証明書の許可および失効に関する情報
証明書の許可および失効を設定するには、次の概念を理解しておく必要があります。
• 「PKI の許可」
• 「証明書ステータスのための PKI と AAA サーバの統合」
• 「CRL または OCSP サーバ:証明書失効メカニズムの選択」
• 「許可または失効用に証明書ベースの ACL を使用する場合」
• 「PKI 証明書チェーンの検証」
• 「ハイ アベイラビリティのサポート」
PKI の許可
PKI 認証では、許可を行いません。多くの場合、一元的に管理されるソリューションが必要ですが、現在の許可用のソリューションは、設定対象のルータに固有です。
それによって証明書を特定の作業に対して許可し、その他の作業に対しては許可しない、と定義できる標準的なメカニズムはありません。アプリケーションが証明書ベースの許可情報を認識する場合、この許可情報を証明書自体に取り込めます。このソリューションでは、許可情報をリアルタイムで更新するための簡単なメカニズムを提供していないため、証明書に組み込まれた固有の許可情報を認識するように各アプリケーションに強制します。
証明書ベースの ACL メカニズムがトラストポイント認証の一部として設定される場合、該当アプリケーションは、この許可情報を判別する役割を担うことはなく、どのアプリケーションに対して証明書を許可するのか指定できません。ルータ上の証明書ベースの ACL は、大きくなりすぎて管理できないことがあります。また、外部サーバから証明書ベースの ACL 指示を取得する方が有利です(認証用に証明書ベースの ACL を使用する場合の詳細は、 「許可または失効用に証明書ベースの ACL を使用する場合」 を参照してください)。
許可の問題にリアルタイムで対処する現在のソリューションでは、新しいプロトコルの指定や新しいサーバの構築(それとともに管理およびデータ配布などの関連作業)が必要になります。
証明書ステータスのための PKI と AAA サーバの統合
PKI を認証、認可、アカウンティング(AAA)サーバと統合することにより、既存の AAA インフラストラクチャを活用する代替オンライン証明書ステータ スソリューションを実現します。証明書を適切な許可レベルで AAA データベースに一覧表示できます。PKI-AAA を明示的にサポートしないコンポーネントでは、デフォルト ラベルの「all」を指定すると、AAA サーバからの許可が可能になります。また、AAA データベースのラベルが「none」の場合、指定された証明書が有効でないことを示します(アプリケーション ラベルが欠如していることと同じですが、「none」は完全性および明確性のために含まれます)。アプリケーション コンポーネントが PKI-AAA をサポートする場合は、コンポーネントを直接指定できます。たとえば、アプリケーション コンポーネントには、「ipsec」、「ssl」、または「osp」のいずれかを指定できます(ipsec = IP セキュリティ、ssl = セキュア ソケット レイヤ、osp = Open Settlement Protocol)。
(注) • 現在、アプリケーション ラベルの指定をサポートするアプリケーション コンポーネントはありません。
• AAA サーバにアクセスしたときに、時間遅延が生じる場合があります。AAA サーバを利用できない場合、許可は失敗します。
RADIUS または TACACS+:AAA サーバ プロトコルの選択
AAA サーバは、RADIUS または TACACS+ プロトコルと連動するように設定できます。PKI 統合用に AAA サーバを設定する場合、許可に必要な RADIUS または TACACS アトリビュートを設定する必要があります。
RADIUS プロトコルが使われている場合は、AAA サーバのユーザ名に設定するパスワードを「cisco」に設定する必要があります。証明書の検証が認証を行い、AAA データベースは許可の目的だけに使用されているので、このパスワードは受け入れ可能です。TACACS プロトコルを使用する場合、TACACS では認証が不要な許可をサポートする(認証にパスワードを使用)ので、AAA サーバのユーザ名に対して設定されるパスワードとは無関係です。
さらに、TACACS を使用する場合は、AAA サーバに PKI サービスを追加する必要があります。カスタム アトリビュート「cert-application=all」が、PKI サービスの特定のユーザまたはユーザ グループに追加され、特定のユーザ名が許可されます。
PKI と AAA サーバ統合用のアトリビュート値ペア
表 1 に、AAA サーバと PKI との統合を設定する場合に使用されるアトリビュート値(AV)ペアを示します(表に示す値は、可能な値であることに注意してください)。AV ペアはクライアント設定と一致する必要があります。AV ペアが一致しない場合、ピア証明書は許可されません。
(注) 場合によっては、ユーザは、他のすべてのユーザの AV ペアとは異なる AV ペアを持つことができます。その場合、ユーザごとに一意のユーザ名が必要になります。(authorization username コマンド内に)all パラメータを設定すると、証明書の所有者名全体を許可ユーザ名として使用するように指定できます。
表 1 一致する必要がある AV ペア
|
|
cisco-avpair=pki:cert-application=all |
有効な値は「all」および「none」です。 |
cisco-avpair=pki:cert-trustpoint=msca |
この値は、Cisco IOS コマンドライン インターフェイス(CLI)設定のトラストポイント ラベルです。 (注) cert-trustpoint AV ペアの指定は、通常任意です。このペアが指定されている場合、Cisco IOS ルータ クエリーは、一致するラベルを持つ証明書トラストポイントから受信する必要があり、認証された証明書は、指定された証明書シリアル番号を持っている必要があります。 |
cisco-avpair=pki:cert-serial=16318DB7000100001671 |
この値は証明書のシリアル番号です。 (注) cert-serial AV ペアの指定は、通常任意です。このペアが指定されている場合、Cisco IOS ルータ クエリーは、一致するラベルを持つ証明書トラストポイントから受信する必要があり、認証された証明書は、指定された証明書シリアル番号を持っている必要があります。 |
cisco-avpair=pki:cert-lifetime-end=1:00 jan 1, 2003 |
cert-lifetime-end AV ペアは、証明書で指示された期間を越えた証明書のライフタイムを人為的に延長する場合に使用できます。cert-lifetime-end AV ペアを使用する場合は、cert-trustpoint および cert-serial AV ペアも指定する必要があります。この値は、時/分/月/日/年の形式と一致する必要があります。 (注) 月を表す最初の 3 文字(Jan、Feb、Mar、Apr、May、Jun、Jul、Aug、Sep、Oct、Nov、Dec)だけが使用されます。月を表す文字として 4 文字以上入力すると、残りの文字は無視されます(たとえば、Janxxxx)。 |
CRL または OCSP サーバ:証明書失効メカニズムの選択
証明書が適切に署名された証明書として有効になった後、証明書失効方法を実行して、証明書が発行元 CA によって無効にされていないことを確認します。Cisco IOS ソフトウェアは、2 つの失効メカニズムとして Certificate Revocation List(CRL; 証明書失効リスト)と Online Certificate Status Protocol(OCSP)をサポートします(Cisco IOS ソフトウェアも、証明書のチェックために AAA 統合をサポートしますが、これには追加の許可機能が含まれます。PKI および AAA 証明書許可とステータス チェックに関する詳細は、 「証明書ステータスのための PKI と AAA サーバの統合」 を参照してください)。
次の項では、各失効メカニズムの機能方法について説明します。
• 「CRL とは」
• 「OCSP とは」
CRL とは
CRL とは、失効した証明書のリストです。CRL は、証明書を発行した CA によって作成され、デジタル署名されます。CRL には、各証明書の発行日と失効日が含まれています。
CA は、新しい CRL を定期的に、あるいは CA が責任を負う証明書が失効したときに公開します。デフォルトでは、現在キャッシュされている CRL が失効すると、新しい CRL がダウンロードされます。管理者は、CRL がルータのメモリにキャッシュされる時間を設定したり、CRL キャッシングを完全にディセーブルにしたりできます。CRL キャッシング設定は、トラストポイントに関連付けられたすべての CRL に適用されます。
CRL が失効すると、ルータはキャッシュから CRL を削除します。証明書が検証用に表示されると、新しい CRL がダウンロードされます。ただし、検証中の証明書を記載した新しいバージョンの CRL がサーバ上にあるにもかかわらず、ルータがキャッシュ内の CRL を使用し続ける場合、ルータは証明書が失効したことを認識しません。証明書は拒否されるはずのものでも、失効チェックに合格します。
CA は、証明書を発行すると、証明書にその CRL Distribution Point(CDP; CRL 配布ポイント)を含めることができます。Cisco IOS クライアント デバイスは、CDP を使用して適切な CRL を見つけ、ロードします。Cisco IOS クライアントは複数の CDP をサポートしますが、Cisco IOS CA は現在 1つの CDP しかサポートしません。ただし、サードパーティ ベンダー製の CA には、証明書ごとに複数の CDP または異なる CDP をサポートするものがあります。CDP が証明書に指定されていない場合、クライアント デバイスは、デフォルトの Simple Certificate Enrollment Protocol(SCEP)方式を使用して CRL を取得します(CDP の場所は、 cdp-url コマンドを使用して指定できます)。
CRL を実装する際は、次の設計上の注意事項を考慮する必要があります。
• CRL ライフタイムと Security Association(SA; セキュリティ アソシエーション)および Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ライフタイム
CRL ライフタイムにより、CA が CRL の更新を発行する時間間隔が決まります(デフォルト CRL ライフタイム値は 168 時間(1 週間)です。これは、 lifetime crl コマンドで変更できます)。
• CDP の方式と場所
– この方式により、CRL の取得方法が決まり、この方式として、HTTP、Lightweight Directory Access Protocol(LDAP)、SCEP、または TFTP を選択できます。
最も一般的に使用されている方式は、HTTP、TFTP、および LDAP です。Cisco IOS ソフトウェアでは、SCEP にデフォルト設定されていますが、CRL を使用して大容量のインストールを実行する場合、HTTP CDP を推奨します。HTTP では高いスケーラビリティを実現できるからです。
– この場所は、CRL の取得先を決定します。たとえば、サーバおよび CRL の取得先となるファイル パスを指定できます。
失効チェック中にすべての CDP を照会
CDP サーバが要求に返答しない場合、Cisco IOS ソフトウェアはエラーを報告し、その結果、ピアの証明書が拒否されることがあります。証明書に複数の CDP がある場合、証明書が拒否されないようにするために、Cisco IOS ソフトウェアは、証明書に表示されている順序で CDP を使用しようと試みます。ルータは、それぞれの CDP URL またはディレクトリ指定を使用して CRL を取得しようと試みます。ある CDP を使用してエラーが発生すると、次の CDP を使用して試行します。
(注) Cisco IOS Release 12.3(7)T 以前のリリースでは、証明書に 2 つ以上の CDP が含まれていても、Cisco IOS ソフトウェアは、CRL の取得を 1 回だけ試行します。
ヒント Cisco IOS ソフトウェアは、指示された CDP のいずれかから CRL を取得するためにあらゆる試行を行いますが、CDP 応答の遅延によりアプリケーションのタイムアウトを避けるために、HTTP CDP サーバを高速の冗長 HTTP サーバと併用することを推奨します。
OCSP とは
OCSP は、証明書の有効性を判別するために使用されるオンラインのメカニズムであり、 失効メカニズムとして次のような柔軟性を備えています。
• OCSP では、証明書ステータスをリアルタイムでチェックできます。
• OCSP を使用すると、ネットワーク管理者は、中央 OCSP サーバを指定でき、これにより、ネットワーク内のすべてのデバイスにサービスを提供できます。
• また、OCSP により、ネットワーク管理者は、クライアント証明書ごと、またはクライアント証明書のグループごとに複数の OCSP サーバを柔軟に指定できます。
• OCSP サーバの検証は通常、ルート CA 証明書または有効な下位 CA 証明書に基づいて実行されますが、外部の CA 証明書または自己署名証明書を使用できるように設定することもできます。外部の CA 証明書または自己署名証明書を使用すると、代替の PKI 階層から OCSP サーバ証明書を発行し、有効にできます。
ネ ットワーク管理者は、さまざまな CA サーバから CRL を収集し、更新するように OCSP サーバを設定できます。ネットワーク内のデバイスは、OCSP サーバに依存して、ピアごとに CRL を取得してキャッシュすることなく証明書ステータスをチェックできます。ピアは、証明書の失効ステータスをチェックする必要がある場合、OCSP 要求に関して疑わしい証明書のシリアル番号およびオプションの固有識別情報(ナンス)を含む OCSP サーバにクエリーを送信します。OCSP サーバは、CRL のコピーを保持して、CA がその証明書を無効として記載しているかどうか判別します。次に、サーバは、ナンスを含むピアに応答します。応答のナンスが OCSP サーバからピアによって送信された元のナンスと一致しない場合、応答は無効と見なされ、証明書の検証が失敗します。OCSP サーバとピア間の対話での帯域幅の消費量は、ほとんどの場合、CRL ダウンロードより少なくなります。
OCSP サーバが CRL を使用する場合は、CRL 時間の制約事項が適用されます。つまり、追加の証明書失効情報を含む CRL によって新しい CRL が発行されていても、まだ有効な CRL が OCSP サーバで使用されることがあります。CRL 情報を定期的にダウンロードするデバイスが少なくなっているため、CRL ライフタイム値を小さくするか、CRL をキャッシュしないように OCSP サーバを設定できます。詳細は、OCSP サーバのマニュアルを参照してください。
OCSP サーバを使用する場合
PKI に次のいずれかの特性がある場合、CRL よりも OCSP の方が適している場合があります。
• リアルタイムの証明書失効ステータスが必要。CRL が定期的にしか更新されず、必ずしも最新の CRL がクライアント デバイスでキャッシュされていない場合があります。たとえば、最新の CRL がまだクライアントにキャッシュされておらず、また、新たに無効にされた証明書がチェック中の場合は、無効にされた証明書が失効チェックに合格します。
• 無効にされた大量の証明書または複数の CRL があります。大きな CRL をキャッシュすると、Cisco IOS メモリの大部分が消費されてしまい、他のプロセスに使用できるリソースが減少することがあります。
• CRL が頻繁に失効するため、CDP は大量の CRL を処理します。
(注) Cisco IOS Release 12.4(9)T 以降では、管理者は、CRL キャッシングを完全にディセーブルにするか、キャッシュされた CRL のトラストポイントごとに最大ライフタイムを設定することによって、CRL キャッシングを設定できます。
許可または失効用に証明書ベースの ACL を使用する場合
証明書には、指定された処理の実行をデバイスまたはユーザが許可されているかどうかの判別に使用されるフィールドがいくつか含まれています。
証明書ベース ACL はデバイス上に設定されるため、大量の ACL を十分にスケーリングしません。ただし、証明書ベースの ACL では、特定のデバイスの動作を非常に細かく制御できます。また、証明書ベース ACL は追加機能で活用され、失効、許可、またはトラストポイントなどの PKI コンポーネントを使用するタイミングを判別するのを助けます。証明書ベース ACL は全般的なメカニズムを提供しており、このメカニズムによりユーザは、許可または追加処理に対して有効になっている特定の証明書または証明書のグループを選択できます。
証明書ベース ACL では、証明書内の 1 つ以上のフィールドおよび指定された各フィールドで許可される値を指定します。証明書内でチェックする必要があるフィールドと、それらのフィールドで認められる値または認められない値を指定できます。
フィールドと値との比較には、6 つの論理テスト(Equal(等しい)、Not equal(等しくない)、Contains(含む)、Less than(未満)、Does not contain(含まない)、Greater than or equal(以上))を使用できます。1 つの証明書ベース ACL で複数のフィールドを指定した場合、その ACL と一致するには、ACL 内のすべてのフィールド条件に合致しなければなりません。同じ ACL 内で、同じフィールドを複数回指定できます。複数の ACL を指定できます。一致するものが見つかるか、または ACL の処理がすべて完了するまで、各 ACL が順に処理されます。
証明書ベース ACL を使用した失効チェックの無視
証明書ベース ACL を設定して、有効なピアの失効チェックおよび失効した証明書を無視するようルータに指示できます。したがって、指定基準を満たす証明書は、証明書の有効期間にかかわらず受け入れることができます。また、証明書が指定基準を満たしている場合は失効チェックを実行する必要がなくなります。AAA サーバとの通信が証明書で保護される場合にも、証明書ベース ACL を使用して失効チェックを無視できます。
失効リストの無視
トラストポイントが特定の証明書を除いて CRL を適用できるようにするには、 skip revocation-check キーワードを指定して match certificate コマンドを入力します。このような適用は、スポークツースポークの直接接続も可能なハブアンドスポーク設定に最も便利です。純粋なハブアンドスポーク設定では、すべてのスポークはハブだけに接続するので、CRL チェックはハブ上だけで済みます。スポークが別のスポークと直接通信する場合、ネイバー ピア証明書に対して、各スポーク上で CRL を要求する代わりに、 skip revocation-check キーワードを指定して match certificate コマンドを使用できます。
失効した証明書の無視
失効した証明書を無視するようにルータを設定するには、 allow expired-certificate キーワードを指定して match certificate コマンドを入力します。このコマンドには、次のような目的があります。
• このコマンドは、ピアの証明書が失効した場合にピアが新しい証明書を取得するまで、失効した証明書を「許可する」ために使用できます。
• ルータ クロックがまだ正しい時間に設定されていない場合、クロックが設定されるまで、ピアの証明書はまだ有効ではないものとして表示されます。このコマンドは、ルータ クロックが未設定であっても、ピアの証明書を許可する場合に使用できます。
(注) • Network Time Protocol(NTP; ネットワーク タイム プロトコル)が IPSec 接続だけで(通常、ハブアンドスポーク設定のハブによって)利用可能な場合は、ルータ クロックを絶対に設定できません。ハブの証明書がまだ有効でないため、ハブへのトンネルを「アップ」状態にできません。
• 「失効」とは、失効している証明書またはまだ有効ではない証明書の総称です。証明書には、開始時刻と終了時刻が指定されます。ACL を目的とした、失効証明書は、ルータの現在時刻が証明書で指定された開始および終了時刻の範囲外の証明書です。
証明書の AAA チェックのスキップ
AAA サーバとの通信が証明書で保護され、証明書の AAA チェックをスキップする場合は、 skip authorization-check キーワードを指定して match certificate コマンドを使用します。たとえば、すべての AAA トラフィックが Virtual Private Network(VPN; バーチャル プライベート ネットワーク)トンネルを通過するように設定され、このトンネルが証明書で保護されている場合は、 skip authorization-check キーワードを指定して match certificate コマンドを使用すると、証明書チェックをスキップしてトンネルを確立できます。
AAA サーバとの PKI 統合が設定されると、 match certificate コマンドと skip authorization-check キーワードを設定する必要があります。
(注) AAA サーバが IPSec 接続によってのみ使用可能な場合は、IPSec 接続が確立されるまで AAA サーバとは通信できません。AAA サーバの証明書がまだ有効でないため、IPSec 接続を「アップ」状態にできません。
PKI 証明書チェーンの検証
証明書チェーンにより、ピア証明書からルート CA 証明書までの、一連の信頼できる証明書を確立します。階層型 PKI 内では、登録されているすべてのピアが信頼できるルート CA 証明書または共通の下位 CA を共有している場合、証明書を相互に検証できます。各 CA が 1 つのトラストポイントに対応します。
証明書チェーンをピアから受信すると、最初の信頼できる証明書またはトラストポイントに到達するまで、証明書チェーン パスのデフォルト処理が続けられます。Cisco IOS Release 12.4(6) T 以降のリリースでは、管理者は、下位 CA 証明書を含むすべての証明書における証明書チェーンの処理レベルを設定できます。
証明書チェーンの処理レベルを設定すると、信頼できる証明書の再認証、信頼できる証明書チェーンの延長、および欠落のある証明書チェーンの補完が可能になります。
信頼できる証明書の再認証
このデフォルト動作でルータは、チェーンを検証する前に、ピアによって送信された証明書チェーンから任意の信頼できる証明書を削除します。管理者は証明書チェーン パス処理を設定して、チェーン検証の前にすでに信頼されている CA 証明書をルータが削除しないようにできます。そのため、チェーン内のすべての証明書は現在のセッションに対して再度認証されます。
信頼できる証明書チェーンの延長
このデフォルト動作でルータは、ピアによって送信された証明書チェーンに欠落している証明書がある場合、その信頼できる証明書を使用して証明書チェーンを延長します。ルータが検証するのは、ピアによって送信されたチェーンの証明書だけです。管理者は証明書チェーン パス処理を設定して、ピアの証明書チェーンの証明書およびルータの信頼できる証明書を、指定したポイントに対して有効にできます。
証明書チェーンの欠落の補完
管理者は証明書チェーン処理を設定して、設定済みの Cisco IOS トラストポイント階層に欠落がある場合、ピアによって送信された証明書を使用して証明書のセットを有効にできます。
(注) 親検証を要求するようにトラストポイントが設定され、ピアが完全な証明書チェーンを提示しない場合、欠落を補完できないため証明書チェーンは拒否され、無効になります。
(注) 親検証を要求するようにトラストポイントが設定されていて、設定済みの親トラストポイントがない場合は、設定エラーです。発生する証明書チェーンの欠落を補完できず、下位 CA 証明書を有効にできません。この証明書チェーンは無効です。
ハイ アベイラビリティのサポート
証明書サーバへのハイ アベイラビリティのサポートは、次の方法で実現します。
• 取り消しコマンドのスタンバイ証明書サーバとの同期
• 証明書の新規発行時のシリアル番号コマンドの送信
スタンバイ証明書サーバがアクティブになると、証明書と CRL を発行する手段の準備が完了します。
ハイ アベイラビリティのサポートをさらに高めるには、スタンバイとの次の同期を行います。
• 証明書サーバ設定
• 保留中の要求
• コマンドの許可と拒否
• 設定の同期がサポートされないボックスツーボックスのハイ アベイラビリティのためには、基本設定の同期メカニズムが冗長性機能上で動作します。
• トラストポイント設定同期のサポート
PKI に対して証明書の許可および失効を設定する方法
ここでは、次の各手順について説明します。
• 「AAA サーバとの PKI 統合の設定」(必須)
• 「PKI 証明書ステータス チェックの失効メカニズムの設定」(必須)
• 「証明書の許可および失効の設定」(必須)
• 「証明書チェーンの設定」(必須)
• 「証明書サーバのハイ アベイラビリティの設定」
AAA サーバとの PKI 統合の設定
ピアによって提出された証明書から AAA ユーザ名を生成し、証明書内で AAA データベース ユーザ名の作成に使用するフィールドを指定するには、次の作業を実行します。
PKI 許可用に所有者名全体を使用する際の制約事項
authorization username コマンド で所有者名として all キーワードを使用する際に、次の制約事項を考慮する必要があります。
• 一部の AAA サーバでは、ユーザ名の長さが制限されます(たとえば、64 文字まで)。その結果、証明書の全体の所有者名は、サーバの制約条件より長くできません。
• 一部の AAA サーバでは、ユーザ名に使用できる文字セットが制限されます(たとえば、スペース ( )および等号(=)を使用できない場合があります)。このような文字セットの制限がある AAA サーバでは、 all キーワードを使用できません。
• トラストポイント設定の subject-name コマンドは、必ずしも最終の AAA 所有者名とはかぎりません。証明書要求に Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)、シリアル番号、またはルータの IP アドレスが含まれている場合は、発行された証明書の所有者名フィールドにもこれらのコンポーネントが含まれます。コンポーネントをオフにするには、 fqdn 、 serial-number 、および ip-address の各コマンドに none キーワードを使用します。
• CA サーバが証明書を発行すると、CA サーバは、要求した所有者名フィールドを変更することがあります。たとえば、一部のベンダー製の CA サーバは、要求した所有者名の Relative Distinguished name(RDN; 相対識別名)を CN、OU、O、L、ST、C の順に変更します。ただし、別の CA サーバが、設定された LDAP ディレクトリ ルート(例えば、O=cisco.com)を要求された所有者名の末尾に付加する場合があります。
• 証明書の表示用に選択するツールによっては、所有者名の RDN の印刷順序が異なることがあります。Cisco IOS ソフトウェアでは、重要度が最低の RDN を先頭に表示しますが、Open Source Secure Socket Layer(OpenSSL)などの、他のソフトウェアでは、重要度が最高の RDN を先頭に表示します。したがって、完全な識別名(DN)(所有者名)を持つ AAA サーバを対応するユーザ名として設定する場合は、Cisco IOS ソフトウェア スタイル(つまり、重要度が最低の RDN を先頭に表示)が使用されていることを確認してください。
手順の概要
1. enable
2. configure terminal
3. aaa new-model
4. aaa authorization network listname [ method ]
5. crypto pki trustpoint name
6. enrollment url url
7. revocation-check method
8. exit
9. authorization username { subjectname subjectname }
10. authorization list listname
11. tacacs-server host hostname [ key string ]
または
radius-server host hostname [ key string ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
aaa new-model
Router(config)# aaa new-model |
AAA アクセス コントロール モデルをイネーブルにします。 |
ステップ 4 |
aaa authorization network listname [ method ]
Router (config)# aaa authorization network maxaaa group tacacs+ |
ネットワークへのユーザ アクセスを制限するパラメータを設定します。 • method : group radius 、 group tacacs+ 、または group group-name を指定できます。 |
ステップ 5 |
crypto pki trustpoint name
Route (config)# crypto pki trustpoint msca |
トラストポイントおよび設定された名前を宣言して、CA トラストポイント コンフィギュレーション モードを開始します。 |
ステップ 6 |
enrollment url url
Router (ca-trustpoint)# enrollment url http://caserver.myexample.com |
CA の登録パラメータを指定します。 • url 引数は、ルータが証明書要求を送信する CA の URL です。 |
ステップ 7 |
revocation-check method
Router (ca-trustpoint)# revocation-check crl |
(任意)証明書の失効ステータスをチェックします。 |
ステップ 8 |
exit
Router (ca-trustpoint)# exit |
CA トラストポイント コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
ステップ 9 |
authorization username { subjectname subjectname }
Router (config)# authorization username subjectname serialnumber |
AAA ユーザ名の構築に使用する異なる証明書フィールドのパラメータを設定します。 subjectname 引数には、次のいずれかを指定できます。 • all :証明書の識別名(所有者名)全体 • commonname :証明書の通常名 • country :証明書の国 • email :証明書の E メール • ipaddress :証明書の IP アドレス • locality :証明書の地域 • organization :証明書の組織 • organizationalunit :証明書の組織単位 • postalcode :証明書の郵便番号 • serialnumber :証明書のシリアル番号 • state :証明書の州フィールド • streetaddress :証明書の所在地 • title :証明書のタイトル • unstructuredname :証明書の非公式名 |
ステップ 10 |
authorization list listname
Route (config)# authorization list maxaaa |
AAA 認可リストを指定します。 |
ステップ 11 |
tacacs-server host hostname [ key string]
Router(config)# tacacs-server host 192.0.2.2 key a_secret_key または radius-server host hostname [key string]
Router(config)# radius-server host 192.0.2.1 key another_secret_key |
TACACS+ ホストを指定します。 または RADIUS ホストを指定します。 |
トラブルシューティングのヒント
CA とルータ間のインタラクションのトレース(メッセージ タイプ)に関するデバッグ メッセージを表示するには、 debug crypto pki transactions コマンドを使用します(サンプル出力を参照してください。ここでは、AAA サーバ交換との成功した PKI 統合、および AAA サーバ交換との失敗した PKI 統合を示します)。
成功した交換
Router# debug crypto pki transactions
Apr 22 23:15:03.695: CRYPTO_PKI: Found a issuer match
Apr 22 23:15:03.955: CRYPTO_PKI: cert revocation status unknown.
Apr 22 23:15:03.955: CRYPTO_PKI: Certificate validated without revocation check
「CRYPTO_PKI_AAA」と表示されている各行は、AAA 認可チェックの状態を示します。各 AAA AV ペアが示され、認可チェックの結果が表示されます。
Apr 22 23:15:04.019: CRYPTO_PKI_AAA: checking AAA authorization (ipsecca_script_aaalist, PKIAAA-L, <all>)
Apr 22 23:15:04.503: CRYPTO_PKI_AAA: reply attribute ("cert-application" = "all")
Apr 22 23:15:04.503: CRYPTO_PKI_AAA: reply attribute ("cert-trustpoint" = "CA1")
Apr 22 23:15:04.503: CRYPTO_PKI_AAA: reply attribute ("cert-serial" = "15DE")
Apr 22 23:15:04.503: CRYPTO_PKI_AAA: authorization passed
Apr 22 23:12:30.327: CRYPTO_PKI: Found a issuer match
失敗した交換
Router# debug crypto pki transactions
Apr 22 23:11:13.703: CRYPTO_PKI_AAA: checking AAA authorization =
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: reply attribute ("cert-application" = “all”)
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: reply attribute ("cert-trustpoint"= “CA1”)
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: reply attribute ("cert-serial" = “233D”)
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: parsed cert-lifetime-end as: 21:30:00
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: timezone specific extended
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: cert-lifetime-end is expired
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: cert-lifetime-end check failed.
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: authorization failed
上記の失敗した交換では、証明書が失効しています。
PKI 証明書ステータス チェックの失効メカニズムの設定
証明書失効メカニズム(CRL または OCSP)として CRL を設定し、PKI の証明書のステータスをチェックするには、次の作業を実行します。
revocation-check コマンド
revocation-check コマンドを使用し、ピアの証明書が無効にされていないことを確認するために使用する方式(OCSP、CRL、または失効チェックのスキップ)を少なくとも 1 つ指定します。複数の方式を指定する場合、方式を適用する順序は、このコマンドで指定した順序になります。
ルータに適用可能な CRL がなく、いずれの CRL も取得できない場合、あるいは OCSP サーバがエラーを返す場合、設定に none キーワードを含めないかぎり、ルータはピアの証明書を拒否します。 none キーワードを設定した場合、失効チェックは実行されず、証明書は常に受け入れられます。
OCSP サーバとのナンスおよびピア通信
OCSP を使用すると、OCSP サーバとのピア通信時に、OCSP 要求に関するナンス(固有識別情報)がデフォルトで送信されます。ナンスを使用することにより、ピアと OCSP サーバ間にセキュアで信頼性の高い通信チャネルが確立されます。
OCSP サーバがナンスをサポートしていない場合は、ナンスの送信をディセーブルにできます。 詳細は、OCSP サーバのマニュアルを参照してください。
前提条件
• クライアント証明書を発行する前に、サーバで適切な設定(CDP の設定など)を行う必要があります。
• OCSP サーバから CA サーバの失効ステータスを返すように設定するときは、CA サーバが発行した OCSP 応答署名証明書を OCSP サーバに設定する必要があります。署名証明書が正しいフォーマットであることを確認してください。署名証明書のフォーマットが正しくない場合、ルータは、OCSP 応答を受理しません。詳細については、OCSP のマニュアルを参照してください。
制約事項
• OCSP は、HTTP を使用してメッセージを転送するので、OCSP サーバにアクセスする際に遅延が発生する場合があります。
• OCSP サーバが、失効ステータスのチェックを通常の CRL 処理に依存している場合、CRL の遅延は OCSP にも適用されます。
手順の概要
1. enable
2. configure terminal
3. crypto pki trustpoint name
4. ocsp url url
5. revocation-check method1 [ method2 [ method3 ]]
6. ocsp disable-nonce
7. exit
8. exit
9. show crypto pki certificates
10. show crypto pki trustpoints [ status | label [ status ]]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto pki trustpoint name
Router(config)# crypto pki trustpoint hazel |
トラストポイントおよび設定された名前を宣言して、CA トラストポイント コンフィギュレーション モードを開始します。 |
ステップ 4 |
ocsp url url
Router(ca-trustpoint)# ocsp url http://ocsp-server |
(任意) OCSP サーバの URL を指定して、トラストポイントが証明書ステータスをチェックできるようにします。この URL によって、証明書の Authority Info Access(AIA)拡張部に指定されている OCSP サーバの URL(存在する場合)が上書きされます。 |
ステップ 5 |
revocation-check method1 [ method2 [ method3 ]]
Router(ca-trustpoint)# revocation-check ocsp none |
証明書の失効ステータスをチェックします。 • crl :証明書チェックが CRL によって実行されます。これがデフォルトのオプションです。 • none :証明書のチェックを無視します。 • ocsp :OCSP サーバによって証明書をチェックします。 2 番目と 3 番目の方法を指定した場合、各方法はその直前の方法でエラーが返された場合(サーバがダウンしている場合など)にだけ使用されます。 |
ステップ 6 |
ocsp disable-nonce
Router(ca-trustpoint)# ocsp disable-nonce |
(任意)OCSP サーバとピアが通信するときに、ナンス(OCSP 要求に関する固有識別情報)が送信されないように指定します。 |
ステップ 7 |
exit
Router(ca-trustpoint)# exit |
グローバル コンフィギュレーション モードに戻ります。 |
ステップ 8 |
exit
Router(config)# exit |
特権 EXEC モードに戻ります。 |
ステップ 9 |
show crypto pki certificates
Router# show crypto pki certificates |
(任意)証明書に関する情報を表示します。 |
ステップ 10 |
show crypto pki trustpoints [ status | label [ status ]]
Router# show crypto pki trustpoints |
ルータに設定されているトラストポイントに関する情報を表示します。 |
証明書の許可および失効の設定
証明書ベース ACL の指定、失効チェックまたは失効した証明書の無視、手動によるデフォルトの CDP の場所の上書き、手動による OCSP サーバ設定の上書き、CRL キャッシングの設定、あるいは証明書シリアル番号に基づくセッションの受理/拒否の設定を行うには、必要に応じて次の作業を実行します。
失効チェックを無視するように証明書ベース ACL を設定
証明書ベース ACL を使用して、失効チェックおよび失効証明書を無視するようにルータを設定するには、次の手順を実行します。
• 既存のトラストポイントの識別またはピアの証明書の検証に使用される新しいトラストポイントを作成します。トラストポイントがまだ認証されていない場合は、認証してください。必要に応じて、ルータをこのトラストポイントに登録できます。 match certificate コマンドと skip revocation-check キーワードを使用する場合は、トラストポイントにオプションの CRL を設定しないでください。
• 証明書自体の CRL をチェックする必要がない証明書の固有の特性と、許可する必要がある失効証明書の固有の特性を判別します。
• 前のステップで確認した特性と一致する証明書マップを定義します。
• match certificate コマンド、 skip revocation-check キーワード、 match certificate コマンドおよび allow expired-certificate キーワードを最初のステップで作成または確認したトラストポイントに追加できます。
(注) 証明書マップは、ピアの公開キーがキャッシュされている場合でも確認されます。たとえば、ピアによって公開キーがキャッシュされており、証明書マップがトラストポイントに追加されて証明書が禁止されると、証明書マップが有効になります。これにより、過去に一度接続され、現在は禁止されている証明書を持つクライアントが再接続することを防ぎます。
証明書内の CDP の手動による上書き
ユーザは、手動で設定した CDP で証明書内の CDP を上書きできます。証明書の CDP の手動による上書きは、特定のサーバが長時間利用できない場合に便利です。元の CDP を含む証明書のすべてを再発行しなくても、証明書の CDP を URL またはディレクトリ指定に置き換えることができます。
手動による証明書の OCSP サーバ設定の上書き
管理者は、 ocsp url コマンドを発行して、クライアント証明書の Authority Information Access (AIA)フィールドに指定されている OCSP サーバの設定値を上書きまたは設定できます。 match certificate override ocsp コマンドを使用すると、複数の OCSP サーバをクライアント証明書ごとに、またはクライアント証明書のグループごとに手動で指定できます。失効チェック時にクライアント証明書が証明書マップに正常に照合された場合、 match certificate override ocsp コマンドを発行すると、クライアント証明書 AIA フィールドまたは ocsp url コマンド設定が上書きされます。
(注) 1 つのクライアント証明書には、OCSP サーバを 1 つだけ指定できます。
CRL キャッシュ コントロールの設定
デフォルトでは、現在キャッシュされている CRL が失効すると、新しい CRL がダウンロードされます。管理者は、 crl cache delete-after コマンドを発行して、CRL がキャッシュに保持される最大時間(分単位)を設定するか、 crl cache none コマンドを発行して CRL キャッシュをディセーブルにできます。指定できるのは、 crl-cache delete-after コマンドまたは crl-cache none コマンドだけです。トラストポイントに両方のコマンドを入力した場合は、後に実行されたコマンドが有効になり、メッセージが表示されます。
crl-cache none コマンドまたは crl-cache delete-after コマンドのいずれを実行しても現在キャッシュされている CRL に影響はありません。 crl-cache none コマンドを設定した場合、このコマンドを発行すると、ダウンロードされたすべての CRL はキャッシュされません。 crl-cache delete-after コマンドを設定した場合、このコマンドの発行後に設定されたライフタイムだけがダウンロードされた CRL に影響します。
この機能は、CA が失効日を指定せずに CRL を発行する場合、あるいは失効日が数日後または数週間後に迫っている場合に役立ちます。
証明書のシリアル番号セッション コントロールの設定
証明書検証要求がセッションのトラストポイントによって受け入れられる、または拒否されるように証明書シリアル番号を指定できます。証明書のシリアル番号セッション コントロールによっては、証明書がまだ有効であっても、セッションが拒否される場合があります。証明書のシリアル番号セッション コントロールは、 erial-number フィールドを持つ証明書マップまたは cert-serial-not コマンドを使用する AAA アトリビュートのいずれかを使用して設定できます。
セッション コントロールに証明書マップを使用すると、管理者は、1 つの証明書シリアル番号を指定できます。AAA アトリビュートを使用すると、管理者は、セッション コントロールに証明書シリアル番号を指定できます。
前提条件
• 証明書マップをトラストポイントに関連付ける前に、トラストポイントを定義し、認証する必要があります。
• CDP オーバライド機能をイネーブルにする、または serial-number コマンドを発行する前に 、証明書マップを設定する必要があります。
• PKI および AAA サーバ統合を正常に完了して、 「証明書ステータスのための PKI と AAA サーバの統合」 の手順に従って AAA アトリビュートを使用する必要があります。
手順の概要
1. enable
2. configure terminal
3. crypto pki certificate map label sequence-number
4. field-name match-criteria match-value
5. exit
6. crypto pki trustpoint name
7. crl-cache none
または
crl-cache delete-after time
8. match certificate certificate-map-label [ allow expired-certificate | skip revocation-check | skip authorization-check ]
9. match certificate certificate-map-label override cdp { url | directory } string
10. match certificate certificate-map-label override ocsp [ trustpoint trustpoint-label ] sequence-number url ocsp-url
11. exit
12. aaa new-model
13. aaa attribute list list-name
14. attribute type { name } { label }
15. exit
16. exit
17. show crypto pki certificates
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto pki certificate map label sequence-number
Router(config)# crypto pki certificate map Group 10 |
証明書において、一致する必要がある値または一致する必要がない値を定義し、CA 証明書マップ コンフィギュレーション モードを開始します。 |
ステップ 4 |
field-name match-criteria match-value
Router(ca-certificate-map)# subject-name co MyExample |
1 つまたは複数の証明書フィールドと、これらのフィールドの一致基準および照合する値を指定します。 field-name には、次のいずれかの名前文字列(大文字と小文字を区別しない)または日付を指定します。 • alt-subject-name • expires-on • issuer-name • name • serial-number • subject-name • unstructured-subject-name • valid-start (注) 日付フィールドのフォーマットは、dd mm yyyy hh:mm:ss または mmm dd yyyy hh:mm:ss です。 match-criteria には、次の論理演算子のいずれかを指定します。 • co :含む(名前およびシリアル番号フィールドでのみ有効) • eq :等しい(名前、シリアル番号、および日付フィールドで有効) • ge :以上(日付フィールドでのみ有効) • lt :未満(日付フィールドでのみ有効) • nc :含まない(名前およびシリアル番号フィールドでのみ有効) • ne :等しくない(名前、シリアル番号、および日付フィールドで有効) match-value は、match-criteria で割り当てられた論理演算子を使用してテストする名前または日付です。 (注) このコマンドは、証明書ベース ACL を設定する場合にだけ使用し、失効チェックまたは失効した証明書を無視するように証明書ベース ACL を設定する場合には使用しないでください。 |
ステップ 5 |
exit
Router(ca-certificate-map)# exit |
グローバル コンフィギュレーション モードに戻ります。 |
ステップ 6 |
crypto pki trustpoint name
Router(config)# crypto pki trustpoint Access2 |
トラストポイントおよび設定された名前を宣言して、CA トラストポイント コンフィギュレーション モードを開始します。 |
ステップ 7 |
crl-cache none
Router(ca-trustpoint)# crl-cache none または crl-cache delete-after time
Router(ca-trustpoint)# crl-cache delete-after 20 |
(任意)トラストポイントに関連付けられたすべての CRL の CRL キャッシングを完全にディセーブルにします。 crl-cache none コマンドを実行しても、現在キャッシュされている CRL に影響はありません。このコマンドが設定された後にダウンロードされるすべての CRL は、キャッシュされません。 (任意)トラストポイントに関連付けられたすべての CRL に関して、CRL がキャッシュに保持される最大時間を指定します。 • time :CRL が削除されるまでの時間(分単位)。 crl-cache delete-after コマンドを実行しても、現在キャッシュされている CRL に影響はありません。設定されたライフタイムは、このコマンドが設定された後にダウンロードされた CRL だけに影響します。 |
ステップ 8 |
match certificate certificate-map-label [ allow expired-certificate | skip revocation-check | skip authorization-check ]
Router(ca-trustpoint)# match certificate Group skip revocation-check |
(任意)証明書ベース ACL( crypto pki certificate map コマンドによって定義されている)をトラストポイントに関連付けます。 • certificate-map-label : crypto pki certificate map コマンドで指定された label 引数と一致する必要があります。 • allow expired-certificate :失効した証明書を無視します。 • skip revocation-check :トラストポイントが、特定の証明書を除く CRL を適用できるようにします。 • skip authorization-check :AAA サーバとの PKI 統合を設定すると、証明書の AAA チェックをスキップします。 |
ステップ 9 |
match certificate certificate-map-label override cdp { url | directory } string
Router(ca-trustpoint)# match certificate Group1 override cdp url http://server.cisco.com |
(任意)URL またはディレクトリが指定された証明書の、既存の CDP エントリを手動で上書きします。 • certificate-map-label :事前に定義された crypto pki certificate map コマンドに指定された label 引数と一致する必要があるユーザ指定ラベル。 • url :証明書の CDP が HTTP または LDAP URL で上書きされるように指定します。 • directory :証明書の CDP が LDAP ディレクトリ指定で上書きされるように指定します。 • string :URL またはディレクトリ指定。 (注) 一部のアプリケーションは、すべての CDP が試行される前にタイムアウトすることがあり、エラー メッセージで報告します。エラー メッセージはルータに影響を及ぼしません。また、Cisco IOS ソフトウェアは、すべての CDP が試行されるまで CRL の取得を続行します。 |
ステップ 10 |
match certificate certificate-map-label override ocsp [ trustpoint trustpoint-label ] sequence-number url ocsp-url
Router(ca-trustpoint)# match certificate mycertmapname override ocsp trustpoint mytp 15 url http://192.0.2.2 |
(任意)OCSP サーバをクライアント証明書ごとに、またはクライアント証明書のグループごとに指定し、複数回発行して、追加の OCSP サーバおよびクライアント証明書の設定(代替の PKI 階層を含む)を指定できます。 • certificate-map-label : 既存の証明書マップ名。 • trustpoint :OCSP サーバ証明書を検証するときに使用されるトラストポイント。 • sequence-number : match certificate override ocsp コマンド文を検証対象の証明書に適用する順序。照合が最低のシーケンス番号から最高のシーケンス番号に実行されます。同じシーケンス番号で複数のコマンドを発行すると、前の OCSP サーバ オーバライド設定が上書きされます。 • url :OCSP サーバの URL。 証明書が設定された証明書マップと一致すると、クライアント証明書の AIA フィールドおよび以前に発行された ocsp url コマンド設定値は、指定された OCSP サーバで上書きされます。 マップベースの一致が発生しない場合、引き続き次の 2 つのケースがクライアント証明書に適用されます。 • OCSP を失効方法として指定すると、AIA フィールド値がクライアント証明書に引き続き適用されます。 • ocsp url 設定が存在する場合は、 ocsp url 設定が引き続きクライアント証明書に適用されます。 |
ステップ 11 |
exit
Router(ca-trustpoint)# exit |
グローバル コンフィギュレーション モードに戻ります。 |
ステップ 12 |
aaa new-model
Router(config)# aaa new-model |
(任意) AAA アクセス コントロール モデルをイネーブルにします。 |
ステップ 13 |
aaa attribute list list-name
Router(config)# aaa attribute list crl |
(任意) ルータにローカルで AAA アトリビュート リストを定義し、config-attr-list コンフィギュレーション モードを開始します。 |
ステップ 14 |
attribute type { name }{ value }
Router(config-attr-list)# attribute type cert-serial-not 6C4A |
(任意) ルータの AAA アトリビュート リストにローカルに追加される AAA アトリビュート タイプを定義します。 証明書のシリアル番号セッション コントロールを設定するために、管理者は、 value フィールドの特定の証明書を、 name が cert-serial-not に設定されているシリアル番号に基づき受け入れるか、拒否するか指定できます。 証明書のシリアル番号がアトリビュート タイプ設定で指定されたシリアル番号と一致した場合、証明書は拒否されます。 使用可能な AAA アトリビュート タイプのリストを表示するには、 show aaa attributes コマンドを実行してください。 |
ステップ 15 |
exit
Router(ca-trustpoint)# exit
Router(config-attr-list)# exit |
グローバル コンフィギュレーション モードに戻ります。 |
ステップ 16 |
exit
Router(config)# exit |
特権 EXEC モードに戻ります。 |
ステップ 17 |
show crypto pki certificates
Router# show crypto pki certificates |
(任意) CA 証明書が認証されたら、ルータにインストールされた証明書のコンポーネント を表示します。 |
例
次に、サンプル証明書を示します。OCSP 関連の拡張子は感嘆符を使用して示されます。
Signature Algorithm:MD5withRSA - 1.2.840.113549.1.1.4
Issuer:CN=CA server,OU=PKI,O=Cisco Systems
Not Before:Thursday, August 8, 2002 4:38:05 PM PST
Not After:Tuesday, August 7, 2003 4:38:05 PM PST
Subject:CN=OCSP server,OU=PKI,O=Cisco Systems
Algorithm:RSA - 1.2.840.113549.1.1.1
Public Key Modulus:(1024 bits) :
Identifier:Subject Key Identifier - 2.5.29.14
Identifier:Authority Key Identifier - 2.5.29.35
! Identifier:OCSP NoCheck:- 1.3.6.1.5.5.7.48.1.5
Identifier:Extended Key Usage:- 2.5.29.37
Identifier:CRL Distribution Points - 2.5.29.31
[URIName:ldap://CA-server/CN=CA server,OU=PKI,O=Cisco Systems]
Algorithm:MD5withRSA - 1.2.840.113549.1.1.4
次の例は、既存のシーケンスの先頭に match certificate override ocsp コマンド を追加したときの実行コンフィギュレーション出力の抜粋を示します。
match certificate map3 override ocsp 5 url http://192.0.2.3/
show running-configuration
match certificate map3 override ocsp 5 url http://192.0.2.3/
match certificate map1 override ocsp 10 url http://192.0.2.1/
match certificate map2 override ocsp 15 url http://192.0.2.2/
次の例は、既存の match certificate override ocsp コマンドが置き換えられ、トラストポイントが代替の PKI 階層を使用するように指定された場合の 、実行コンフィギュレーション出力の抜粋を示します。
match certificate map4 override ocsp trustpoint tp4 10 url http://192.0.2.4/newvalue
show running-configuration
match certificate map3 override ocsp trustpoint tp3 5 url http://192.0.2.3/
match certificate map1 override ocsp trustpoint tp1 10 url http://192.0.2.1/
match certificate map4 override ocsp trustpoint tp4 10 url http://192.0.2.4/newvalue
match certificate map2 override ocsp trustpoint tp2 15 url http://192.0.2.2/
トラブルシューティングのヒント
失効チェックまたは失効した証明書を無視した場合は、慎重に設定を確認する必要があります。証明書マップが、当該の証明書または許可する証明書、あるいはスキップする AAA チェックのいずれかと適切に一致していることを確認してください。管理された環境で、証明書マップを変更して想定どおりに機能していないものを判別します。
証明書チェーンの設定
ピア証明書の証明書チェーン パスに処理レベルを設定するには、次の作業を実行します。
前提条件
• デバイスを PKI 階層に登録する必要があります。
• 適切なキー ペアを証明書に関連付ける必要があります。
制約事項
• ルート CA に関連付けられたトラストポイントは、次のレベルに対して有効になるように設定できません。
chain-validation コマンドは、ルート CA に関連付けられたトラストポイントに対して continue キーワードとともに設定します。エラー メッセージが表示され、チェーン検証はデフォルトの chain-validation コマンド設定に戻ります。
手順の概要
1. enable
2. configure terminal
3. crypto pki trustpoint name
4. chain-validation [ { stop | continue } [ parent-trustpoint ]]
5. exit
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto pki trustpoint name
Router(config)# crypto pki trustpoint ca-sub1 |
トラストポイントおよび設定された名前を宣言して、CA トラストポイント コンフィギュレーション モードを開始します。 |
ステップ 4 |
chain-validation [{ stop | continue } [ parent-trustpoint ]]
Router(ca-trustpoint)# chain-validation continue ca-sub1 |
証明書チェーンが、すべての証明書(下位 CA 証明書を含む)で処理されるレベルを設定します。 • stop キーワードを使用して、証明書がすでに信頼できることを明示します。これがデフォルトの設定です。 • continue キーワードを使用して、トラストポイントに関連付けられた下位 CA 証明書を有効にする必要があることを明示します。 • parent-trustpoint 引数は、証明書を照合する必要がある親トラストポイント名を指定します。 |
ステップ 5 |
exit
Router(ca-trustpoint)# exit |
グローバル コンフィギュレーション モードに戻ります。 |