ローカルで有効な証明書 (LSC)について
このモジュールでは、ローカルで有効な証明書(LSC)を使用するように Catalyst アクセスポイント上のシスコ組み込みワイヤレスコントローラおよび Lightweight アクセスポイント(LAP)を設定する方法について説明します。LSC を使用する公開キーインフラストラクチャ(PKI)を選択した場合は、AP と組み込みワイヤレスコントローラで LSC を生成でき、証明書を使用して組み込みワイヤレスコントローラと AP を手動で認証できます。
シスコ 組み込みワイヤレスコントローラでは、LSC を使用するように組み込みワイヤレスコントローラを設定できます。独自の PKI でセキュリティを強化して認証局(CA)を管理し、生成された証明書でポリシー、制約事項、および使用方法を定義する場合は、LSC を使用します。
組み込みワイヤレスコントローラで新しい LSC 証明書をプロビジョニングし、CA サーバーから Lightweight アクセスポイント(LAP)をプロビジョニングする必要があります。
LAP は、CAPWAP プロトコルを使用して組み込みワイヤレスコントローラと通信します。証明書への署名と、LAP および組み込みワイヤレスコントローラ自体の CA 証明書の発行についての要求は、組み込みワイヤレスコントローラから開始する必要があります。LAP は CA サーバーと直接通信しません。CA サーバーの詳細が組み込みワイヤレスコントローラで設定されていて、アクセス可能である必要があります。
組み込みワイヤレスコントローラは、デバイス上で生成された certReqs を CA に転送するために Simple Certificate Enrollment Protocol(SCEP)を使用し、CA から署名済み証明書を取得するために SCEP を再度使用します。
SCEP は、証明書の登録と失効をサポートするために PKI クライアントと CA サーバーで使用される証明書管理プロトコルです。SCEP はシスコで広く使用され、多くの CA サーバーでサポートされています。SCEP では、HTTP は PKI メッセージのトランスポートプロトコルとして使用されます。SCEP の主な目的は、ネットワーク デバイスに証明書を安全に発行することです。SCEP は多くの操作に対応していますが、このリリースでは次の操作に使用されています。
-
CA およびルータアドバタイズメント(RA)公開キーの配布
-
認証登録
コントローラでの証明書プロビジョニング
新しい LSC 証明書(CA 証明書とデバイス証明書の両方)をコントローラにインストールする必要があります。
SCEP を使用する場合、CA 証明書は CA サーバーから受け取ります。この時点では、コントローラに証明書は存在しません。CA 証明書は get 操作で取得後、コントローラにインストールされます。AP が LSC でプロビジョニングされるときに、同じ CA 証明書が AP にもプッシュされます。
製造元でインストールされる証明書の期限切れの防止
製造元でインストールされる証明書(MIC)の期限切れによる失敗を防ぐには、次に示すようにポリシーを設定してください。
-
証明書マップを作成し、ルールを追加します。
configure terminal crypto pki certificate map map1 1 issuer-name co Cisco Manufacturing CA
(注)
同じマップの下に、複数のルールとフィルタを追加できます。前述の例に記載されているルールでは、発行者名に Cisco Manufacturing CA(大文字と小文字を区別しない)が含まれているすべての証明書がこのマップの下で選択されることが指定されています。
-
Trustpool ポリシーの下で証明書マップを使用します。
configure terminal crypto pki trustpool policy match certificate map1 allow expired-certificate
デバイスの証明書の登録操作
CA 署名付き証明書を要求する LAP とコントローラの両方に対して、certRequest が PKCS#10 メッセージとして送信されます。certRequest には、X.509 証明書に含まれる件名、公開キー、およびその他の属性が含まれています。また、要求者の秘密キーでデジタル署名される必要があります。これらは CA に送信され、そこで certRequest が X.509 証明書に変換されます。
PKCS#10 certRequest を受け取る CA には、要求者の ID を認証し、要求が変更されていないことを確認するための追加情報が必要です(証明書の要求や応答を送受信するために、PKCS#10 は PKCS#7 などの他のアプローチと組み合わされることがあります)。
PKCS#10 は PKCS#7 Signed Data メッセージタイプでラップされます。これは SCEP クライアント機能の一部としてサポートされ、PKCSReq メッセージがコントローラに送信されます。登録操作が成功すると、CA 証明書とデバイス証明書の両方がコントローラで使用可能になります。
Lightweight アクセス ポイントでの証明書プロビジョニング
LAP で新しい証明書をプロビジョニングするには、CAPWAP モードの間に LAP が新しい署名付き X.509 証明書を取得できる必要があります。そのために、LAP はコントローラに certRequest を送信します。コントローラは CA プロキシとして機能し、CA により署名された LAP 用の certRequest を取得を支援します。
certReq および certResponse は LWAPP ペイロードを使用して LAP に送信されます。
LSC CA 証明書と LAP デバイス証明書の両方が LAP にインストールされ、システムが自動的に再起動します。システムは、次回起動時には LSC を使用するように設定されているため、AP は join 要求の一部として LSC デバイス証明書をコントローラに送信します。join 応答の一部として、コントローラは新しいデバイス証明書を送信し、新しい CA ルート証明書を使用して受信 LAP 証明書も検証します。
(注) |
LSC は、コントローラとすべての Cisco Aironet アクセスポイントでサポートされています。 LSC ワークフローは、FIPS + WLANCC モードでは異なります。CA サーバーは EST プロトコルをサポートし、FIPS + WLANCC モードで EC 証明書を発行できる必要があります。 |
また、LSC はコントローラで有効になっています(GUI および CLI)。
次の作業
コントローラおよび AP の既存の PKI インフラストラクチャを使用して証明書の登録を設定、許可、および管理するには、LSC プロビジョニング機能を使用する必要があります。