この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
証明書署名要求(CSR)を生成して新しい証明書を取得し、新しい証明書を Cisco IMC にアップロードして現在のサーバ証明書と交換することができます。サーバ証明書は、Verisign のようなパブリック認証局(CA)、または独自に使用している認証局のいずれかによって署名されます。生成される証明書キーの長は 2048 ビットです。
(注) | この章に記載されている以下のタスクを実行する前に、Cisco IMC の時刻が現在の時刻に設定されていることを確認します。 |
(注) | [コモンネーム(Common Name)] および [組織単位(Organization Unit)] フィールドには特殊文字(たとえばアンパサンド(&))を使用しないでください。 |
(注) | これらのコマンドは、Cisco IMC ではなく、OpenSSL パッケージを使用している Linux サーバで入力します。 |
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | openssl genrsa -out CA_keyfilename keysize 例: # openssl genrsa -out ca.key 2048 |
指定されたファイル名には、指定されたサイズの RSA キーが含まれています。 | ||
ステップ 2 | openssl req -new -x509 -days numdays-key CA_keyfilename-out CA_certfilename 例: # openssl req -new -x509 -days 365 -key ca.key -out ca.crt |
このコマンドは、指定されたキーを使用して、CA の自己署名証明書を新規に作成します。証明書は指定された期間有効になります。このコマンドは、ユーザに証明書の追加情報を求めるプロンプトを表示します。 証明書サーバは、アクティブな CA です。 | ||
ステップ 3 | echo "nsCertType = server" > openssl.conf 例: # echo "nsCertType = server" > openssl.conf |
このコマンドは、証明書がサーバ限定の証明書であることを指定する行を OpenSSL 設定ファイルに追加します。この指定により、認証されたクライアントがサーバになりすます man-in-the-middle 攻撃を防御できます。 OpenSSL 設定ファイル openssl.conf には、"nsCertType = server" という文が含まれています。 | ||
ステップ 4 | openssl x509 -req -days numdays-in CSR_filename-CA CA_certfilename-set_serial 04 -CAkey CA_keyfilename-out server_certfilename-extfile openssl.conf 例: # openssl x509 -req -days 365 -in csr.txt -CA ca.crt -set_serial 04 -CAkey ca.key -out myserver05.crt -extfile openssl.conf |
このコマンドは、CA が CSR ファイルを使用してサーバ証明書を生成するように指示します。 サーバ証明書は、出力ファイルに含まれています。 | ||
ステップ 5 | openssl x509 -noout -text -purpose -in <cert
file> 例: openssl x509 -noout -text -purpose -in <cert file> | 生成された証明書のタイプが [サーバ(Server)] であることを確認します。
| ||
ステップ 6 | 生成された証明書に正しい使用期限が設定されていない場合は、Cisco IMC の時刻が現在の時刻に設定されていることを確認し、手順 1 ~ 5 を繰り返して証明書を再生成します。 | (任意) 正しい使用期限が設定された証明書が作成されます。 |
この例は、CA の作成方法、および新規に作成された CA が署名するサーバ証明書の生成方法を示します。これらのコマンドは、OpenSSL を実行している Linux サーバで入力します。
# /usr/bin/openssl genrsa -out ca.key 2048 Generating RSA private key, 2048 bit long modulus .............++++++ .....++++++ e is 65537 (0x10001) # /usr/bin/openssl req -new -x509 -days 365 -key ca.key -out ca.crt You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [GB]:US State or Province Name (full name) [Berkshire]:California Locality Name (eg, city) [Newbury]:San Jose Organization Name (eg, company) [My Company Ltd]:Example Incorporated Organizational Unit Name (eg, section) []:Unit A Common Name (eg, your name or your server's hostname) []:example.com Email Address []:admin@example.com # echo "nsCertType = server" > openssl.conf # /usr/bin/openssl x509 -req -days 365 -in csr.txt -CA ca.crt -set_serial 01 -CAkey ca.key -out server.crt -extfile openssl.conf Signature ok subject=/C=US/ST=California/L=San Jose/O=Example Inc./OU=Unit A/CN=example.com/emailAddress=john@example.com Getting CA Private Key #
新しい証明書を Cisco IMCにアップロードします。
ステップ 1 | [IIS マネージャ(IIS Manager)] を開いて管理するレベルに移動します。 |
ステップ 2 | [Features] 領域で、[サーバー証明書] をダブルクリックします。 |
ステップ 3 | [操作] ペインで、[Create Self-Signed Certificate] をクリックします。 |
ステップ 4 | [Create Self-Signed Certificate] ウィンドウで、[Specify a friendly name for the certificate] フィールドに証明書の名前を入力します。 |
ステップ 5 | [OK] をクリックします。 |
ステップ 6 | (任意) 生成された証明書に正しい使用期限が設定されていない場合は、Cisco IMC の時刻が現在の時刻に設定されていることを確認し、手順 1 ~ 5 を繰り返して証明書を再生成します。 正しい使用期限が設定された証明書が作成されます。 |
サーバにアップロードする証明書を参照して選択するか、または署名付き証明書のすべての内容をコピーして [証明書コンテンツの貼り付け(Paste certificate content)] テキスト フィールドに貼り付け、それをアップロードできます。
証明書をアップロードするには、admin 権限を持つユーザとしてログインする必要があります。
アップロードする証明書ファイルは、ローカルにアクセスできるファイル システムに配置されている必要があります。
生成された証明書のタイプが [サーバ(Server)] であることを確認します。
(注) | [ 証明書の管理(Cisco IMC Certificate Management)] メニューを使用して最初に CSR を生成してから、その CSR を使用してアップロードする証明書を取得する必要があります。この方法で取得されていない証明書はアップロードしないでください。 |
ステップ 1 | [ナビゲーション(Navigation)] ペインの [管理者(Admin)] メニューをクリックします。 | ||||||||||||
ステップ 2 | [管理者(Admin)] メニューの [証明書の管理(Certificate Management)] をクリックします。 | ||||||||||||
ステップ 3 | [アクション(Actions)] 領域で、[サーバ証明書のアップロード(Upload Server Certificate)] をクリックします。
[証明書のアップロード(Upload Certificate)] ダイアログボックスが表示されます。 | ||||||||||||
ステップ 4 | [証明書のアップロード(Upload Certificate)] ダイアログボックスで、次のプロパティを更新します。
| ||||||||||||
ステップ 5 | [証明書のアップロード(Upload Certificate)] をクリックします。 |
キー管理相互運用性プロトコル(KMIP)は、主要な管理サーバでキーまたは機密データを処理するためのメッセージ形式を定義する通信プロトコルです。KMIP はオープン スタンダードで、複数のベンダーによってサポートされています。キー管理には、複数の相互運用可能な実装が伴うため、KMIP クライアントは KMIP サーバと効率的に連動します。
自己暗号化ドライブ(SED)には、リアルタイムで着信データを暗号化し、発信データを復号化するハードウェアが含まれています。ドライブまたはメディア暗号化キーは、この機能を制御します。しかし、セキュリティを維持するために、ドライブはロックされている必要があります。セキュリティ キー ID とセキュリティ キー(キー暗号キー)を使用すると、この目的を達成できます。キー ID では、ドライブに一意の ID が提供されます。
異なるキーには異なる使用要件があります。現在、ローカル キーの管理および追跡の責任は主にユーザにあるため、人的ミスが生じる可能性があります。ユーザはさまざまなキーとそれらの機能を覚えている必要があり、それが困難な場合があります。KMIP は、この懸念領域に対処し、人的関与なしでキーを効率的に管理します。
ステップ 1 | [ナビゲーション(Navigation)] ペインの [管理者(Admin)] メニューをクリックします。 | ||||||||||||||||||||||
ステップ 2 | [管理者(Admin)] メニューの [セキュリティ管理(Security Management)] をクリックします。 | ||||||||||||||||||||||
ステップ 3 | [セキュリティ管理(Security Management)] ペインの [セキュアなキー管理(Secure Key Management)] をクリックします。 | ||||||||||||||||||||||
ステップ 4 | [作業(Work)] ペインで、次の情報を確認します。
| ||||||||||||||||||||||
ステップ 5 | [アクション(Actions)] 領域で、次の情報を確認します。
| ||||||||||||||||||||||
ステップ 6 | [KMIP サーバ(KMIP Servers)] 領域で、次のフィールドを確認します。
| ||||||||||||||||||||||
ステップ 7 | [KMIP ルート CA 証明書(KMIP Root CA Certificate)] 領域で、次のフィールドを確認します。
| ||||||||||||||||||||||
ステップ 8 | [KMIP クライアント証明書(KMIP Client Certificate)] 領域で、次のフィールドを確認します。
| ||||||||||||||||||||||
ステップ 9 | [KMIP ログインの詳細(KMIP Login Details)] 領域で、次のフィールドを確認します。
| ||||||||||||||||||||||
ステップ 10 | [KMIP クライアント秘密キー(KMIP Client Private Key)] 領域で、次のフィールドを確認します。
|
(注) | これらのコマンドは、Cisco IMC ではなく、OpenSSL パッケージを使用している Linux サーバで入力します。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | openssl genrsa -out Client_Privatekeyfilename keysize 例: # openssl genrsa –out client_private.pem 2048 |
このコマンドは、クライアント証明書の生成に使用されるクライアント秘密キーを生成します。 指定されたファイル名には、指定されたサイズの RSA キーが含まれています。 |
ステップ 2 | openssl req -new -x509 -days numdays-key Client_Privatekeyfilename-out Client_certfilename 例: # openssl req -new -x509 -key client_private.pem -out client.pem -days 365 |
このコマンドは、前の手順で入手したクライアント秘密キーを使用して、新しい自己署名クライアント証明書を生成します。証明書は指定された期間有効になります。このコマンドは、ユーザに証明書の追加情報を求めるプロンプトを表示します。 新しい自己署名クライアント証明書が作成されます。 |
ステップ 3 | KMIP サーバから KMIP ルート CA 証明書を取得します。 |
ルート CA 証明書の取得については、KMIP のベンダー マニュアルを参照してください。 |
新しい証明書を Cisco IMCにアップロードします。
ステップ 1 | [ナビゲーション(Navigation)] ペインの [管理者(Admin)] メニューをクリックします。 | ||||||||||||
ステップ 2 | [管理者(Admin)] メニューの [セキュリティ管理(Security Management)] をクリックします。 | ||||||||||||
ステップ 3 | [セキュリティ管理(Security Management)] ペインの [セキュアなキー管理(Secure Key Management)] をクリックします。 | ||||||||||||
ステップ 4 | [セキュアなキー管理(Secure Key Management)] タブの [アクション(Actions)] 領域で、[クライアント証明書のダウンロード(Download Client Certificate)] をクリックします。 | ||||||||||||
ステップ 5 | [クライアント証明書のダウンロード(Download Client Certificate)] ダイアログボックスで、次のフィールドに値を入力します。
|
ステップ 1 | [ナビゲーション(Navigation)] ペインの [管理者(Admin)] メニューをクリックします。 | ||||||||
ステップ 2 | [管理者(Admin)] メニューの [セキュリティ管理(Security Management)] をクリックします。 | ||||||||
ステップ 3 | [セキュリティ管理(Security Management)] ペインの [セキュアなキー管理(Secure Key Management)] をクリックします。 | ||||||||
ステップ 4 | [セキュアなキー管理(Secure Key Management)] タブの [アクション(Actions)] 領域で、[クライアント証明書のエクスポート(Export Client Certificate)] をクリックします。 | ||||||||
ステップ 5 | [クライアント証明書のエクスポート(Export Client Certificate)] ダイアログボックスで、次のフィールドに値を入力します。
|
ステップ 1 | [ナビゲーション(Navigation)] ペインの [管理者(Admin)] メニューをクリックします。 |
ステップ 2 | [管理者(Admin)] メニューの [セキュリティ管理(Security Management)] をクリックします。 |
ステップ 3 | [セキュリティ管理(Security Management)] ペインの [セキュアなキー管理(Secure Key Management)] をクリックします。 |
ステップ 4 | [セキュアなキー管理(Secure Key Management)] タブの [アクション(Actions)] 領域で、[クライアント証明書の削除(Delete Client Certificate)] をクリックします。 |
ステップ 5 | プロンプトで、[OK] をクリックしてクライアント証明書を削除するか、または [キャンセル(Cancel)] をクリックして操作をキャンセルします。 |
ステップ 1 | [ナビゲーション(Navigation)] ペインの [管理者(Admin)] メニューをクリックします。 | ||||||||||||
ステップ 2 | [管理者(Admin)] メニューの [セキュリティ管理(Security Management)] をクリックします。 | ||||||||||||
ステップ 3 | [セキュリティ管理(Security Management)] ペインの [セキュアなキー管理(Secure Key Management)] をクリックします。 | ||||||||||||
ステップ 4 | [セキュアなキー管理(Secure Key Management)] タブの [アクション(Actions)] 領域で、[ルート CA 証明書のダウンロード(Download Root CA Certificate)] をクリックします。 | ||||||||||||
ステップ 5 | [ルート CA 証明書のダウンロード(Download Root CA Certificate)] ダイアログボックスで、次のフィールドに値を入力します。
|
ステップ 1 | [ナビゲーション(Navigation)] ペインの [管理者(Admin)] メニューをクリックします。 | ||||||||
ステップ 2 | [管理者(Admin)] メニューの [セキュリティ管理(Security Management)] をクリックします。 | ||||||||
ステップ 3 | [セキュリティ管理(Security Management)] ペインの [セキュアなキー管理(Secure Key Management)] をクリックします。 | ||||||||
ステップ 4 | [セキュアなキー管理(Secure Key Management)] タブの [アクション(Actions)] 領域で、[ルート CA 証明書のエクスポート(Export Root CA Certificate)] をクリックします。 | ||||||||
ステップ 5 | [ルート CA 証明書のエクスポート(Export Root CA Certificate)] ダイアログボックスで、次のフィールドに値を入力します。
|
ステップ 1 | [ナビゲーション(Navigation)] ペインの [管理者(Admin)] メニューをクリックします。 |
ステップ 2 | [管理者(Admin)] メニューの [セキュリティ管理(Security Management)] をクリックします。 |
ステップ 3 | [セキュリティ管理(Security Management)] ペインの [セキュアなキー管理(Secure Key Management)] をクリックします。 |
ステップ 4 | [セキュアなキー管理(Secure Key Management)] タブの [アクション(Actions)] 領域で、[ルート CA 証明書の削除(Delete Root CA Certificate)] をクリックします。 |
ステップ 5 | プロンプトで、[OK] をクリックしてルート CA 証明書を削除するか、または [キャンセル(Cancel)] をクリックして操作をキャンセルします。 |
ステップ 1 | [ナビゲーション(Navigation)] ペインの [管理者(Admin)] メニューをクリックします。 | ||||||||||
ステップ 2 | [管理者(Admin)] メニューの [セキュリティ管理(Security Management)] をクリックします。 | ||||||||||
ステップ 3 | [セキュリティ管理(Security Management)] ペインの [セキュアなキー管理(Secure Key Management)] をクリックします。 | ||||||||||
ステップ 4 | [セキュアなキー管理(Secure Key Management)] タブの [アクション(Actions)] 領域で、[クライアント秘密キーのダウンロード(Download Client Private Key)] をクリックします。 | ||||||||||
ステップ 5 | [クライアント秘密キーのダウンロード(Download Client Private Key)] ダイアログボックスで、次のフィールドに値を入力します。
|
ステップ 1 | [ナビゲーション(Navigation)] ペインの [管理者(Admin)] メニューをクリックします。 | ||||||||
ステップ 2 | [管理者(Admin)] メニューの [セキュリティ管理(Security Management)] をクリックします。 | ||||||||
ステップ 3 | [セキュリティ管理(Security Management)] ペインの [セキュアなキー管理(Secure Key Management)] をクリックします。 | ||||||||
ステップ 4 | [セキュアなキー管理(Secure Key Management)] タブの [アクション(Actions)] 領域で、[クライアント秘密キーのエクスポート(Export Client Private Key)] をクリックします。 | ||||||||
ステップ 5 | [クライアント秘密キーのエクスポート(Export Client Private Key)] ダイアログボックスで、次のフィールドに値を入力します。
|
ステップ 1 | [ナビゲーション(Navigation)] ペインの [管理者(Admin)] メニューをクリックします。 |
ステップ 2 | [管理者(Admin)] メニューの [セキュリティ管理(Security Management)] をクリックします。 |
ステップ 3 | [セキュリティ管理(Security Management)] ペインの [セキュアなキー管理(Secure Key Management)] をクリックします。 |
ステップ 4 | [セキュアなキー管理(Secure Key Management)] ペインの [アクション(Actions)] 領域で、[クライアント秘密キーの削除(Delete Client Private Key)] をクリックします。 |
ステップ 5 | プロンプトで、[OK] をクリックしてクライアント秘密キーを削除するか、または [キャンセル(Cancel)] をクリックして操作をキャンセルします。 |
ステップ 1 | [ナビゲーション(Navigation)] ペインの [管理者(Admin)] メニューをクリックします。 |
ステップ 2 | [管理者(Admin)] メニューの [セキュリティ管理(Security Management)] をクリックします。 |
ステップ 3 | [セキュリティ管理(Security Management)] ペインの [セキュアなキー管理(Secure Key Management)] をクリックします。 |
ステップ 4 | [セキュアなキー管理(Secure Key Management)] タブの [KMIP サーバ(KMIP Servers)] 領域で、チェックボックスをオンにすることで行を選択し、[テスト接続(Test Connection)] をクリックします。 |
ステップ 5 | 接続に成功すると、成功メッセージが表示されます。 |
ステップ 1 | [ナビゲーション(Navigation)] ペインの [管理者(Admin)] メニューをクリックします。 |
ステップ 2 | [管理者(Admin)] メニューの [セキュリティ管理(Security Management)] をクリックします。 |
ステップ 3 | [セキュリティ管理(Security Management)] ペインの [セキュアなキー管理(Secure Key Management)] をクリックします。 |
ステップ 4 | [セキュアなキー管理(Secure Key Management)] タブの [KMIP サーバ(KMIP Servers)] 領域で、チェックボックスをオンにすることで行を選択し、[削除(Delete)] をクリックします。 |
ステップ 5 | プロンプトで [OK] をクリックします。
これで、KMIP サーバがデフォルト設定に復元されます。 |
ステップ 1 | [ナビゲーション(Navigation)] ペインの [管理者(Admin)] メニューをクリックします。 |
ステップ 2 | [管理者(Admin)] メニューの [セキュリティ管理(Security Management)] をクリックします。 |
ステップ 3 | [セキュリティ管理(Security Management)] ペインの [セキュアなキー管理(Secure Key Management)] をクリックします。 |
ステップ 4 | [セキュアなキー管理(Secure Key Management)] ペインの [アクション(Actions)] 領域で、[KMIP ログインの削除(Delete KMIP Login)] をクリックします。 |
ステップ 5 | プロンプトで、[OK] をクリックして KMIP ログインの詳細を削除するか、または [キャンセル(Cancel)] をクリックして操作をキャンセルします。 |