PKI の設定

この章の内容は、次のとおりです。

PKI に関する情報

ここでは、PKI に関する的な情報を提供します。

CA およびデジタル証明書

証明機関 (CA) は証明書の要求を管理し、主催者、ネットワーク デバイス、またはユーザーなどの参加エンティティに対して証明書を発行します。 CA は、参加エンティティに対して集中化されたキー管理を提供します。

公開鍵暗号、デジタル認証デバイス、および個々のユーザーに基づくデジタル署名。 RSA 暗号化システムなどの公開鍵暗号では、各デバイスまたはユーザーは、秘密鍵と公開鍵の両方を含む鍵ペアを持っています。 秘密鍵はシークレットに保持され、所有デバイスまたはユーザーに限定されます。 しかし、公開鍵は誰もが知っています。 キーの 1 つで暗号化されている何でも、もう一方で解読できます。 データが送信者のプライベートキーで暗号化されている場合、署名が形成されます。 受信者は送信者の公開鍵でメッセージを解読して署名を検証します。 このプロセスは、受信者が送信者の公開鍵のコピーを持ち、その送信者に属しているという高い確実性を持ち、誰かが送信者であるふりを見るのではなく、存在を知ることに依存します。

デジタル証明書は、デジタル署名を送信者にリンクします。 デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなど、ユーザーまたはデバイスを識別するための情報が含されます。 エンティティの公開鍵のコピーも含されます。 証明書に署名する CA は、受信者が明示的に信頼し、ID を検証し、デジタル証明書を作成する第三者です。

CA の署名を検証するには、受信者は最初に CA の公開鍵を知る必要があります。 通常、このプロセスは帯域外またはインストールで行われる操作を通して処理されます。 たとえば、ほとんどのウェブ ブラウザは、デフォルトで複数の CA の公開鍵で構成されます。

信頼モデル、信頼ポイント、ID CA

PKI 信頼モデルは、複数の構成可能な信頼できる CA で階層的です。 セキュリティ プロトコルの間に取得した ピア証明書 が、ローカルで信頼された CA の 1 つによって発行された場合、ピア証明書 が認証できるよう、各参加デバイスを信頼できる CA リストで構成することができます。 Cisco NX-OS ソフトウェアは、信頼できる CA の自己署名証明書ルート証明書ローカルに保存します (または従属 CA の証明書チェーン)。 信頼できる CA の ルート証明書 (または従属 CA の場合はチェーン全体) を安全に取得し、それをローカルに保管するプロセスは、CA 認証 と呼ばれるプロセスです。

設定した信頼できる CA に関する情報は 信頼ポイント と呼ばれ、CA 自体は 信頼ポイント CAと呼ばれます。 この情報は、CA 証明書(または従属 CA の場合は証明書チェーン)と情報を確認する証明書の失効で構成されます。

Cisco NX-OS デバイスは信頼ポイントで登録して、鍵ペアに関連付ける ID 証明書を取得することもできます。 この信頼ポイントは ID CA と呼ばれるのです。

RSA 鍵ペアと ID 証明書

1 つ以上の RSA 鍵ペアを生成し、Cisco NX-OS デバイスが登録する信頼ポイント CA と各 RSA 鍵ペアを関連付けすることで、ID 証明書を取得できます。 Cisco NX-OS デバイスは、1 つの鍵ペアと CA ごとに 1 つの ID 証明書で構成される、CA ごとに 1 つの ID のみを必要とします。

Cisco NX-OS ソフトウェアは、構成可能な鍵サイズ(または特別な数)を持つ RSA 鍵ペアを生成できます。 デフォルトの鍵サイズは 512 です。 RSA 鍵ペア ラベルも設定できます。 デフォルトの鍵ラベルは、デバイス ラベル完全修飾ドメイン名 (FQDN)です。

以下のリストは、信頼ポイント、RSA 鍵ペア、および ID 証明書の関係をまとめたものです。

  • 信頼ポイントは、Cisco NX-OS デバイスが任意のアプリケーション(SSH など)に対してピア証明書の検証に対して信頼する特定の CA に対応します。

  • Cisco NX-OS デバイスは多くの信頼ポイントを持ち、デバイス上のすべてのアプリケーションは、任意の信頼ポイント CA により発行されたピア証明書を信頼できます。

  • 信頼ポイントは特定のアプリケーションに制限されません。

  • Cisco NX-OS デバイスは、ID 証明書を取得するために、信頼ポイントに対応する CA に登録します。 デバイスは複数の信頼ポイントに登録できます。つまり、各信頼ポイントから別の ID 証明書を取得できます。 ID 証明書は、発行 CA によって証明書に指定された目的に応じて、アプリケーションによって使用されます。 証明書の目的は、証明書の拡張として証明書に保存されます。

  • 信頼ポイントで登録する際、認証される RSA 鍵ペアを指定する必要があります。 この鍵ペアは、登録リクエストを生成する前に、生成され、信頼ポイントに関連付けられている必要があります。 証明書、鍵ペア、または信頼ポイントを削除することで明示的に削除されるまで、信頼ポイント、鍵ペア、ID 証明書の関連付けは有効です。

  • ID 証明書のサブジェクト名は、Cisco NX-OS の完全修飾ドメイン名 (FQDN) です。

  • デバイスで 1 つ以上の RSA 鍵ペアを生成し、それぞれが 1 つ以上の信頼ポイントに関連付けられることができます。 しかし、信頼ポイントに関連付けられる鍵ペアは 1 つ以上はありません。つまり、CA から許可される ID 証明書は 1 つのみです。

  • Cisco NX-OS デバイスが複数の ID 証明書(それぞれ異なる CA から)を取得する場合、アプリケーションがピアとのセキュリティ プロトコル 交換で使用するために選択する証明書は、アプリケーション固有です。

  • アプリケーションに 1 つ以上の信頼ポイントを指定する必要はありません。 どのアプリケーションでも、証明書の目的がアプリケーションの要件を満たす限り、どの信頼ポイントによって発行されたどの証明書でも使用できます。

  • 信頼ポイントからの複数の ID 証明書、または、信頼ポイントに関連付けられる複数の鍵ペアは必要ではありません。 CA は指定された ID (または名前) を 1 回だけ証明し、同じ名前の複数の証明書を発行しません。 CA に複数の ID 証明書が必要で、CA が同じ名前の複数の証明書を許可する場合、同じ CA に対して別の信頼ポイントを定義し、別の鍵ペアを関連付け、認証を行う必要があります。

複数の信頼できる CA サポート

Cisco NX-OS デバイスは、複数の信頼ポイントを構成し、それぞれ個別の CA と関連付けすることで、複数の CA を信頼できます。 複数の信頼できる CA を使用して、ピアに証明書を発行した特定の CA を持つデバイスを登録する必要はありません。 代わりに、ピアが信頼する複数の信頼できる CA をデバイスに設定できます。 Cisco NX-OS デバイスは、構成された信頼できる CA を使用して、ピア デバイスの ID で定義されている同じ CA によって発行されていないピアから発行された証明書を検証できます。

PKI 登録サポート

登録は、SSH のようなアプリケーションに使用されるデバイスの ID 証明書を取得するプロセスです。 証明書と証明機関を要求するデバイスの間で発生します。

Cisco NX-OS デバイスは、PKI 登録プロセスを実行するときに、以下のステップを実行します。

  • デバイスで RSA プライベートおよび公開鍵ペアを生成します。

  • 標準形式で証明書リクエストを生成し、CA に転送します。


CA 管理者は、CA が要求を受け取ったときに、CA サーバーで登録要求を手動で承認するように要求される場合があります。

  • CA のプライベート キーで署名した、CA から発行された証明書を受け取ります。

  • 証明書をデバイスの不必要なストレージ領域(bootflash)に書き込みます。

カットアンドペーストによる手動登録

Cisco NX-OS ソフトウェアは、手動のカットアンドペーストを使用した証明書の取得と登録をサポートします。 登録をカット アンド ペーストすると、証明書の要求と結果として得られた証明書を切り取りして、デバイスと CA の間で貼り付ける必要が出てきます。

手動登録プロセスにカット アンド ペーストを使用する場合、以下の手順を実行する必要があります。

  • Cisco NX-OS デバイスが base64 エンコード テキスト形式で表示する登録証明書リクエストを作成します。

  • エンコードされた証明書要求テキストを E メールまたは Web フォームにカットアンドペーストし、CA に送信します。

  • 発行された証明書(base64 エンコード テキスト形式)を電子メールまたは Web ブラウザ ダウンロードで CA から受信します。

  • 証明書インポート機能を使用して、発行された証明書を切り取りして、デバイスに貼り付けます。

複数の RSA 鍵ペアおよび ID CA サポート

複数の ID CA によって、デバイスは 1 つ以上の信頼ポイントで登録できます。その結果、各識別 CA から複数の ID 証明書が作成されます。 この機能を使用して、Cisco NX-OS デバイスは、それらのピアに受け入れ可能な CA によって発行される証明書を使用して、SSH と多くのピアを持つ他のアプリケーションに参加できます。

複数の RSA 鍵ペア機能によって、デバイスは登録されている各 CA について異なる鍵ペアを維持できます。 鍵の長さなど、他の CA によって指定された要件と競合することなく、各 CA のポリシー要件に一致できます。 デバイスは複数の RSA 鍵ペアを生成し、各鍵ペアを異なる信頼ポイントに関連付けできます。 その後、信頼ポイントで登録するときに、関連する鍵ペアが証明書リクエストを構築するために使用されます。

ピア証明書の確認

Cisco NX-OS デバイス上の PKI サポートはピアの証明書を確認できます。 Cisco NX-OS ソフトウェアは、SSH などのアプリケーションのセキュリティ交換中にピアから受け取った証明書を検証します。 アプリケーションはピア証明書の有効性を確認します。 Cisco NX-OS ソフトウェアは、ピアの証明書を検証するときに、次のステップを実行します。

  • システムがローカル ピア証明書が CA の 1 つによって発行されたことを確認します。

  • 日付が現在ピア証明書に関して有効であること (期限切れではない) を確認します。

  • 発行 CA によってピア証明書が取り消されていないことを確認します。

失効確認の場合、Cisco NX-OS ソフトウェアは証明書失効リスト(CRL)をサポートします。 信頼ポイント CA は、この方法を使用して、ピア証明書が取り消されていないことを確認できます。

証明書失効の確認

Cisco NX-OS ソフトウェアは、CA 証明書の失効ステータスをチェックできます。 アプリケーションは、指定した順番で失効確認のメカニズムを使用できます。 選択は CRL、なし、またはこれらの方法の組み合わせです。

CRL サポート

CA は期限の前に失効した証明書に関する情報を提供するために、証明書失効リスト(CRL)を維持します。 CA はリポジトリに CRLS を公開し、発行された証明書のダウンロード パブリック URL を提供します。 ピアの証明書を確認しているクライアントは、発行 CA から最新の CRL を取得し、それを使用して証明書が失効したことを確認します。 クライアントは、CRLS が期限切れになるまで、一部またはすべての信頼できる CA の CR をローカルにキャッシュし、後で必要に応じて使用することができます。

Cisco NX-OS ソフトウェアは、信頼ポイントの事前ダウンロード CRL の手動構成を可能にし、それをデバイス bootflash (cert-store) にキャッシュします。 ピア証明書の検証中に、Cisco NX-OS ソフトウェアは CRL がローカルにキャッシュされ、失効確認が CRL を使用するように設定されている場合にのみ、発行 CA から CRL をチェックします。 それ以外の場合、Cisco NX-OS ソフトウェアは CRL チェックを実行せずに、またh他の失効確認方法を設定していない限り、証明書は失効しないとみなします。

証明書と関連する鍵ペアのインポートとエクスポートのサポート

CA 認証および登録プロセスの一部として、従属 CA 証明書 (または証明書チェーン) および ID 証明書は標準 PEM (base64) 形式でインポートできます。

信頼ポイント内の完全な ID 情報は、パスワード保護された PKCS#12 標準形式でファイルにエクスポートできます。 後で同じデバイス (たとえば、システム クラッシュ後) または交換用デバイスにインポートすることができます。 PKCS#12 ファイル内の情報は、RSA 鍵ペア、ID 証明書、および CA 証明書 (またはチェーン) で構成されています。

PKI のライセンス要件

以下の表は、この機能のライセンス要件を示しています。

製品

ライセンス要件

Cisco NX-OS

PKI 機能はライセンスを必要としません。 ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム画像にバンドルされ、追加料金無しで提供されます。 Cisco NX-OS ライセンス スキームの説明については、Cisco NX-OS ライセンス ガイド を参照してください。

PKI のガイドラインと制限

PKI には、次の構成ガイドラインと制限があります。

  • Cisco NX-OS デバイスで構成可能な鍵ペアの最大数は、16 です。

  • Cisco NX-OS デバイスで宣言可能な信頼ポインターの最大数は、16 です。

  • Cisco NX-OS デバイスで構成可能な ID 証明書の最大数は、16 です。

  • CA 証明書チェーンの証明書の最大数は 10 です。

  • 特定の CA に認証可能な信頼ポイントの最大数は、10 です。

  • 構成ロールバックは PKI 構成をサポートしません。

  • Cisco NX-OS ソフトウェアは OSCP をサポートしていません。


Cisco IOS CLI をよく知っている場合、この機能の Cisco NX-OS コマンドは、使用する Cisco IOS コマンドとは異なる可能性があることに注意してください。

PKI のデフォルト設定

この表は PKI パラメータのデフォルト設定をリストします。

表 1。 デフォルト PKI パラメータ

パラメータ

デフォルト

信頼ポイント

なし

RSA 鍵ペア

なし

RSA 鍵ペア ラベル

デバイス FQDN

RSA 鍵ペア モジュール

512

エクスポート可能な RSA 鍵ペア

有効

失効確認方法

CRL

CA およびデジタル証明書の構成

このセクションでは、Cisco NX-OS デバイス上の CA とデジタル証明書を相互運用するために実行しなければならないタスクを説明します。

ホスト名と IP ドメイン名の設定

Cisco NX-OS ソフトウェアが ID 証明書のサブジェクトとしてデバイスの 完全修飾ドメイン名 (FQDN) を使用するため、まだ構成していない場合、デバイスのホスト名と IP ドメイン名を構成する必要があります。 また、Cisco NX-OS ソフトウェアは、鍵ペア生成中にラベルを指定しない場合、デフォルト キー ラベルとしてデバイス FQDN を使用します。 たとえば、DeviceA.example.com という名前の証明書は、デバイス ホスト名 DeviceA と example.com の デバイス IP ドメイン名に基づいています。


証明書の生成後にホスト名または IP ドメイン名を変更すると、証明書が無効になる場合があります。

  コマンドまたはアクション 目的
1

configure terminal

例:

switch# configure terminal switch(config)#

グローバル構成モードを開始します。

2

hostnamehostname

例:

switch(config)# hostname DeviceA

デバイスのホスト名を構成します。

3

ip domain-namename [use-vrfvrf-name]

例:

DeviceA(config)# ip domain-name example.com

デバイスの IP ドメイン名を構成します。 また、VRF 名を指定しない場合は、コマンドはデフォルトの VRF を使用します。

4

終了

例:

switch(config)# exit switch#

構成モードを終了します。

5

(オプション) show hosts

例:

switch# show hosts
(オプション)

IP ドメイン名を表示します。

6

(オプション) copy running-config startup-config

例:

switch# copy running-config startup-config
(オプション)

実行中の構成をスタートアップ構成にコピーします。

RSA 鍵ペアの生成

アプリケーションのセキュリティ プロトコル交換中にセキュリティ ペイロードに署名および/または暗号化および解読するために RSA 鍵ペアを生成できます。 デバイスの証明書を取得する前に、RSA 鍵ペアを生成する必要があります。

  コマンドまたはアクション 目的
1

configure terminal

例:

switch# configure terminal switch(config)#

グローバル構成モードを開始します。

2

crypto key generate rsa [labellabel-string] [exportable] [modulussize]

例:

switch(config)# crypto key generate rsa exportable

RSA 鍵ペアの生成。 デバイスの鍵ペアの最大数は 16 です。

ラベル文字列は英数字で、大文字と小文字を区別し、最大 64 文字です。 デフォルトのラベル文字列は、ホスト名とFQDNピリオド (.) で区切ります。

有効なモジュール値は、512、512、768、1024、1536、および 2048です。 デフォルトのモジュール サイズは 512 です。


 

Cisco NX-OS デバイスおよび CA 上 (登録が計画されている場合) のセキュリティ ポリシーは、適切なキーを決定する際に考慮する必要があります。

デフォルトでは、鍵ペアはエクスポートできません。 エクスポート可能な鍵ペアだけが PKCS#12 形式でエクスポートできます。


 

鍵ペアのエクスポートの可能性は変更できません。

3

終了

例:

switch(config)# exit switch#

構成モードを終了します。

4

(オプション) show crypto key mypubkey rsa

例:

switch# show crypto key mypubkey rsa
(オプション)

生成されたキーを表示します。

5

(オプション) copy running-config startup-config

例:

switch# copy running-config startup-config
(オプション)

実行中の構成をスタートアップ構成にコピーします。

信頼ポイント CA 関連の作成

Cisco NX-OS デバイスを信頼ポイント CA と関連付ける必要があります。

スケジューリングを始める前に

RSA 鍵ペアを生成します。

  コマンドまたはアクション 目的
1

configure terminal

例:

switch# configure terminal switch(config)#

グローバル構成モードを開始します。

2

crypto ca trustpointname

例:

switch(config)# crypto ca trustpoint admin-ca switch(config-trustpoint)#

デバイスが信頼ポイントの構成モードを開始する必要がある信頼ポイント CA を宣言します。


 

デバイスで構成可能な信頼ポインターの最大数は、16 です。

3

enrollment terminal

例:

switch(config-trustpoint)# enrollment terminal

証明書登録の手動によるカットアンドペーストを有効にします。 デフォルトでは有効になっています。


 

Cisco NX-OS ソフトウェアは、証明書の登録に対する手動によるカットアンドペースト方法のみをサポートします。

4

rsakeypairlabel

例:

switch(config-trustpoint)# rsakeypair SwitchA

登録用にこの信頼ポイントに関連付ける RSA 鍵ペアのラベルを指定します。


 

1 CA につき 1 つの RSA 鍵ペアのみ指定できます。

5

終了

例:

switch(config-trustpoint)# exit switch(config)#

信頼ポイント構成モードを終了します。

6

(オプション) show crypto ca trustpoints

例:

switch(config)# show crypto ca trustpoints
(オプション)

信頼ポイント情報を表示します。

7

(オプション) copy running-config startup-config

例:

switch(config)# copy running-config startup-config
(オプション)

実行中の構成をスタートアップ構成にコピーします。

CA の認証

CA を信頼する構成プロセスは、CA が Cisco NX-OS デバイスに認証された場合にのみ完了します。 CA の公開鍵を含む PEM 形式の CA の自己署名証明書を取得することで、Cisco NX-OS デバイスを CA に対して認証する必要があります。 CA の証明書は自己署名のため (CA は証明書に署名)、CA の公開鍵は CA 管理者に連絡して CA 証明書の指紋を比較することで手動で認証される必要があります。


認証している CA は、それが別の CA の従属 CA である場合、自己署名 CA ではなく、それ自体が別の CA に対する従属であり、それ自体が別の CA に対する従属であり、最終的に自己署名証明書 CA で終了します。 このタイプの CA 証明書は認証 される CA の CA 証明書チェーンと呼ばれる認証です。 この場合、CA 認証中に、証明書チェーンのすべての CA 証明書の完全なリストを入力する必要があります。 CA 証明書チェーンの証明書の最大数は 10 です。

スケジューリングを始める前に

CA との関連付けを作成します。

CA 証明書または CA 証明書チェーンを取得します。

  コマンドまたはアクション 目的
1

configure terminal

例:

switch# configure terminal switch(config)#

グローバル構成モードを開始します。

2

crypto ca authenticatename

例:

switch(config)# の暗号化 CA が PEM 形式での admin-ca 入力 (カット &ペースト) CA 証明書 (チェーン) を認証します; END OF INPUT のみを含む行で入力を終了: -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea NBG7E0oN66zex0EOEfG1Vs6mXp1//w== -----END CERTIFICATE----- END OF INPUT Fingerprint(s): MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 この証明書を受け入しますか? [yes/no]: yes

CA の証明書をカット アンド ペーストするように指示メッセージが表示されます。 CA を宣言するときに使用したものと同じ名前を使用します。

特定の CA に認証可能な信頼ポイントの最大数は、10 です。


 

従属 CA 認証に対して、Cisco NX-OS ソフトウェアは、PKCS#12 形式のエクスポートに対して CA チェーンと同様に、証明書の確認にも必要なので、自己署名証明書の完全なチェーンを必要とします。

3

終了

例:

switch(config)# exit switch#

構成モードを終了します。

4

(オプション) show crypto ca trustpoints

例:

switch# show crypto ca trustpoints
(オプション)

信頼ポイント CA 情報を表示します。

5

(オプション) copy running-config startup-config

例:

switch# copy running-config startup-config
(オプション)

実行中の構成をスタートアップ構成にコピーします。

証明書失効の確認方法の設定

クライアント (たとえば、SSH ユーザー) とのセキュリティ交換の間、Cisco NX-OS デバイスは、クライアントによって送信されたシステムの証明書ピア証明書実行します。 検証プロセスでは、証明書失効のステータス確認が含まれる場合があります。

CA からダウンロードされた CRL をチェックするために、デバイスを構成することができます。 CRL をダウンロードしてローカルで確認しても、ネットワーク上でトラフィックが生成されません。 ただし、証明書はダウンロード間で失効する場合があり、お使いのデバイスは失効を認識していない場合があります。

スケジューリングを始める前に

CA を認証します。

CRL の確認を使用する場合は、CRL を構成されていることを確認してください。

  コマンドまたはアクション 目的
1

configure terminal

例:

switch# configure terminal switch(config)#

グローバル構成モードを開始します。

2

crypto ca trustpointname

例:

switch(config)# crypto ca trustpoint admin-ca switch(config-trustpoint)#

信頼ポイント CA を指定し、信頼ポイント構成モードを入力します。

3

revocation-check {crl [none] | none}

例:

switch(config-trustpoint)# revocation-check none

証明書失効の確認方法を構成します。 デフォルトの方法は crl です。

Cisco NX-OS ソフトウェアは、指定した順番で証明書失効の方法を使用します。

4

終了

例:

switch(config-trustpoint)# exit switch(config)#

信頼ポイント構成モードを終了します。

5

(オプション) show crypto ca trustpoints

例:

switch(config)# show crypto ca trustpoints
(オプション)

信頼ポイント CA 情報を表示します。

6

(オプション) copy running-config startup-config

例:

switch(config)# copy running-config startup-config
(オプション)

実行中の構成をスタートアップ構成にコピーします。

証明書要求の生成

お使いのデバイスの RSA 鍵ペアに対して、関連する信頼ポイント CA から ID 証明書を取得する要求を生成する必要があります。 表示されている要求をメールまたは CA のウェブサイトフォームにカット アンド ペーストする必要があります。

スケジューリングを始める前に

CA との関連付けを作成します。

CA 証明書または CA 証明書チェーンを取得します。

  コマンドまたはアクション 目的
1

configure terminal

例:

switch# configure terminal switch(config)#

グローバル構成モードを開始します。

2

crypto ca enroll name

例:

switch(config)# crypto ca enroll admin-ca Create the certificate request .. 新しいパスワードを作成します。 証明書を失効するには、このパスワードを CA 管理者に口頭で提供する必要があります。 セキュリティ上の理由により、パスワードは構成に保存されません。 書き留めておいてください。 パスワード:nbv123 証明書の件名は次の条件を示します。 DeviceA.cisco.com 件名にスイッチのシリアル番号を含めますか? [yes/no]: no サブジェクト名に IP アドレスを含む [yes/no]: yes IP アドレス:172.22.31.162 証明書のリクエストが表示されます... -----BEGIN CERTIFICATE REQUEST----- MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= -----END CERTIFICATE REQUEST-----

認証済み CA の証明書リクエストを生成します。


 

チャレンジ パスワードを忘えないでください。 構成には保存されません。 証明書を失効させる必要がある場合は、このパスワードを入力する必要があります。

3

終了

例:

switch(config-trustpoint)# exit switch(config)#

信頼ポイント構成モードを終了します。

4

(オプション) show crypto ca certificates

例:

switch(config)# show crypto ca certificates
(オプション)

CA 証明書を表示します。

5

(オプション) copy running-config startup-config

例:

switch(config)# copy running-config startup-config
(オプション)

実行中の構成をスタートアップ構成にコピーします。

ID 証明書のインストール

CA の BASE64 エンコード テキスト形式で、電子メールまたはウェブ ブラウザーから CA から ID 証明書を受け取することができます。 エンコード テキストをカット アンド ペーストして、CA から ID 証明書をインストールする必要があります。

スケジューリングを始める前に

CA との関連付けを作成します。

CA 証明書または CA 証明書チェーンを取得します。

  コマンドまたはアクション 目的
1

configure terminal

例:

switch# configure terminal switch(config)#

グローバル構成モードを開始します。

2

crypto ca importnamecertificate

例:

switch(config)# crypto ca import admin-ca certificate input (cut & paste) certificate in PEM format: -----BEGIN CERTIFICATE----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw E36cIZu4WsExREqxbTk8ycx7V5o= -----END CERTIFICATE-----

admin-ca という名前の CA の ID 証明書をカット アンド ペーストするように指示メッセージが表示されます。

デバイスで構成可能な ID 証明書の最大数は、16 です。

3

終了

例:

switch(config)# exit switch#

構成モードを終了します。

4

(オプション) show crypto ca certificates

例:

switch# show crypto ca certificates
(オプション)

CA 証明書を表示します。

5

(オプション) copy running-config startup-config

例:

switch# copy running-config startup-config
(オプション)

実行中の構成をスタートアップ構成にコピーします。

リブートにわたって信頼ポイントの構成を持続させる

信頼ポイント構成が Cisco NX-OS デバイスのリブートにわたって維持することができます。

信頼ポイント構成は、明示的にスタートアップ設定にコピーした場合にのみ、システム リブートにわたって持続する通常の Cisco NX-OS デバイス構成です。 すでにスタートアップ設定で信頼ポイントの構成をコピーした場合、信頼ポイントに関連付けられている証明書、キーのペア、CRL は自動的に永続的に保存されます。 逆に、信頼ポイントの構成がスタートアップ構成にコピーされない場合、それに関連付けられている証明書、鍵ペア、および CRL はリブート後の対応する信頼ポイント構成を必要とするために持続しません。 構成済みの証明書、鍵ペア、および CRL が持続するように、実行中の構成を必ずスタートアップ構成にコピーしてください。 また、証明書または鍵ペアを削除した後、実行中の構成を保存し、削除が永久的に行うのを確認します。

特定の信頼ポイントがスタートアップ構成で既に保存されている場合、インポートされると (つまり、明示的にスタートアップ構成にコピーすることなく) 信頼ポイントに関連付けられる CRL は自動的に持続します。

ID 証明書のパスワード保護されたバックアップを作成し、外部サーバーに保存することをお勧めします。


外部サーバーに構成をコピーする場合、証明書とキーのペアは含まれます。

PKCS 12 形式での ID 情報のエクスポート

バックアップの目的で PKCS#12 ファイルに信頼ポイントの RSA 鍵ペアおよび CA 証明書 (または従属 CA の場合はチェーン全体) とともに ID 証明書をエクスポートできます。 デバイスのシステム クラッシュから復旧するか、スーパーバイザ モジュールを置き換える際に証明書と RSA 鍵ペアをインポートできます。


エクスポート URL を指定する際に使用できるのは bootflash:filename 形式のみです。

スケジューリングを始める前に

CA を認証します。

ID 証明書をインストールします。

  コマンドまたはアクション 目的
1

configure terminal

例:

switch# configure terminal switch(config)#

グローバル構成モードを開始します。

2

crypto ca exportname pkcs12 bootflash:filenamepassword

例:

switch(config)# crypto ca export admin-ca pkcs12 bootflash:adminid.p12 nbv123

信頼ポイント CA の ID 証明書および関連する鍵ペアおよび CA 証明書をエクスポートします。 パスワードは英数字で、大文字と小文字を区別し、最大 128 文字です。

3

終了

例:

switch(config)# exit switch#

構成モードを終了します。

4

copy booflash:filenamescheme://server/ [url/]filename

例:

switch# copy bootflash:adminid.p12 tftp:adminid.p12

PKCS#12 形式ファイルをリモート サーバーにコピーします。

スキーム の引数については、 tftp:ftp:scp:、または sftp: を入力できます。 server 引数はリモート サーバーのアドレスまたは名前で、url 引数はリモートサーバーのソース ファイルへのパスです。

Server、url、url、およびファイルurl、url、および filename の引数では大文字と小文字が区別されます。

PKCS 12 形式での ID 情報のインポート

デバイスのシステム クラッシュから復旧するか、スーパーバイザ モジュールを置き換える際に証明書と RSA 鍵ペアをインポートできます。


インポート URL を指定する際に使用できるのは bootflash:filename 形式のみです。

スケジューリングを始める前に

RSA 鍵ペアが関連付けられているのはないか確認することで、信頼ポイントが空であり、CA 認証を使用する CA が信頼ポイントに関連付けられている必要はありません。

  コマンドまたはアクション 目的
1

copyscheme://server/[url/]filenamebootflash:filename

例:

switch# copy tftp:adminid.p12 bootflash:adminid.p12

PKCS#12 形式ファイルをリモート サーバーにコピーします。

スキーム の引数については、 tftp:ftp:scp:、または sftp: を入力できます。 server 引数はリモート サーバーのアドレスまたは名前で、url 引数はリモートサーバーのソース ファイルへのパスです。

Server、url、url、およびファイルurl、url、および filename の引数では大文字と小文字が区別されます。

2

configure terminal

例:

switch# configure terminal switch(config)#

グローバル構成モードを開始します。

3

crypto ca importnamepksc12 bootflash:filename

例:

switch(config)# crypto ca import admin-ca pkcs12 bootflash:adminid.p12 nbv123

信頼ポイント CA の ID 証明書および関連する鍵ペアおよび CA 証明書をインポートします。

4

終了

例:

switch(config)# exit switch#

構成モードを終了します。

5

(オプション) show crypto ca certificates

例:

switch# show crypto ca certificates
(オプション)

CA 証明書を表示します。

6

(オプション) copy running-config startup-config

例:

switch# copy running-config startup-config
(オプション)

実行中の構成をスタートアップ構成にコピーします。

CRL の設定

信頼ポイントからダウンロードした CRL を手動で構成できます。 Cisco NX-OS ソフトウェアは、デバイス bootflash (cert-store) の CRL をキャッシュします。 ピア証明書の検証中に、CRL をデバイスにダウンロードして、CRL を使用するために構成した証明書失効確認があるときのみ、Cisco NX-OS ソフトウェアは、発行する CA からの CRL のダウンロードを確認します。

スケジューリングを始める前に

証明書失効の確認が有効になっているか確認します。

  コマンドまたはアクション 目的
1

copyscheme:[//server/[url/]]filenamebootflash:filename

例:

switch# copy tftp:adminca.crl bootflash:adminca.crl

リモート サーバーから CRL をダウンロードします。

スキーム の引数については、 tftp:ftp:scp:、または sftp: を入力できます。 server 引数はリモート サーバーのアドレスまたは名前で、url 引数はリモートサーバーのソース ファイルへのパスです。

Server、url、url、およびファイルurl、url、および filename の引数では大文字と小文字が区別されます。

2

configure terminal

例:

switch# configure terminal switch(config)#

グローバル構成モードを開始します。

3

crypto ca crl requestnamebootflash:filename

例:

switch(config)# crypto ca crl request admin-ca bootflash:adminca.crl

現在の CRL をファイルで指定されたものに構成または置換します。

4

終了

例:

switch(config)# exit switch#

構成モードを終了します。

5

(オプション) show crypto ca crlname

例:

switch# show crypto ca crl admin-ca
(オプション)

CA CRL 情報を表示します。

6

(オプション) copy running-config startup-config

例:

switch# copy running-config startup-config
(オプション)

実行中の構成をスタートアップ構成にコピーします。

CA 構成から証明書を削除する

信頼ポイントで設定された ID 証明書と CA 証明書を削除できます。 ID 証明書を削除し、その後 CA 証明書を削除する必要があります。 ID 証明書を削除した後、信頼ポイントから RSA 鍵ペアの関連付けを解除できます。 期限切れまたは失効した証明書、侵害された (または侵害が疑われる) 鍵ペア、または信頼されなくなった CA を削除するには、証明書を削除する必要があります。

  コマンドまたはアクション 目的
1

configure terminal

例:

switch# configure terminal switch(config)#

グローバル構成モードを開始します。

2

crypto ca trustpointname

例:

switch(config)# crypto ca trustpoint admin-ca switch(config-trustpoint)#

信頼ポイント CA を指定し、信頼ポイント構成モードを入力します。

3

delete ca-certificate

例:

switch(config-trustpoint)# delete ca-certificate

CA 証明書または証明書チェーンを削除します。

4

delete certificate [force]

例:

switch(config-trustpoint)# delete certificate

ID 証明書を削除します。

削除する ID 証明書が証明書チェーンの最後の証明書である場合、またはデバイス内の証明書のみを識別する場合、強制オプションを使用する必要があります。 この要件は、誤って証明書チェーンの最後の証明書を削除したり、ID 証明書のみを削除したり、使用する証明書なしでアプリケーション(SSH など)を残したりすることを保証します。

5

終了

例:

switch(config-trustpoint)# exit switch(config)#

信頼ポイント構成モードを終了します。

6

(オプション) show crypto ca certificates [name]

例:

switch(config)# show crypto ca certificates admin-ca
(オプション)

CA 証明書情報を表示します。

7

(オプション) copy running-config startup-config

例:

switch(config)# copy running-config startup-config
(オプション)

実行中の構成をスタートアップ構成にコピーします。

Cisco NX-OS デバイスから RSA 鍵ペアを削除する

RSA 鍵ペアが何らかの方法で侵害され、使用すべきではないと考える場合は、Cisco NX-OS デバイスから RSA 鍵ペアを削除できます。


デバイスから RSA 鍵ペアを削除した後、CA 管理者に、CA でお使いのデバイスの証明書を取り消す必要があります。 証明書を最初に要求した際に作成した認証パスワードを入力する必要があります。

  コマンドまたはアクション 目的
1

configure terminal

例:

switch# configure terminal switch(config)#

グローバル構成モードを開始します。

2

crypto key zeroize rsalabel

例:

switch(config)# crypto key zeroize rsa MyKey

RSA 鍵ペアを削除します。

3

終了

例:

switch(config)# exit switch#

構成モードを終了します。

4

(オプション) show crypto key mypubkey rsa

例:

switch# show crypto key mypubkey rsa
(オプション)

RSA 鍵ペア構成を削除します。

5

(オプション) copy running-config startup-config

例:

switch# copy running-config startup-config
(オプション)

実行中の構成をスタートアップ構成にコピーします。

PKI 構成の検証

PKI 構成情報を表示するには、以下のいずれかの作業を行います:

コマンド

目的

show crypto key mypubkey rsa

Cisco NX-OS デバイスで生成された RSA 公開鍵に関する情報を表示します。

show crypto ca certificates

CA および ID 証明書に関する情報を表示します。

show crypto ca crl

CA CRL に関する情報を表示します。

show crypto ca trustpoints

CA 信頼ポイントに関する情報を表示します。

PKI 構成の例

このセクションは、Microsoft Windows 証明書サーバーを使用して Cisco NX-OS デバイスの証明書と CRL を構成するために使用できるタスクの例を示します。


どのタイプの証明書サーバーを使用してデジタル証明書を生成することができます。 お客様は Microsoft Windows 証明書サーバーの使用に制限されません。

Cisco NX-OS デバイスでの証明書の構成

Cisco NX-OS デバイスで証明書を設定するには、以下の手順に従います。

1

デバイス FQDN を構成します。

Switch# configure terminal 1 行ごとに 1 個ずつ設定コマンドを入力します。 CNTL/Z で終了。switch(config)# hostname Device-1 Device-1(config)# 
2

デバイスの DNS ドメイン名を構成します。

Device-1(config)# ip domain-name cisco.com

3

信頼ポイントを作成します。

Device-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# exit Device-1(config)# show crypto ca trustpoints trustpoint: myCA; key: revokation methods: crl 
4

デバイスに RSA 鍵ペアを作成します。

Device-1(config)# crypto key generate rsa label myKey exportable modulus 1024 Device-1(config)# show crypto key mypubkey rsa key label: myKey key size: 1024 exportable: yes 
5

RSA 鍵ペアを信頼ポイントに関連付けます。

Device-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# rsakeypair myKey Device-1(config-trustpoint)# exit Device-1(config)# show crypto ca trustpoints trustpoint: myCA; key: myKey revokation methods: crl 
6

Microsoft Certificate Service ウェブ インターフェイスから CA 証明書をダウンロードします。

7

信頼ポイントに登録する CA を認証します。

Device-1(config)# crypto ca authenticate myCA input (cut & paste) CA certificate (chain) in PEM format; end the input with a line containing only END OF INPUT : -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB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-----END CERTIFICATE-----
END OF INPUT Fingerprint(s): MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 この証明書を受け入しますか? [yes/no]:y Device-1(config)# show crypto ca certificates Trustpoint: myCA CA certificate 0: subject= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA issuer= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA serial=0560D289ACB419944F4912258CAD197A notBefore=May 3 22:46:37 2005 GMT notAfter=May 3 22:55:17 2007 GMT MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 purposes: sslserver sslclient ike 
8

信頼ポイントで登録するために使用するリクエスト証明書を生成します。

Device-1(config)# crypto ca enroll myCA 証明書リクエストを作成します .. 新しいパスワードを作成します。 証明書を失効するには、このパスワードを CA 管理者に口頭で提供する必要があります。 セキュリティ上の理由により、パスワードは構成に保存されません。 書き留めておいてください。 パスワード: nbv123 証明書の件名は次の条件を示します。 Device-1.cisco.com件名にスイッチのシリアル番号を含めますか? [yes/no]: no サブジェクト名に IP アドレスを含む [yes/no]: yes ip address: 10.10.1.1 証明書のリクエストが表示されます... -----BEGIN CERTIFICATE REQUEST----- MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= -----END CERTIFICATE REQUEST----- 
9

Microsoft Certificate Service ウェブ インターフェイスから ID 証明書をリクエストします。

10

ID 証明書をインポートします。

Device-1(config)# crypto ca import myCA certificate input (cut & paste) certificate in PEM format: -----BEGIN CERTIFICATE----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G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-----END CERTIFICATE----- Device-1(config)# exit Device-1# 
11

証明書の構成を確認します。

12

証明書の構成をスタートアップ構成に保存します。

CA 証明書のダウンロード

Microsoft Certificate Service ウェブ インターフェイスから CA 証明書をダウンロードするには、次の手順に従います:

1

Microsoft Certificate Services ウェブ インターフェイスから、[CA 証明書または証明書失効の取得] タスクをクリックし、[次へ] をクリックします。

2

表示リストから、表示されたリストからダウンロードする CA 証明書ファイルを選択します。 次に、[Base 64 encoded] をクリックし、[CA 証明書のダウンロード] をクリックします。

3

[ファイルのダウンロード] ダイアログボックスで [開く] をクリックします。

4

[証明書] ダイアログ ボックスで、[ファイルにコピー] をクリックし、[OK] をクリックします。

5

証明書エクスポート ウィザード ダイアログ ボックスから、Base-64 エンコード X.509 (CER) を選択し、[次へ] をクリックします。

6

[証明書エクスポート ウィザード] ダイアログボックスの [ファイル名: ] テキストボックスに、保存先のファイル名を入力し、[次へ] をクリックします。

7

[証明書のエクスポート ウィザード] ウィンドウでダイアログ ボックス] で、[完了] をクリックします。

8

Microsoft Windows の type コマンドを入力して Base-64 (PEM) 形式で保存されている CA 証明書を表示します。

ID 証明書の要求

PKCS#12 証明書署名リクエスト (CRS) を使用して Microsoft Certificate Server から証明書の識別を要求するには、次の手順に従います。

1

Microsoft Certificate Services ウェブ インターフェイスから、[証明書のリクエスト] をクリックし、[次へ] をクリックします。

2

[高度なリクエスト] をクリックし、[次へ] をクリックします。

3

[Base64 エンコード PKCS#10 ファイルを使用して証明書リクエストを送信する] または Base64 エンコード PKCS#7 ファイルを使用する更新リクエストをクリックし、[次へ] をクリックします。

4

[保存された要求] テキストボックスに、base64 PKCS#10 証明書リクエストを貼り付け、[次へ] をクリックします。 証明書リクエストは Cisco NX-OS デバイス コンソールからコピーされます。

5

CA 管理者が証明書を発行するまで 1 ~ 2 日待ちます。

6

CA 管理者が証明書リクエストを承認することにご注意ください。

7

Microsoft Certificate Services ウェブ インターフェイスから、[保留中の証明書の確認] をクリックし、[次へ] をクリックします。

8

確認するチームを選択し、[次へ] をクリックします。

9

次に、[Base 64 encoded] をクリックし、[CA 証明書のダウンロード] をクリックします。

10

[ファイルのダウンロード] ダイアログボックスの [開く] をクリックします。

11

[詳細] タブをクリックし、[ファイルにコピー...] をクリックします。 証明書エクスポート ダイアログ ボックスから、Base-64 encoded X.509 (.CER) クリックし、[次へ] をクリックします。

12

[証明書エクスポート ウィザード] ダイアログボックスの [ファイル名: ] テキストボックスに、保存先のファイル名を入力し、[次へ] をクリックします。

13

[完了] をクリックします。

14

Microsoft Windows の type コマンドを入力して base64-encoded 形式でされている ID 証明書を表示します。

証明書の取り消し

Microsoft CA 管理者プログラムを使用して証明書を取り消す場合は、以下の手順に従います。

1

証明機関のツリーから、[Issued Certificates] フォルダーをクリックします。 リストから、取り消したい証明書を右クリックします。

2

[すべてのタスク] > [証明書の取り消し] を選択します。

3

[理由コード] ドロップダウン ドロップダウン リストから取り消しの理由を選択し、[はい] をクリックします。

4

[Revoked Certificates] フォルダー をクリックして、証明書の取り消しを一覧にし、確認します。

CRL の生成および公開

Microsoft CA 管理者プログラムを使用して CRL を生成して、公開するためには、以下の手順に従います。

1

[証明機関] 画面から、[アクション] > [すべてのタスク] > [公開] を選択します。

2

[証明書失効のリスト] ページでダイアログ ボックスで、[Yes] をクリック して最新の CRL を発行します。

CRL のダウンロード

Microsoft CA ウェブサイトから CRL をダウンロードするには、次のステップに従ってください。

1

Microsoft Certificate Services ウェブ インターフェイスから、[CA 証明書または証明書失効のリストの取得] をクリックし、[次へ] をクリックします。

2

[最新の証明書失効のリストのダウンロード] をクリックします。

3

[ファイルのダウンロード] ダイアログボックスで [保存] をクリックします。

4

[名前を付けて保存] ダイアログ ボックスで、保存先のファイル名を入力し、[保存] をクリック します。

5

Microsoft Windows type コマンド を入力して CRL を表示します。

CRL のインポート

CRL を CA に対応する信頼ポイントにインポートするには、次のステップに従います。

1

CRL ファイルを Cisco NX-OS デバイス ブートスラッシュにコピーします。

Device-1# copy tftp:apranaCA.crl bootflash:aparnaCA.crl

2

CRL を構成します。

 Device-1# configure terminal Device-1(config)# crypto ca crl request myCA bootflash:aparnaCA.crl Device-1(config)# 
3

CRL のコンテンツを表示します。

 Device-1(config)# show crypto ca crl myCA Trustpoint: myCA CRL: 証明書失効のリスト (CRL): バージョン 2 (0x1) 署名アルゴリズム: sha1WithRSAEncryption Issuer: /emailAddress=admin@yourcompany.com/C=IN/ST=Karnatak Yourcompany/OU=netstorage/CN=Aparna CA 最終更新日時: Nov 12 04:36:04 2005 GMT Next Update: Nov 19 16:56:04 2005 GMT CRL extensions: X509v3 Authority Key Identifier: keyid:27:28:F2:46:83:1B:AC:23:4C:45:4D:8E:C9:18:50:1 1.3.6.1.4.1.311.21.1: ... 失効した証明書: Serial Number: 611B09A1000000000002 Revocation Date: Aug 16 21:52:19 2005 GMT Serial Number: 4CDE464E000000000003 Revocation Date: Aug 16 21:52:29 2005 GMT Serial Number: 4CFC2B42000000000004 Revocation Date: Aug 16 21:52:41 2005 GMT Serial Number: 6C699EC2000000000005 Revocation Date: Aug 16 21:52:52 2005 GMT Serial Number: 6CCF7DDC000000000006 Revocation Date: Jun 8 00:12:04 2005 GMT Serial Number: 70CC4FFF000000000007 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 4D9B1116000000000008 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 52A80230000000000009 Revocation Date: Jun 27 23:47:06 2005 GMT CRL entry extensions: X509v3 CRL Reason Code: CA Compromise Serial Number: 5349AD4600000000000A Revocation Date: Jun 27 23:47:22 2005 GMT CRL entry extensions: X509v3 CRL Reason Code: CA Compromise Serial Number: 53BD173C00000000000B Revocation Date: Jul 4 18:04:01 2005 GMT CRL entry extensions: X509v3 CRL Reason Code: Certificate Hold Serial Number: 591E7ACE00000000000C Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 5D3FD52E00000000000D Revocation Date: Jun 29 22:07:25 2005 GMT CRL entry extensions: X509v3 CRL Reason Code: Key Compromise Serial Number: 5DAB771300000000000E Revocation Date: Jul 14 00:33:56 2005 GMT Serial Number: 5DAE53CD00000000000F Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 5DB140D3000000000010 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 5E2D7C1B000000000011 Revocation Date: Jul 6 21:12:10 2005 GMT CRL entry extensions: X509v3 CRL Reason Code: Cessation Of Operation Serial Number: 16DB4F8F000000000012 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 261C3924000000000013 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 262B5202000000000014 Revocation Date: Jul 14 00:33:10 2005 GMT Serial Number: 2634C7F2000000000015 Revocation Date: Jul 14 0:32:45 2005 GMT Serial Number: 2635B000000000000016 Revocation Date: Jul 14 0:31:51 2005 GMT Serial Number: 26485040000000000017 Revocation Date: Jul 14 0:32:25 2005 GMT Serial Number: 2A276357000000000018 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 3F88CBF7000000000019 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 6E4B5F5F00000000001A Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 725B89D800000000001B Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 735A887800000000001C Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 148511C700000000001D Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 14A7170100000000001E Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 14FC45B500000000001F Revocation Date: Aug 17 18:30:42 2005 GMT Serial Number: 486CE80B000000000020 Revocation Date: Aug 17 18:30:43 2005 GMT Serial Number: 4CA4A3AA000000000021 Revocation Date: Aug 17 18:30:43 2005 GMT Serial Number: 1AA55C8E00000000002F Revocation Date: Sep 5 17:07:06 2005 GMT Serial Number: 3F0845DD00000000003F Revocation Date: Sep 8 20:24:32 2005 GMT Serial Number: 3F619B7E000000000042 Revocation Date: Sep 8 21:40:48 2005 GMT Serial Number: 6313C463000000000052 Revocation Date: Sep 19 17:37:18 2005 GMT Serial Number: 7C3861E3000000000060 Revocation Date: Sep 20 17:52:56 2005 GMT Serial Number: 7C6EE351000000000061 Revocation Date: Sep 20 18:52:30 2005 GMT Serial Number: 0A338EA100000000074 <-- 失効した ID 証明書の失効日: Nov 12 04:34:42 2005 GMT 署名アルゴリズム: sha1WithRSAEncryption 0b:cb:dd:43:0a:b8:62:1e:80:95:06:6f:4d:ab:0c:d8:8e:32: 44:8e:a7:94:97:af:02:b9:a6:9c:14:fd:eb:90:cf:18:c9:96: 29:bb:57:37:d9:1f:d5:bd:4e:9a:4b:18:2b:00:2f:d2:6e:c1: 1a:9f:1a:49:b7:9c:58:24:d7:72 

 

失効したデバイスの ID 証明書 (シリアル番号 0A338EA10000000074) は最後にリストされています。