自己署名証明書の生成
test crypto pki self コマンドを入力して鍵ラベルおよび件名を指定すると、SSLプロキシ サービスのテスト用に複数の自己署名証明書を生成できます。自己署名証明書を生成する前に、ラベル付きの鍵ペアを生成する必要があります。鍵ペアの生成の詳細については、「RSA鍵ペアの生成」を参照してください。
test crypto pki self コマンドを入力すると、鍵ペアのラベルおよび証明書の件名が要求されます。信頼点の名前として鍵ペアのラベルがある信頼点が自動的に作成され、自己署名証明書の16進ダンプがコンソールに表示されます。その後、信頼点をテスト用のプロキシ サービスに割り当てることができます。必要に応じて、再起動後にこの手順を繰り返すことができます。証明書は、メモリにのみ格納されます。NVRAM(不揮発性RAM)に設定の一部として保存することはできません。
(注) 自己署名証明書を設定の一部として保存することはできません。
(注) show crypto ca certificateコマンドでは、自己署名証明書は表示されません。
自己署名証明書を生成して、信頼点をプロキシ サービスに割り当てる手順は、次のとおりです。
|
|
|
ステップ 1 |
ssl-proxy#
test crypto pki self
|
自己署名証明書を生成します。
(注) このコマンドを入力すると、件名(LDAPフォーマットを使用する)および鍵ペアの名前が要求されます。
|
ステップ 2 |
ssl-proxy#
show crypto ca trustpoint
label
|
信頼点に関する情報を表示します。 |
ステップ 3 |
ssl-proxy#
configure terminal
|
terminalオプションを選択して、コンフィギュレーション モードを開始します。 |
ステップ 4 |
ssl-proxy(config)# ssl-proxy service
proxy_name
|
SSLプロキシ サービスの名前を定義します。
(注) proxy-nameは大文字/小文字の区別があります。
|
ステップ 5 |
ssl-proxy(config-ssl-proxy)#
certificate rsa general-purpose trustpoint
trustpoint_label
|
信頼点をプロキシ サーバに割り当てます。 |
ステップ 6 |
ssl-proxy(config-ssl-proxy)#
end
|
コンフィギュレーション モードを終了します。 |
ステップ 7 |
ssl-proxy#
show ssl-proxy service
proxy-name
|
指定されたプロキシ サービスに使用される鍵ペアおよび証明書チェーンのシリアル番号を表示します。
(注) proxy-nameは大文字/小文字の区別があります。
|
(注) 信頼点がすでに存在している場合は、テスト証明書に置き換えられる可能性があります。テスト証明書には固有の鍵ペアを生成することを推奨します。
次に、鍵ペアの生成、自己署名証明書の生成、および証明書のプロキシ サービスへの割り当てに関する例を示します。
ssl-proxy# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ssl-proxy(config)# crypto key generate rsa general-keys label k1 modulus 1024
The name for the keys will be:k1
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys ...[OK]
*Mar 20 14:34:01.543:%SYS-5-CONFIG_I:Configured from console by console
ssl-proxy# test crypto pki self
Enter subject name for certificate
CN=testhost.my.com, O=lab, OU=testgroup
Enter name of key to be used
30 82 02 06 30 82 01 6F 02 20 45 32 30 38 39 32
45 37 38 31 42 41 46 45 45 45 44 45 37 37 41 36
43 41 44 37 44 43 45 38 34 37 30 0D 06 09 2A 86
48 86 F7 0D 01 01 04 05 00 30 3C 31 12 30 10 06
03 55 04 0B 13 09 74 65 73 74 67 72 6F 75 70 31
0C 30 0A 06 03 55 04 0A 13 03 6C 61 62 31 18 30
16 06 03 55 04 03 13 0F 74 65 73 74 68 6F 73 74
2E 6D 79 2E 63 6F 6D 30 1E 17 0D 30 33 30 33 32
30 31 34 33 35 30 30 5A 17 0D 31 33 30 33 31 37
31 34 33 35 30 30 5A 30 3C 31 12 30 10 06 03 55
04 0B 13 09 74 65 73 74 67 72 6F 75 70 31 0C 30
0A 06 03 55 04 0A 13 03 6C 61 62 31 18 30 16 06
03 55 04 03 13 0F 74 65 73 74 68 6F 73 74 2E 6D
79 2E 63 6F 6D 30 81 9F 30 0D 06 09 2A 86 48 86
F7 0D 01 01 01 05 00 03 81 8D 00 30 81 89 02 81
81 00 EC 21 35 B5 0E BF 9C 1C 71 05 05 B2 8A 47
C8 F9 13 6C 5A 14 77 63 BD 0C B7 D3 35 6A DB B8
0F C2 D2 39 A8 62 67 EE CB BC 8D 5E F8 C2 1E 8E
D6 39 62 07 B4 64 20 D8 29 25 1E 9E 06 C8 F8 F9
A6 29 05 19 CC D9 00 E9 2D 96 6D CE CA E0 D7 BF
DC 9D 1B 7E 71 C1 D7 3F 25 28 41 5A F9 FB 98 66
B9 A7 81 18 79 71 2A AC 55 F8 CC A4 4A 90 35 A7
E9 BD 79 66 BC 5B C5 98 16 B0 63 5B D3 6E 85 65
42 1B 02 03 01 00 01 30 0D 06 09 2A 86 48 86 F7
0D 01 01 04 05 00 03 81 81 00 A3 93 7A E6 60 54
8C 3A FF 6A 72 A8 1F 4B AD 79 53 C4 37 DF C4 D4
F9 F4 58 3C E4 D8 BE FF BB C5 F9 CD B0 20 7F 3D
0E B5 11 8E FA 33 02 9E 5E 52 36 4D 0F AB 21 41
97 A4 2D 94 4D DF D2 A0 B4 DE B0 2E 1C BA 16 A9
4C 28 34 72 8E D5 82 F6 B6 B2 D6 4E B5 1A F0 BB
6B 65 E7 85 52 72 9F 9C BC A7 D9 B4 79 AB 6B C2
DC FD AD 02 D3 28 87 CD 06 8B 11 3C 22 85 28 1B
DC 04 05 8D 4F 1D 07 8D D0 BC
ssl-proxy# show crypto ca trustpoint k1
Serial Number:4532303839324537383142414645454544453737413643414437444345383437
Application generated trust point
ssl-proxy# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ssl-proxy(config)# ssl-proxy service ser1
ssl-proxy(config-ssl-proxy)# certificate rsa general trustpoint k1
ssl-proxy(config-ssl-proxy)#
*Mar 20 14:36:09.567:%STE-6-PKI_SERVER_CERT_INSTALL:Proxy:ser1, Trustpoint:k1, Key:k1, Serial#:4532303839324537383142414645454544453737413643414437444345383437, Index:3
ssl-proxy(config-ssl-proxy)# end
*Mar 20 14:36:16.363:%SYS-5-CONFIG_I:Configured from console by console
ssl-proxy# show ssl-proxy service ser1
Service id:2, bound_service_id:258
Virtual IP address not configured
Server IP address not configured
rsa-general-purpose certificate trustpoint:k1
Certificate chain for new connections:
Serial Number:4532303839324537383142414645454544453737413643414437444345383437
Certificate chain complete
組み込みテスト証明書のインポート
モジュールのSSLソフトウェアには、テスト用PKCS12ファイル(test/testssl.p12)が組み込まれています。このファイルをNVRAMにインストールして、テストや概念の検証に使用することができます。PKCS12ファイルをインストールした後に、このファイルを信頼点にインポートして、テスト用に設定されたプロキシ サービスに割り当てることができます。
テスト ファイルをインストールおよびインポートする手順は、次のとおりです。
|
|
|
ステップ 1 |
ssl-proxy#
test ssl-proxy certificate install
|
テスト用PKCS12ファイルをNVRAMにインストールします。 |
ステップ 2 |
ssl-proxy(config)#
crypto ca import
trustpoint_label
pkcs12 nvram:test/testssl.p12
passphrase
|
テスト用PKCS12ファイルをモジュールにインポートします。
(注) テスト用証明書のpassphraseはsky is blueです。
|
ステップ 3 |
ssl-proxy(config)#
ssl-proxy service
test_service
|
テスト用プロキシ サービスの名前を定義します。 |
ステップ 4 |
ssl-proxy(config-ssl-proxy)#
certificate rsa general-purpose trustpoint
trustpoint_label
|
信頼点の設定をプロキシ サーバに適用します。 |
ステップ 5 |
ssl-proxy#
show ssl-proxy stats
test_service
|
テストの統計情報を表示します。 |
次に、テスト用PKCS12ファイルをインポートする例を示します。
ssl-proxy# test ssl-proxy certificate install
% Opening file, please wait ...
% Writing, please wait ............
% Please use the following config command to import the file.
"crypto ca import <trustpoint-name> pkcs12 nvram:test/testssl.p12 sky is blue"
% Then you can assign the trustpoint to a proxy service for testing.
ssl-proxy# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ssl-proxy(config)# crypto ca import test-tp pkcs12 nvram:test/testssl.p12 sky is blue
Source filename [test/testssl.p12]?
ssl-proxy(config)# ssl-proxy service test-service
ssl-proxy(config-ssl-proxy)# certificate rsa general-purpose trustpoint test-tp
ssl-proxy(config-ssl-proxy)# end