証明書/ISAKMP プロファイルマッピング
証明書/ISAKMP プロファイルマッピング機能を使用すると、証明書内の任意のフィールドの内容に基づいて、ピアに Internet Security Association and Key Management Protocol(ISAKMP)プロファイルを割り当てることができます。また、この機能では、ISAKMP プロファイルに割り当てられたピアにグループ名を割り当てることもできます。
機能情報の入手
ご使用のソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「証明書/ISAKMP プロファイルマッピングの機能情報」を参照してください。
プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスしてください。Cisco.com のアカウントは必要ありません。
証明書/ISAKMP プロファイルマッピングの前提条件
• 証明書マップの設定を理解している必要があります。
• ISAKMP プロファイルの設定を理解している必要があります。
証明書/ISAKMP プロファイルマッピングの制約事項
証明書を交換しないで、Rivest、Shamir、Adelman(RSA)シグニチャまたは RSA 暗号化認証を使用する場合は、この機能を適用できません。ISAKMP ピアは、証明書を使用して RSA シグニチャまたは RSA 暗号化認証を実行するように設定する必要があります。
同じ認証局(CA)サーバに登録された 2 つのトラストポイントを使用する IPsec はサポートされません。2 つ以上の ISAKMP プロファイルがあり、各プロファイルが、同じ CA サーバに登録されているが異なるトラストポイントを持っている場合、応答側は最後のグローバル トラストポイントを選択します(トラストポイントは、グローバルに定義された順序と逆の順序で選択されます)。ピアが IPsec トンネルの確立を成功させるには、発信側が選択したトラストポイントは、応答側が選択したトラストポイントと一致する必要があります。トラストポイントが一致しない場合、他のすべての IPsec トンネルは、接続の確立に失敗します。
証明書/ISAKMP プロファイルマッピングに関する情報
証明書/ISAKMP プロファイルマッピング機能を設定するには、次の概念を理解しておく必要があります。
• 「証明書/ISAKMP プロファイルマッピングの概要」
• 「証明書/ISAKMP プロファイルマッピングの動作方法」
• 「ピアへの ISAKMP プロファイルおよびグループ名の割り当て」
証明書/ISAKMP プロファイルマッピングの概要
Cisco IOS Release 12.3(8)T 以前では、ピアを ISAKMP プロファイルにマッピングする方法は、次の方法だけでした。ISAKMP 交換の ISAKMP ID フィールドは、ピアを ISAKMP プロファイルにマッピングするために使用されていました。証明書が認証に使用されるとき、ISAKMP ID ペイロードに証明書からの所有者名が含まれていました。CA が、要求されたグループ値を証明書の最初の Organizational Unit(OU; 組織ユニット)フィールドに表示しなかった場合、ISAKMP プロファイルをピアに割り当てることはできませんでした。
Cisco IOS Release 12.3(8)T でも、上記のように、ピアをマッピングできます。証明書/ISAKMP プロファイルマッピング機能を使用すると、証明書内の任意のフィールドの内容に基づいて、ピアに ISAKMP プロファイルを割り当てることができます。以前は、証明書の所有者名に基づいて ISAKMP プロファイルを割り当てるという方法しかありませんでした。また、この機能により、ISAKMP プロファイルが割り当てられたピアにグループを割り当てることができます。
証明書/ISAKMP プロファイルマッピングの動作方法
図 1 に、証明書マップを ISAKMP プロファイルに接続し、証明書マップにグループ名を割り当てる方法を示します。
図 1 プロファイル グループを割り当てるためにマッピングされた証明書マップ
ISAKMP プロファイルには複数の証明書マップを接続できますが、証明書マップは 1 つの ISAKMP プロファイルにしか接続できません。
証明書マップにより、証明書を指定の一連の基準と照合できるようになります。ISAKMP プロファイルは、自身を証明書マップにバインドできます。また、提示された証明書が ISAKMP プロファイル内に存在する証明書マップと一致した場合、ピアに ISAKMP プロファイルが割り当てられます。ISAKMP プロファイルにクライアント設定グループ名が含まれている場合、同じグループ名がピアに割り当てられます。この ISAKMP プロファイル情報により、ID_KEY_ID アイデンティティまたは証明書の最初の OU フィールドの情報が上書きされます。
ピアへの ISAKMP プロファイルおよびグループ名の割り当て
証明書内の任意のフィールドに基づいて、ピアに ISAKMP プロファイルを割り当てるには、ISAKMP プロファイルを定義してから、 match certificate コマンドを使用します。
また、ピアに割り当てられる ISAKMP プロファイルにグループ名を関連付けるには、ISAKMP プロファイルを定義してから、 client configuration group コマンドを使用します。
ISAKMP プロファイル マッピングに証明書を設定する方法
ここでは、次の各手順について説明します。
• 「ISAKMP プロファイルへの証明書のマッピング」(必須)
• 「証明書がマッピングされたことの確認」(任意)
• 「ピアへのグループ名の割り当て」(必須)
• 「ISAKMP プロファイル マッピングに対応する証明書のモニタおよびメンテナンス」(任意)
ISAKMP プロファイルへの証明書のマッピング
ISAKMP プロファイルに証明書をマッピングするには、次の手順を実行します。この設定により、証明書内の任意のフィールドの内容に基づいて、ピアに ISAKMP プロファイルを割り当てることができます。
手順の概要
1. enable
2. configure terminal
3. crypto isakmp profile profile-name
4. match certificate certificate-map
手順の詳細
|
|
|
ステップ 1 |
enable
Router# enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto isakmp profile profile-name
Router (config)# crypto isakmp profile vpnprofile |
ISAKMP プロファイルを定義し、暗号 ISAKMP プロファイル コンフィギュレーション モードを開始します。 |
ステップ 4 |
match certificate certificate-map
Router (conf-isa-prof)# match certificate map1 |
証明書マップの名前を受け入れます。 |
証明書がマッピングされたことの確認
次の show コマンドを使って、証明書マップの所有者名が適切に設定されているか確認できます。
概要
1. enable
2. show crypto ca certificates
手順の詳細
|
|
|
ステップ 1 |
enable
Router# enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
show crypto ca certificates
Router# show crypto ca certificates |
証明書に関する情報を表示します。 |
ピアへのグループ名の割り当て
ピアを ISAKMP プロファイルにマッピングするときにグループ名をピアに関連付けるには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto isakmp profile profile-name
4. client configuration group group-name
手順の詳細
|
|
|
ステップ 1 |
enable
Router# enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto isakmp profile profile-name
Router (config)# crypto isakmp profile vpnprofile |
ISAKMP プロファイルを定義し、ISAKMP プロファイル コンフィギュレーション モードを開始します。 |
ステップ 4 |
client configuration group group-name
Router (conf-isa-prof)# client configuration group group1 |
この暗号 ISAKMP プロファイルにピアを割り当てるときに、そのピアに割り当てられるグループ名を受け入れます。 |
ISAKMP プロファイル マッピングに対応する証明書のモニタおよびメンテナンス
ISAKMP プロファイル マッピングに対応する証明書をモニタし、メンテナンスするには、次の debug コマンドを使用します。
手順の概要
1. enable
2. debug crypto isakmp
手順の詳細
|
|
|
ステップ 1 |
enable
Router# enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
debug crypto isakmp
Router# debug crypto isakmp |
証明書が、証明書マップの照合を経て、ISAKMP プロファイルと一致することを示す出力を表示します。 このコマンドは、ピアにグループが割り当てられたことを確認する場合にも使用できます。 |
証明書/ISAKMP プロファイルマッピングの設定例
ここでは、次の設定例を示します。
• 「任意のフィールドに基づいた ISAKMP プロファイルへの証明書のマッピング例」
• 「ISAKMP プロファイルに関連付けられたピアに割り当てられるグループ名の例」
• 「ISAKMP プロファイルへの証明書のマッピング検証例」
• 「ピアに割り当てられたグループ名の検証例」
任意のフィールドに基づいた ISAKMP プロファイルへの証明書のマッピング例
次の設定例では、証明書に「ou = green」が含まれているときは必ず、ISAKMP プロファイル「cert_pro」がピアに割り当てられることを示します。
crypto pki certificate map cert_map 10
subject-name co ou = green
crypto isakmp identity dn
crypto isakmp profile cert_pro
match certificate cert_map
ISAKMP プロファイルに関連付けられたピアに割り当てられるグループ名の例
次の例は、グループ「some_group」が、ISAKMP プロファイルが割り当てられたピアに関連付けられることを示しています。
crypto isakmp profile id_profile
match identity host domain cisco.com
client configuration group some_group
ISAKMP プロファイルへの証明書のマッピング検証例
次の例は、ISAKMP プロファイルに証明書がマッピングされたことを示します。この例には、応答側および発信側の設定、証明書マップの所有者名が設定されたこと確認する show コマンド出力、および証明書が証明書マップの照合を経て、ISAKMP プロファイルに一致したことを示す debug コマンド出力が含まれています。
応答側の設定
crypto pki certificate map cert_map 10
! The above line is the certificate map definition.
subject-name co ou = green
! The above line shows that the subject name must have “ou = green.”
crypto isakmp profile certpro
! The above line shows that this is the ISAKMP profile that will match if the certificate of the peer matches cert_map (shown on third line below).
match certificate cert_map
発信側の設定
crypto ca trustpoint LaBcA
enrollment url http://10.76.82.20:80/cgi-bin/openscep
subject-name ou=green,c=IN
! The above line ensures that the subject name “ou = green” is set.
発信側の show crypto ca certificates コマンド出力
Router# show crypto ca certificates
Certificate Serial Number: 21
Certificate Usage: General Purpose
! The above line is a double check that “ou = green” has been set as the subject name.
hostname=Router1.cisco.com
start date: 14:34:30 UTC Mar 31 2004
end date: 14:34:30 UTC Apr 1 2009
renew date: 00:00:00 UTC Jan 1 1970
Associated Trustpoints: LaBcA
応答側の debug crypto isakmp コマンド出力
Router# debug crypto isakmp
6d23h: ISAKMP (0:268435460): received packet from 192.0.0.2 dport 500 sport 500 Global (R) MM_KEY_EXCH
6d23h: ISAKMP: Main Mode packet contents (flags 1, len 892):
6d23h: FQDN <Router1.cisco.com> port 500 protocol 17
6d23h: ISAKMP:(0:4:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
6d23h: ISAKMP:(0:4:HW:2):Old State = IKE_R_MM4 New State = IKE_R_MM5
6d23h: ISAKMP:(0:4:HW:2): processing ID payload. message ID = 0
6d23h: ISAKMP (0:268435460): ID payload
FQDN name : Router1.cisco.com
6d23h: ISAKMP:(0:4:HW:2):: peer matches *none* of the profiles
6d23h: ISAKMP:(0:4:HW:2): processing CERT payload. message ID = 0
6d23h: ISAKMP:(0:4:HW:2): processing a CT_X509_SIGNATURE cert
6d23h: ISAKMP:(0:4:HW:2): peer's pubkey isn't cached
6d23h: ISAKMP:(0:4:HW:2): OU = green
6d23h: ISAKMP:(0:4:HW:2): certificate map matches certpro profile
! The above line shows that the certificate has gone through certificate map matching and that it matches the “certpro” profile.
6d23h: ISAKMP:(0:4:HW:2): Trying to re-validate CERT using new profile
6d23h: ISAKMP:(0:4:HW:2): Creating CERT validation list: 2315, LaBcA,
6d23h: ISAKMP:(0:4:HW:2): CERT validity confirmed.
ピアに割り当てられたグループ名の検証例
次の設定およびデバッグ出力は、グループがピアに割り当てられたことを示します。
発信側の設定
crypto isakmp profile certpro
match certificate cert_map
client configuration group new_group
! The statement on the above line will assign the group “new_group” to any peer that matches the ISAKMP profile “certpro.”
!
応答側の debug crypto isakmp プロファイル コマンド出力
次のデバッグ出力例は、ピアが「certpro」という ISAKMP プロファイルと照合され、「new_group」というグループが割り当てられたことを示します。
Router# debug crypto isakmp profile
6d23h: ISAKMP (0:268435461): received packet from 192.0.0.2 dport 500 sport 500 Global (R) MM_KEY_EXCH
6d23h: ISAKMP: Main Mode packet contents (flags 1, len 892):
6d23h: FQDN <Router1.cisco.com> port 500 protocol 17
6d23h: ISAKMP:(0:5:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
6d23h: ISAKMP:(0:5:HW:2):Old State = IKE_R_MM4 New State = IKE_R_MM5
6d23h: ISAKMP:(0:5:HW:2): processing ID payload. message ID = 0
6d23h: ISAKMP (0:268435461): ID payload
FQDN name : Router1.cisco.com
6d23h: ISAKMP:(0:5:HW:2):: peer matches *none* of the profiles
6d23h: ISAKMP:(0:5:HW:2): processing CERT payload. message ID = 0
6d23h: ISAKMP:(0:5:HW:2): processing a CT_X509_SIGNATURE cert
6d23h: ISAKMP:(0:5:HW:2): peer's pubkey isn't cached
6d23h: ISAKMP:(0:5:HW:2): OU = green
6d23h: ISAKMP:(0:5:HW:2): certificate map matches certpro profile
6d23h: ISAKMP:(0:5:HW:2): Trying to re-validate CERT using new profile
6d23h: ISAKMP:(0:5:HW:2): Creating CERT validation list: 2315, LaBcA,
6d23h: ISAKMP:(0:5:HW:2): CERT validity confirmed.
6d23h: ISAKMP:(0:5:HW:2):Profile has no keyring, aborting key search
6d23h: ISAKMP:(0:5:HW:2): Profile certpro assigned peer the group named new_group
その他の参考資料
ここでは、証明書/ISAKMP プロファイルマッピング機能に関連する関連資料について説明します。
規格
|
|
この機能に関連する新しい規格や変更された規格はありません。 |
-- |
MIB
|
|
この機能に関連する新しい MIB や変更された MIB はありません。 |
選択したプラットフォーム、Cisco IOS ソフトウェア リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 http://www.cisco.com/go/mibs |
シスコのテクニカル サポート
|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 以下を含むさまざまな作業にこの Web サイトが役立ちます。 ・テクニカル サポートを受ける ・ソフトウェアをダウンロードする ・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける ・ツールおよびリソースへアクセスする - Product Alert の受信登録 - Field Notice の受信登録 - Bug Toolkit を使用した既知の問題の検索 ・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する ・トレーニング リソースへアクセスする ・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
http://www.cisco.com/techsupport |
証明書/ISAKMP プロファイルマッピングの機能情報
表 1 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。
表 1 証明書/ISAKMP プロファイルマッピングの機能情報
|
|
|
証明書/ISAKMP プロファイルマッピング |
12.3(8)T 12.2(33)SRA 12.2(33)SXH |
証明書/ISAKMP プロファイルマッピング機能を使用すると、証明書内の任意のフィールドの内容に基づいて、ピアに Internet Security Association and Key Management Protocol(ISAKMP)プロファイルを割り当てることができます。また、この機能では、ISAKMP プロファイルに割り当てられたピアにグループ名を割り当てることもできます。 この機能は、Cisco IOS Release 12.3(8)T で導入されました。 この機能は、Cisco IOS Release 12.2(33)SRA に統合されました。 この機能は、Cisco IOS Release 12.2(33)SXH に統合されました。 |
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2004-2009 Cisco Systems, Inc.
All rights reserved.
Copyright © 2004-2011, シスコシステムズ合同会社.
All rights reserved.