ローカルで有効な証明書 (LSC)について
このモジュールでは、ローカルで有効な証明書(LSC)を使用するように Cisco Catalyst 9800 シリーズ ワイヤレス コントローラおよび Lightweight アクセス ポイント(LAP)を設定する方法について説明します。LSC を使用する Public Key Infrastructure(PKI)を選択した場合は、AP とコントローラで LSC を生成できます。その後、証明書を使用してコントローラと AP を相互認証することができます。
シスコ コントローラは、LSC を使用するように設定できます。独自の PKI でセキュリティを強化して認証局(CA)を管理し、生成された証明書でポリシー、制約事項、および使用方法を定義する場合は、LSC を使用できます。
コントローラで新しい LSC 証明書をプロビジョニングし、次に認証局(CA)サーバから Lightweight アクセス ポイント(LAP)をプロビジョニングする必要があります。
LAP は、CAPWAP プロトコルを使用してコントローラと通信します。証明書への署名と、LAP およびコントローラ自体の CA 証明書の発行については、コントローラから要求を開始する必要があります。LAP は CA サーバと直接通信しません。CA サーバの詳細がコントローラに設定され、アクセス可能である必要があります。
コントローラは、デバイス上で生成された certReqs を CA に転送するために Simple Certificate Enrollment Protocol(SCEP)を使用し、CA から署名済み証明書を取得するために SCEP を再度使用します。
SCEP は、PKI クライアントと認証局サーバが証明書の登録と失効をサポートするために使用する証明書管理プロトコルです。これはシスコで広く使用され、多くの CA サーバでサポートされています。SCEP プロトコルでは、HTTP は PKI メッセージのトランスポート プロトコルとして使用されます。SCEP の主な目的は、ネットワーク デバイスに証明書を安全に発行することです。SCEP は多くの操作に対応していますが、このリリースでは次の操作に使用されています。
-
CA および RA 公開キーの配布
-
認証登録
コントローラでの証明書プロビジョニング
新しい LSC 証明書(CA 証明書とデバイス証明書の両方)をコントローラにインストールする必要があります。
SCEP プロトコルを使用する場合、CA 証明書は CA サーバから受け取ります。この時点ではコントローラに証明書が存在しないため、これは純粋な Get 操作です。これらの証明書はコントローラ上にインストールされます。AP が LSC でプロビジョニングされるときに、同じ CA 証明書が AP にもプッシュされます。
デバイスの証明書の登録操作
CA 署名付き証明書を要求する LAP とコントローラの両方に対して、certRequest が PKCS#10 メッセージとして送信されます。certRequest には、X.509 証明書に組み込まれ、要求者の秘密キーでデジタル署名される件名、公開キー、およびその他の属性が含まれています。これらは CA に送信され、そこで certRequest が X.509 証明書に変換されます。
PKCS#10 certRequest を受け取る CA が要求者の ID を認証し、要求が変更されていないことを確認するためには、追加情報が必要です。証明書の要求または応答を送受信するために、PKCS#10 は PKCS#7 などの他のアプローチと何度も組み合わされます。
ここで、PKCS#10 は PKCS#7 SignedData メッセージ タイプでラップされます。これは SCEP クライアント機能の一部としてサポートされ、PKCSReq メッセージがコントローラに送信されます。登録操作が成功すると、CA 証明書とデバイス証明書の両方がコントローラ上で使用可能になります。
Lightweight アクセス ポイントでの証明書プロビジョニング
LAP で新しい証明書をプロビジョニングするには、CAPWAP モードで LAP が新しい署名付き X.509 証明書を取得できる必要があります。これを実現するために、LAP はコントローラに certRequest を送信します。このコントローラは CA プロキシとして機能し、CA により署名された LAP 用の certRequest の取得に対応します。
certReq および certResponse は LWAPP ペイロードを使用して LAP に送信されます。
LSC CA 証明書と LAP デバイス証明書の両方が LAP にインストールされ、システムが自動リブートします。システムが次に起動するときには、LSC を使用するように設定されているため、AP は接続要求の一部として LSC デバイス証明書をコントローラに送信します。接続応答の一部として、コントローラは新しいデバイス証明書を送信すると同時に、新しい CA ルート証明書を使用して受信 LAP 証明書を検証します。
(注) |
LSC は、コントローラとすべての Cisco Aironet アクセス ポイントでサポートされています。 |
また、LSC はコントローラで有効になっています(GUI および CLI)。
次の作業
コントローラおよび AP の既存の PKI インフラストラクチャを使用して証明書の登録を設定、許可、および管理するには、LSC プロビジョニングを使用する必要があります。