この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
米国連邦政府機関は、米国防総省およびグローバル認定組織によって確立されたセキュリティ基準に従う機器とソフトウェアだけを使用することを求められる場合があります。FXOS シャーシは、これらのセキュリティ認証基準のいくつかに準拠しています。
これらの基準に準拠する機能を有効にするステップについては、次のトピックを参照してください。
(注) | これらのトピックはFXOS シャーシにおける認定準拠の有効化についてのみ説明していることに注意してください。FXOS シャーシで認定準拠を有効にしても、接続された論理デバイスにまでそのコンプライアンスは自動的には伝搬されません。 |
FXOS シャーシで FIPS モードを有効にするには、次の手順を実行します。
ステップ 1 | FXOS シャーシに管理者ユーザとしてログインします。 |
ステップ 2 | [プラットフォーム設定(Platform Settings)]を選択して、[プラットフォーム設定(Platform Settings)] ウィンドウを開きます。 |
ステップ 3 | [FIPS/CC モード(FIPS/CC mode)]を選択して、[FIPS および共通基準(FIPS and Common Criteria)] ウィンドウを開きます。 |
ステップ 4 | FIPS の [有効化(Enable)]チェックボックスをオンにします。 |
ステップ 5 | [保存(Save)]をクリックして、設定を保存します。 |
ステップ 6 | プロンプトに従ってシステムをリブートします。 |
FXOS リリース 2.0.1 より以前は、デバイスの最初の設定時に作成した SSH ホスト キーが 1024 ビットにハード コードされていました。FIPS およびコモン クライテリア認定要件に準拠するには、この古いホスト キーを破棄し、SSH ホスト キーの生成で詳細を説明する手順を使用して新しいホスト キーを生成する必要があります。これらの追加手順を実行しないと、FIPS モードを有効にしてデバイスをリブートした後に、SSH を使用してスーパバイザに接続できなくなります。FXOS 2.0.1 以降を使用して初期設定を行った場合は、新しいホスト キーを生成する必要はありません。
FXOS シャーシ上でコモン クライテリア モードを有効にするには、次の手順を実行します。
ステップ 1 | FXOS シャーシに管理者ユーザとしてログインします。 |
ステップ 2 | [プラットフォーム設定(Platform Settings)]を選択して、[プラットフォーム設定(Platform Settings)] ウィンドウを開きます。 |
ステップ 3 | [FIPS/CC モード(FIPS/CC mode)]を選択して、[FIPS および共通基準(FIPS and Common Criteria)] ウィンドウを開きます。 |
ステップ 4 | コモン クライテリアの [有効化(Enable)]チェックボックスをオンにします。 |
ステップ 5 | [保存(Save)]をクリックして、設定を保存します。 |
ステップ 6 | プロンプトに従ってシステムをリブートします。 |
FXOS リリース 2.0.1 より以前は、デバイスの最初の設定時に作成した SSH ホスト キーが 1024 ビットにハード コードされていました。FIPS およびコモン クライテリア認定要件に準拠するには、この古いホスト キーを破棄し、SSH ホスト キーの生成で詳細を説明する手順を使用して新しいホスト キーを生成する必要があります。これらの追加手順を実行しないと、コモン クライテリア モードを有効にしてデバイスをリブートした後に、SSH を使用してスーパバイザに接続できなくなります。FXOS 2.0.1 以降を使用して初期設定を行った場合は、新しいホスト キーを生成する必要はありません。
FXOS リリース 2.0.1 より以前は、デバイスの初期設定時に作成した既存の SSH ホスト キーが 1024 ビットにハードコードされていました。FIPS およびコモン クライテリア認定に準拠するには、この古いホスト キーを破棄して新しいホスト キーを生成する必要があります。詳細については、FIPS モードの有効化または コモン クライテリア モードの有効化 を参照してください。
古い SSH ホスト キーを破壊し、新しい証明書準拠キーを生成するには、次の手順を実行します。
ステップ 1 | FXOS CLI から、サービス モードに入ります。
scopesystem scopeservices |
ステップ 2 | SSH ホスト キーを削除します。
deletessh-serverhost-key |
ステップ 3 | 設定を確定します。
commit-buffer |
ステップ 4 | SSH ホスト キーのサイズを 2048 ビットに設定します。
setssh-serverhost-keyrsa 2048 |
ステップ 5 | 設定を確定します。
commit-buffer |
ステップ 6 | 新しい SSH ホスト キーを作成します。
createssh-serverhost-key commit-buffer |
ステップ 7 | 新しいホスト キーのサイズを確認します。
showssh-serverhost-key ホスト キー サイズ:2048 |
IPSec セキュア チャネルを設定するには、次の手順を実行します。
ステップ 1 | FXOS CLI から、セキュリティ モードに入ります。
scopesystem scopesecurity |
ステップ 2 | キー リングを作成します。
enterkeyringssp !createcertreqsubject-namesubject-nameipip |
ステップ 3 | 関連する証明書要求情報を入力します。
entercertreq |
ステップ 4 | 国を設定します。
setcountrycountry |
ステップ 5 | DNS を設定します。
setdnsdns |
ステップ 6 | 電子メールを設定します。
sete-mailemail |
ステップ 7 | IP 情報を設定します。
setfi-a-ipfi-a-ip setfi-a-ipv6fi-a-ipv6 setfi-b-ipfi-b-ip setfi-b-ipv6fi-b-ipv6 setipv6ipv6 |
ステップ 8 | ローカリティを設定します。
setlocalitylocality |
ステップ 9 | 組織名を設定します。
setorg-nameorg-name |
ステップ 10 | 組織ユニット名を設定します。
setorg-unit-nameorg-unit-name |
ステップ 11 | パスワードを設定します。
!setpassword |
ステップ 12 | 状態を設定します。
setstatestate |
ステップ 13 | certreq のサブジェクト名を設定します。
setsubject-namesubject-name |
ステップ 14 | 終了します。
exit |
ステップ 15 | モジュラスを設定します。
setmodulusmodulus |
ステップ 16 | 証明書要求の再生成を設定します。
setregenerate{ yes | no } |
ステップ 17 | トラストポイントを設定します。
settrustpointinterca |
ステップ 18 | 終了します。
exit |
ステップ 19 | 新しく作成されたトラストポイントを入力します。
entertrustpointinterca |
ステップ 20 | 証明書署名要求を生成します。
setcertchain 例: -----BEGIN CERTIFICATE----- MIIF3TCCA8WgAwIBAgIBADANBgkqhkiG9w0BAQsFADBwMQswCQYDVQQGEwJVUzEL MAkGA1UECAwCQ0ExDDAKBgNVBAcMA1NKQzEOMAwGA1UECgwFQ2lzY28xDTALBgNV BAsMBFNUQlUxCzAJBgNVBAMMAkNBMRowGAYJKoZIhvcNAQkBFgtzc3BAc3NwLm5l dDAeFw0xNjEyMDgxOTMzNTJaFw0yNjEyMDYxOTMzNTJaMHAxCzAJBgNVBAYTAlVT MQswCQYDVQQIDAJDQTEMMAoGA1UEBwwDU0pDMQ4wDAYDVQQKDAVDaXNjbzENMAsG A1UECwwEU1RCVTELMAkGA1UEAwwCQ0ExGjAYBgkqhkiG9w0BCQEWC3NzcEBzc3Au bmV0MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA2ukWyMLQuLqTvhq7 zFb3Oz/iyDG/ui6mrLIYn8wE3E39XcXA1/x9IHCmxFKNJdD7EbsggfOuy0Bj+Y4s +uZ1VapBXV/JrAie7bNn3ZYrI29yuyOrIqoi9k9gL/oRBzH18BwBwGHBOz3hGrSK Yc2yhsq9y/6yI3nSuLZm6ybmUKjTa+B4YuhDTz4hl/I9x/J5nbGiab3vLDKss1nO xP9+1+Lc690Vl8/mNPWdjCjDI+U/L9keYs/rbZdRSeXy9kMae42+4FlRHDJjPcSN Yw1g/gcR2F7QUKRygKckJKXDX2QIiGYSctlSHj18O87o5s/pmQAWWRGkKpfDv3oH cMPgI2T9rC0D8NNcgPXj9PFKfexoGNGwNTO85fK3kjgMOdWbdeMG3EihxEEOUPD0 Fdu0HrTM5lvwb+vr5wE9HsAiMJ8UuujmHqH5mlwyy3Me+cEDHo0hLeNs+AFrqEXQ e9S+KZC/dq/9zOLpRsVqSfJsAuVl/QdPDbWShjflE/fP2Wj01PqXywQydzymVvgE wEZaoFg+mlGJm0+q4RDvnpzEviOYNSAGmOkILh5HQ/eYDcxvd0qbORWb31H32ySl Ila6UTT9+vnND1f838fxvNvr8nyGD2S/LVaxnZlO4jcSIvtdizbbT8u5B4VcLKIC x0vkqjo6RvNZJ52sUaD9C3UodTUCAwEAAaOBgTB/MC8GA1UdHwQoMCYwJKAioCCG Hmh0dHA6Ly8xOTIuMTY4LjQuMjkvcm9vdGNhLmNybDAdBgNVHQ4EFgQU7Jg01A74 jpx8U0APk76pVfYQQ5AwHwYDVR0jBBgwFoAU7Jg01A74jpx8U0APk76pVfYQQ5Aw DAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAvI8ky2jiXc4wPiMuxIfY W7DRmszPUWQ7edor7yxuCqzHLVFFOwYRudsyXbv7INR3rJ/X1cRQj9+KidWWVxpo pFahRhzYxVZ10DHKIzGTQS3jiHgrF3Z8ohWbL15L7PEDlrxMBoJvabPeQRgTmY/n XZJ7qRYbypO3gUMCaCZ12raJc3/DIpBQ29yweCbUkc9qiHKA0IbnvAxoroHWmBld 94LrJCggfMQTuNJQszJiVVsYJfZ+utlDp2QwfdDv7B0JkwTBjdwRSfotEbc5R18n BNXYHqxuoNMmqbS3KjCLXcH6xIN8t+UkfP89hvJt/fluJ+s/VJSVZWK4tAWvR7wl QngCKRJW6FYpzeyNBctiJ07wO+Wt4e3KhIjJDYvA9hFixWcVGDf2r6QW5BYbgGOK DkHb/gdr/bcdLBKN/PtSJ+prSrpBSaA6rJX8D9UmfhqqN/3f+sS1fM4qWORJc6G2 gAcg7AjEQ/0do512vAI8p8idOg/Wv1O17mavzLpcue05cwMCX9fKxKZZ/+7Pk19Y ZrXS6uMn/CGnViptn0w+uJ1IRj1oulk+/ZyPtBvFHUkFRnhoWj5SMFyds2IaatyI 47N2ViaZBxhU3GICaH+3O+8rs9Kkz9tBZDSnEJVZA6yxaNCVP1bRUO20G3oRTmSx 8iLBjN+BXggxMmG8ssHisgw= -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIFqDCCA5CgAwIBAgIBBDANBgkqhkiG9w0BAQsFADBwMQswCQYDVQQGEwJVUzEL MAkGA1UECAwCQ0ExDDAKBgNVBAcMA1NKQzEOMAwGA1UECgwFQ2lzY28xDTALBgNV BAsMBFNUQlUxCzAJBgNVBAMMAkNBMRowGAYJKoZIhvcNAQkBFgtzc3BAc3NwLm5l dDAeFw0xNjEyMTUyMTM0NTRaFw0yNjEyMTMyMTM0NTRaMHwxCzAJBgNVBAYTAlVT MQswCQYDVQQIDAJDQTEPMA0GA1UECgwGbmV3c3RnMRAwDgYDVQQLDAduZXdzdGJ1 MRMwEQYDVQQDDAppbnRlcm0xLWNhMSgwJgYJKoZIhvcNAQkBFhlpbnRlcm0xLWNh QGludGVybTEtY2EubmV0MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA wLpNnyEx5I4P8uDoWKWF3IZsegjhLANsodxuAUmhmwKekd0OpZZxHMw1wSO4IBX5 4itJS0xyXFzPmeptG3OXvNqCcsT+4BXl3DoGgPMULccc4NesHeg2z8+q3SPA6uZh iseWNvKfnUjixbQEBtcrWBiSKnZuOz1cpuBn34gtgeFFoCEXN+EZVpPESiancDVh 8pCPlipc/08ZJ3o9GW2j0eHJN84sguIEDL812ROejQvpmfqGUq11stkIIuh+wB+V VRhUBVG7pV57I6DHeeRp6cDMLXaM3iMTelhdShyo5YUaRJMak/t8kCqhtGXfuLlI E2AkxKXeeveR9n6cpQd5JiNzCT/t9IQL/T/CCqMICRXLFpLCS9o5S5O2B6QFgcTZ yKR6hsmwe22wpK8QI7/5oWNXlolb96hHJ7RPbG7RXYqmcLiXY/d2j9/RuNoPJawI hLkfhoIdPA28xlnfIB1azCmMmdPcBO6cbUQfCj5hSmk3StVQKgJCjaujz55TGGd1 GjnxDMX9twwz7Ee51895Xmtr24qqaCXJoW/dPhcIIXRdJPMsTJ4yPG0BieuRwd0p i8w/rFwbHzv4C9Fthw1JrRxH1yeHJHrLlZgJ5txSaVUIgrgVCJaf6/jrRRWoRJwt AzvnzYql2dZPCcEAYgP7JcaQpvdpuDgq++NgBtygiqECAwEAAaNBMD8wDAYDVR0T BAUwAwEB/zAvBgNVHR8EKDAmMCSgIqAghh5odHRwOi8vMTkyLjE2OC40LjI5L2lu dGVybS5jcmwwDQYJKoZIhvcNAQELBQADggIBAG/XujJh5G5UWo+cwTSitAezWbJA h1dAiXZ/OYWZSxkFRliErKdupLqL0ThjnX/wRFfEXbrBQwm5kWAUUDr97D1Uz+2A 8LC5I8SWKXmyf0jUtsnEQbDZb33oVL7yXJk/A0SF0jihpPheMA+YRazalT9xj9KH PE7nHCJMbb2ptrHUyvBrKSYrSeEqOpQU2+otnFyV3rS9aelgVjuaWyaWOc3lZ1Oi CC2tJvY3NnM56j5iesxUCeY/SZ2/ECXN7RRBViLHmA3gFKmWf3xeNiKkxmJCxOaa UWPC1x2V66I8DG9uUzlWyd79O2dy52aAphAHC6hqlzb6v+gw1Tld7UxaqVd8CD5W ATjNs+ifkJS1h5ERxHjgcurZXOpR+NWpwF+UDzbMXxx+KAAXCI6ltCd8Pb3wOUC3 PKvwEXaIcCcxGx71eRLpWPZFyEoi4N2NGE9OXRjz0K/KERZgNhsIW3bQMjcw3aX6 OXskEuKgsayctnWyxVqNnqvpuz06kqyubh4+ZgGKZ5LNEXYmGNz3oED1rUN636Tw SjGAPHgeROzyTFDixCei6aROlGdP/Hwvb0/+uThIe89g8WZ0djTKFUM8uBO3f+II /cbuyBO1+JrDMq8NkAjxKlJlp1c3WbfCue/qcwtcfUBYZ4i53a56UNF5Ef0rpy/8 B/+07Me/p2y9Luqa -----END CERTIFICATE----- ENDOFBUF |
ステップ 21 | 証明書署名要求を表示します。
showcertreq 例: Firepower-chassis# /security/keyring # show certreq Certificate request subject name: SSP Certificate request ip address: 192.168.0.111 Certificate request FI A ip address: 0.0.0.0 Certificate request FI B ip address: 0.0.0.0 Certificate request e-mail name: Certificate request ipv6 address: :: Certificate request FI A ipv6 address: :: Certificate request FI B ipv6 address: :: Certificate request country name: US State, province or county (full name): CA Locality name (eg, city): SJC Organisation name (eg, company): Cisco Organisational Unit Name (eg, section): Sec DNS name (subject alternative name): Request: -----BEGIN CERTIFICATE REQUEST----- MIICwTCCAakCAQAwVTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQwwCgYDVQQH DANTSkMxDjAMBgNVBAoMBUNpc2NvMQ0wCwYDVQQLDARTVEJVMQwwCgYDVQQDDANT U1AwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDq292Rq3t0laoxPbfE p/lTKr6rxFhPqSSbtm6sXer//VZFiDTWODockDItuf4Kja215mIS0RyvEYVeRgAs wbN459wm0BASd8xCjIhsuHDV7yHu539BnvRW6Q2o+gHeSRwckqjClK/tsIxsPkV0 6OduZYXk2bnsLWs6tNk3uzOIT2Q0FcZ1ET66C8fyyKWTrmvcZjDjkMm2nDFsPlX9 39TYPItDkJE3PocqyaCqmT4uobOuvQeLJh/efkBvwhb4BF8vwzRpHWTdjjU5YnR1 qiR4q7j1RmzVFxCDY3IVP/KDBoa5NyCLEUZECP5QCQFDzIRETZwVOKtxUVG0Nljd K5TxAgMBAAGgJzAlBgkqhkiG9w0BCQ4xGDAWMBQGA1UdEQQNMAuCA1NTUIcEwKgA rjANBgkqhkiG9w0BAQsFAAOCAQEARtRBoInxXkBYNlVeEoFCqKttu3+Hc7UdyoRM 2L2pjx5OHbQICC+8NRVRMYujTnp67BWuUZZl03dGP4/lbN6bC9P3CvkZdKUsJkN0 m1Ye9dgz7MO/KEcosarmoMl9WB8LlweVdt6ycSdJzs9shOxwT6TAZPwL7gq/1ShF RJh6sq5W9p6E0SjYefK62E7MatRjDjS8DXoxj6gfn9DqK15iVpkK2QqT5rneSGj+ R+20TcUnT0h/S5K/bySEM/3U1gFxQCOzbzPuHkj28kXAVczmTxXEkJBFLVduWNo6 DT3u0xImiPR1sqW1jpMwbhC+ZGDtvgKjKHToagup9+8R9IMcBQ== -----END CERTIFICATE REQUEST----- |
ステップ 22 | IPSec モードに入ります。
scopeipsec |
ステップ 23 | ログ冗長レベルを設定します。
setlog-levellog_level |
ステップ 24 | IPSec 接続を作成し、入力します。 enterconnectionconnection_name |
ステップ 25 | IPsec モードをトンネリングまたは伝送のために設定します。
setmodetunnel_or_transport |
ステップ 26 | ローカル IP アドレスを設定します。
setlocal-addrip_address |
ステップ 27 | リモート IP アドレスを設定します。
setremote-addrip_address |
ステップ 28 | トンネル モードを使用している場合、リモート サブネットを設定します。
setremote-subnetip/mask |
ステップ 29 | (任意)リモート ID を設定します。
setremote-ike-identremote_identity_name |
ステップ 30 | キーリング名を設定します。
setkeyring-namename |
ステップ 31 | (任意)キーリング パスワードを設定します。
setkeyring-passwdpassphrase |
ステップ 32 | (任意)IKE-SA の有効期間を分単位で設定します。
setike-rekey-timeminutes minutes 値には、60 ~ 1440 の範囲内の任意の整数を設定できます。 |
ステップ 33 | (任意)子の SA の有効期間を分単位(30 ~ 480 分)で設定します。
setesp-rekey-timeminutes minutes 値には、30 ~ 480 の範囲内の任意の整数を設定できます。 |
ステップ 34 | (任意)初期接続中に実行する再送信シーケンスの番号を設定します。
setkeyringtriesretry_number retry_number 値には、1 ~ 5 の範囲の任意の整数を指定できます。 |
ステップ 35 | (任意)証明書失効リスト検査を、有効または無効にします。
setrevoke-policy{ relaxed | strict } |
ステップ 36 | 接続を有効にします。
setadmin-stateenable |
ステップ 37 | すべての接続をリロードします。
reload-conns |
ステップ 38 | (任意)既存のトラストポイント名を IPsec に追加します。
createauthoritytrustpoint_name |
ステップ 39 | IKE 接続と SA 接続との間の、対応する暗号キー強度の適用を設定します。
setsa-strength-enforcementyes_or_no |
証明書失効リスト(CRL)情報を使用して、FXOS シャーシがピア証明書を検証するように設定できます。このオプションは、システムのコモン クライテリア認定への準拠を取得するために提示される数の 1 つです。詳細については、セキュリティ認定準拠を参照してください。
CRL 情報を使用してピア証明書を検証するには、次の手順を実行します。
ステップ 1 | FXOS CLI から、セキュリティ モードに入ります。
scopesecurity |
ステップ 2 | トラストポイント モードに入ります。
scopetrustpointtrustname |
ステップ 3 | 取り消しモードに入ります。
scoperevoke |
ステップ 4 | CRL ファイルをダウンロードします。
importcrlprotocol://user_id@CA_or_CRL_issuer_IP/tmp/DoDCA1CRL1.crl |
ステップ 5 | (任意)CRL 情報のインポート プロセスのステータスを表示します。
showimport-taskdetail |
ステップ 6 | CRL 専用の、証明書取り消し方法を設定します。
setcertrevokemethod{crl} |
証明書失効リスト(CRL)チェック モードを、IPSec およびセキュアな LDAP 接続で厳格または緩和に設定できます。
ダイナミック(非スタティック)CRL 情報は、X.509 証明書の CDP 情報から収集され、動的な CRL 情報を示します。スタティック CRL 情報は、システム管理によって手動でダウンロードされ、FXOS システムのローカルな CRL 情報を示します。ダイナミック CRL 情報は、証明書チェーンの現在処理中の証明書に対してのみ処理されます。スタティック CRL は、ピアの証明書チェーン全体に適用されます。
セキュアな LDAP および IPSec 接続の証明書失効のチェックを有効または無効にするステップについては、IPSec セキュア チャネルの設定およびLDAP プロバイダーの作成を参照してください。
次の表は、証明書失効リストのチェックの設定と証明書の検証に応じた接続の結果を示しています。
ローカル スタティック CRL なし | LDAP 接続 | IPSec 接続 |
---|---|---|
ピア証明書チェーンのチェック |
完全な証明書チェーンが必要です |
完全な証明書チェーンが必要です |
ピア証明書チェーンの CDP のチェック |
完全な証明書チェーンが必要です |
完全な証明書チェーンが必要です |
ピア証明書チェーンのルート CA 証明書の CDP チェック |
[はい(Yes)] |
N/A |
ピア証明書チェーンの証明書検証のいずれかの失敗 |
接続に失敗(syslog メッセージあり) |
接続に失敗(syslog メッセージあり) |
ピア証明書チェーンのいずれかの失効した証明書 |
接続に失敗(syslog メッセージあり) |
接続に失敗(syslog メッセージあり) |
1 つの CDP でピア証明書チェーンが欠落しています |
接続に失敗(syslog メッセージあり) |
ピア証明書:接続に失敗(syslog メッセージあり) 中間 CA:接続に成功 |
有効な署名付きピア証明書チェーンの 1 つの CDP CRL が空です |
接続に失敗(syslog メッセージあり) |
接続に成功 |
ピア証明書チェーンの CDP がダウンロードできません |
接続に失敗(syslog メッセージあり) |
ピア証明書:接続に失敗(syslog メッセージあり) 中間 CA:接続に成功 |
証明書に CDP はありますが、CDP サーバがダウンしています |
接続に失敗(syslog メッセージあり) |
ピア証明書:接続に失敗(syslog メッセージあり) 中間 CA:接続に成功 |
証明書に CDP があり、サーバはアップしており、CRL は CDP にありますが、CRL に無効な署名があります |
接続に失敗(syslog メッセージあり) |
ピア証明書:接続に失敗(syslog メッセージあり) 中間 CA:接続に成功 |
ローカル スタティック CRL あり | LDAP 接続 | IPSec 接続 |
---|---|---|
ピア証明書チェーンのチェック |
完全な証明書チェーンが必要です |
完全な証明書チェーンが必要です |
ピア証明書チェーンの CDP のチェック |
完全な証明書チェーンが必要です |
完全な証明書チェーンが必要です |
ピア証明書チェーンのルート CA 証明書の CDP チェック |
あり |
N/A |
ピア証明書チェーンの証明書検証のいずれかの失敗 |
接続に失敗(syslog メッセージあり) |
接続に失敗(syslog メッセージあり) |
ピア証明書チェーンのいずれかの失効した証明書 |
接続に失敗(syslog メッセージあり) |
接続に失敗(syslog メッセージあり) |
1 つの CDP でピア証明書チェーンが欠落しています |
接続に成功 |
接続に成功 |
有効な署名付きピア証明書チェーンの 1 つの CDP CRL が空です |
接続に成功 |
接続に成功 |
ピア証明書チェーンの CDP がダウンロードできません |
接続に成功 |
接続に成功 |
証明書に CDP はありますが、CDP サーバがダウンしています |
接続に成功 |
接続に成功 |
証明書に CDP があり、サーバはアップしており、CRL は CDP にありますが、CRL に無効な署名があります |
接続に成功 |
接続に成功 |
ローカル スタティック CRL なし | LDAP 接続 | IPSec 接続 |
---|---|---|
ピア証明書チェーンのチェック |
完全な証明書チェーン |
完全な証明書チェーン |
ピア証明書チェーンの CDP のチェック |
完全な証明書チェーン |
完全な証明書チェーン |
ピア証明書チェーンのルート CA 証明書の CDP チェック |
あり |
N/A |
ピア証明書チェーンの証明書検証のいずれかの失敗 |
接続に失敗(syslog メッセージあり) |
接続に失敗(syslog メッセージあり) |
ピア証明書チェーンのいずれかの失効した証明書 |
接続に失敗(syslog メッセージあり) |
接続に失敗(syslog メッセージあり) |
1 つの CDP でピア証明書チェーンが欠落しています |
接続に成功 |
接続に成功 |
有効な署名付きピア証明書チェーンの 1 つの CDP CRL が空です |
接続に成功 |
接続に成功 |
ピア証明書チェーンの CDP がダウンロードできません |
接続に成功 |
接続に成功 |
証明書に CDP はありますが、CDP サーバがダウンしています |
接続に成功 |
接続に成功 |
証明書に CDP があり、サーバはアップしており、CRL は CDP にありますが、CRL に無効な署名があります |
接続に成功 |
接続に成功 |
ローカル スタティック CRL あり |
LDAP 接続 |
IPSec 接続 |
---|---|---|
ピア証明書チェーンのチェック |
完全な証明書チェーン |
完全な証明書チェーン |
ピア証明書チェーンの CDP のチェック |
完全な証明書チェーン |
完全な証明書チェーン |
ピア証明書チェーンのルート CA 証明書の CDP チェック |
[はい(Yes)] |
N/A |
ピア証明書チェーンの証明書検証のいずれかの失敗 |
接続に失敗(syslog メッセージあり) |
接続に失敗(syslog メッセージあり) |
ピア証明書チェーンのいずれかの失効した証明書 |
接続に失敗(syslog メッセージあり) |
接続に失敗(syslog メッセージあり) |
1 つの CDP でピア証明書チェーンが欠落しています |
接続に成功 |
接続に成功 |
有効な署名付きピア証明書チェーンの 1 つの CDP CRL が空です |
接続に成功 |
接続に成功 |
ピア証明書チェーンの CDP がダウンロードできません |
接続に成功 |
接続に成功 |
証明書に CDP はありますが、CDP サーバがダウンしています |
接続に成功 |
接続に成功 |
証明書に CDP があり、サーバはアップしており、CRL は CDP にありますが、CRL に無効な署名があります |
接続に成功 |
接続に成功 |
システムを、CRL を定期的にダウンロードして、証明書の検証に新しい CRL を 1 ~ 24 時間ごとに使用するように設定できます。
この機能とともに、次のプロトコルとインターフェイスを使用できます。
FTP
SCP
SFTP
TFTP
USB
(注) |
|
(注) | 期間は 1 時間間隔でのみ設定できます。 |
CRL 定期ダウンロードを設定するには、次の手順を実行します。
ステップ 1 | FXOS CLI から、セキュリティ モードに入ります。
scopesecurity |
ステップ 2 | トラストポイント モードに入ります。
scopetrustpoint |
ステップ 3 | 取り消しモードに入ります。
scoperevoke |
ステップ 4 | 取り消し設定を編集します。
shconfig |
ステップ 5 | 優先設定を設定します。 例: set certrevokemethod crl set crl-poll-filename rootCA.crl set crl-poll-path /users/myname set crl-poll-period 1 set crl-poll-port 0 set crl-poll-protocol scp ! set crl-poll-pwd set crl-poll-server 182.23.33.113 set crl-poll-user myname |
ステップ 6 | 設定ファイルを終了します。 exit |
ステップ 7 | (任意)新しい CRL をダウンロードして、新しい設定をテストします。 例: Firepower-chassis /security/trustpoint/revoke # sh import-task Import task: File Name Protocol Server Port Userid State --------- -------- --------------- ---------- -------------- ----- rootCA.crl Scp 182.23.33.113 0 myname Downloading |
NTP サーバ認証を有効にするには、FXOS シャーシで次の手順を実行します。
(注) |
|
ステップ 1 | ntp 4.2.8p8 をダウンロードします。 |
ステップ 2 | NTP サーバを、ntpd openssl を有効にしてインストールします。 |
ステップ 3 | NTP キー ID とキー値を生成します。
ntp-keygen-M これらの生成されたキーは、次の手順に使用します。 |
ステップ 4 | FXOS シャーシに管理者ユーザとしてログインします。 |
ステップ 5 | [プラットフォーム設定(Platform Settings)]を選択して、[プラットフォーム設定(Platform Settings)] ウィンドウを開きます。 |
ステップ 6 | [時刻源を設定(Set Time Source)] 領域で、[NTP サーバの使用(Use NTP server)]ラジオ ボタンをクリックします。 |
ステップ 7 | 生成された SHA1 文字列とキーで NTP サーバを追加します。 |
ステップ 8 | [保存(Save)]をクリックして、NTP サーバ設定を保存します。 |
ステップ 9 | [ntp 認証の有効化(Enable ntp-authentication)]チェックボックスをオンにします。 |
ステップ 10 | [保存(Save)]をクリックします。 |
(注) | コモン クライテリア モードを有効にする場合は、SSL が有効になっている必要があります。さらにキー リング証明書を作成するために、サーバ DNS 情報を使用する必要があります。 SSL を LDAP サーバ エントリに対して有効にすると、接続の形成時にキー リング情報が参照されて確認されます。 |
LDAP サーバ情報は、セキュア LDAP 接続(SSL 使用可能)用の、CC モードの DNS 情報である必要があります。
セキュア LDAP クライアントのキー リング証明書を設定するには、次の手順を実行します。
ステップ 1 | FXOS CLI から、セキュリティ モードに入ります。
scopesecurity |
ステップ 2 | LDAP モードに入ります。
scopeldap |
ステップ 3 | LDAP サーバ モードに入ります。
enterserver{server_ip|server_dns} |
ステップ 4 | LDAP キー リングを設定します。
setkeyringkeyring_name |
ステップ 5 | 設定を確定します。
commit-buffer |
デフォルトでは、FXOS シャーシはローカル Web サーバへのすべてのアクセスを拒否します。IP アクセス リストを、各 IP ブロックの許可されるサービスのリストを使用して設定する必要があります。
IP アクセス リストは、次のプロトコルをサポートします。
HTTPS
SNMP
SSH
IP アドレス(v4 または v6)の各ブロックで、最大 25 個の異なるサブネットを各サービスに対して設定できます。サブネットを 0、プレフィックスを 0 と指定すると、サービスに無制限にアクセスできるようになります。
ステップ 1 | FXOS シャーシに管理者ユーザとしてログインします。 |
ステップ 2 | [プラットフォーム設定(Platform Settings)]を選択して、[プラットフォーム設定(Platform Settings)] ページを開きます。 |
ステップ 3 | [アクセス リスト(Access List)]を選択して、[アクセス リスト(Access List)] 領域を開きます。 |
ステップ 4 | この領域で、[IP アクセス リスト(IP Access List)] にリストされている IPv4 および IPv6 アドレスを表示、追加、削除できます。
IPv4 ブロックを追加するには、有効な IPv4 IP アドレスとプレフィックスの長さ(0 ~ 32)を入力し、プロトコルを選択する必要があります。 IPv6 ブロックを追加するには、有効な IPv6 IP アドレスとプレフィックスの長さ(0 ~ 128)を入力し、プロトコルを選択する必要があります。 |
HTTPS アクセスのユーザを認証するために、システムにクライアント証明書を LDAP と一緒に使用させることができます。FXOS シャーシ上でのデフォルトの認証設定は、認証ベースです。
(注) | 証明書認証が有効である場合、これは HTTPS に許可されている唯一の認証形式です。 証明書失効検査は、FXOS 2.1.1 リリースのクライアント証明書認証機能ではサポートされていません。 |
この機能を使用するには、クライアント証明書が次の要件を満たしている必要があります。
ユーザ名が X509 属性 [サブジェクト代替名:電子メール(Subject Alternative Name - Email)] に含まれている必要があります。
クライアント証明書は、その証明書をスーパバイザ上のトラストポイントにインポートしているルート CA により署名されている必要があります。
ステップ 1 | FXOS CLI から、サービス モードに入ります。
scopesystem scopesecurity |
ステップ 2 | (任意)HTTPS 認証のオプションを表示します。
sethttpsauth-type 例: Firepower-chassis /system/services # set https auth-type cert-auth Client certificate based authentication cred-auth Credential based authentication |
ステップ 3 | HTTPS 認証をクライアントベースに設定します。
sethttpsauth-typecert-auth |
ステップ 4 | 設定を確定します。
commit-buffer |