CA における発信トラフィックの送信元インターフェイス選択機能の詳細
エンティティを識別する証明書
証明書を使用して、エンティティを識別できます。認証局(CA)とも呼ばれるトラステッド サーバにより、エンティティの ID を決定した後にエンティティに証明書が発行されます。Cisco IOS XE ソフトウェアを実行しているデバイスは、CA にネットワーク接続することでその証明書を取得します。Simple Certificate Enrollment Protocol(SCEP)を使用して、デバイスはその証明書要求を CA に送信し、許可された証明書を受信します。デバイスは、SCEP を使用した場合と同様に CA の証明書を取得します。リモートデバイスからの証明書を検証する場合、デバイスは再度 CA または Lightweight Directory Access Protocol(LDAP)サーバーあるいは HTTP サーバーに連絡して、リモートデバイスの証明書が失効しているかどうか判断できます(このプロセスは、証明書失効リスト(CRL)のチェックとも呼ばれています)。
設定によっては、デバイスは、ルーティング可能な有効なアドレスまたは IP アドレスを持たないインターフェイスを使用して発信 TCP 接続を確立する場合があります。ユーザは、異なるインターフェイスのアドレスを発信接続の送信元 IP アドレスとして使用するよう指定する必要があります。発信ケーブルインターフェイス(RF インターフェイス)には通常、ルーティング可能な IP アドレスがないため、ケーブルモデムはこの要件の具体例です。ただし、ユーザ インターフェイス(通常はイーサネット)には有効な IP アドレスはありません。
トラストポイントに関連付けられた発信 TCP 接続の送信元インターフェイス
トラストポイントを指定するには、crypto ca trustpoint コマンドを使用します。インターフェイスのアドレスを、そのトラストポイントに関連付けられたすべての発信 TCP 接続の送信元アドレスとして指定する場合は、source interface コマンドも crypto ca trustpoint コマンドとともに使用します。
![]() (注) |
インターフェイスアドレスが source interface コマンドを使用して指定されていない場合は、発信インターフェイスのアドレスが使用されます。 |