SSH 認証の X.509v3 証明書
セキュアシェル(SSH)認証用の X.509v3 証明書機能は、サーバ内で X.509v3 デジタル証明書を使用し、SSH サーバ側でユーザ認証を使用します。
SSH 認証用のデジタル証明書の前提条件
SSH 認証用のデジタル証明書機能では、ip ssh server authenticate user コマンドの代わりに ip ssh server algorithm authentication コマンドが導入されます。ip ssh server authenticate user コマンドを使用すると、次の警告メッセージが表示されます。
Warning: SSH command accepted but this CLI will be deprecated soon. Please move to new CLI “ip ssh server algorithm authentication”. Please configure “default ip ssh server authenticate user” to make CLI ineffective.
default ip ssh server authenticate user コマンドを使用して、ip ssh server authenticate user コマンドを無効にします。その後、IOS セキュア シェル(SSH)サーバは ip ssh server algorithm authentication コマンドを使用して起動します。
SSH 認証の X.509v3 証明書の制約事項
SSH 認証用の X.509v3 証明書には、次の制限事項が適用されます。
-
SSH 認証の X.509v3 証明書機能の実装は、IOS セキュア シェル(SSH)サーバ側にのみ適用できます。
-
IOS SSH サーバは、IOS SSH サーバ側のサーバおよびユーザ認証について、x509v3-ssh-rsa アルゴリズム ベースの証明書のみをサポートします。
SSH 認証用の X.509v3 証明書は、次の条件で失敗します。
-
ルート認証機関がデバイスのトラストポイントとして設定されている場合。
-
クライアントが、クライアント証明書、サブ CA 証明書、自己署名ルート認証局を含む自己署名ルート認証局につながる証明書チェーンを渡す場合。
-
サブ CA 証明書がデバイスのトラストポイントとして設定されているが、ユーザ証明書のトラストポイントとして含まれていない場合。