CA 証明書が使用されるとき、デバイスは証明書と証明書失効リスト(CRL)を使用します。通常、一部の証明書とすべての CRL は、デバイスの NVRAM にローカルに保存されており、各証明書および CRL は相応な量のメモリを使用します。
通常、デバイスには次の証明書が保存されます。
- デバイスの証明書
- CA の証明書
- CA サーバから取得したルート証明書(デバイスが初期化された後、すべてのルート証明書が RAM に保存されます)
- 2 つの登録局(RA)証明書(CA が RA をサポートしている場合のみ)
CRL は通常、次の条件に従ってデバイスで保存されます。
- CA が RA をサポートしていない場合、デバイスには 1 つの CRL のみ保存されます。
- CA が RA をサポートしている場合、複数の CRL をデバイスに保存できます。
これらの証明書と CRL をローカルに保存することが、何の問題にもならない場合もあります。しかし、メモリの問題が起こる可能性もあります。特に、CA が RA をサポートし、デバイスに多数の CRL は保存しなければならない場合に起こりやすくなります。NVRAM
が小さすぎてルート証明書を保存できない場合は、ルート証明書のフィンガープリントのみ保存されます。
NVRAM スペースを節約するには、証明書と CRL をローカルに保存せず、必要に応じて CA から取得するよう指定します。この代替策では、NVRAM スペースを節約できますが、パフォーマンスに多少影響が出る可能性があります。証明書と CRL
をデバイスにローカルに保存せず必要なときに取得するよう指定するには、クエリ モードを有効にします。
クエリ モードの有効化は、この時点ではなく後で実施することもできます。証明書と CRL がすでにデバイスに保存されている場合でも可能です。このような場合、クエリ モードを有効にすると、設定を保存した後、保存済みの証明書と CRL がデバイスから削除されます(クエリ
モードを有効にする前に TFTP サイトに設定をコピーしておくと、保存されていたあらゆる証明書と CRL を TFTP サイトで保管することができます)。
クエリモードを無効にする前に、copy system:running-config nvram:startup-config コマンドを実行して、現在の証明書と CRL をすべて NVRAM に保存します。そうしないと、リブート時にこれらが失われることがあります。
証明書と CRL をデバイスにローカルに保存せず必要なときに取得するよう指定するには、グローバル コンフィギュレーション モードで次のコマンドを使用して、クエリ モードを有効にします。
(注) |
クエリ モードは、CA がダウン状態にある場合、可用性に影響を及ぼす可能性があります。
|