SUDI99 証明書のサポート

SUDI99 証明書のサポート

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラは、セキュアな接続ハンドシェイク中に認証用のデバイス証明書としてセキュアな固有デバイス識別子(SUDI)証明書を使用します。これらの証明書は、製造プロセス中に複数の証明書を保持できるセキュアなハードウェアチップにプロビジョニングされます。


(注)  

コントローラおよび AP プラットフォームで使用される証明書の一部が 2029 年 5 月に期限切れとなるため、新しい証明書セットへの移行が必要になります。SUDI99 証明書のサポートは、この移行シナリオに対応しています。SUDI99 は 2099 年 12 月まで有効です。

Cisco IOS XE ソフトウェアは、セキュアなハードウェアチップから SUDI 証明書を初期化するための 2 つのスロットをサポートしています。この SUDI99 移行の変更により、証明書とトラストポイントのマッピングは次のように再配置されます。

表 1. SUDI トラストポイント証明書の既存のソフトウェアの選択

トラストポイント名

プログラムされた証明書チェーン内のソフトウェアの選択

CISCO_IDEVID_SUDI

CMCA2 SHA2 SUDI(SHA2-2037)

CISCO_IDEVID_SUDI_LEGACY

CMCA SHA1 SUDI
表 2. SUDI トラストポイント証明書の新しいソフトウェアの選択

トラストポイント名

プログラムされた証明書チェーン内のソフトウェアの選択

CISCO_IDEVID_SUDI

CMCA-III SHA2 SUDI99

CISCO_IDEVID_SUDI_LEGACY

CMCA2 SHA2 SUDI(SHA2-2037)

注意    

期限切れの証明書を使用してデバイス認証を実行すると、サービスの中断につながる可能性があります。

次の表に、SUDI99 証明書とソフトウェアのサポートを示します。

表 3. SUDI99 証明書およびソフトウェアのサポート

Cisco Catalyst 9800 コントローラ

SUDI99 証明書のサポート

SUDI99 移行のソフトウェアサポート

Cisco Catalyst 9800-CL Cloud ワイヤレスコントローラ

未サポート

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ

  • 9800-40

  • 9800-80

  • 9800-L

サポート対象

はい。Cisco IOS XE Cupertino 17.7.1 以降。

Catalyst アクセスポイント上の Cisco Embedded Wireless Controller。

  • 9105AXI

  • 9115AXI

  • 9115AXE

  • 9117AXI

  • 9120AXI

  • 9120AXE

  • 9120AXP

  • 9130AXI

  • 9130AXE

サポート対象

はい。Cisco IOS XE Cupertino 17.7.1 以降。

Catalyst スイッチ上の Cisco Embedded Wireless Controller

  • 9300 シリーズ

  • 9400 シリーズ

  • 9500 シリーズ

  • 9500H シリーズ

未サポート

下位互換性

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラには、デフォルトのワイヤレス管理トラストポイントがあります。一部のアプリケーションは、この管理トラストポイント証明書を使用します。デバイス(AP またはコントローラ)が SUDI99 証明書を検証できない場合、コントローラはその特定の接続用のデバイス証明書として古い証明書(SHA2-2037)を使用します。

Cisco CMX との NMSP-TLS 接続の場合、クライアント証明書はデフォルトのセキュリティモードでは検証されません。ただし、FIPS モードでは、Cisco CMX はコントローラ証明書を検証します。

Cisco CMX が FIPS モードで展開されている場合は、以前のバージョンの Cisco CMX を実行している Cisco CMX に新しい SUDI CA 証明書を明示的にインストールか、Cisco CMX を最新バージョンにアップグレードします。

HTTPS、RADSEC、WebAuth などの一部のアプリケーションは、デフォルトのトラストポイントとして SUDI 証明書を使用しません。ただし、それらで SUDI トラストポイントを明示的に設定することは可能です。SUDI 更新プログラムは、このようなサービスの証明書の選択を変更します。ただし、機能への影響はありません。

制約事項

SUDI99 証明書がデバイスで誤ってプログラムされている場合、ブートアップ時のトラストポイントの初期化中に拒否され、トラストポイントと証明書間のマッピングは古い動作にフォールバックします。ユーザーは、show platform sudi pki コマンドを使用して SUDI 証明書のステータスを確認できます。

CLI を使用した SUDI99 移行の無効化

SUDI99 証明書は、サポートされているハードウェアユニットのデフォルトのトラストポイントとして設定されます。no platform sudi cmca3 コマンドを使用して無効にできます。高可用性(HA)展開では、HA ペアを形成してから、コマンドを実行します。次に、設定を保存し、コントローラをリロードして SUDI 証明書を無効にし、古いトラストポイント証明書にフォールバックします。

証明書の検証ステータスを確認するには、show platform sudi pki コマンドを使用します。

SUDI99 移行の無効化(GUI)

ハードウェアコントローラの SHA1 SUDI 証明書には差し迫った有効期限があり、期限切れの証明書を使用するデバイスはサービスの中断に直面します。CMCA-III 機関によって発行された最新の SUDI99 証明書にスムーズに移行できるように、コントローラは、セキュアなハードウェアチップで新しい証明書を使用してプログラムされています。これらの証明書はデフォルトで有効になっていて、2099 年 12 月まで有効です。

現時点で移行しない場合は、次の手順に従います。

手順

ステップ 1

[Configuration] > [Security] > [PKI Management] > [Trustpoint] タブで、[SUDI Status] セクションに移動します。

ステップ 2

既存のトラストポイントにマッピングされている古い証明書を引き続き使用するには、[Cisco Manufacturing CA III certificate] を無効にします。

ステップ 3

[Apply] をクリックします。

次のタスク

この設定を有効にするには、デバイスをリロードします。