CA 証明書コマンド

この章は、次の項で構成されています。

ca-certificate install

CA 証明書を手動でインストールするには、グローバル コンフィギュレーション モードで ca-certificate install コマンドを使用します。静的 CA 証明書を削除するには、このコマンドの no 形式を使用します。

構文

ca-certificate install name name [owner owner]

no ca-certificate install {name name | owner owner}

パラメータ

  • name:証明書名を指定します。範囲は 1 ~ 160 文字です。

  • owner:証明書の所有者を指定します。これは、0 〜 32 文字の文字列です。所有者を指定しない場合、デフォルトで所有者は「Static」になります。

証明書を追加する場合は、証明書自体をコマンドラインのコマンドの後に続ける必要があります。

デフォルト設定

証明書がインストールされていません。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

CA 証明書をインストールするには、ca-certificate install name コマンドを使用します。

コマンドを実行すると、コマンドラインに証明書を入力するように求められます。

ユーザは証明書を入力するか貼り付ける必要があります。別の行にピリオドを入力すると、証明書の入力が完了したことを示します。

入力する証明書には pem 形式を使用する必要があります。

ユーザがシステムクロックを設定していないか、または SNTP と同期していない場合、あるいはハードウェアベースのリアルタイムクロック(RTC)に基づいている場合、証明書は有効になりません。

最大 256 の証明書をインストールできます。

このコマンドの no 形式を使用して証明書を削除する場合は、特定の証明書を名前で削除できます。または、owner キーワードを使用して、特定の所有者に属するすべての静的証明書を削除できます。

例 1。次に、コマンドラインから CA 証明書をインストールする例を示します。 

switchxxxxxx(config)# ca-certificate install root1
Please paste the input now, add a period (.) on a separate line after the
input,and press Enter.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
switchxxxxxx(config)#

ca-certificate revoke

失効リストに証明書を追加するには、グローバル コンフィギュレーション モードで ca-certificate revoke コマンドを使用します。失効リストから証明書を削除するには、このコマンドの no 形式を使用します。

構文

ca-certificate revoke issuer issuer serial-number serial-number

no ca-certificate revoke issuer issuer serial-number serial-number

パラメータ

  • issuer:失効した証明書に表示する、すべてのパラメータを含む発行者の文字列(範囲:1 ~ 160 文字)。

  • serial-number:失効した証明書のシリアル番号。これは 16 進形式の文字列です(範囲:1 〜 16 組の文字)。

デフォルト設定

失効した証明書はありません。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

失効リストに証明書を追加するには、ca-certificate revoke コマンドを使用します。

発行者情報を入力する場合は、証明書に表示される発行者の文字列を完全に入力する必要があります。文字列にスペースが含まれている場合は、全体を引用符で囲む必要があります。

このリストに証明書を追加すると、この証明書のステータスが「revoked」に変更されます(インストールされている場合)。証明書をインストールしていない場合に後日インストールすると、失効ステータスが返されます。

最大 512 の証明書を失効リストに追加できます。

例 1。次に、失効リストに CA 証明書を追加する例を示します。 

switchxxxxxx(config)# ca-certificate revoke issuer "C=US, O=GlobalSign nv-sa, CN=GlobalSign Organization Validation" serial-number 10ad0044a8418ad5005e45b6
switchxxxxxx(config)#

show ca-certificate

デバイスにインストールされている CA 証明書とそのステータスを表示するには、特権 EXEC モードで show ca-certificate コマンドを使用します。

構文

show ca-certificate [name name][type type][owner owner-name][detailed]

パラメータ

  • name name:証明書名を指定します。(範囲:1 〜 160 文字)。

  • type type:証明書タイプを指定します。使用可能な値は、static、dynamic、または signer です。

  • owner owner-name:証明書所有者の名前を指定します。これは、ダイナミック証明書をインストールしたアプリケーションです。(範囲:1 ~ 32 文字)。

  • detailed:このオプションパラメータは、表示される証明書の詳細情報を表示します。このパラメータを使用しない場合は、証明書ごとに限られた情報のみが表示されます。

コマンド モード

特権 EXEC モード

使用上のガイドライン

インストール済みのすべての CA 証明書を表示するには、show ca-certificate コマンドを使用します。

証明書のサブセットの情報を表示するには、オプションの name、type、および owner パラメータを使用します。

例 1:次に、すべての静的 CA 証明書の情報を簡潔に表示する例を示します。 

switchxxxxxx# show ca-certificate type static
Name           Type    Owner     Valid From   Valid To     Status
-------------  ------  --------  -----------  -----------  ----------
local.cert     static  rnd       03-Aug-2019  03-Aug-2020  Valid
app1.cert1     static  app1      16-Jan-2021  16-Jul-2023  Premature
app1.cert2     static  app1      15-Mar-2017  14-Mar-2018  Expired
trusted-cert1  static  app2      27-Jun-2019  26-Jun-2024  Valid
certif3        static  app3      08-Feb-2018  08-Feb-2020  Revoked

例 2:次に、すべての CA 情報の詳細情報を表示する例を示します。 

switchxxxxxx# show ca-certificate detailed
>C-CountryName, ST-StateOrProvinceName, L-Locality, O-Organization,
>OU-OrganizationalUnit, CN-CommonName
cert1
  Type: Signer
  Owner: N/A
  Version: 3 (0x2)
  Serial Number: 10:ad:00:44:a8:41:8a:d5:00:5e:45:b6
  Issuer: C=US, O=GlobalSign nv-sa, CN=GlobalSign Organization Validation
  Status: Valid
  Validity
    Not Before: Nov 21 08:00:00 2015 GMT
    Not After : Nov 22 07:59:59 2020 GMT
  Subject: C=US, O=GlobalSign nv-sa, CN=GlobalSign Organization Validation
  Public Key Type: ECDSA_P256
  Public Key Length: 2048 bits
    Signature Algorithm: sha256RSA
 certA
  Type: Static
  Owner: Static
  Parent: cert1
  Version: 3 (0x2)
  Serial Number: 10:e6:fc:62:b7:41:8a:d5:00:5e:45:b6
  Issuer: C=US, O=GlobalSign nv-sa, CN=GlobalSign Organization Validation
  Status: Not Valid (expired)
  Validity
    Not Before: Nov 21 08:00:00 2016 GMT
    Not After : Nov 22 07:59:59 2017 GMT
  Subject: C=US, ST=California, L=San Francisco, O=AKB Foundation, Inc.,
           CN=*.wikipedia.org
  Finger print: DC72343 DC88A988 127897BC BB789788
  Public Key Type: ECDSA_P256
  Public Key Length: 2048 bits
    Signature Algorithm: sha256RSA
  certB
  Type: Dynamic
  Owner: PnP
  Parent: cert1
  Version: 3 (0x2)
  Serial Number: 88:cc:55:ae:a8:41:8a:d5:00:5e:45:b6
  Issuer: C=US, O=Google Trust Services, CN=GTS CA 101
  Status: Not Valid (revoked)
  Validity
    Not Before: Sep 21 08:00:00 2019 GMT
    Not After : Sep 22 07:59:59 2020 GMT
  Subject: C=US, S=California, L=Mountain View O=Google LLC, CN=*.google.com
  Finger print: DC789788 DC88A988 127897BC BB789788
  Public Key Type: ECDSA_P256
  Public Key Length: 2048 bits
  Signature Algorithm: sha256RSA

show ca-certificate revocation

CA 証明書の失効リストを表示するには、特権 EXEC モードで show ca-certificate revocation コマンドを使用します。

構文

show ca-certificate revocation

コマンド モード

特権 EXEC モード

使用上のガイドライン

CA 証明書の失効リストを表示するには、show ca-certificate revocation コマンドを使用します。

次のように失効リストが表示されます。 

switchxxxxxx# show ca-certificate revocation
>C-CountryName, ST-StateOrProvinceName, L-Locality, O-Organization,
>OU-OrganizationalUnit, CN-CommonName
  Issuer: C=US, O=GlobalSign nv-sa, CN=GlobalSign Organization Validation
  Serial Number: 10:ad:00:44:a8:41:8a:d5:00:5e:45:b6
--------------------------------------------------------------------------
  Issuer: C=US, O=Google Trust Services, CN=GTS CA 101
  Serial Number: 00:9e:44:1b:49:08:8d:75:bb:02:00:00:00:00:40:a5:b4