PKI クレデンシャルを保存するための前提条件
ローカル証明書の保管場所を指定するための前提条件
ローカル証明書の保管場所を指定するためには、ご使用のシステムが次の要件を満たしている必要があります。
• Cisco IOS Release 12.4(2)T またはそれ以降の PKI 対応イメージを使用していること。
• PKI クレデンシャルを個別のファイルとして保存できるプラットフォームであること。
• 設定内に証明書が少なくとも 1 つ含まれていること。
• アクセス可能なローカル ファイル システムがあること。
PKI クレデンシャルの保管場所として USB トークンを指定するための前提条件
USB トークンを使用するためには、ご使用のシステムが次の要件を満たしている必要があります。
• Cisco 871 ルータ、Cisco 1800 シリーズ ルータ、Cisco 2800 シリーズ ルータ、Cisco 3800 シリーズ ルータ、または Cisco 7200VXR NPE-G2 プラットフォームを使用していること。
• サポートされているいずれかのプラットフォーム上で、少なくとも Cisco IOS Release 12.3(14)T イメージが稼動していること。
• シスコがサポートする USB トークンがあること。
• k9 イメージを使用していること。
PKI クレデンシャルの保存について
PKI クレデンシャルの保管場所を指定するためには、次に説明する事柄について十分な知識が必要です
• 「ローカルな保管場所への証明書の保存」
• 「PKI クレデンシャルと USB トークン」
ローカルな保管場所への証明書の保存
証明書は、デフォルトでは NVRAM に保存されますが、一部のルータは、証明書を適切に保存できるだけの容量を持った NVRAM を備えていません。Cisco IOS Release 12.4(2)T では、証明書の保管場所をローカルのファイル システム上に指定できる機能が導入されています。
シスコのプラットフォームはすべて、NVRAM およびフラッシュ ローカル ストレージをサポートしています。ご使用のプラットフォームによっては、ブートフラッシュ、スロット、ディスク、USB フラッシュ、USB トークンなど、サポートされているその他のローカル ストレージを使用できます。
実行時には、証明書を保存するアクティブなローカル ストレージ デバイスを指定できます。
USB トークンの動作のしくみ
スマート カードはプラスティック製の小型カードで、データの保存や処理を行うためのマイクロプロセッサやメモリが搭載されています。USB インターフェイスを備えたスマート カードが USB トークンです。USB トークンでは、記憶域の容量(32KB)内であれば、どのようなタイプのファイルでもセキュアに保存できます。USB トークンに保存されたコンフィギュレーション ファイルに対する暗号化およびアクセスは、ユーザ PIN を介してだけ行えます。ルータにコンフィギュレーション ファイルをロードするには、ルータのコンフィギュレーション ファイルをセキュアに配布できるよう適切な PIN が設定されている必要があります。
USB トークンをルータに装着したら、その USB トークンにログインする必要があります。ログイン後は、ユーザ PIN(デフォルトは 1234567890)や、ログインが拒否されるようになるまで許容されるログイン試行の失敗回数(デフォルトは 15 回)など、さまざまなデフォルト設定を変更できます。USB トークンのアクセス方法および設定方法については、 「USB トークンへのログインと USB トークンの設定」 を参照してください。
USB トークンへ正常にログインした場合は、 copy コマンドを使用して、ルータから USB トークンへファイルをコピーできます。USB トークンの RSA 鍵および関連する IPsec トンネルは、ルータがリロードされるまで使用できます。鍵が削除され IPsec トンネルが切断されるまでの時間を指定する場合は、 crypto pki token removal timeout コマンドを発行します。
表 1 は、USB トークンの主な機能性をまとめたものです。
表 1 USB トークンの主な機能性
|
|
|
デジタル証明書、事前共有鍵、およびルータ設定を USB トークンからルータへセキュアに保存したり転送したりするためのものです。 |
|
32KB |
|
• 通常、IPsec VPN 用のデジタル証明書、事前共有鍵、およびルータ設定を保存する場合には、ファイル タイプを指定します。 • USB トークンには、Cisco IOS イメージは保存できません。 |
|
• ファイルに対する暗号化およびアクセスは、ユーザ PIN を介してだけ行えます。 • ファイルは、ノンセキュアなフォーマットでも保存できます。 |
|
• ルータではブート時に、USB トークンに保存されている設定を使用できます。 • ルータではブート時に、USB トークンに保存されているセカンダリ設定を使用できます(セカンダリ設定を使用すると、ユーザは各自の IPsec 設定をロードできます)。 |
USB トークンの応用上の利点
シスコのルータ上で USB トークンがサポートされていることにより、応用上次のような利点が生まれます。
移動可能な証明書:配置する VPN クレデンシャルを外部デバイスに保存可能
USB トークンでは、スマート カード テクノロジーにより、IPsec VPN の導入に必要なデジタル証明書や設定を保存できます。これにより、ルータにおいて RSA 公開鍵を生成し、少なくとも 1 つの IPsec トンネルを認証できるようになりました(ルータでは複数の IPsec トンネルを開始できるため、USB トークンには、必要に応じて複数の証明書を保存できるようになっています)。
VPN クレデンシャルを外部デバイスに保存すると、機密データが漏洩する危険性は低くなります。
ファイルをセキュアに配置するための PIN 設定
USB トークンには、ユーザが設定した PIN を介してルータにおける暗号化をイネーブルにする際に使用できるコンフィギュレーション ファイルを保存できます(つまり、デジタル証明書、事前共有鍵、および VPN は使用されません)。
軽減されるまたは不要になる手動での設定作業
USB トークンを使用すると、リモート ソフトウェアの設定やプロビジョニングの際、手動で行う作業がほとんど(あるいは完全に)必要なくなります。設定は自動プロセスとして構成されます。具体的には、ルータに装着した USB トークンにブートストラップ設定を保存しておくと、そのブートストラップ設定によりルータが起動します。さらにこのルータは、ブートストラップ設定によって TFTP サーバへ接続され、その TFTP サーバに保存されている設定に基づいて、すべてのルータ設定が行われます。
RSA 処理
12.4(11)T またはそれ以降の Cisco IOS リリースでは、USB トークンを、ストレージ デバイスとしてだけでなく、暗号化デバイスとしても使用できます。USB トークンを暗号化装置として使用すると、トークンでキー生成、署名、認証などの RSA 操作を実行できます。
ご使用のトークン ストレージ デバイス上に配置されている証明書からは、モジュラスが 2048 ビット以下の汎用 RSA キー ペア、特殊 RSA キー ペア、暗号化 RSA キー ペア、またはシグニチャ RSA キー ペアを生成できます。秘密鍵は、デフォルトでは配布されず、トークン上に保存されたままです。ただし、秘密鍵の保管場所を設定することは可能です。
USB トークン上に常駐する鍵は、生成された段階でトークンの永続的な保管場所に保存されます。鍵の削除操作を行うと、トークンに保存されている鍵は、永続的な保管場所からただちに削除されます(トークン上に常駐していない鍵は、 write memory またはそれに類するコマンドが発行されると、トークン以外の保管場所で保存や削除が行われます)。
Secure Device Provisioning(SDP; セキュア デバイス プロビジョニング)環境におけるリモート デバイスの設定およびプロビジョニング
12.4(15)T またはそれ以降の Cisco IOS リリースでは、SDP を使用して USB トークンを設定できます。設定された USB トークンを送付すれば、リモート ロケーションにあるデバイスをプロビジョニングできます。つまり、あるネットワーク デバイスから別のリモート ネットワーク デバイスへ暗号化された情報を送る際に USB トークンを使用することで、USB トークンを段階的に配置できます。
SDP で USB トークンを使用する方法については、 「関連資料」 に記載されている参照先を参照してください。
PKI データの保管場所の設定方法
ここでは、次の設定手順について説明します。
• 「証明書のローカルな保管場所の指定」
• 「シスコのルータにおける USB トークンの設定と使用」
• 「USB トークンに関するトラブルシューティング」
証明書のローカルな保管場所の指定
証明書のローカルな保管場所を指定する手順は次のとおりです。
手順の概要
1. enable
2. configure terminal
3. crypto pki certificate storage location-name
4. exit
5. copy source-url destination-url
6. show crypto pki certificates storage
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto pki certificate storage location-name
Router(config)# crypto pki certificate storage flash:/certs |
証明書のローカルな保管場所を指定します。 |
ステップ 4 |
exit
Router(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
ステップ 5 |
copy source-url destination-url
Router# copy system:running-config nvram:startup-config |
(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。 (注) 設定は、実行コンフィギュレーションがスタートアップ コンフィギュレーションに保存された場合にだけ有効になります。 |
ステップ 6 |
show crypto pki certificates storage
Router# show crypto pki certificates storage |
(任意)PKI 証明書の保管場所に関する現在の設定を表示します。 |
例
次に示すのは、証明書の保管場所の show crypto pki certificates storage コマンドによる出力例です。ここでは、disk0 の certs サブディレクトリが証明書の保管場所になっています。
Router# show crypto pki certificates storage
Certificates will be stored in disk0:/certs/
USB トークンによる設定の保存
コンフィギュレーション ファイルを USB トークンに保存する手順は次のとおりです。
手順の概要
1. enable
2. configure terminal
3. boot config usbtoken[0-9]:filename
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
boot config usbtoken[0-9]:filename
Router(config)# boot config usbtoken0:file |
スタートアップ コンフィギュレーション ファイルがセキュアな USB トークンに保存されるよう指定します。 |
USB トークンへのログインと USB トークンの設定
ここでは、USB トークンにログインし、その初期設定を行う手順について説明します。
USB トークンでの RSA 鍵の使用
• RSA 鍵は、USB トークンがルータへ正常にログインした後にロードされます。
• デフォルトの場合、新規に生成された RSA 鍵は、最後に装着された USB トークンに保存されます。再生成された鍵は、元の RSA 鍵が生成されたのと同じ場所に保存する必要があります。
自動ログイン
自動ログインを使用すると、ユーザやオペレータが介入することなく、ルータを完全な稼動状態に戻せます。PIN は、プライベート NVRAM に保存されるため、スタートアップ コンフィギュレーションや実行コンフィギュレーションには表示されません。
(注) 手動で生成されたスタートアップ コンフィギュレーションには、配置用に自動ログイン コマンドを指定できますが、手動で生成されたそのコンフィギュレーションをプライベート コンフィギュレーションに取り込むには、copy system:running-config nvram: startup-config コマンドを発行する必要があります。
手動ログイン
自動ログインとは異なり、手動ログインを使用する場合は、ユーザが実際の USB トークン PIN を把握している必要があります。
手動ログインは、PIN をルータ上に保存するのが適している場合に使用できます。また、初期導入時やハードウェア交換時に、ルータを現地の業者から調達したり、ローカル サイトへ直送したりする場合にも、手動ログインが適しています。手動ログインは、権限の有無にかかわらず実行できます。また、手動ログインを実行すると、USB トークン上のファイルおよび RSA 鍵が、Cisco IOS ソフトウェアで使用可能になります。セカンダリ コンフィギュレーション ファイルを設定する場合は、ログインを実行するユーザの権限がある場合にだけ手動ログインを実行できます。そのため、何らかの目的で、手動ログインを実行し、USB トークン上にセカンダリ コンフィギュレーション ファイルを設定する場合は、権限をイネーブルにする必要があります。
手動ログインは、失われたルータ設定のリカバリを行う場合にも使用できます。通常 VPN を使用してコア ネットワークへ接続しているリモート サイトが存在する状況では、設定および RSA 鍵が失われた場合、USB トークンが備えているアウトオブバンド サービスが必要となります。USB トークンには、ブート設定、セカンダリ設定、および接続を認証するための RSA 鍵を保存できます。
手順の概要
1. enable
2. crypto pki token token-name [ admin ] login [ pin ]
または
configure terminal
3. crypto pki token token-name user-pin [ pin ]
4. exit
5. show usbtoken [ 0-9 ] : filename
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
crypto pki token token-name [admin] login [pin]
Router# crypto pki token usbtoken0 admin login 5678 または configure terminal
Router# configure terminal |
USB トークンに手動でログインします。 後でユーザ PIN を変更する場合は、 admin キーワードを指定する必要があります。 または ルータのモードを、USB トークンの自動ログインを設定できるグローバル コンフィギュレーション モードにします。 |
ステップ 3 |
crypto pki token token-name user-pin [pin]
Router(config)# crypto pki token usbtoken0 user-pin 1234 |
(任意)ルータの起動時、または USB トークンを USB スロットに装着した時に、指定された PIN を使用してトークンに自動でログインするようルータを設定します。 PIN は暗号化され、NVRAM に保存されます。 (注) パスフレーズの入力を求められます。 |
ステップ 4 |
exit
Router(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
ステップ 5 |
show usbtoken [ 0-9 ] : filename
Router# show usbtoken0:usbfile |
(任意)USB トークンがルータにログオンしているかどうかを確認します。 |
次の作業
USB トークンへのログインが完了すると、次のような作業が行えます。
• USB トークンに関するその他の設定を行う。詳細は 「USB トークンの設定」 を参照してください。
• ユーザ PIN の変更、ルータから USB トークンに設定された鍵の保管場所へのファイルのコピー、USB トークンの変更など、USB トークンの管理作業を行う。詳細は 「USB トークンにおける管理機能の設定」 に記載されている参照先を参照してください。
• USB トークンを暗号化デバイスとして使用し、RSA 処理を実行する。詳細は 「関連資料」 に記載されている参照先を参照してください。
• 初期自動登録の際に行う RSA 処理に USB トークンが使用されるように指定する。詳細は 「関連資料」 に記載されている参照先を参照してください。
USB トークンの設定
USB トークンに対しては、自動ログインの設定後、さらに次のような設定を行えます。
PIN およびパスフレーズ
自動ログインにおける PIN のセキュリティをさらに強化するため、NVRAM に保存されている PIN を暗号化し、USB トークンにパスフレーズを設定できます。パスフレーズを設定すると、他のユーザには PIN そのものではなく、そのパスフレーズを周知すればよいため、PIN の安全性を維持できます。
このパスフレーズは、USB トークンをルータに装着した後、PIN を復号化する際に必要となります。PIN が復号化されると、ルータはその PIN を使用して USB トークンにログインします。
(注) ユーザは、本来付与されるアクセス権以外は保持しておらず、権限レベル 1 があればログインできます。
USB トークンのロック/ロック解除
USB トークン自体をロック(暗号化)またはロック解除(復号化)できます。
USB トークンは、ロック解除すると使用できるようになります。ロック解除した場合、Cisco IOS では、その USB トークンは自動ログインされたものと見なされ、その USB トークン上にあるいずれかの鍵がロードされます。また、セカンダリ コンフィギュレーション ファイルがトークン上に存在する場合は、ログインしたユーザの権限レベルとは独立したフル ユーザ権限(権限レベル 15)を使用して、そのセカンダリ コンフィギュレーション ファイルが実行されます。
トークンをロックした場合は、トークンからログアウトする場合とは異なり、トークンからロードされた RSA 鍵がすべて削除され、セカンダリ アンコンフィギュレーション ファイルが(もし設定されていれば)実行されます。
セカンダリ コンフィギュレーション ファイルとセカンダリ アンコンフィギュレーション ファイル
USB トークン上に存在するコンフィギュレーション ファイルは、セカンダリ コンフィギュレーション ファイルと呼ばれます。セカンダリ コンフィギュレーション ファイルを作成し、その内容を設定した場合は、トークンへのログインが行われると、そのセカンダリ コンフィギュレーション ファイルが実行されます。セカンダリ コンフィギュレーション ファイルが存在するかどうかは、NVRAM に保存されている Cisco IOS の設定内にセカンダリ コンフィギュレーション ファイル オプションが指定されているかどうかで判断されます。ユーザがトークンを取り外した後またはトークンからログアウトした後に、無効タイマーで設定された期間が経過すると、別途用意されているセカンダリ アンコンフィギュレーション ファイルが実行され、セカンダリ コンフィギュレーションのすべての要素が、実行設定から削除されます。セカンダリ コンフィギュレーション ファイルおよびセカンダリ アンコンフィギュレーション ファイルは、ログインしたユーザの権限レベルとは関係なく、権限レベル 15 で実行されます。
手順の概要
1. enable
2. crypto pki token token-name unlock [ pin ]
3. configure terminal
4. crypto pki token token-name encrypted-user-pin [ write ]
5. crypto pki token token-name secondary unconfig file
6. exit
7. crypto pki token token-name lock [ pin ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
crypto pki token token-name unlock [ pin ]
Router# crypto pki token mytoken unlock mypin |
(任意)ロックされている USB トークンを使用できるようにします。 ロック解除した場合、Cisco IOS では、その USB トークンは自動ログインされたものと見なされ、その USB トークン上にあるいずれかの鍵がロードされます。また、セカンダリ コンフィギュレーション ファイルがトークン上に存在する場合は、そのセカンダリ コンフィギュレーション ファイルが実行されます。 |
ステップ 3 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 4 |
crypto pki token token-name encrypted-user-pin [ write ]
Router(config)# crypto pki token mytoken encrypted-user-pin write |
(任意)NVRAM に保存されている PIN を暗号化します。 |
ステップ 5 |
crypto pki token token-name secondary unconfig file
Router(config)# crypto pki token mytoken secondary unconfig configs/myunconfigfile.cfg |
(任意)セカンダリ コンフィギュレーション ファイルとその保管場所を指定します。 |
ステップ 6 |
exit
Router(config)# exit |
特権 EXEC モードを開始します。 |
ステップ 7 |
crypto pki token token-name lock [ pin ]
Router# crypto pki token mytoken lock mypin |
(任意)トークンからロードされた RSA 鍵をすべて削除し、セカンダリ アンコンフィギュレーション ファイルが存在する場合は、それを実行します。 |
例
次の例は、ユーザ PIN の設定、ユーザ PIN の暗号化、ルータのリロード、およびユーザ PIN のロック解除の各プロセスを順に示したものです。
!Configuring the user PIN
Enter configuration commands, one per line.End with CNTL/Z.
Router(config)#
crypto pki token usbtoken0: user-pin
Enter password:
!Encrypt the user PIN
Router (config)#
crypto pki token usbtoken0: encrypted-user-pin
Enter passphrase:
Router(config)#
exit
Router#
Sep 20 21:51:38.076: %SYS-5-CONFIG_I: Configured from console by console
!
Router#
show running config
.
.
.
crypto pki token usbtoken0 user-pin *encrypted*
.
.
.
!Reloading the router.
!
Router> enable
Password:
!
! Decrypting the user pin.
!
Router# crypto pki token usbtoken0: unlock
Token eToken is usbtoken0
!
Enter passphrase:
Token login to usbtoken0(eToken) successful
Router#
Sep 20 22:31:13.128: %CRYPTO-6-TOKENLOGIN: Cryptographic Token eToken
Login Successful
次に示すのは、実行コンフィギュレーションからセカンダリ コンフィギュレーションの要素を削除する際に使用されるセカンダリ アンコンフィギュレーション ファイルの設定例です。セカンダリ コンフィギュレーション ファイルを使用して PKI トラストポイントが設定されている場合を例にとると、それに対応するアンコンフィギュレーション ファイル mysecondaryunconfigfile.cfg には、次のようなコマンド ラインが設定されます。
no crypto pki trustpoint token-tp
トークンが取り外された後で、次のコマンドが実行されると、ルータの実行コンフィギュレーションから、トラストポイントおよびそれに関連付けられた証明書が削除されます。
Router#
configure terminal
Router(config)# n
o crypto pki token mytoken secondary unconfig mysecondaryunconfigfile.cfg
次の作業
USB トークンへのログインおよび USB トークンの設定が完了すると、次のような作業が行えます。
• ユーザ PIN の変更、ルータから USB トークンに設定された鍵の保管場所へのファイルのコピー、USB トークンの変更など、USB トークンの管理作業を行う。詳細は 「USB トークンにおける管理機能の設定」 に記載されている参照先を参照してください。
• USB トークンを暗号化デバイスとして使用し、RSA 処理を実行する。詳細は 「関連資料」 に記載されている参照先を参照してください。
• 初期自動登録の際に行う RSA 処理に USB トークンが使用されるように指定する。詳細は 「関連資料」 に記載されている参照先を参照してください。
USB トークンにおける管理機能の設定
ここでは、ユーザ PIN、USB トークンに対するログイン試行の失敗回数の上限、クレデンシャルの保管場所など、さまざまなデフォルト設定を変更する手順について説明します。
手順の概要
1. enable
2. crypto pki token token-name [ admin ] c hange-pin [ pin ]
3. crypto pki token token-name device: label token-label
4. configure terminal
5. crypto key storage device :
6. crypto key generate rsa [ general-keys | usage-keys | signature | encryption ] [ label key-label ] [ exportable ] [ modulus modulus-size ] [ storage devicename: ] [ on devicename: ]
7. crypto key move rsa keylabel [ non-exportable ] [ on | storage ] location
8. crypto pki token { token-name | default } removal timeout [ seconds ]
9. crypto pki token { token-name | default } max-retries [ number ]
10. exit
11. copy usbflash [ 0 - 9 ] : filename destination-url
12. show usbtoken [ 0 - 9 ] : filename
13. crypto pki token token-name logout
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
crypto pki token token-name [ admin ] c hange-pin [ pin ]
Router# crypto pki token usbtoken0 admin change-pin |
(任意)USB トークン上のユーザ PIN 番号を変更します。 • PIN が変更されない場合は、デフォルトの PIN(1234567890)が使用されます。 コマンドを使用)。許容されるログインの失敗回数の上限は、15(デフォルト)に設定されています。 |
ステップ 3 |
crypto pki token token-name device: label token-label
Router# crypto pki token my token usb0: label newlabel |
(任意)USB トークンの名前を設定または変更します。 • token-label 引数には、英数字(ダッシュおよびアンダースコアを含む)からなる 31 文字以下の文字列を指定できます。
ヒント このコマンドは、自動ログインやセカンダリ コンフィギュレーション ファイルなどのトークン固有の設定用として複数の USB トークンを設定する場合に有用です。
|
ステップ 4 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 5 |
crypto key storage device :
Router(config)# crypto key storage usbtoken0: |
(任意)新規作成した RSA 鍵に対するデフォルトの保管場所を設定します。 (注) 設定の内容にかかわらず、既存の鍵は、ロード元のデバイスに保存されます。 |
ステップ 6 |
crypto key generate rsa [ general-keys | usage-keys | signature | encryption ] [ label key-label ] [ exportable ] [ modulus modulus-size ] [ storage devicename: ] [ on devicename: ]
Router(config)# crypto key generate rsa label tokenkey1 storage usbtoken0: |
(任意)証明書サーバの RSA キー ペアを生成します。 • storage キーワードを使用すると、鍵の保管場所を指定できます。 • key-label 引数を指定することによってラベル名を指定する場合、 crypto pki server cs-label コマンドによって証明書サーバに使用するラベルと同じ名前を使用する必要があります。 key-label 引数を指定していない場合、ルータの Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)であるデフォルト値が使用されます。 no shutdown コマンドを発行する前に、CA 証明書が生成されるまで待ってからエクスポート可能な RSA キー ペアを手動で生成する場合、 crypto ca export pkcs12 コマンドを使用して、証明書サーバ証明書および秘密鍵を含む PKCS12 ファイルをエクスポートできます。 • デフォルトでは、CA 鍵のモジュラス サイズは 1024 ビットです。推奨される CA 鍵のモジュラスは 2048 ビットです。CA 鍵のモジュラス サイズの範囲は 350 ~ 4096 ビットです。 • on キーワードは、指定した装置上で RSA キー ペアが作成されることを指定します。この装置には Universal Serial Bus(USB; ユニバーサルシリアルバス)トークン、ローカル ディスク、および NVRAM などがあります。装置の名前の後にはコロン(:)を付けます。 (注) USB トークン上で作成されるキーは、2048 ビット以下である必要があります。 |
ステップ 7 |
crypto key move rsa keylabel [ non-exportable ] [ on | storage ] location
Router(config)# crypto key move rsa keypairname non-exportable on token |
(任意)既存の Cisco IOS クレデンシャルを、現在の保管場所から指定した保管場所へ移動します。 デフォルトの場合、RSA キー ペアは現在のデバイス上に保存されたままになります。 ルータ上で鍵を生成しそれをトークンに移動するまでの所要時間は 1 分未満です。トークン上で鍵を生成する際に on キーワードを使用すると、USB トークン上で使用可能なハードウェア鍵生成ルーチンに応じて、5 ~ 10 分程度の時間がかかります。 Cisco IOS で生成された既存の RSA キー ペアが USB トークンに保存され、登録に使用される場合は、それら既存の RSA キー ペアを代替場所に移動して永続的に保存する必要があります。 このコマンドは、USB トークンと SDP を使用してクレデンシャルを配置する場合に有用です。 |
ステップ 8 |
crypto pki token {token-name | default} removal timeout [seconds]
Router(config)# crypto pki token usbtoken0 removal timeout 60 |
(任意)USB トークンがルータから取り外されてから、USB トークンに保存されている RSA 鍵が削除されるまで、ルータが待機する時間を秒単位で設定します。 (注) このコマンドが発行されない場合は、USB トークンがルータから取り外された直後に、すべての RSA 鍵が削除されるほか、USB トークンに関連付けられている IPsec トンネルもすべて切断されます。 |
ステップ 9 |
crypto pki token {token-name | default} max-retries [number]
Router(config)# crypto pki token usbtoken0 max-retries 20 |
(任意)USB トークンへのアクセスが拒否されるまでに許容されるログイン試行の連続失敗回数の上限を設定します。 • デフォルト値は 15 です。 |
ステップ 10 |
exit
Router(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
ステップ 11 |
copy usbflash [ 0 - 9 ] : filename destination-url
Router# copy usbflash0:file1 nvram: |
USB トークンからルータへファイルをコピーします。 • destination-url :サポートされているオプションのリストについては、 copy コマンドに関するセクションを参照してください。 |
ステップ 12 |
show usbtoken [ 0-9 ] : filename
Router# show usbtoken:usbfile |
(任意)USB トークンに関する情報を表示します。このコマンドを使用すると、USB トークンがルータにログオンしているかどうかを確認できます。 |
ステップ 13 |
crypto pki token token-name logout
Router# crypto pki token usbtoken0 logout |
USB トークンからルータをログアウトします。 (注) USD トークンに何らかのデータを保存する場合は、再度トークンにログインする必要があります。 |
show file systems コマンド
show file systems コマンドを使用すると、USB モジュールが USB ポートに差し込まれていることをルータが認識しているかどうかを判定できます。差し込まれている USB モジュールは、ファイル システムのリスト上に表示されます。これらのモジュールがリスト上に表示されない場合は、次のいずれかの問題が発生している可能性があります。
• USB モジュールとの接続に問題がある。
• ルータ上で稼動している Cisco IOS イメージによりサポートされていない USB モジュールがある。
• USB モジュールそのものにハードウェア上の問題がある。
手順の概要
1. show file systems
手順の詳細
ステップ 1 次に示すのは、 show file systems コマンドによる出力例です。この中には USB トークンも表示されています。USB モジュールが現れるのはリストの最下行です。
Router# show file systems
Size(b) Free(b) Type Flags Prefixes
* 129880064 69414912 disk rw flash:#
491512 486395 nvram rw nvram:
63158272 33037312 usbflash rw usbflash0:
32768 858 usbtoken rw usbtoken1:
show usb device コマンド
show usb device コマンドを使用すると、USB トークンがシスコによりサポートされているかどうかを判定できます。
手順の概要
1. show usb device
手順の詳細
ステップ 1 次に示すのは、 show usb device コマンドによる出力例です。太字で記されているのが、モジュールがサポートされているかどうかを示す箇所です。
Description:eToken Pro 4254
USB Version Compliance:1.0
Max. Packet Size of Endpoint Zero:8
Number of Configurations:1
show usb controllers コマンド
show usb controllers コマンドを使用すると、USB フラッシュ モジュールにハードウェア上の問題があるかどうかを判定できます。 show usb controllers コマンドの出力結果にエラーが表示された場合は、USB モジュールにハードウェア上の問題があると考えられます。
USB フラッシュ モジュールに対するコピー操作が正常に行われていることを確認する場合にも、この show usb controllers コマンドを使用できます。ファイルのコピーを実行した後で、 show usb controllers コマンドを発行すると、データ転送が正常に行われたことを示す内容が表示されます。
手順の概要
1. show usb controllers
手順の詳細
ステップ 1 次に示すのは、使用中の USB フラッシュ モジュールの show usb controllers コマンドによる出力例です。
Router# show usb controllers
Controller Specific Information:
Hardware Interrupt Status:0x24
Hardware Interrupt Enable:0x80000040
Hardware Interrupt Disable:0x80000040
Frame Interval:0x27782EDF
Hardware Configuration:0x3029
Direct Address Length:0x80A00
ATL PTD Skip Map:0xFFFFFFFF
ATL Current Active PTD:0x0
ATL Threshold Timeout:0xFF
Transfer Completion Codes:
No Response :0 Overrun :0
Buffer Overrun :0 Buffer Underrun :0
Canceled Transfers :2 Control Timeout :0
Interrupt Transfer :0 Bulk Transfer :0
Isochronous Transfer :0 Control Transfer:0
Interrupt Transfer :0 Bulk Transfer :26
Isochronous Transfer :0 Control Transfer:894
Enumeration Failures :0 No Class Driver Found:0
USB MSCD SCSI Class Driver Counters:
Good Status Failures :3 Command Fail :0
Good Status Timed out:0 Device not Found:0
Device Never Opened :0 Drive Init Fail :0
Illegal App Handle :0 Bad API Command :0
Invalid Unit Number :0 Invalid Argument:0
Application Overflow :0 Device in use :0
Control Pipe Stall :0 Malloc Error :0
Device Stalled :0 Bad Command Code:0
Device Detached :0 Unknown Error :0
USB Aladdin Token Driver Counters:
Token Inserted :1 Token Removed :0
Send Insert Msg Fail :0 Response Txns :434
Dev Entry Add Fail :0 Request Txns :434
Dev Entry Remove Fail:0 Request Txn Fail:0
Response Txn Fail :0 Command Txn Fail:0
USB Flash File System Counters:
Flash Disconnected :0 Flash Connected :1
Flash Device Fail :0 Flash Ok :1
Flash startstop Fail :0 Flash FS Fail :0
USB Secure Token File System Counters:
Token Inserted :1 Token Detached :0
Token FS success :1 Token FS Fail :0
Token Max Inserted :0 Create Talker Failures:0
Token Event :0 Destroy Talker Failures:0
Watched Boolean Create Failures:0
dir コマンド
dir コマンドおよび filesystem キーワード オプション usbtoken [ 0 - 9 ] : を使用すると、USB トークン上にあるすべてのファイル、ディレクトリ、およびそれらの権限文字列を表示できます。
手順の概要
1. dir [ filesystem : ]
手順の詳細
ステップ 1 次の出力例は、USB トークンに関する情報を表示したものです。
2 d--- 64 Dec 22 2032 05:23:40 +00:00 1000
5 d--- 4096 Dec 22 2032 05:23:40 +00:00 1001
8 d--- 0 Dec 22 2032 05:23:40 +00:00 1002
10 d--- 512 Dec 22 2032 05:23:42 +00:00 1003
12 d--- 0 Dec 22 2032 05:23:42 +00:00 5000
13 d--- 0 Dec 22 2032 05:23:42 +00:00 6000
14 d--- 0 Dec 22 2032 05:23:42 +00:00 7000
15 ---- 940 Jun 27 1992 12:50:42 +00:00 mystartup-config
16 ---- 1423 Jun 27 1992 12:51:14 +00:00 myrunning-config
32768 bytes total (858 bytes free)
次の出力例は、ルータにより認識されているすべてのデバイスについてのディレクトリ情報を表示したものです。
Router# dir all-filesystems
No space information available
144 dr-x 0 <no date> memory
1 -rw- 1906 <no date> running-config
114 dr-x 0 <no date> vfiles
No space information available
1 -rw- 30125020 Dec 22 2032 03:06:04 +00:00 c3825-entservicesk9-mz.123-14.T
129880064 bytes total (99753984 bytes free)
476 -rw- 1947 <no date> startup-config
477 ---- 46 <no date> private-config
478 -rw- 1947 <no date> underlying-config
1 -rw- 0 <no date> ifIndex-table
2 ---- 4 <no date> rf_cold_starts
3 ---- 14 <no date> persistent-data
491512 bytes total (486395 bytes free)
1 -rw- 30125020 Dec 22 2032 05:31:32 +00:00 c3825-entservicesk9-mz.123-14.T
63158272 bytes total (33033216 bytes free)
2 d--- 64 Dec 22 2032 05:23:40 +00:00 1000
5 d--- 4096 Dec 22 2032 05:23:40 +00:00 1001
8 d--- 0 Dec 22 2032 05:23:40 +00:00 1002
10 d--- 512 Dec 22 2032 05:23:42 +00:00 1003
12 d--- 0 Dec 22 2032 05:23:42 +00:00 5000
13 d--- 0 Dec 22 2032 05:23:42 +00:00 6000
14 d--- 0 Dec 22 2032 05:23:42 +00:00 7000
15 ---- 940 Jun 27 1992 12:50:42 +00:00 mystartup-config
16 ---- 1423 Jun 27 1992 12:51:14 +00:00 myrunning-config
32768 bytes total (858 bytes free)