この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、SSLのContent Switching Module with SSLソフトウェアを設定、モニタ、デバッグするためのCLI(コマンドライン インターフェイス)コマンドについて説明します。これらのコンフィギュレーション コマンドは、SSL Services Module(SSLSM)で使用できるコマンドと同じです。
(注) 特に区別されていないかぎり、「Content Switching Module」および略語「CSM」には、コンテント スイッチング モジュールとCSM-Sの両方が含まれます。「Content Switching Module with SSL」および略語「CSM-S」は、CSM-Sだけを言及する場合に使用されます。
この章では、SSLドータカードをサポートするために、CSM-Sに追加された設定について説明します。
• 「クライアント側およびサーバ側動作に対するSSLの設定」
• 「NATの設定」
• 「TACACS、TACACS+、およびRADIUSの設定」
(注) すべてのバックエンド サーバに別個のサーバ ファームを作成する必要があります。CSM-Sは仮想サーバに関連付けられませんが、CSM-Sは各実サーバのアドレス解決を行います。コンフィギュレーション例については、「バックエンド サーバとしての実サーバの設定」を参照してください。
ここでは、SSLドータカードの初期設定の方法について説明します。
(注) CSM-S証明書管理ポート コネクタに直接接続して、次のSSLドータカードの初期設定を行う必要があります( CSMの前面パネルを参照)。この初期設定の完了後は、モジュールにSecure Shell(SSH;セキュア シェル)またはTelnet接続を行い、さらに詳しくモジュールを設定できます。
• 「SSHの設定」
SSLドータカードにVLAN(仮想LAN)を設定する場合は、いずれかのVLANを管理VLANとして設定します。管理VLANは、SSH、Public Key Infrastructure(PKI;公開鍵インフラストラクチャ)、Secure File Transfer(SCP)およびTrivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)処理を含む、すべての管理トラフィックに使用されます。管理VLANのゲートウェイを通るデフォルト ルートが追加されます。
(注) SSLドータカードには、管理VLANとして1つのVLANだけを設定してください。
(注) SSLドータカードに設定されるすべてのVLANは、CSMにも設定される必要があります。すべてのVLANがCSM仮想サーバとSSL実サーバで一致する必要があります。
(注) スイッチとモジュールのVLAN IDは同じでなければなりません。詳細については、『Catalyst 6500 Series Switch Software Configuration Guide』の「Configuring VLANs」の章を参照してください。
(注) SSLソフトウェアは、標準範囲のVLAN(2~1005)だけをサポートします。SSLドータカードの設定を、標準範囲VLANに限定する必要があります。
SSLドータカードにVLANを設定する手順は、次のとおりです。
|
|
|
---|---|---|
|
||
|
||
|
(注) VLAN IPアドレスと同じサブネット内のゲートウェイIPアドレスを設定します。 |
|
|
||
|
(任意)VLANを管理VLAN1として設定します。 |
1.管理VLANは管理トラフィック(PKI、SSH、SCP、およびTFTP)に使用します。管理VLANに指定できるのは、1つのVLANのみです。 |
次に、VLANを設定し、IPアドレス、サブネット マスク、およびグローバル ゲートウェイを指定し、VLANを管理VLANとして指定する例を示します。
SSLドータカードをTelnetリモート アクセス用に設定する手順は、次のとおりです。
|
|
|
---|---|---|
|
||
|
||
|
||
|
次に、SSLドータカードをリモート アクセス用に設定する例を示します。
SSLドータカードを使用して認証局からの証明書を登録する場合は、モジュールにFully Qualified Domain Name(FQDN;完全修飾ドメイン名)を設定する必要があります。FQDNは、モジュールのホスト名およびドメイン名です。
|
|
|
---|---|---|
|
||
|
モジュールの初期設定が完了したら、モジュール上でSSHをイネーブルにし、単純なユーザ名とパスワード、またはAuthentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)サーバを使用して、SSH接続用のユーザ名およびパスワードを設定します。
SSHは、モジュールで生成された最初の鍵ペアを使用します。次の作業では、SSH専用の鍵ペアを生成します。
(注) 最初にSSH鍵ペアを指定しないで、汎用の鍵ペアを生成すると( RSA鍵のペアの生成を参照)、SSHがイネーブルになり、汎用鍵ペアが使用されます。この鍵ペアをあとで削除すると、SSHがディセーブルになります。SSHを再びイネーブルにするには、SSH鍵ペアを新規に生成します。
SSH鍵ペアを生成してSSHをイネーブルにする手順は、次のとおりです。
次に、モジュール上でSSHをイネーブルにし、SSHがイネーブルに設定されたことを確認する例を示します。
SSH接続用のユーザ名およびパスワードを設定する手順は、次のとおりです。
次に、SSLドータカードにSSH接続用のユーザ名およびパスワードを設定する例を示します。
ユーザ名およびパスワードを設定したあとに、スイッチを設定する手順については、「失われたパスワードの回復」を参照してください。
次に、SSLドータカードにSSH接続用のAAAを設定する例を示します。
AAAを設定したあとに、スイッチを設定する手順については、「失われたパスワードの回復」を参照してください。
ここでは、CSM-Sの設定方法について説明します。内容は、次のとおりです。
サーバ ファームを設定するときに、実サーバがSSLドータカードである場合は、実サーバの定義に local キーワードを使用する必要があります。
次に、SSLをサポートするように、CSMを設定する例を示します。
実サーバへのlocalキーワードは、CSMに対する唯一の設定変更です。CSMとSSLドータカード間で適切に通信が行われるように、さらに詳しい設定をCSM-Sに行う必要があります。
次に、SSLドータカードにSSLプロキシ サービスを設定する例を示します。
混合モードのSSLドータカードとSSLサービス モジュール間でSSLロードバランシングを実行できます。
CSMはSSL-ID固定(sticky)機能を使用して、同じSSLサービス モジュールにSSL接続を固定します。CSMは、SSL-IDを調べるためにクライアント側のTCP接続を終了する必要があります。ロードバランシングの決定が行われたら、CSMはSSLドータカードまたはSSLサービス モジュールのどちらかに対してTCP接続を開始する必要があります。
トラフィック フローは、CSMが仮想サーバで受信されたすべてのトラフィックをSSLドータカードに送り、SSLドータカード自体でTCPを終了させる形を取ります。SSLスティッキ機能をイネーブルにする場合、CSMとSSLドータカード間の接続は、完全なTCP接続になります。
次に、混在モードのSSLロードバランシングを設定する例を示します。
さらに、CSMがクライアント側のTCP接続を終了する必要がある場合に、SSLドータカードにトラフィックを送るように、内部で生成される設定を行う必要があります。サーバ ファーム SSLfarm のローカルな各実サーバの同じIPアドレスまたはポートを指定して、仮想サーバを作成する必要があります。この仮想サーバ向けのすべてのトラフィックをSSLドータカードに送るように、この仮想サーバが内的に設定されます。
ローカル実サーバのIPアドレスとSSLドータカード仮想サーバのアドレスを一致させなければならないため、内部生成の形でコンフィギュレーションを作成する必要があります。CSMがこのローカル実サーバへの接続を開始すると、SYNフレームがCSMで送受信されます。CSMがSYNを受信し、宛先IPアドレスまたはポートが仮想サーバVS1と同一である場合、より詳細な仮想サーバが追加されていないかぎり、VS1に一致します。
SSLドータカードがCSMをバックエンド サーバとして使用する場合、標準の仮想サーバの設定がレイヤ4およびレイヤ7のロードバランシング用に使用されます。
この仮想サーバがSSLドータカードからのトラフィックだけを受信するように制限するには、次のようにVLANローカル仮想サーバ サブモード コマンドを使用します。
仮想サーバおよびサーバ ファームの設定により、SSLドータカードがバックエンド サーバとして実サーバを使用することができます。CSMをバックエンド サーバとして使用するには、「クライアント側の設定」で説明した設定を使用し、さらにSSLドータカードを設定します。
次に、レイヤ7のロードバランシングに対応するCSM仮想サーバの設定例を示します。
次に、レイヤ4のロードバランシングに対応するCSM仮想サーバの設定例を示します。
サーバ側の設定によるトラフィック フロー(バックエンドとして実サーバを設定する場合)は、クライアント側の設定と類似しています。「クライアント側の設定」に記載されている設定を使用してから、SSLドータカードがバックエンド サーバとして実サーバを使用するように設定します。
SSLドータカード プロキシ サービスの設定には、新たな設定が必要ありません。次に、設定を内部で開始し、ユーザからはわからないようにする例を示します。
ここでは、SSLポリシーおよびTCPポリシーの設定方法について説明します。
(注) SSLドータカードのSSLコマンドは、グローバルにも、また特定のプロキシ サーバにも適用されます。プロキシ サービスにポリシーを適用する手順については、「SSLサーバ プロキシ サービス」を参照してください。
SSLポリシー テンプレートを使用すると、SSLスタックに関連付けられたパラメータを定義することができます。
設定できるパラメータの1つに、SSL終了プロトコルの動作があります。SSL終了プロトコルでは、各SSLピア(クライアント/サーバ)が、終了通知アラートの送信および終了通知アラートの受信を行ってから、接続を適切に終了する必要があることを指定します。SSL接続が適切に終了しない場合は、セッションが削除されるので、以後のSSL接続で同一のSSLセッションIDを使用することができません。
ただし、厳密にはSSL終了プロトコルより先に処理されるSSL動作は多数あります(たとえば、SSLピアは終了通知アラートを送信しますが、リモートSSLピアからの終了通知アラートを待機せずに、接続を終了します)。
SSLピアが終了接続シーケンスを開始すると、SSLドータカードは終了通知アラート メッセージを待機します。SSLピアが終了通知アラートを送信しない場合、SSLドータカードはセッション キャッシュからセッションを削除するので、以後のSSL接続で同一のセッションIDを使用することができません。
SSLドータカードが終了接続シーケンスを開始する場合、次の終了プロトコル オプションを設定できます。
• strict ― SSLドータカードはSSLピアに終了通知アラート メッセージを送信し、SSLドータカードはSSLピアからの終了通知アラート メッセージを待機します。SSLドータカードが終了通知アラートを受信しなければ、そのセッションのSSLの再開が許可されません。
• none ― SSLドータカードはSSLピアに終了通知アラート メッセージを送信せず、SSLドータカードはSSLピアからの終了通知アラート メッセージを待機しません。SSLドータカードがSSLピアから終了通知アラートを受信すると、SSLドータカードはセッション情報を維持するので、以後のSSL接続でSSLの再開を使用できます。ただし、SSLドータカードがSSLピアから終了通知アラートを受信しなければ、そのセッションのSSLの再開が許可されません。
• disabled(デフォルト) ― SSLドータカードはSSLピアに終了通知アラートを送信しますが、SSLピアは終了通知アラートを待機せずに、セッションを削除します。SSLピアが終了通知アラートを送信するかどうかに関係なく、セッション情報は維持され、以後のSSL接続でセッションの再開が許可されます。
SSLポリシーを特定のプロキシ サーバに関連付けない場合は、プロキシ サーバはデフォルトで、サポート対象の暗号スイートとプロトコル バージョンをすべてイネーブルにします。
SSLポリシー テンプレートを定義して、特定のプロキシ サーバにSSLポリシーを関連付ける手順は、次のとおりです。
|
|
|
---|---|---|
|
||
ssl-proxy (config-ssl-policy)# cipher { rsa-with-rc4-128-md5 | rsa-with-rc4-128-sha | rsa-with-des-cbc-sha | rsa-with-3des-ede-cbc-sha | others... } |
プロキシ サーバが受け入れ可能な暗号スイートの名前リストを設定します。暗号スイート名の表記法は、既存のSSLスタックの表記法と同じです。 |
|
|
||
|
||
|
||
|
||
|
エントリがセッション キャッシュ内に維持される時間を設定します。有効範囲は1~72000秒です。 (注) セッションキャッシュ サイズを設定するには、absoluteキーワードが必要です。absoluteキーワードは、セッション エントリが指定されたtimeoutの間セッション キャッシュ内に維持されるよう指定します。absoluteキーワードが指定されているときは、セッション キャッシュ内に利用できるフリー エントリがない場合、新たな着信接続は拒否されます。 |
|
|
(任意)セッション キャッシュのサイズを指定します1。有効範囲は1~262143エントリです。 (注) timeout sessionコマンドでabsoluteキーワードを入力して、セッション キャッシュのサイズを指定します。このコマンドを入力しない場合、またはsizeが指定されていない場合は、セッション キャッシュのサイズは最大サイズになります(262,144)。 |
(注) SSLドータカードのTCPコマンドは、グローバルにも、また特定のプロキシ サーバにも適用されます。
TCPポリシー テンプレートを使用すると、TCPスタックに関連付けられたパラメータを定義することができます。
TCPポリシー テンプレートを定義して、特定のプロキシ サーバにTCPポリシーを関連付ける手順は、次のとおりです。
|
|
|
---|---|---|
|
||
|
||
|
生成されたSYNパケット内で接続が識別する (注) このコマンドでは、プロキシ サーバのクライアント側およびサーバ側に異なるMSSを設定できます。デフォルト値は1460バイトです。有効範囲は256~2460バイト3です。 |
|
|
リアセンブリ キューが削除されるまでの時間を秒単位で設定します。トランザクションが指定時間内で完了されない場合は、リアセンブリ キューが削除され、接続がドロップされます。デフォルト値は60秒です。有効範囲は0~960秒(0 = ディセーブル)です。 |
|
|
確立された接続が非アクティブである時間を秒単位で設定します。デフォルト値は600秒です。有効範囲は0~960秒(0 = ディセーブル)です。 |
|
|
||
|
接続ごとに共有する最大受信バッファをバイト単位で設定します。デフォルト値は32768バイトです。有効範囲は8192~262144バイトです。 |
|
|
接続ごとに共有する最大送信バッファをバイト単位で設定します。デフォルト値は32768バイトです。有効範囲は8192~262144バイトです。 |
SSLオフロード環境では、SSLオフローダはセキュア クライアントHTTP(HTTPS)接続を終了し、SSLトラフィックをクリア テキストに復号化し、HTTP接続経由でクリア テキストをWebサーバに転送します。HTTPS接続は、クライアント接続が安全な接続として送信されたことを認識しないので、バックエンド サーバで安全でないHTTP接続になります。
• HTTPヘッダー挿入により、SSLドータカードはクライアント接続中に、HTTPヘッダーに情報を組み込むことができます。バックエンド サーバがこのヘッダーを認識すると、すべてのURLをHTTPSとして戻します。
• クライアントから受信したHTTPヘッダーにクライアント証明書情報を挿入するように、SSLオフローダを設定することにより、バックエンド アプリケーションで接続ごとの情報を記録することができます。
• SSLドータカードをサイト間の設定で使用して、安全なチャネルでトラフィックを送信する場合、接続のサーバ側でクライアントIPアドレスとポート情報(NAT中に削除される)を認識する必要がある場合があります。
HTTPヘッダー挿入は、GET、HEAD、PUT、TRACE、POST、およびDELETEの方式で実行されます。HTTPヘッダー挿入は、CONNECT方式では実行されません。
カスタム ヘッダー、クライアントIPヘッダーおよびポート ヘッダーは、HTTP要求パケットごとに挿入されます。すべてのセッション ヘッダーおよびデコードされたクライアント証明書フィールドは、最初のHTTP要求パケットで挿入されます。同じセッションIDを使用する後続のHTTP要求で挿入されるのは、セッションIDだけです。サーバはセッションおよびクライアント証明書ヘッダーを取得するために、セッションIDに基づいてセッションまたはクライアント証明書ヘッダーをキャッシュし、後続の要求でセッションIDを使用するように見込まれます。
最大100のHTTPヘッダー挿入ポリシーを設定できます。各ポリシーには、最大32のプレフィクスまたはヘッダーが含まれます。プレフィクスとカスタム ヘッダーには、最大240の文字を含めることができます。
ここでは、HTTPヘッダーに挿入することができる情報について説明します。
• 「プレフィクス」
prefix prefix_string を指定すると、SSLドータカードは、すべての挿入されたHTTPヘッダーに指定されたプレフィクスを追加します。プレフィクスを追加することにより、サーバは、他の装置からではなくSSLドータカードからの接続であることを識別できるようになります。プレフィクスは、クライアントからの標準のHTTPヘッダーには追加されません。 prefix_string には、最大240の文字を加えることができます。
クライアント証明書ヘッダー挿入により、バックエンド サーバは、SSLドータカードが認証および承認したクライアント証明書の属性を参照できます。クライアント証明書ヘッダーは、セッションにつき1回だけ送信されます。サーバは、セッションID(ヘッダーと同様に挿入される)を使用して、これらの値をキャッシュするように見込まれます。後続の要求では、サーバはセッションIDを使用して、サーバ自体にキャッシュされたクライアント証明書ヘッダーを検索します。
(注) クライアントが証明書を送信しない場合、SSLハンドシェイクが失敗します。データ フェーズまたはヘッダー挿入も行われません。
client-cert を指定すると、SSLドータカードが次のヘッダーをバックエンド サーバに送ります。
|
|
---|---|
Network Address Translation(NAT;ネットワーク アドレス変換)は、クライアントのIPアドレスと宛先TCPポート番号情報を変更します。 client-ip-port を指定すると、SSLドータカードはHTTPヘッダーにクライアントIPアドレスとTCP宛先ポート情報を挿入するので、サーバはクライアントIPアドレスと宛先ポート番号を参照できます。
custom custom_string を指定すると、SSLドータカードは、ユーザ定義のヘッダーをそのままHTTPヘッダーに挿入します。HTTPヘッダー ポリシーごとに、最大16のカスタム ヘッダーを設定できます。 custom_string には、最大240の文字を含めることができます。
(注) custom_stringの構文は、name:valueの形式です。次のようなスペースが含まれる場合、
custom_stringを引用符で囲む必要があります。
"SOFTWARE VERSION 2.1(1)"
セッションIDを含むセッション ヘッダーは、セッションIDに基づいてクライアント証明書をキャッシュするのに使用されます。またセッション ヘッダーは、サーバが特定の暗号スイートに基づく接続を追跡する場合にも、セッションIDに基づいてキャッシュされます。SSLドータカードは、すべてのSSLハンドシェイクの間は、HTTP要求にすべてのセッション ヘッダーを挿入しますが、セッションが再開すると、セッションIDだけを挿入します。
SSLドータカードをクライアントとして設定する場合、SSLドータカードは、モジュールとバックエンドSSLサーバ間の接続のセッションIDを挿入します。
session を指定すると、SSLドータカードは、次のセッション ヘッダーの形式でSSL接続に特有の情報をバックエンド サーバに送ります。
|
|
---|---|
次に、プレフィクスとセッション ヘッダーを挿入するように、SSLドータカードを設定する例を示します。
標準のHTTPヘッダーに加えて、次のヘッダー情報が挿入されます。
一般的なSSLオフロード環境では、SSLオフローダはセキュア クライアントHTTP(HTTPS)接続を終了し、SSLトラフィックをクリア テキストに復号化し、HTTP接続経由でクリア テキストをWebサーバに転送します。HTTPS接続は、クライアント接続が安全な接続として送信されたことを認識しないため、バックエンド サーバで安全でないHTTP接続になります。
クライアントに戻されたデータにHTTPリダイレクト リンクが含まれ、クライアントがこのリンクに従う場合、クライアントは安全なドメインを離れるので、安全な接続でなくなります。クリア テキスト接続では、リダイレクトされたリンクをサーバからは入手できない可能性があります。
1つまたは複数のURLリライト ルールを設定すれば、バックエンド サーバからの安全でないHTTPリダイレクトによるこのような問題を回避できます。各リライト ルールは、SSLプロキシ リストのサービスに関連付けられます。URLリライト ルールは、http://からhttps://にドメインをリライトすることで安全でないHTTP URLへリダイレクトしてしまうWebサイトの問題を解決します。URLリライトを設定すると、Webサーバへのすべてのクライアント接続がSSL接続となり、HTTPSコンテンツのクライアントへの安全な返信が保証されます。
(注) URLリライトは、リダイレクト リンクのリライトをサポートします。システムは、サーバからの応答のHTTPヘッダー フィールドの[Location:]だけをスキャンし、それに従ってルールをリライトします。URLリライトは、組み込みリンクをサポートしません。
URLリライトは、プロトコルおよび非デフォルト ポート(デフォルト ポートはクリア テキストではポート80、SSLではポート443)をリライトします。
最大100のURLリライト ポリシーを設定できます。各ポリシーには、SSLポリシー サービスごとに最大32のリライト ルール、ルールごとに最大200の文字が含まれます。
• URLの完全一致は、ワイルドカード ルールより優先されます。サフィクス ワイルドカード ルールは、プレフィクス ワイルドカード ルールより優先されます。
たとえば、 www.cisco.com が最優先され、次に www.cisco.* 、および *.cisco.com の順になります。
• 1回につき1つのサフィクスまたはプレフィクス ワイルドカード ルールだけを入力します。たとえば、同一ポリシー内に www.cisco.* と www.cisco.c* 、または *w.cisco.com と *.cisco.com を入力しないでください。
• 同一ポリシー内に、2つのURL完全一致ルールを入力しないでください。たとえば、同一ポリシー内に www.cisco.com clearport 80 sslport 443 と www.cisco.com clearport 81 sslport 444 を入力しないでください。この場合、2番めのルールが最初のルールを上書きします。
• URLリライトは、オフロードおよびバックエンド サーバの両方(HTTPからHTTPS、およびHTTPSからHTTP)で実行されます。ここでは、ポートのリライトも含まれます。
|
|
|
---|---|---|
|
||
|
URLリライト ルールを指定します。1つのSSLプロキシ サービスに対して最大32のリライト ルール、1つのルールに対して最大240の文字を設定できます。 (注) リライト ルールごとに、サフィクスまたはプレフィクス ワイルドカード文字(*)を1回ずつ1字のみ入力してください。 |
|
|
||
|
(注) service_name値は大文字と小文字の区別があります。 |
|
|
4.clearport port_numberは、リライトされるURLのポート部分を指定します。デフォルトのクリアテキスト ポート80でない場合は、cleartext port_numberを指定します。 5.sslport port_numberは、リライトされるURLのポート部分を指定します。デフォルトのSSLポート443でない場合は、ssltext port_numberを指定します。 |
次に、URLリライト ポリシーを設定し、プロキシ サービスにこのポリシーを適用する例を示します。
URLリライトの例については、 表7-1 を参照してください。
|
|
|
---|---|---|
SSLプロキシ サービスを定義するには、 ssl-proxy service ssl_proxy_nameコマンドを使用します。プロキシ サービスに関連付けられた仮想IPアドレス、ポート、および対応するターゲットIPアドレスとポートを設定できます。
プロキシのクライアント側( virtual )およびサーバ側( server )の両方に、TCPポリシーおよびSSLポリシーを定義できます。
ここでは、プロキシ サービスを設定する手順について説明します。
SSLサーバ プロキシ サービスを設定する手順は、次のとおりです。
|
|
|
---|---|---|
|
(注) service_name値は大文字と小文字の区別があります。 |
|
|
CSM-Sがプロキシとして機能する仮想サーバのIPアドレス、トランスポート プロトコル(TCP)およびポート番号を定義します。 (注) secondaryキーワードは、必ず必要となります。 |
|
|
プロキシのターゲット サーバのIPアドレス、ポート番号、およびトランスポート プロトコルを定義します。 (注) ターゲット サーバのIPアドレスには、SLBデバイスの仮想IPアドレス、またはWebサーバの実IPアドレスを指定できます。 |
|
|
(任意)プロキシ サーバのクライアント側にTCPポリシーを適用します。TCPポリシーのパラメータについては、「TCPポリシーの設定」を参照してください。 |
|
|
(任意)プロキシ サーバのクライアント側にSSLポリシーを適用します。SSLポリシーのパラメータについては、「SSLポリシーの設定」を参照してください。 |
|
|
(任意)プロキシ サーバのサーバ側にTCPポリシーを適用します。「TCPポリシーの設定」を参照してください。 |
|
|
(任意)プロキシ サーバにHTTPヘッダー ポリシーを適用します。「HTTPヘッダー挿入」を参照してください。 |
|
|
(任意)URLリライト ポリシーを適用します。「URLリライトの設定」を参照してください。 |
|
(任意)プロキシ サービスに信頼される認証局プールを関連付けます。認証局プールについては、「クライアントの証明書の認証」を参照してください。 |
||
ssl-proxy(config-ssl-proxy)# authenticate verify { signature-only9 | all10 } |
(任意)サーバの証明書認証をイネーブルにして、検証の形式を指定します。サーバ証明書認証については、「サーバの証明書の認証」を参照してください。 |
|
|
(任意)CSM-Sによってオープンされたサーバ側の接続に、サーバNAT「NATの設定」および「NATの設定」を参照してください。 |
|
|
トラストポイントの設定をプロキシ サーバに適用します 12 。 (注) トラストポイントは認証局サーバ、鍵パラメータと鍵生成方法、およびプロキシ サーバの証明書登録方法を定義します。トラストポイントの設定手順については、「トラストポイントの宣言」を参照してください。 |
|
|
6.マスク アドレスを設定して、ワイルドカードのプロキシ サービスを指定します。ワイルドカードのプロキシ サービスを設定するには、secondaryキーワードを入力する必要があります。 7.secondaryキーワードを入力すると、SSLドータカードは仮想IPアドレスのARP要求に応答しません。 8.パラメータを指定しないでポリシーを作成すると、デフォルト値を使用してポリシーが作成されます。 9.signature-onlyを確認する場合、信頼される認証局プールの信頼される認証局トラストポイントの1つに対応するレベルで、認証が停止します。 10.すべてを検証する場合は、証明書チェーンの最上位の発行元が信頼できる認証局トラストポイントとして設定されていなければなりません。SSLドータカードは、ピア証明書チェーンに含まれるすべての証明書を認証し、最上位の認証局でのみ停止します。最上位の認証局に対応する認証局トラストポイントがなければなりません。また、このトラストポイントを認証する必要があります。 12.512、768、1024、1536、または2048以外の鍵(係数)サイズを指定すると、エラーが表示され、トラストポイントの設定は適用されません。鍵を生成(同じkey_labelを使用)し、サポート対象の係数サイズを指定して鍵を置き換えてから、ステップ 12を再実行します。 |
管理および設定する仮想IPアドレスおよびサーバIPアドレスが多い場合は、ワイルドカードのプロキシを設定することができます。
次に、ワイルドカードのSSLプロキシ サービスを設定する例を示します。この設定により、 proxy1 が10.0.0.1~10.25.255.254の仮想IPアドレスを受け入れるようになります。
SSLドータカードは、SSL version 2.0(SSLv2)接続を終了できません。ただし、 server コマンドで sslv2 キーワードを入力して、SSLv2接続を別のサーバに転送するようにSSLドータカードを設定できます。SSLv2サーバのIPアドレスを設定すると、SSLドータカードはすべてのSSLv2接続をそのサーバに透過的に転送します。SSLv2転送が必要な場合は、SSL version 3.0(SSLv3)またはTransport Layer Security(TLS)バージョン1.0接続のオフロードに使用されるサーバのIPアドレスに加えて、SSLv2サーバのIPアドレスを設定する必要があります。
|
|
---|---|
|
プロキシのターゲット サーバのIPアドレス、ポート番号、およびトランスポート プロトコルを定義します。 (注) ターゲット サーバのIPアドレスには、SLBデバイスの仮想IPアドレス、またはWebサーバの実IPアドレスを指定できます。 |
13.sslv2キーワードを入力して、SSLv2クライアント接続をSSLv2サーバに転送します。sslv2を入力する場合、別のサーバIPアドレスを設定して、SSLv3またはTLSバージョン1.0接続をオフロードします。 |
次に、SSLプロキシ サービスを設定して、SSLv2接続を転送する例を示します。
SSLクライアント プロキシ サービスの設定では、プロキシ サービスがクリア テキスト トラフィックを受け入れ、このトラフィックをSSLトラフィックに暗号化し、バックエンドのSSLサーバに転送するように指定します。
SSLサーバ プロキシの証明書を設定する必要はありますが、SSLクライアント プロキシの証明書を設定する必要がありません。SSLクライアント プロキシの証明書を設定すると、サーバがハンドシェイク プロトコルのクライアント認証フェーズの間に送信する証明書要求メッセージに応じて、この証明書が送信されます。
(注) SSLポリシーは、SSLクライアント プロキシ サービスではserverサブコマンドで設定され、SSLサーバ プロキシ サービスではvirtualサブコマンドで設定されます。
SSLクライアント プロキシ サービスを設定する手順は、次のとおりです。
|
|
|
---|---|---|
|
SSLプロキシ サービスの名前を定義します。 client キーワードは、SSLクライアント プロキシ サービスを設定します。 (注) proxy-nameの値は、大文字と小文字が区別されます。 |
|
|
CSM-Sがプロキシとして機能する仮想サーバのIPアドレス、トランスポート プロトコル(TCP)およびポート番号を定義します。 |
|
|
プロキシのターゲット サーバのIPアドレス、ポート番号、およびトランスポート プロトコルを定義します。 (注) ターゲット サーバのIPアドレスには、SLBデバイスの仮想IPアドレス、またはWebサーバの実IPアドレスを指定できます。 |
|
|
(任意)プロキシ サーバのクライアント側にTCPポリシーを適用します。TCPポリシーのパラメータについては、「TCPポリシーの設定」を参照してください。 |
|
|
(任意)プロキシ サーバのサーバ側にSSLポリシーを適用します。SSLポリシーのパラメータについては、「SSLポリシーの設定」を参照してください。 |
|
|
(任意)プロキシ サーバのサーバ側にTCPポリシーを適用します。「TCPポリシーの設定」を参照してください。 |
|
|
(任意)プロキシ サーバにHTTPヘッダー ポリシーを適用します。「HTTPヘッダー挿入」を参照してください。 |
|
|
(任意)URLリライト ポリシーを適用します。「URLリライトの設定」を参照してください。 |
|
信頼できる認証局プールとプロキシ サービスを関連付けます。認証局プールについては、「クライアントの証明書の認証」を参照してください。 |
||
ssl-proxy(config-ssl-proxy)# authenticate verify { signature-only16 | all17 } |
クライアントの証明書認証をイネーブルにして、検証の形式を指定します。クライアントの証明書認証については、「クライアントの証明書の認証」を参照してください。 |
|
|
(任意)SSLドータカードによってオープンされたサーバ側の接続に、サーバNAT「NATの設定」を参照してください。 |
|
|
(任意)トラストポイントの設定をクライアント プロキシに適用します。 (注) トラストポイントは認証局サーバ、鍵パラメータと鍵生成方法、およびプロキシ サーバの証明書登録方法を定義します。トラストポイントの設定手順については、「トラストポイントの宣言」を参照してください。 |
|
|
次に、SSLクライアント プロキシ サービスを設定する例を示します。
クライアント接続では、クライアントが接続要求を送信し、SSLドータカードがこれを受信します。サーバ接続では、SSLドータカードが接続要求を送信します。
サーバ接続にはクライアントNAT、サーバNAT、またはその両方を設定できます。
(注) SSLドータカードにクライアントNATが設定されている場合、CSM側にも設定し、機能させる必要があります。
ssl-proxy service コマンドを使用して設定されたサーバIPアドレスは、SSLドータカードがプロキシとして機能する、SSLドータカードまたは実サーバのいずれかの宛先装置のIPアドレスとポートを指定します。サーバNATを設定した場合、サーバIPアドレスはサーバ接続の宛先IPアドレスとして使用されます。サーバNATが設定されていない場合、サーバ接続の宛先IPアドレスはSSLドータカードがプロキシ対象とする virtual ipaddress と同じです。SSLドータカードは常に、 server ipaddress サブコマンドに入力されたポート番号を使用して、ポート変換を行います。
|
|
|
---|---|---|
クライアントNATを設定する場合、サーバ接続の送信元IPアドレスおよびポートはNATプールから取得されます。クライアントNATが設定されていない場合、サーバ接続の送信元IPアドレスおよびポートは、クライアント接続の送信元IPアドレスおよび送信元ポートから取得されます。
SSLドータカードがサポートする合計接続数(256,000接続)が満たされるように、十分な数のIPアドレスを割り当ててください。各IPアドレスに32,000個のポートを割り当てる場合は、NATプールに8個のIPアドレスを設定します。SSLドータカードがサポートする合計接続数に必要なIPアドレスよりも少ないIPアドレスを設定しようとすると、拒否されます。
NATプールを設定して、プロキシ サービスにNATプールを割り当てる手順は、次のとおりです。
|
|
|
---|---|---|
ssl-proxy (config)# ssl-proxy natpool natpool_name start_ip_addr end_ip_addr netmask |
||
ssl-proxy (config-ssl-proxy)# ssl-proxy service ssl_proxy_name |
||
TACACS、TACACS+、およびRADIUSの設定手順については、次のURLを参照してください。
• 『 Cisco IOS Security Configuration Guide, Release 12.2 』の「Configuring RADIUS」の章
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/fsecsp/scfrad.htm
• 『 Cisco IOS Security Configuration Guide, Release 12.2 』の「Configuring TACACS+」の章
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/fsecsp/scftplus.htm
サポート対象のMIB(管理情報ベース)のリストについては、次のURLを参照してください。
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml
(注) CSM-Sのシスコ製品のMIB IDは、ciscoproducts.610です。ciscoproducts.554のSSLSMとは異なりますので注意してください。
SNMP(簡易ネットワーク管理プロトコル)トラップをイネーブルにする手順は、次のとおりです。
|
|
|
---|---|---|
|
||
|
(任意)SSLプロキシ証明書の期限切れ通知トラップをイネーブルにします。 (注) 証明書の期限確認の間隔を0に設定すると、期限切れの通知トラップが送信されません。証明書の期限切れ警告のイネーブル化については、「証明書の有効期限に関する警告の設定」を参照してください。 (注) 期限切れの通知トラップは、現在設定されているプロキシ サービスの証明書だけに送信されます。 |
|
|
||
|
(任意)キューが空になる前に、保持されるトラップ イベント数を指定します。デフォルトの length は10です。有効値は、1~1000です。 |
|
|
(注) 電源投入時暗号チップ セルフテストおよび鍵テストは、起動時に1回のみ行われます。
(注) セルフテストはトラブルシューティング専用です。このテストを実行すると、実行時のパフォーマンスに影響します。
|
|
---|---|
ssl-proxy(config)# ssl-proxy crypto self-test time-interval time |
次に、暗号セルフテストをイネーブルにして、暗号情報を表示する例を示します。
|
|
ssl-proxy(config)# show ssl-proxy stats { crypto | hdr | ipc | pki [ auth | cache | cert-header | database | expiring | history | ipc | memory ] | service | ssl | tcp | url } |
次に、PKI証明書認証および許可の統計情報を表示する例を示します。
次に、PKIピア証明書キャッシュの統計情報を表示する例を示します。
次に、転送データ ユニットの統計情報を表示する例を示します。
クラッシュ情報機能は、ソフトウェア強制リセットを修正する開発者に必要な情報を収集します。ソフトウェア強制リセット情報を収集するには、 show ssl-proxy crash-info コマンドを入力します。ソフトウェア強制リセットを複数回行った場合は、最後のクラッシュ情報のみが表示されます。 show ssl-proxy crash-info コマンドが情報収集プロセスを完了するまでに、1~6分かかります。
(注) show stackコマンドは、SSLドータカードのソフトウェア強制リセット情報を収集するためにサポートされているコマンドではありません。
モジュール上の異なるプロセッサ(FDU、TCP、SSL)をデバッグするために、SSLドータカードにVirtual Terminal Server(VTS;仮想端末サーバ)が搭載されています。
(注) TCPデバッグ コマンドは、負荷がほとんどない場合(仮想サーバまたは実サーバに接続が確立されていない場合など)に、基本的な接続問題のトラブルシューティングを行うときのみ使用してください。
TCPデバッグ コマンドを使用すると、TCPモジュールはコンソールにデバッグ情報を大量に表示するため、これによってモジュールのパフォーマンスが大幅に低下することがあります。モジュールのパフォーマンスが低いと、TCP接続タイマー、パケット、およびステート移行の処理に遅延が生じることがあります。
SSLドータカードのFDU(ポート2001)、TCP(ポート2002)、およびSSL(ポート2003)プロセッサに到達できるように、ワークステーションまたはPCからモジュールのVLAN IPアドレスの1つにTelnet接続を確立します。
|
|
---|---|
|
Telnet接続の確立後、SSL証明書管理コンソールから debug ssl-proxy { tcp | fdu | ssl }コマンドを入力します。クライアントから接続が1つ送信されて、TCPコンソールにログが表示されます。
次に、接続のTCP状態のログを表示して、デバッグ状態を確認する例を示します。