point
file://\\CodeSignServer\CertEnroll\Code%20Signing%20Server%20Certificate
%20Authority.crl
Version 3 certificate
Issuing Algorithm:MD5withRSA
Public Key BER (294 bytes):
30 82 01 22 30 0d 06 09 2a 86 48 86 f7 0d 01 01 [0.."0...*.H.....]
01 05 00 03 82 01 0f 00 30 82 01 0a 02 82 01 01 [........0.......]
00 be 75 eb 9b b3 d9 cb 2e d8 c6 db 68 f3 5a ab [..u.........h.Z.]
0c 17 d3 84 16 22 d8 18 dc 3b 13 99 23 d8 c6 94 [....."...;..#...]
91 15 15 ec 57 ea 68 dc a5 38 68 6a cb 0f 4b c2 [....W.h..8hj..K.]
43 4b 2d f9 92 94 93 04 df ff ca 0b 35 1d 85 12 [CK-.........5...]
99 e9 bd bc e2 98 99 58 fe 6b 45 38 f0 52 b4 cb [.......X.kE8.R..]
a9 47 cd 22 aa ce 70 0e 4c 9b 48 a1 cf 0f 4a db [.G."..p.L.H...J.]
35 f5 1f 20 b7 68 cb 71 2c 27 01 84 d6 bf 4e d1 [5.. .h.q,'....N.]
ba e1 b2 50 e7 f1 29 3a b4 85 3e ac d7 cb 3f 36 [...P..):..>...?6]
96 65 30 13 27 48 84 f5 fe 88 03 4a d7 05 ed 72 [.e0.'H.....J...r]
4b aa a5 62 e6 05 ac 3d 20 4b d6 c9 db 92 89 38 [K..b...= K.....8]
b5 14 df 46 a3 8f 6b 05 c3 54 4d a2 83 d4 b7 02 [...F..k..TM.....]
88 2d 58 e7 a4 86 1c 48 77 68 49 66 a1 35 3e c4 [.-X....HwhIf.5>.]
71 20 aa 18 9d 9f 1a 38 52 3c e3 35 b2 19 12 ad [q .....8R<.5....]
99 ad ce 68 8b b0 d0 29 ba 25 fd 1e e0 5d aa 12 [...h...).%...]..]
9c 44 89 63 89 62 e3 cb f3 5d 5f a3 7c b7 b9 ef [.D.c.b...]_.|...]
01 89 5b 33 35 a8 81 60 38 61 4e d8 4f 6a 53 70 [..[35..`8aN.OjSp]
35 02 03 01 00 01 [5.....]
Certificate signature (256 bytes):
67 f6 12 25 3f d4 d2 dd 6a f7 3e 55 b8 9f 33 53 [g..%?...j.>U..3S]
20 4d d1 17 54 08 8a 70 22 35 92 59 9c 03 9c 0f [ M..T..p"5.Y....]
ce 46 3c 06 74 d0 a9 8e b1 88 a2 35 b3 eb 1b 00 [.F<.t......5....]
5c 6d bb 1d b5 ad 17 19 f2 c6 96 87 9b e7 15 01 [\m..............]
b2 04 af 7d 92 60 d9 ee ef bc 60 4e 2e af 84 e2 [...}.`....`N....]
42 fe 07 71 7e fc ee ee f5 d1 6d 71 e7 46 f0 97 [B..q~.....mq.F..]
e0 e8 b3 0e f9 07 e0 de 6e 36 5a 56 1e 80 10 05 [........n6ZV....]
59 d9 88 ba f7 a3 d1 f6 cd 00 12 9f 90 f0 65 83 [Y.............e.]
e9 0f 76 a4 da eb 1b 1b 2d ea bd be a0 8a fb a7 [..v.....-.......]
a5 18 ff 9f 5c e9 99 66 f0 d3 90 ae 49 3f c8 cc [....\..f....I?..]
32 6b db 64 da fd f5 42 ea bc f3 b0 8a 2f 17 d8 [2k.d...B...../..]
cf c0 d8 d4 3a 41 ae 1d cf 7a c6 a6 a1 65 c2 94 [....:A...z...e..]
8a ba ea d3 da 3e 8a 44 9b 47 35 10 ab 61 1b 4f [.....>.D.G5..a.O]
82 dd 59 16 d5 f2 1d f3 c2 08 cc 1c 7f ab be 9c [..Y.............]
be 52 73 ea e0 89 d7 6f 4d d0 d8 aa 3d 50 d6 b0 [.Rs....oM...=P..]
e1 ea 3b 27 50 42 08 d6 71 eb 66 37 b1 f5 f6 5d [..;'PB..q.f7...]]
次の表に、この出力で表示される重要なフィールドの説明を示します。
フィールド |
説明 |
---|---|
Certificate Location |
証明書の場所。root、mem、disk0、または disk1 のいずれかです。 |
Certificate Index |
SAM が証明書に自動的に割り当てたインデックス番号。 |
Certificate Flag |
TRUSTED、VALIDATED、EXPIRED、または REVOKED のいずれかです。 |
Serial Number |
発行元によって割り当てられた、証明書の一意のシリアル番号。 |
Subject Name |
証明書の発行対象エンティティの名前。 |
Issued By |
証明書を発行したエンティティの名前。 |
Version |
証明書の ITU-T X.509 バージョン。 バージョンは、1(X.509v1)、2(X.509v2)、または 3(X.509v3)です。 |
Issuing Algorithm |
発行元が証明書のサインに使用したハッシュおよび公開キーアルゴリズム。 |
Public Key |
証明書のサブジェクト公開キー。 |
Certificate signature |
証明書の暗号化されたハッシュ値(またはシグニチャ)。 証明書のハッシュ値は、発行元の秘密キーを使用して暗号化されます。 |
Certificate Revocation List(CRL; 証明書失効リスト)テーブル内の情報を表示するには、EXEC モードで show sam crl コマンドを使用します。
show sam crl { summary | detail crl-index }
summary |
テーブル内のすべてのエントリについて、選択された属性を表示します。 |
detail |
(特に crl-index 引数によって)選択されたテーブル エントリの属性をすべて表示します。 |
crl-index |
エントリのインデックス番号。1 ~ 65000 の範囲です。 |
なし
EXEC
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
システムに現在保存されている失効した証明書をすべて表示する場合は、show sam crl コマンドを使用します。 属性は、CRL インデックス番号、発行元、および更新情報です。
CRL インデックス番号を取得するには、summary キーワードを使用します。
タスク ID |
操作 |
---|---|
crypto |
read |
次の出力例は、summary キーワードを使用して show sam crl コマンドを実行した結果です。
RP/0/RSP0/CPU0:router# show sam crl summary
----------------------- SUMMARY OF CRLs --------------------------
CRL Index :1
Issuer:CN = Code Sign Server Certificate Manager, OU = Cisco HFR mc , O =
Cisco,
L = San Jose, ST = CA, C = US, EA =<16> iosmx-css-cert@cisco.com
Including updates of:
Sep 09, 2002 03:50:41 GMT
次の表に、この出力で表示される重要なフィールドの説明を示します。
フィールド |
説明 |
---|---|
CRL Index |
エントリのインデックス番号。1 ~ 65000 の範囲です。 インデックス番号は、証明書失効リスト テーブルに保存されます。 |
Issuer |
この CRL を発行した認証局(CA)。 |
Including updates of |
CRL テーブルに含まれる、この CA が発行した CRL のバージョン。 |
次の出力例は、detail キーワードを使用して show sam crl コマンドを実行した結果です。
RP/0/RSP0/CPU0:router# show sam crl detail 1
-----------------------------------------------------------------
CRL Index :1
-------------- CERTIFICATE REVOCATION LIST (CRL) -----------------
Issuer:CN = Code Sign Server Certificate Manager, OU = Cisco HFR mc , O = Cisco,
L = San Jose, ST = CA, C = US, EA =<16> iosmx-css-cert@cisco.com
Including updates of:
Sep 09, 2002 03:50:41 GMT
Revoked certificates include:
Serial #:61:2C:5C:83:00:00:00:00:00:44, revoked on Nov 03, 2002 00:59:02 GMT
Serial #:21:2C:48:83:00:00:00:00:00:59, revoked on Nov 06, 2002 19:32:51 GMT
-------------------------------------------------------------------------------
次の表に、この出力で表示される重要なフィールドの説明を示します。
フィールド |
説明 |
---|---|
CRL Index |
エントリのインデックス番号。1 ~ 65000 の範囲です。 インデックス番号は、証明書失効リスト テーブルに保存されます。 |
Issuer |
この CRL を発行した CA。 |
Including updates of |
CRL テーブルに含まれる、この CA が発行した CRL のバージョン。 |
Revoked certificates include |
失効した証明書のリスト。証明書のシリアル番号および証明書の失効日時を含みます。 |
Software Authentication Manager(SAM)ログ ファイルの内容を表示するには、EXEC モードで show sam log コマンドを使用します。
show sam log [lines-number]
lines-number |
(任意)表示する SAM ログ ファイルの行数。0 ~ 200 の範囲です。0 は、ログ ファイル内のすべての行を表示し、200 は、最新の 200 行(ログ ファイル内の行数が 200 未満の場合は、存在する行数)を表示します。 |
lines-number 引数を使用しない show sam log コマンドは、ログ ファイル内のすべての行を表示します。
EXEC
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
SAM ログ ファイルは、失効した証明書または無効な証明書、テーブル ダイジェストの不一致、および SAM サーバの再起動など、SAM テーブルに対する変更を記録します。
タスク ID |
操作 |
---|---|
crypto |
read |
次の出力例は、show sam log コマンドを実行した結果です。
RP/0/RSP0/CPU0:router# show sam log
06/16/02 12:03:44 UTC Added certificate in table root/1 CN = Certificate Manage, 0x01
06/16/02 12:03:45 UTC SAM server restarted through router reboot
06/16/02 12:03:47 UTC Added CRL in table CN = Certificate Manage, updated at Nov 10, 2001 04:11:42 GMT
06/16/02 12:03:48 UTC Added certificate in table mem:/1 CN = Certificate Manage, 0x1e
06/16/02 12:16:16 UTC SAM server restarted through router reboot
06/16/02 12:25:02 UTC SAM server restarted through router reboot
06/16/02 12:25:04 UTC Added certificate in table mem:/1 CN = Certificate Manage, 0x1e
06/16/02 12:39:30 UTC SAM server restarted through router reboot
06/16/02 12:39:30 UTC SAM server restarted through router reboot
06/16/02 12:40:57 UTC Added certificate in table mem/1 CN = Certificate Manage, 0x1e
33 entries shown
出力の各行は、テーブルの変更、失効した証明書または無効な証明書、テーブル ダイジェストの不一致、または SAM サーバの再起動など、ログに記録された特定のイベントを示します。
ネットワーキング デバイスにインストールされている特定パッケージのソフトウェアの認証に使用された証明書に関する情報を表示するには、EXEC モードで show sam package コマンドを使用します。
show sam package package-name
package-name |
メモリ デバイス(disk0:、disk1:、mem: など)およびファイルへのファイル システム パスなどソフトウェア パッケージの場所。 インストール マネージャ パッケージの名前およびロケーション情報を表示するには、show install all コマンドを使用します。 |
なし
EXEC
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ソフトウェア パッケージのインストール場所および名前を表示するには、show install all コマンド(たとえば、mem:ena-base-0.0.0 または disk1:crypto-exp-lib-0.4.0)を使用します。次に、show sam package コマンドを使用して、インストールされているパッケージの認証に使用された証明書に関する情報を表示します。 show sam package コマンドは、detail キーワードを使用して show sam certificate コマンドを使用した場合と同じ情報を表示します。
タスク ID |
操作 |
---|---|
crypto |
read |
次の出力例は、show sam package コマンドを実行した結果です。
RP/0/RSP0/CPU0:router# show sam package mem:12k-rp-1.0.0
------------------------------------------------------------
Certificate Location :mem
Certificate Index :1
Certificate Flag :VALIDATED
----------------------- CERTIFICATE ------------------------
Serial Number :01:27:FE:79:00:00:00:00:00:05
Subject Name :
cn=Engineer code sign certificate
Issued By :
cn=Code Signing Server Certificate Authority,o=Cisco,c=US
Validity Start :[UTC] Tue Oct 9 23:14:28 2001
Validity End :[UTC] Wed Apr 9 23:24:28 2002
CRL Distribution Point
file://\\CodeSignServer\CertEnroll\Code%20Signing%20Server%20Certificate
%20Authority.crl
Version 3 certificate
Issuing Algorithm:MD5withRSA
Public Key BER (294 bytes):
30 82 01 22 30 0d 06 09 2a 86 48 86 f7 0d 01 01 [0.."0...*.H.....]
01 05 00 03 82 01 0f 00 30 82 01 0a 02 82 01 01 [........0.......]
00 be 75 eb 9b b3 d9 cb 2e d8 c6 db 68 f3 5a ab [..u.........h.Z.]
0c 17 d3 84 16 22 d8 18 dc 3b 13 99 23 d8 c6 94 [....."...;..#...]
91 15 15 ec 57 ea 68 dc a5 38 68 6a cb 0f 4b c2 [....W.h..8hj..K.]
43 4b 2d f9 92 94 93 04 df ff ca 0b 35 1d 85 12 [CK-.........5...]
99 e9 bd bc e2 98 99 58 fe 6b 45 38 f0 52 b4 cb [.......X.kE8.R..]
a9 47 cd 22 aa ce 70 0e 4c 9b 48 a1 cf 0f 4a db [.G."..p.L.H...J.]
35 f5 1f 20 b7 68 cb 71 2c 27 01 84 d6 bf 4e d1 [5.. .h.q,'....N.]
ba e1 b2 50 e7 f1 29 3a b4 85 3e ac d7 cb 3f 36 [...P..):..>...?6]
96 65 30 13 27 48 84 f5 fe 88 03 4a d7 05 ed 72 [.e0.'H.....J...r]
4b aa a5 62 e6 05 ac 3d 20 4b d6 c9 db 92 89 38 [K..b...= K.....8]
b5 14 df 46 a3 8f 6b 05 c3 54 4d a2 83 d4 b7 02 [...F..k..TM.....]
88 2d 58 e7 a4 86 1c 48 77 68 49 66 a1 35 3e c4 [.-X....HwhIf.5>.]
71 20 aa 18 9d 9f 1a 38 52 3c e3 35 b2 19 12 ad [q .....8R<.5....]
99 ad ce 68 8b b0 d0 29 ba 25 fd 1e e0 5d aa 12 [...h...).%...]..]
9c 44 89 63 89 62 e3 cb f3 5d 5f a3 7c b7 b9 ef [.D.c.b...]_.|...]
01 89 5b 33 35 a8 81 60 38 61 4e d8 4f 6a 53 70 [..[35..`8aN.OjSp]
35 02 03 01 00 01 [5.....]
Certificate signature (256 bytes):
67 f6 12 25 3f d4 d2 dd 6a f7 3e 55 b8 9f 33 53 [g..%?...j.>U..3S]
20 4d d1 17 54 08 8a 70 22 35 92 59 9c 03 9c 0f [ M..T..p"5.Y....]
ce 46 3c 06 74 d0 a9 8e b1 88 a2 35 b3 eb 1b 00 [.F<.t......5....]
5c 6d bb 1d b5 ad 17 19 f2 c6 96 87 9b e7 15 01 [\m..............]
b2 04 af 7d 92 60 d9 ee ef bc 60 4e 2e af 84 e2 [...}.`....`N....]
42 fe 07 71 7e fc ee ee f5 d1 6d 71 e7 46 f0 97 [B..q~.....mq.F..]
e0 e8 b3 0e f9 07 e0 de 6e 36 5a 56 1e 80 10 05 [........n6ZV....]
59 d9 88 ba f7 a3 d1 f6 cd 00 12 9f 90 f0 65 83 [Y.............e.]
e9 0f 76 a4 da eb 1b 1b 2d ea bd be a0 8a fb a7 [..v.....-.......]
a5 18 ff 9f 5c e9 99 66 f0 d3 90 ae 49 3f c8 cc [....\..f....I?..]
32 6b db 64 da fd f5 42 ea bc f3 b0 8a 2f 17 d8 [2k.d...B...../..]
cf c0 d8 d4 3a 41 ae 1d cf 7a c6 a6 a1 65 c2 94 [....:A...z...e..]
8a ba ea d3 da 3e 8a 44 9b 47 35 10 ab 61 1b 4f [.....>.D.G5..a.O]
82 dd 59 16 d5 f2 1d f3 c2 08 cc 1c 7f ab be 9c [..Y.............]
be 52 73 ea e0 89 d7 6f 4d d0 d8 aa 3d 50 d6 b0 [.Rs....oM...=P..]
次の表に、この出力で表示される重要なフィールドの説明を示します。
フィールド |
説明 |
---|---|
Certificate Location |
証明書の場所。root、mem、disk0、または disk1 のいずれかです。 |
Certificate Index |
Software Authentication Manager(SAM)が証明書に自動的に割り当てるインデックス番号。 |
Certificate Flag |
TRUSTED、VALIDATED、EXPIRED、または REVOKED のいずれかです。 |
Serial Number |
発行元によって割り当てられた、証明書の一意のシリアル番号。 |
Subject Name |
証明書の発行対象エンティティの名前。 |
Issued By |
証明書を発行したエンティティの名前。 |
Version |
証明書の ITU-T X.509 バージョン。 バージョンは、1(X.509v1)、2(X.509v2)、または 3(X.509v3)です。 |
Issuing Algorithm |
発行元が証明書のサインに使用したハッシュおよび公開キーアルゴリズム。 |
Public Key |
証明書のサブジェクト公開キー。 |
Certificate signature |
証明書の暗号化されたハッシュ値(またはシグニチャ)。 証明書のハッシュ値は、発行元の秘密キーを使用して暗号化されます。 |
コマンド |
説明 |
---|---|
show install |
ソフトウェア パッケージのインストール場所および名前を表示します。 all キーワードを使用して、すべての場所からアクティブなパッケージを表示できます。 詳細については、 『Cisco ASR 9000 Series Aggregation Services Router System Management Command Reference』を参照してください。 |
SAM 証明書テーブル内の情報を表示します。 |
Software Authentication Manager(SAM)の現在の設定を表示するには、EXEC モードで show sam sysinfo コマンドを使用します。
show sam sysinfo
このコマンドには、キーワードと引数はありません。
なし
EXEC
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
SAM の設定を確認するには、show sam sysinfo コマンドを使用します。
ディスプレイには、SAM のステータス、現在のプロンプト インターバル設定、および現在のプロンプトのデフォルト応答が表示されます。
タスク ID |
操作 |
---|---|
crypto |
read |
次の出力例は、show sam sysinfo コマンドを実行した結果です。
RP/0/RSP0/CPU0:router# show sam sysinfo
Software Authentication Manager System Information
==============================================
Status : running
Prompt Interval : 10 sec
Prompt Default Response : NO
次の表に、この出力で表示される重要なフィールドの説明を示します。
フィールド |
説明 |
---|---|
Status |
running または not running のいずれか。 SAM が稼働していなければ、システム マネージャによってこの状態が検出され、SAM の再起動が試行されます。 既定の再試行回数を実行しても、問題が発生するために SAM を再起動できない場合、SAM は再起動されません。 このような場合は、Cisco Technical Assistance Center(TAC)の担当者にご連絡ください。 |
Prompt Interval |
プロンプト インターバルの現在の設定。 インターバルは、0 ~ 300 秒の範囲に設定できます。 出力例に示されている値(10 秒)は、デフォルトです。 |
Prompt Default Response |
ユーザがプロンプトに対して応答する前にプロンプト インターバルが終了した場合に SAM が実行するアクションを指定する現在の設定。 ユーザがプロンプトに対して応答しない場合、SAM は指定されたインターバルが終了するまで待機し、(proceed キーワードまたは terminate キーワードのいずれかを使用して)sam prompt-interval コマンドで指定されたアクションを実行します。 proceed キーワードを使用して sam promptinterval コマンドを入力すると、show sam sysinfo コマンドに「Yes」と表示させます。つまり、SAM によって実行されるデフォルトのアクションは、プロンプト インターバルが終了するまで待機し、ユーザから「yes」を受信したように応答します。 terminate キーワードを使用して sam promptinterval コマンドを入力すると、show sam sysinfo コマンドに「No」と表示させます。つまり、SAM によって実行されるデフォルトのアクションは、プロンプト インターバルが終了するまで待機し、ユーザから「no」を受信したように応答します。 |
コマンド |
説明 |
---|---|
異常な状況を検出したときに、ユーザに入力を求めた後で SAM が待機するインターバルを設定し、指定されたインターバル内にユーザからの入力を受信しなかった場合の SAM の応答方法を決定します。 |