ワイヤレス AP 参加用のコントローラ自己署名証明書

使用例

使用例 1

Cisco Catalyst 9800-CL プラットフォームには、製造元でインストールされる SUDI 証明書が含まれていません。コントローラで自己署名証明書を設定する必要があります。

使用例 2

以前のバージョンで実行されていて、SHA1 のシスコの信頼できる CA によって発行された製造元でインストールされる証明書(MIC)を持つ AP は、SHA2 SUDI 証明書でコントローラに参加することはできません。CAPWAP 参加プロセス時に、AP は不正な証明書エラーを表示し、DTLS ハンドシェイクを破棄します。

回避策:AP をアップグレードするには、コントローラの自己署名証明書を設定します。設定後、自己署名証明書を削除して、SUDI 証明書に戻すことができます。


(注)  

この回避策は、Catalyst 9k スイッチを実行している組み込みワイヤレスコントローラには適用されません。ただし、Cisco Catalyst 9800-40、Cisco Catalyst 9800-80、Cisco Catalyst 9800-L など、その他のハードウェア アプライアンス コントローラには適用されます。


(注)  

DTLS 接続(AP とモビリティ)で使用される証明書では、2,048 ビット以上のサイズの RSA キーを使用する必要があります。それ以外の場合、リロード後に AP とモビリティ接続が失敗します。show crypto pki certificate verbose _tp-name_ コマンドを実行して、デバイス証明書のキーサイズを表示してください。

前提条件

  • VLAN インターフェイスが稼働しており、その IP に到達可能であることを確認します。

  • ip http server が有効であることを確認します。詳細については、「HTTP サーバーの有効化」を参照してください。

  • clock calendar-valid コマンドを適切に設定します。詳細については、を参照してください。

  • PKI CA サーバーがすでに構成されているかどうかを確認します。構成されている場合は、既存の CA サーバー構成を削除する必要があります。


    (注)  

    show crypto pki server コマンドの出力に何も表示されない必要があります。

クロックカレンダーの設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

clock calendar-valid

例:

Device(config)# clock calendar-valid

クロックカレンダーを有効にします。

ステップ 3

exit

例:

Device(config)# exit

設定モードを終了します。

HTTP サーバーの有効化(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip http server

例:

Device(config)# ip http server

シスコの Web ブラウザ ユーザー インターフェイスを含む IP または IPv6 システムで HTTP サーバーを有効にします。デフォルトでは、HTTP サーバーは標準のポート 80 を使用します。

ステップ 3

ip http secure-server

例:

Device(config)# ip http secure-server

シスコの Web ブラウザ ユーザー インターフェイスを含む IP または IPv6 システムで HTTP サーバーを有効にします。デフォルトでは、HTTP サーバーは標準のポート 80 を使用します。

ステップ 4

exit

例:

Device(config)# exit

設定モードを終了します。

CA サーバーの設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

crypto key generate rsa general-keys modulus size_of_key_module label keypair_name

例:

Device(config)# crypto key generate rsa general-keys modulus 2048 label WLC_CA

コントローラの証明書を設定します。

RSA キーのペアを生成する場合に、モジュラスの長さの入力を求められます。モジュラスが長くなるほど安全ですが、生成と使用に時間がかかります。

(注)  

 

推奨されるキーペア名は WLC_CA で、キー係数は 2048 ビット です。

ステップ 3

crypto pki server certificate_server_name

例:

Device(config)# crypto pki server WLC_CA

IOS 証明書サーバーを有効にします。

(注)  

 

certificate_server_name は、keypair_name と同じ名前にする必要があります。

ステップ 4

issuer-name

例:

Device(config)# issuer-name O=Cisco Virtual Wireless LAN Controller, CN=CA-vWLC

発行元 CA 証明書の X.509 識別名を設定します。

(注)  

 

AP 参加のために推奨されるのと同じ issuer-name を設定する必要があります。

ステップ 5

grant auto

例:

Device(config)# grant auto

証明書要求を自動的に許可します。

ステップ 6

hash sha256

例:

Device(config)# hash sha256

(任意)許可された証明書で使用する署名のハッシュ関数を指定します。

ステップ 7

lifetime ca-certificate time-interval

例:

Device(config)# lifetime ca-certificate 3650

(任意)CA 証明書のライフタイムを日数で指定します。

ステップ 8

lifetime certificate time-interval

例:

Device(config)# lifetime certificate 3650

(任意)許可された証明書のライフタイムを日数で指定します。

ステップ 9

database archive pkcs12 password password

例:

Device(config)# database archive pkcs12 password 0 cisco123

ファイルを暗号化するための CA キーと CA 証明書のアーカイブ形式およびパスワードを設定します。

ステップ 10

no shutdown

例:

Device(config)# no shutdown

証明書サーバーを有効にします。

(注)  

 

このコマンドは、証明書サーバーの設定が完了した後で発行してください。

ステップ 11

end

例:

Device(config)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

トラストポイントの設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

crypto key generate rsa exportable general-keys modulus size-of-the-key-modulus label label

例:

Device(config)# crypto key generate rsa exportable general-keys modulus 2048 label ewlc-tp1

RSA キーのペアを生成する場合に、モジュラスの長さの入力を求められます。モジュラスが長くなるほど安全ですが、生成と使用に時間がかかります。

ステップ 3

crypto pki trustpoint trustpoint_name

例:

Device(config)# crypto pki trustpoint ewlc-tp1

外部 CA サーバーの新しいトラスト ポイントを作成します。trustpoint_name はトラストポイント名を指します。

(注)  

 

キーペア(label )と trustpoint_name に同じ名前が使用されていることを確認してください。

ステップ 4

rsakeypair RSA_key key_size

例:

Device(ca-trustpoint)# rsakeypair ewlc-tp1

RSA キーをトラストポイントの RSA キーにマッピングします。

  • RSA_key:RSA キー ペアのラベルを指します。

  • key_size:署名キーの長さを指します。値の範囲は 360 ~ 4096 です。

ステップ 5

subject-name subject_name

例:

Device(ca-trustpoint)# subject-name O=Cisco Virtual Wireless LAN Controller, CN=DEVICE-vWLC

トラストポイントの件名パラメータを作成します。

ステップ 6

revocation-check none

例:

Device(ca-trustpoint)# revocation-check none

失効を確認します。

ステップ 7

hash sha256

例:

Device(ca-trustpoint)# hash sha256

ハッシュ アルゴリズムを指定します。

ステップ 8

serial-number

例:

Device(ca-trustpoint)# serial-number

シリアル番号を指定します。

ステップ 9

eku request server-auth client-auth

例:

Device(ca-trustpoint)# eku request server-auth client-auth

(オプション)証明書キーの使用目的を設定します。

ステップ 10

password password

例:

Device(config)# password 0 cisco123

パスワードを有効にします。

ステップ 11

enrollment url url

例:

Device(config)# enrollment url http://<management-IPv4>:80

URL を登録します。

(注)  

 

ダミー IP を、CA サーバーが設定されているコントローラの管理 VLAN インターフェイス IP に置き換えます。

ステップ 12

exit

例:

Device(config)# exit

設定を終了します。

CA サーバーを使用した PKI トラストポイントの認証と登録(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

crypto pki authenticate trustpoint_name

例:

Device(config)# crypto pki authenticate ewlc-tp1
Certificate has the following attributes:
Fingerprint MD5: 64C5FC9A C581D827 C25FC3CF 1A7F42AC
Fingerprint SHA1: 6FAFF812 7C552783 
6A8FB566 52D95849 CC2FC050
     % Do you accept this certificate? [yes/no]: yes
     Trustpoint CA certificate accepted.

CA 証明書を取得します。

ステップ 3

crypto pki enroll trustpoint_name

例:

Device(config)# crypto pki enroll ewlc-tp1
Enter following answers for UI interaction:
% Include an IP address in the subject name? [no]: no
Request certificate from CA? [yes/no]: yes

クライアント証明書を登録します。

ステップ 4

end

例:

Device(config)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

ワイヤレス管理トラストポイント名のタグ付け(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless management trustpoint trustpoint_name

例:

Device(config)# wireless management trustpoint ewlc-tp1

ワイヤレス管理トラストポイント名にタグを付けます。

ステップ 3

end

例:

Device(config)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

ワイヤレス AP 参加用のコントローラ証明書の確認

CA サーバーの詳細を表示するには、次のコマンドを使用します。


Device# show crypto pki server
Certificate Server WLC_CA:
Status: enabled
State: enabled
Server's configuration is locked (enter "shut" to unlock it)
Issuer name: O=Cisco Virtual Wireless LAN Controller, CN=CA-vWLC
CA cert fingerprint: 79A3DBD5 59A7E384 73ABD152 C133F4E2
Granting mode is: auto
Last certificate issued serial number (hex): 1
CA certificate expiration timer: 12:04:00 UTC Mar 8 2029
CRL NextUpdate timer: 18:04:00 UTC Mar 11 2019
Current primary storage dir: nvram:
Database Level: Minimum - no cert data written to storage

トラストポイントの詳細を表示するには、次のコマンドを使用します。


Device# show crypto pki trustpoint ewlc-tp1 status
Trustpoint ewlc-tp1:
...
State:
Keys generated ............. Yes (General Purpose, exportable)
Issuing CA authenticated ....... Yes
Certificate request(s) ..... Yes

ワイヤレス管理トラストポイントの詳細を表示するには、次のコマンドを使用します。


Device# do show wireless management trustpoint
Trustpoint Name : ewlc-tp1
Certificate Info : Available
Certificate Type : SSC
Certificate Hash : 4a5d777c5b2071c17faef376febc08398702184e
Private key Info : Available
FIPS suitability : Not Applicable

HTTP サーバーのステータスを表示するには、次のコマンドを使用します。


Device# show ip http server status | include server status
HTTP server status: Enabled
HTTP secure server status: Enabled