ステップ 1
|
有効化
|
|
ステップ 2
|
configure terminal
Router# configure terminal
|
グローバル コンフィギュレーション モードに入ります。
|
ステップ 3
|
ip http server
Router(config)# ip http server
|
Cisco Unified CME ルータ上で HTTP サーバを有効にします。
|
ステップ 4
|
crypto pki servercs-label
Router(config)# crypto pki server IOS-CA
|
Cisco IOS 証明書サーバを有効にし、証明書サーバ設定モードに入ります。
(注)
|
証明書サーバ名は 13 文字を超えてはなりません。
|
|
ステップ 5
|
データベース レベル{ 最小| 名前| 完全}
Router(cs-server)# database level complete
|
証明書登録データベースに保存されるデータの種類を制御します。
|
ステップ 6
|
データベース URLルート URL
Router(cs-server)# database url flash:
|
証明書サーバのデータベース エントリが保存または公開される場所を指定します。
|
ステップ 7
|
自動付与
Router(cs-server)# grant auto
|
(オプション) 任意の要求者に自動証明書を発行できるようにします。 このコマンドを使用しない場合の推奨される方法およびデフォルトは、手動登録です。
|
ステップ 8
|
exit
|
|
ステップ 9
|
crypto pki trustpointname
Router(config)# crypto pki trustpoint IOS-CA
|
トラストポイントを宣言し、ca-trustpoint コンフィギュレーション モードに入ります。
|
ステップ 10
|
enrollment urlurl
Router(ca-trustpoint)# enrollment url http://10.1.1.1:80
|
|
ステップ 11
|
出口
Router(ca-trustpoint)# exit
|
ca-trustpoint 設定モードを終了します。
|
ステップ 12
|
暗号 PKI サーバcs-label
Router(config)# crypto pki server IOS-CA
|
Cisco IOS 証明書サーバを有効にし、証明書サーバ設定モードに入ります。
(注)
|
証明書サーバ名は 13 文字を超えてはなりません。
|
|
ステップ 13
|
no shutdown
Router(cs-server)# no shutdown
|
|
ステップ 14
|
exit
|
|
ステップ 15
|
crypto pki trustpointname
Router(config)# crypto pki trustpoint primary-cme
|
トラストポイントを宣言し、ca-trustpoint コンフィギュレーション モードに入ります。
|
ステップ 16
|
enrollment urlurl
Router(ca-trustpoint)# enrollment url http://10.1.1.1:80
|
|
ステップ 17
|
失効チェック方法 1[ 方法 2[ 方法 3] ]
Router(ca-trustpoint)# revocation-check none
|
|
ステップ 18
|
rsakeypairキーラベル
Router(ca-trustpoint)# rsakeypair primary-cme
|
証明書に関連付ける RSA キー ペアを指定します。
|
ステップ 19
|
exit
Router(ca-trustpoint)# exit
|
ca-trustpoint 設定モードを終了します。
|
ステップ 20
|
crypto pki authenticatename
Router(config)# crypto pki authenticate primary-cme
|
|
ステップ 21
|
crypto pki enrollname
Router(config)# crypto pki enroll primary-cme
|
|
ステップ 22
|
crypto pki trustpointname
Router(config)# crypto pki trustpoint sast-secondary
|
トラストポイントを宣言し、ca-trustpoint コンフィギュレーション モードに入ります。
|
ステップ 23
|
enrollment urlurl
Router(ca-trustpoint)# enrollment url http://10.1.1.1:80
|
|
ステップ 24
|
失効チェックメソッド 1[ メソッド 2[ メソッド 3] ]
Router(ca-trustpoint)# revocation-check none
|
|
ステップ 25
|
rsakeypairキーラベル
Router(ca-trustpoint)# rsakeypair sast-secondary
|
証明書に関連付ける RSA キー ペアを指定します。
|
ステップ 26
|
exit
Router(ca-trustpoint)# exit
|
ca-trustpoint 設定モードを終了します。
|
ステップ 27
|
crypto pki authenticatename
Router(config)# crypto pki authenticate sast-secondary
|
|
ステップ 28
|
crypto pki enrollname
Router(config)# crypto pki enroll sast-secondary
|
|
ステップ 29
|
ctl クライアント
Router(config)# ctl-client
|
CTL クライアントのパラメータを設定するために、CTL クライアント設定モードに移行します。
|
ステップ 30
|
sastl トラストポイント ラベル
Router(config-ctl-client)# sast1 trustpoint first-sast
|
プライマリ SAST の資格情報を構成します。
(注)
|
SAST1 証明書と SAST2 証明書は互いに異なる必要があります。 CTL ファイルは常に SAST1 によって署名されます。 SAST2 資格情報は CTL ファイルに含まれているため、SAST1 証明書が侵害された場合でも、ファイルは
SAST2 によって署名され、電話機が工場出荷時の状態にリセットされるのを防ぐことができます。
|
|
ステップ 31
|
sast2 トラストポイント ラベル
Router(config-ctl-client)# sast2 trustpoint second-sast
|
セカンダリ SAST の資格情報を構成します。
(注)
|
SAST1 証明書と SAST2 証明書は互いに異なる必要があります。 CTL ファイルは常に SAST1 によって署名されます。 SAST2 資格情報は CTL ファイルに含まれているため、SAST1 証明書が侵害された場合でも、ファイルは
SAST2 によって署名され、電話機が工場出荷時の状態にリセットされるのを防ぐことができます。
|
|
ステップ 32
|
証明書のインポート タグの説明flash:cert_name
Router(config-ctl-client)# import certificate 5 FlashCert flash:flash_cert.cer
|
フラッシュ メモリから PEM 形式の信頼できる証明書を IP 電話の CTL ファイルにインポートします。
(注)
|
この手順は、外部サーバ上で実行される HTTPS サービスをプロビジョニングするために必要です。
|
|
ステップ 33
|
server application server address trustpoint label
Router(config-ctl-client)# server application 10.1.2.3 trustpoint first-sast
|
SAST のサーバ アプリケーションと資格情報を構成します。
|
ステップ 34
|
regenerate
Router(config-ctl-client)# regenerate
|
CTL クライアント構成に変更を加えた後、新しい CTLFile.tlv を作成します。
|
ステップ 35
|
終わり
Router(config-ctl-client)# end
|
|