証明書および鍵の管理 - ciscool-16203-01-j 第2 章証明書および鍵の管理...

2-1Cisco Application Control Engine モジュール SSL コンフィギュレーションガイド

OL-16203-01-J

C H A P T E R 2証明書および鍵の管理

この章では、インポート機能とエクスポート機能を使用して、Cisco 4700 Series

Application Control Engine（ACE）appliance 上で各種の証明書と RSA 鍵ペアファ

イルを管理する方法について説明します。また、Certificate Authority（CA; 認証

局）から証明書を取得するために使用する Certificate Signing Request（CSR; 証明

書署名要求）を作成し送信するプロセスについても説明します。

この章の主な内容は、次のとおりです。

• SSL デジタル証明書および鍵ペア

• 鍵ペアおよび CSR の生成

• グローバルサイト証明書の準備

• 証明書および鍵ペアファイルのインポートまたはエクスポート

• SSL 証明書のアップグレード

• 鍵ペアに対する証明書の確認

• 証明書と鍵ペアファイルの削除

• チェーングループの作成

• 認証の証明書グループの設定

第 2 章証明書および鍵の管理

SSL デジタル証明書および鍵ペア


OL-16203-01-J

SSL デジタル証明書および鍵ペアデジタル証明書と鍵ペアは、ユーザ認証のためのデジタル識別情報の一種です。

VeriSign や Thawte などの CA が、その公開鍵の有効性を保証する証明書を発行

します。クライアント証明書またはサーバ証明書には、次の識別アトリビュート

が含まれます。

• CA（証明書の発行元）の名前と CA デジタル署名

• シリアル番号

• 証明書が認証するクライアントまたはサーバの名前（証明書のサブジェク

ト）

• サブジェクトの公開鍵

• 証明書の有効期限を示すタイムスタンプ

1 つの CA が SSL 証明書と Certificate Revocation List（CRL; 証明書失効リスト）

を作成する 1 つ、または複数の署名証明書を保持しています。署名証明書ごと

に、CA 署名の作成に使用する、照合秘密鍵があります。CA は、署名証明書（埋

め込まれた公開鍵とともに）を公開し、誰もがその署名証明書にアクセスし、そ

れを使用して、SSL 証明書または CRL が特定の CA によって実際に署名された

ことを確認できるようにします。

ACE では、次のアプリケーションの場合に、証明書と対応する鍵ペアが必要と

なります。

• SSL 終了 ― ACE は SSL プロキシサーバとして動作し、クライアントとの間

の SSL セッションを終了します。SSL 終了の場合は、サーバ証明書と対応す

る鍵ペアを取得する必要があります。

• SSL 開始 ― ACE はクライアントとして動作し、SSL サーバとの間で SSLセッションを開始します。SSL 開始ではクライアント証明書と対応する鍵ペ

アを使用できますが、SSL サーバでクライアントの認証がイネーブルになっ

ていないかぎり必須ではありません。

（注） ACE は、ワイルドカード証明書をサポートしています。


OL-16203-01-J



ACE とピア間で SSL セッションを確立するには、それら 2 つのデバイス間で SSL

ハンドシェイクを実行するときに RSA 鍵ペアが必要となります。鍵ペアとは、

公開鍵とそれに対応する秘密鍵です。RSA 鍵ペアは、ハンドシェイクの実行時

にセッションキーを暗号化するために使用されます。セッションキーは、両方

のデバイスがハンドシェイクに従ってデータを暗号化するために使用されます。

SSL ハンドシェイクプロセスの詳細については、第 1 章「概要」の「SSL ハン

ドシェイク」を参照してください。

ACE を SSL 終了または SSL 開始用に設定する前に、デジタル証明書および対応

する公開鍵と秘密鍵のペアを必要な ACE コンテキストにインポートする必要が

あります。

冗長構成では、ACE はアクティブコンテキスト内にある SSL 証明書と鍵ペアを、

フォールトトレラント（FT）グループのスタンバイコンテキストと同期化しま

せん。ACE が設定の同期化を行った場合にスタンバイコンテキストに必要な証

明書と鍵がないと、設定の同期化は失敗し、スタンバイコンテキストは

STANDBY_COLD 状態になります。

証明書と鍵をスタンバイコンテキストにコピーするには、crypto export コマン

ドを使用して、証明書と鍵をアクティブコンテキストから FTP サーバまたは

TFTP サーバにエクスポートします。次に、crypto import コマンドを使用して、

証明書と鍵をスタンバイコンテキストにインポートします。アクティブコンテ

キストに証明書をインポートした方法を使用して、証明書と鍵を直接スタンバイ

コンテキストにインポートすることもできます。証明書と鍵がアクティブコン

テキストに「エクスポート不可」としてインポートされている場合、この方法を

使用します。証明書と鍵のインポートとエクスポートの詳細については、「証明

書および鍵ペアファイルのインポートまたはエクスポート」を参照してくださ

い。

ここでスタンバイコンテキストを STANDBY_HOT 状態に戻すには、必要な SSL

証明書と鍵をスタンバイコンテキストにインポートする必要があります。次に、

FT グループのアクティブコンテキストにおいて、コンフィギュレーションモー

ドで以下のコマンドを入力してアクティブコンテキスト設定のバルク同期化を

実行します。

1. no ft auto-sync running-config

2. ft auto-sync running-config




OL-16203-01-J

冗長性の詳細については、『Cisco 4700 Series Application Control Engine Appliance

Administration Guide』を参照してください。

証明書と対応する鍵ペアがない場合は、ACE を使用して、大 2048 ビットの

RSA 鍵ペアと CSR を生成できます。CA に証明書を要求する必要がある場合に、

CSR を作成できます。CA は CSR に署名し、認定されたデジタル証明書を返し

ます。

（注）鍵ペアの生成時や証明書と鍵ペアのインポート時に、強力なセキュリティポリ

シーを実装するには、ACE のユーザロールを理解する必要があります。ユーザ

ロールの詳細については、『Cisco 4700 Series Application Control Engine ApplianceVirtualization Configuration Guide』を参照してください。

図 2-1 に、ACE 対応の RSA 鍵ペアと SSL 証明書を設定する方法の概要を示しま

す。


OL-16203-01-J



図 2-1 SSL 鍵および証明書の設定の概要

1533

58

RSA

FTPSFTP TFTP

ACE

EXEC RSA ACE

– CSR – – SSL

SSL

CSR CSR

SSL CSR CSR RSA

CSR CA Web CSR CA CA

FTP SFTP TFTP ACE

SSL SSL ACE


鍵ペアおよび CSR の生成


OL-16203-01-J

鍵ペアおよび CSR の生成既存の証明書と照合鍵ペアがない場合は、鍵ペアと CSR を生成するための一連

の証明書および鍵管理ユーティリティが ACE に組み込まれています。CA が CSR

に署名すると、それが ACE で使用できる証明書になります。

既存の証明書と照合鍵ペアがある場合は、ACE の必要なコンテキストにそれら

をインポートできます。証明書と秘密鍵をインポートする方法の詳細について

は、「証明書および鍵ペアファイルのインポートまたはエクスポート」を参照し

てください。

ここで説明する内容は、次のとおりです。

• RSA 鍵ペアの生成

• CSR パラメータセットの作成と定義

• CSR の生成

RSA 鍵ペアの生成

ACE は、大 2048 ビットの RSA 鍵ペアの生成をサポートします。RSA 鍵ペア

を生成するには、crypto generate key コマンドを EXEC モードで実行します。

このコマンドの構文は次のとおりです。

crypto generate key [non-exportable] bitsize filename

引数とキーワードは次のとおりです。

• non-exportable ― （任意）ACE で鍵ペアファイルを「エクスポート不可」

としてマークします。鍵ペアファイルを ACE からエクスポートできなくな

ります。

• bitsize ― 鍵ペアのセキュリティ強度。鍵ペアファイルのビット数によって、

Web トランザクションの安全を確保するために使用される RSA 鍵ペアのサ

イズが決まります。鍵が長いほど、RSA セキュリティポリシーの強度が高

まるため、より安全な実装になります。使用可能なエントリ（ビット単位）

は次のとおりです。

－ 512（低のセキュリティ）

－ 768（通常のセキュリティ）

－ 1024（高度なセキュリティ、レベル 1）


OL-16203-01-J





• filename ― 生成された RSA 鍵ペアファイルに割り当てる名前。40 文字以内

で、引用符のない英数字を入力します。鍵ペアファイル名は、ACE が識別

する目的でのみ使用します。

たとえば、RSA 鍵ペアファイル MYRSAKEY.PEM を生成するには、次のように

入力します。

host1/Admin# crypto generate key non-exportable 2048 MYRSAKEY.PEM Generating 2048 bit RSA key pairhost1/Admin#

RSA 鍵ペアを生成したあと、次のタスクを実行できます。

• CSR パラメータセットの作成 ― CSR パラメータセットは、ACE が CSR 生成プロセスで使用する認定者名アトリビュートを定義します。CSR コンフィ

ギュレーションファイルの作成方法の詳細については、「CSR パラメータ

セットの作成と定義」を参照してください。

• RSA 鍵ペアファイルの CSR を生成し、その CSR を CA に転送して署名を要

求します。このアクションでは、RSA 秘密鍵が ACE 内部で直接作成される

ので外部に転送されることなく、セキュリティはさらに強化されます。生成

された各鍵ペアには、必ず対応する証明書が付随しています。CSR の生成方

法の詳細については、「CSR の生成」を参照してください。

CSR パラメータセットの作成と定義

CSR パラメータセットは、ACE が CSR 生成プロセスで CSR に適用する認定者

名アトリビュートを定義します。認定者名アトリビュートは、サイトを認証する

ために必要な情報を CA に提供します。CSR パラメータセットを作成すると、同

じ認定者名アトリビュートを持つ複数の CSR を作成できます。

ACE のコンテキストごとに大 8 つの CSR パラメータセットを指定できます。


• CSR パラメータセットの作成

• 通常名の指定

• 国の指定




OL-16203-01-J

• 州または行政区分の指定

• シリアル番号の指定

• 地域の指定

• 組織名の指定

• 組織ユニットの指定

• E メールアドレスの指定

CSR パラメータセットの作成

CSR パラメータセットを作成するには、コンフィギュレーションモードで

crypto csr-params コマンドを使用します。コンテキストごとに大 8 つの CSR

パラメータセットを作成できます。


crypto csr-params csr_param_name

csr_param_name 引数は、CSR パラメータセットの名前です。64 文字以内で、引

用符やスペースを含めずに、英数字を入力します。

たとえば、CSR パラメータセット CSR_PARAMS_1 を作成するには、次のよう

に入力します。

host1/Admin(config)# crypto csr-params CSR_PARAMS_1

CSR パラメータセットを作成すると、CLI が CSR パラメータコンフィギュレー

ションモードに切り替わります。このモードで認定者名パラメータを定義しま

す。

host1/Admin(config-csr-params)#

認定者名は、複数の必須パラメータと省略可能なパラメータから構成されます。

ACE では、次の CSR パラメータセットアトリビュートを定義する必要があり

ます。

• 国名

• 州または行政区分

• 通常名


OL-16203-01-J



（注）必須の CSR パラメータセットアトリビュートを設定しないと、ACE が CSR パラメータセットを使用して CSR を生成するときに、エラーメッセージが表示さ

れます。

既存の CSR パラメータセットを削除するには、次のように入力します。

host1/Admin(config)# no csr-params CSR_PARAMS_1

既存の CSR パラメータセットに関連する情報を表示するには、show crypto

csr-params コマンドを使用します（第 6 章「SSL 証明書および鍵ペア情報の表

示」を参照）。

通常名の指定

CSR パラメータセットの必須の通常名パラメータを定義するには、CSR パラ

メータコンフィギュレーションモードで common-name コマンドを使用します。


common-name name

name 引数は、SSL サイトのドメイン名または個々のホスト名です。64 文字以内

で、引用符やスペースを含めずに、英数字を入力します。

たとえば、通常名 WWW.ABC123.COM を指定するには、次のように入力します。

host1/Admin(config-csr-params)# common-name WWW.ABC123.COM

CSR パラメータセットから既存の通常名を削除するには、次のように入力しま

す。

host1/Admin(config-csr-params)# no common-name




OL-16203-01-J

国の指定

CSR パラメータセットの必須の国名パラメータを定義するには、CSR パラメー

タコンフィギュレーションモードで country コマンドを使用します。


country name

name 引数は、SSL サイトが常駐する国の 2 文字コードです（ISO 3166 の国コー

ドリストを参照）。2 文字以内で、引用符やスペースを含まないテキスト文字列

を入力します。

たとえば、国として US（米国）を指定するには、次のように入力します。

host1/Admin(config-csr-params)# country US

CSR パラメータセットから既存の国を削除するには、次のように入力します。

host1/Admin(config-csr-params)# no country

州または行政区分の指定

CSR パラメータセットの必須の州名パラメータを定義するには、CSR パラメー

タコンフィギュレーションモードで state コマンドを使用します。


state name

name 引数は、SSL サイトが常駐する州の名前です。40 文字以内で、引用符やス

ペースを含めずに、英数字を入力します。

たとえば、州として GA（ジョージア）を指定するには、次のように入力します。

host1/Admin(config-csr-params)# state GA

CSR パラメータセットから既存の州を削除するには、次のように入力します。

host1/Admin(config-csr-params)# no state


OL-16203-01-J



シリアル番号の指定

CSR パラメータセットの必須のシリアル番号パラメータを定義するには、CSR

パラメータコンフィギュレーションモードで serial-number コマンドを使用し

ます。

（注） CA は、ユーザが指定したシリアル番号を CA 専用のシリアル番号で上書きする

場合があります。


serial-number number

number 引数は、証明書に割り当てるシリアル番号です。16 文字以内で、引用符

やスペースを含めずに、英数字を入力します。

たとえば、シリアル番号 1001 を指定するには、次のように入力します。

host1/Admin(config-csr-params)# serial-number 1001

CSR パラメータセットから既存のシリアル番号を削除するには、次のように入

力します。

host1/Admin(config-csr-params)# no serial-number

地域の指定

CSR パラメータセットの地域パラメータ（省略可能）を定義するには、CSR パ

ラメータコンフィギュレーションモードで locality コマンドを使用します。


locality name

name 引数は、証明書に含まれる地域名です。40 文字以内で、引用符やスペース

を含めずに、英数字を入力します。




OL-16203-01-J

たとえば、地域として ATHENS を指定するには、次のように入力します。

host1/Admin(config-csr-params)# locality ATHENS

CSR パラメータセットから既存の地域を削除するには、次のように入力します。

host1/Admin(config-csr-params)# no locality ATHENS

組織名の指定

CSR パラメータセットの組織名パラメータ（省略可能）を定義するには、CSR

パラメータコンフィギュレーションモードで organization-name コマンドを使

用します。


organization-name name

name 引数は、証明書に含まれる組織の名前です。64 文字以内で、引用符やス


たとえば、組織 ABC123 SYSTEMS INC を指定するには、次のように入力します。

host1/Admin(config-csr-params)# organization-name ABC123 SYSTEMS INC

CSR パラメータセットから既存の組織名を削除するには、次のように入力しま

す。

host1/Admin(config-csr-params)# no organization-name ABC123 SYSTEMS INC

組織ユニットの指定

CSR パラメータセットの組織ユニットパラメータ（省略可能）を定義するには、

CSR パラメータコンフィギュレーションモードで organization-unit コマンドを

使用します。


organization-unit unit


OL-16203-01-J



unit 引数は、組織内の部署の名前です。64 文字以内で、引用符やスペースを含め

ずに、英数字を入力します。

たとえば、組織ユニット SSL ACCELERATOR を指定するには、次のように入力

します。

host1/Admin(config-csr-params)# organization-unit SSL ACCELERATOR

CSR パラメータセットから既存の組織ユニットを削除するには、次のように入

力します。

host1/Admin(config-csr-params)# no organization-unit SSL ACCELERATOR

E メールアドレスの指定

CSR パラメータセットの E メールアドレスパラメータ（省略可能）を定義する

には、CSR パラメータコンフィギュレーションモードで email コマンドを使用

します。


email address

address 引数は、サイトの E メールアドレスです。40 文字以内で、引用符やス


たとえば、E メールアドレス [email protected] を指定するには、次

のように入力します。

host1/Admin(config-csr-params)# email [email protected]

CSR パラメータセットから既存の E メールアドレスを削除するには、次のよう


host1/Admin(config-csr-params)# no email




OL-16203-01-J

CSR の生成

新しい証明書を要求する場合、または証明書を更新する場合には、CSR ファイ

ルを生成する必要があります。生成した CSR を CA に送信すると、CA が RSA

秘密鍵を使用して CSR に署名します。その CSR が証明書になります。

RSA 鍵ペアファイルに対応した CSR ファイルを生成し、証明書要求を CA に転

送するには、RSA 鍵ペアファイルを含むコンテキストの EXEC コマンドモード

で crypto generate csr コマンドを使用します。このコマンドは、PEM 形式で

PKCS10 符号化された CSR を生成します。


crypto generate csr csr_params key_filename

引数は、次のとおりです。

• csr_params ― 認定者名アトリビュートを含む CSR パラメータセット（「CSRパラメータセットの作成と定義」を参照）。64 文字以内で、引用符やスペー

スを含めずに、英数字を入力します。ACE は、CSR パラメータセットに含

まれる認定者名アトリビュートを CSR に適用します。

• key_filename ― CSR の作成に使用する鍵を含む RSA 鍵ペアファイル名（こ

の鍵は、ACE が CSR に埋め込む公開鍵となります）。40 文字以内で、引用

符やスペースを含めずに、英数字を入力します。RSA 鍵ペアファイルは、必

ず、ACE の現在のコンテキストにロードされます。適切な鍵ペアが存在し

ない場合、ACE はエラーメッセージをログに記録します。

たとえば、CSR パラメータセット CSR_PARAMS_1 と、ファイル

MYRSAKEY_1.PEM 内の RSA 鍵ペアに基づいて CSR を生成するには、次のよう


host1/Admin# crypto generate csr CSR_PARAMS_1 MYRSAKEY_1.PEM-----BEGIN CERTIFICATE REQUEST-----MIIBcDCCARoCAQAwgbQxCzAJBgNVBAYTAlVTMRIwEAYDVQQIEwlTb21lU3RhdGUxETAPBgNVBAcTCFNvbWVDaXR5MRcwFQYDVQQKEw5BIENvbXBhbnkgTmFtZTEbMBkGA1UECxMSV2ViIEFkbWluaXN0cmF0aW9uMR0wGwYDVQQDExR3d3cuYWNvbXBhbnluYW1lLmNvbTEpMCcGCSqGSIb3DQEJARYad2ViYWRtaW5AYWNvbXBhbnluYW1lLmNvbSAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAtBNcNXMBqh5cJHbWFsqe9LMUO90TpYG7gF5ODvtFGREMkHh7s6S1GF131IBWCSelG4Q/qEztjCO7y3pyjruVNQIDAQABoAAwDQYJKoZIhvcNAQEEBQADQQCMmXRdNPBDtMQPFvylpED5UMbeaMRm2iaC+1uZIaHmdoX4h5eckauu9pPgSxczau8w68PF+PDS9DAAMeRDxisL-----END CERTIFICATE REQUEST-----(config)#


OL-16203-01-J



crypto generate csr コマンドは、PEM 形式の PKCS10 CSR を生成し、その CSR

を画面に出力します。大半の CA は、ユーザに証明書要求を画面にカットアン

ドペーストするように要求する Web ベースのアプリケーションを保持していま

す。必要な場合は、CSR をファイルにカットアンドペーストすることもできま

す。ACE は CSR のコピーをローカルには保存しません。ただし、いつでも、同

じ CSR パラメータセットと鍵ペアファイルを使用して、同じ要求を再生成でき

ます。

（注）輸出規制されたブラウザ向けに 128 ビット暗号化が可能なグローバルサイト証

明書が必要な場合は、CA に StepUp/GSC 証明書またはチェーン証明書を要求す

る必要があります。証明書を受信したら、それを ACE で使用できるように準備

する必要があります。詳細については、「グローバルサイト証明書の準備」を参

照してください。

CSR を CA に送信したあと 1 ～ 7 営業日以内に、署名付き証明書を受け取りま

す。証明書を受信したら、その証明書を必要な ACE コンテキストにインポート

する必要があります（「証明書と鍵ペアファイルのインポート」を参照）。


グローバルサイト証明書の準備


OL-16203-01-J

グローバルサイト証明書の準備エクスポートブラウザは、40 ビット暗号化を使用して SSL サーバへの接続を開

始できます。通常のサーバ証明書を使用する場合、ブラウザとサーバは SSL ハ

ンドシェイクを完了し、40 ビット鍵を使用してアプリケーションデータを暗号

化します。

グローバルサイト証明書は、輸出規制されたブラウザ向けの 128 ビット暗号化

が可能な拡張サーバ証明書です。サーバがグローバル証明書を送信してブラウザ

に応答すると、クライアントは自動的に 128 ビット暗号化を使用して接続を再度

ネゴシエーションします。

CA にグローバルサイト証明書を要求した場合は、必ず、グローバル証明書とそ

の中間 CA 証明書の両方を取得します。中間 CA 証明書は、グローバル証明書の

有効性を証明します。次の URL から、VeriSign 中間証明書を取得できます。

http://www.verisign.com/support/install/intermediate.html

グローバルサイト証明書と中間 CA 証明書を受信したら、それらを必要な ACE

コンテキストにインポートする必要があります（「証明書と鍵ペアファイルのイ

ンポート」を参照）。その後、両方の証明書を含む証明書チェーングループを作

成します（「チェーングループの作成」を参照）。ACE は、初期 SSL ハンドシェ

イクの間にチェーングループをクライアントに送信します。

http://www.verisign.com/support/install/intermediate.html


OL-16203-01-J


証明書および鍵ペアファイルのインポートまたはエクスポート


証明書と鍵ペアファイルは、リモートセキュアサーバから ACE へインポート

できます。これらのファイルを転送する場合は、ACE とリモートサーバ間で安

全な暗号化された転送メカニズムを使用することを推奨します。

ACE は、Secure Shell（SSHv2）プロトコルをサポートしています。このプロトコ

ルは、安全でないネットワークを経由する 2 台のホスト間に安全な暗号化通信を

提供します。ネットワークデバイス間のファイル転送用として、ACE は Secure

File Transfer Protocol（SFTP; セキュアファイル転送プロトコル）、File Transfer

Protocol（FTP; ファイル転送プロトコル）、および Trivial File Transfer Protocol

（TFTP; 簡易ファイル転送プロトコル）をサポートしています。これらの 3 つの

プロトコルの中で、SFTP のみが安全で暗号化された接続を提供できるため、

SFTP を使用することを推奨します。

証明書または鍵ペアファイルを ACE にインポートする前に、次のタスクを実行

する必要があります。

• ACE で、ACE への SSH アクセスが有効で、SSH クライアントからの接続が

受け入れ可能であることを確認します。デフォルトでは、SSH アクセスは有

効です。SSH アクセスを制限すると、ACE は SSH クライアントからの接続

を受け入れず、import コマンドは失敗します（エラーメッセージが生成され

ます）。

（注） Catalyst 6500 シリーズスイッチまたは Cisco 7600 シリーズルータで

Secure Shell デーモンを設定する方法の詳細については、『Catalyst 6500Series Switch Cisco IOS Software Configuration Guide』または『Cisco 7600Series Router Cisco IOS Software Configuration Guide』を参照してください。

• SFTP サーバで、サーバが適切に設定されていることを確認します。ユーザ

ディレクトリは、証明書と鍵ペアが常駐するディレクトリをポイントしてい

る必要があります。このパスは、ACE が、証明書と鍵が SFTP サーバとの間

で正しくコピーされていることを確認するために必要です。




OL-16203-01-J


• 証明書と鍵ペアファイルのインポート

• 証明書と鍵ペアファイルのエクスポート

証明書と鍵ペアファイルのインポート

ACE は、鍵ペアと、大 2048 ビットの鍵で署名された証明書のインポートをサ

ポートします。証明書または鍵ペアファイルをリモートサーバから ACE にイン

ポートするには、EXEC モードで crypto import コマンドを使用します。ネット

ワークデバイスは、SSL ハンドシェイク時に、自身の証明書と対応する公開鍵

を使用して自分のアイデンティティを証明するため、必ず、証明書ファイルとそ

れに対応する鍵ペアファイルの両方をインポートしてください。


crypto import [non-exportable] {{ftp | sftp} [passphrase passphrase] ip_addr username remote_filename local_filename} | {tftp [passphrase passphrase] ip_addr remote_filename local_filename} | terminal local_filename [passphrase passphrase]

キーワード、引数、およびオプションは次のとおりです。

• non-exportable ― （任意）インポートしたファイルをエクスポート不可とし

てマークします。そのファイルは ACE からエクスポートできなくなります。

• ftp ― FTP ファイル転送プロセスを指定します。

• sftp ― SFTP ファイル転送プロセスを指定します。SFTP は FTP または TFTPより安全なため、SFTP を使用することを推奨します。

• tftp ― TFTP ファイル転送プロセスを指定します。

• terminal ― 証明書と鍵ペア情報を端末表示にペーストすることで、カット

アンドペーストを使用してファイルをインポートできます。ASCII 形式の

PEM ファイルを表示するには、端末方式を使用する必要があります。

• passphrase passphrase ― （任意）ファイルを使用するためにファイル転送要

求と一緒に送信する必要のあるパスフレーズ付きでファイルが作成された

ことを示します。パスフレーズは、暗号化された PEM ファイルと PKCS ファ

イルにのみ関係します。

• ip_addr ― リモートサーバの IP アドレス。ドット付き 10 進表記で IP アドレ

スを入力します（たとえば、192.168.12.15）。


OL-16203-01-J



• username ― リモートサーバにアクセスするために必要なユーザ名。ACE は、

ユーザがコマンドを実行するときにパスワードの入力を求めます。

• remote_filename ― リモートサーバに常駐するインポート対象の証明書または鍵ペアファイルの名前。

• local_filename ― ACE にインポートしたときにファイルを保存する名前。40文字以内で、引用符の付いていない英数字を入力します。

（注） ACE は、ワイルドカード証明書をサポートしています。

たとえば、RSA 鍵ファイル MYRSAKEY.PEM を SFTP サーバからインポートす

るには、次のように入力します。

host1/Admin# crypto import non-exportable sftp 1.1.1.1 JOESMITH /USR/KEYS/MYRSAKEY.PEM MYKEY.PEMPassword: ********Passive mode on.Hash mark printing on (1024 bytes/hash mark).#Successfully imported file from remote server.host1/Admin#

次の例は、terminal キーワードを使用して、証明書情報をファイル MYCERT.PEM

にペーストできるようにする方法を示しています。

host1/Admin# crypto import terminal MYCERT.PEMEnter PEM formatted data ending with a blank line or “quit” on a line by itself--------BEGIN CERTIFICATE-----------------------MIIC1DCCAj2gAwIBAgIDCCQAMA0GCSqGSIb3DQEBAgUAMIHEMQswCQYDVQQGEwJaQTEVMBMGA1UECBMMV2VzdGVybiBDYXBlMRIwEAYDVQQHEwlDYXBlIFRvd24xHTAbBgNVBAoTFFRoYXd0ZSBDb25zdWx0aW5nIGNjMSgwJgYDVQQLEx9DZXJ0aWZpY2F0aW9uIFNlcnZpY2VzIERpdmlzaW9uMRkwFwYDVQQDExBUaGF3dGUgU2VydmVyIENBMSYwJAYJKoZIhvcNAQkBFhdzZXJ2ZXItY2VydHNAdGhhd3RlLmNvbTAeFw0wMTA3-----------END CERTIFICATE------------------------quit




OL-16203-01-J

証明書と鍵ペアファイルのエクスポート

証明書または鍵ペアファイルを ACE からリモートサーバまたは端末画面にエ

クスポートするには、EXEC コマンドモードで crypto export コマンドを使用し

ます。

（注）ファイルを ACE にインポートしたとき、エクスポート不可としてマークされた

証明書または鍵ペアファイルはエクスポートできません。


crypto export local_filename {ftp | sftp | tftp | terminal} {ip_addr} {username} {remote_filename}

キーワード、引数、およびオプションは次のとおりです。

• local_filename ― ACE に常駐するエクスポート対象のファイルの名前。40 文字以内で、引用符の付いていない英数字を入力します。

• ftp ― FTP ファイル転送プロセスを指定します。

• sftp ― SFTP ファイル転送プロセスを指定します。SFTP は FTP または TFTPより安全なため、SFTP を使用することを推奨します。

• tftp ― TFTP ファイル転送プロセスを指定します。

• terminal ― コピーアンドペーストするために、ファイルの内容を端末に表

示します。terminal キーワードは、証明書または秘密鍵情報をコンソールか

らカットアンドペーストする必要がある場合に使用します。ASCII 形式の

PEM ファイルを表示するには、端末方式を使用する必要があります。

• ip_addr ― リモートサーバの IP アドレスまたは名前。ドット付き 10 進表記

で IP アドレスを入力します（たとえば、192.168.12.15）。

• username ― リモートサーバにアクセスするために必要なユーザ名。ACE は、

ユーザがコマンドを実行するときにパスワードの入力を求めます。

• remote_filename ― リモートサーバにファイルを保存する名前。


OL-16203-01-J



terminal キーワードのあとのリモートサーバ変数は、転送タイプとして ftp、sftp、

または tftp を選択したときに、ACE によって使用されます（変数は terminal に

対して使用されるわけではありません）。これらの転送タイプのいずれかを選択

し、リモートサーバ変数を定義しなかった場合は、ACE が変数情報の入力を求

めます。

たとえば、SFTP を使用して、鍵ファイル MYKEY.PEM を ACE からリモート

SFTP サーバにエクスポートするには、次のように入力します。

host1/Admin# crypto export MYKEY.PEM sftp 192.168.1.2 JOESMITH /USR/KEYS/MYKEY.PEMUser password: ****Writing remote file /usr/keys/mykey.pemhost1/Admin#


SSL 証明書のアップグレード


OL-16203-01-J

SSL 証明書のアップグレードアクティブな SSL セッションや保留中の SSL セッションを中断することなく、

SSL 証明書をアップグレードするには、以下の手順を実行します。

ステップ 1 EXEC モードで crypto import コマンドを使用して、新しい SSL 証明書をイン

ポートし、新しい名前で保存します。「証明書と鍵ペアファイルのインポート」

を参照してください。たとえば、証明書を SFTP サーバからインポートするには、

次のコマンドを入力します。

host1/Admin# crypto import non-exportable sftp 1.1.1.1 JOESMITH /USR/CERTS/MY_CERT.PEM MY_NEW_CERT.PEMPassword: ********Passive mode on.Hash mark printing on (1024 bytes/hash mark).#Successfully imported file from remote server.host1/Admin#

ステップ 2 SSL プロキシサービスによってフローがアクティブに処理されている間に、SSL

プロキシサービス内部の証明書ファイルの関連付けを変更します。それには、

SSL プロキシコンフィギュレーションモードで cert コマンドを使用します。第

3 章「SSL 終了の設定」の「証明書の指定」を参照してください。

たとえば、MY_NEW_CERT.PEM 証明書ファイル内の証明書を

PSERVICE_SERVER SSL プロキシサービスに関連付けるには、次のコマンドを

入力します。

host1/Admin(config)# ssl-proxy service PSERVICE_SERVERhost1/Admin(config-ssl-proxy)# cert MY_NEW_CERT.PEM


OL-16203-01-J


鍵ペアに対する証明書の確認

鍵ペアに対する証明書の確認デジタル証明書は、1 つの鍵ペアの公開鍵に基づいて作成され、1 つの鍵ペアの

みと一緒に使用できます。証明書ファイル内の公開鍵と鍵ペアファイル内の公

開鍵を比較し、それらが同一であることを確認するには、EXEC コマンドモード

で crypto verify コマンドを使用します。

（注）証明書内の公開鍵が鍵ペアファイル内の公開鍵と一致しない場合、ACE はエ

ラーメッセージをログに記録します。


crypto verify key_filename cert_filename

引数は、次のとおりです。

• key_filename ― ACE が指定した証明書と照合するために使用するコンテキ

スト鍵ペアファイルの名前。40 文字以内で、引用符のない英数字を入力し

ます。

• cert_filename ― ACE が指定した鍵ペアと照合するために使用するコンテキ

スト証明書ファイルの名前。40 文字以内で、引用符のない英数字を入力し

ます。

たとえば、ファイル MYRSAKEY.PEM と MYCERT.PEM 内の公開鍵が一致する

かどうかを確認するには、次のように入力します。

host1/Admin# crypto verify myrsakey.pem mycert.pemkeypair in myrsakey.pem matches certificate in mycert.pem

次の例は、公開鍵が一致しない場合に、ACE が表示する内容を示しています。

host1/Admin# crypto verify myrsakey_2.pem mycert.pemKeypair in myrsakey_2.pem does not match certificate in mycert.pemhost1/Admin#


証明書と鍵ペアファイルの削除


OL-16203-01-J

証明書と鍵ペアファイルの削除既に無効になった証明書と鍵ペアファイルを削除するには、EXEC コマンド

モードで crypto delete コマンドを使用します。


crypto delete {filename | all}

キーワードと引数は次のとおりです。

• filename ― 削除する特定の証明書または鍵ペアファイルの名前。40 文字以

内で、引用符のない英数字を入力します。

• all ― コンテキストからすべての証明書と鍵ペアファイルを削除します。

ACE にロードされた使用可能な証明書と鍵ペアファイルのリストを表示するに

は、show crypto files コマンドを使用します。

（注） crypto delete コマンドは、指定したコンテキストクリプトファイルをフラッ

シュメモリから削除しますが、既存の SSL サービスは中断されません。削除し

た SSL ファイルを別の SSL ファイルと置き換えなかった場合は、次回 vipinservice コマンドを入力したとき、またはデバイスのリロードが実行されたと

きに、その SSL サービスは無効になります。

たとえば、鍵ペアファイル MYRSAKEY.PEM を削除するには、次のように入力

します。

host1/Admin# crypto delete MYRASKEY.PEM


OL-16203-01-J


チェーングループの作成

チェーングループの作成チェーングループは、ACE がハンドシェイク時にピアに送信する証明書チェー

ンを指定します。証明書チェーンは、サブジェクトの証明書、ルート CA 証明

書、および中間 CA 証明書を含む証明書の階層リストです。証明書の検証者は、

証明書チェーンで提供された情報を使用して、証明書階層リストをルート CA ま

で遡って、信頼できる CA を検索できます。検証者は、ルート CA 証明書に達す

る前に、信頼できるとみなせる CA を見つけることがあります。その場合、検証

者は検索を停止します。

SSL プロキシサービスを定義すると、サービスにチェーングループを設定でき

ます（第 3 章「SSL 終了の設定」の「SSL プロキシサービスの作成と定義」を参照）。

ACE は、次の証明書チェーングループ機能をサポートします。

• チェーングループには、大 8 つの証明書チェーンを含めることができま

す。

• ACE のコンテキストごとに大 8 つのチェーングループを指定できます。

• チェーングループの大サイズは 16 KB です。

チェーングループを作成するには、コンフィギュレーションモードで crypto

chaingroup コマンドを使用します。


crypto chaingroup group_name

group_name 引数は、チェーングループの名前です。64 文字以内で、引用符やス


たとえば、チェーングループ MYCHAINGROUP を作成するには、次のように入

力します。

host1/Admin(config)# crypto chaingroup MYCHAINGROUP

チェーングループが作成されると、CLI はチェーングループコンフィギュレー

ションモードに切り替わります。このモードで、グループに必要な証明書ファ

イルを追加します。

host1/Admin(config-chaingroup)#


チェーングループの作成


OL-16203-01-J

既存のチェーングループを削除するには、次のように入力します。

host1/Admin(config)# no crypto chaingroup MYCHAINGROUP

証明書ファイルをチェーングループに追加するには、チェーングループコン

フィギュレーションモードで cert コマンドを使用します。1 つのチェーングルー

プに大 9 つの証明書を設定できます。


cert cert_filename

cert_filename 引数は、ACE に格納されている既存の証明書ファイルの名前です。

40 文字以内で、引用符のない英数字を入力します。

（注）チェーングループ証明書を変更した場合、SSL プロキシサービス内で関連のあ

るチェーングループを chaingroup コマンドで再指定しないと変更は適用されま

せん。第 3 章「SSL 終了の設定」の「SSL プロキシサービスの作成と定義」を

参照してください。

既存の証明書ファイルのリストを表示するには、show crypto files コマンドを使

用します（第 6 章「SSL 証明書および鍵ペア情報の表示」の「証明書情報の表

示」を参照）。証明書を検証するデバイスが正しい順序を判断するため、階層の

順序で証明書を追加する必要はありません。

たとえば、証明書ファイル MYCERTS.PEM と MYCERTS_2.PEM をチェーング

ループに追加するには、次のように入力します。

host1/Admin(config-chaingroup)# cert MYCERTS.PEMhost1/Admin(config-chaingroup)# cert MYCERTS_2.PEM

証明書ファイルをチェーングループから削除するには、次のように入力します。

host1/Admin(config-chaingroup)# no cert MYCERTS_2.PEM


OL-16203-01-J


認証の証明書グループの設定

認証の証明書グループの設定ACE で、認証グループを作成して証明書の署名者として信頼される、4 つの SSL

証明書のグループを実装できます。認証グループを作成して証明書を割り当てる

と、SSL 終了設定内のサービスに認証グループを割り当てて、クライアント認証

をイネーブルにすることができます。クライアント認証についての詳細は、第 3

章「SSL 終了の設定」の「クライアント認証のイネーブル化」を参照してください。

また、グループを SSL 開始設定内のサービスに割り当てて、ACE がグループ証

明書を使ってサーバ証明書の認証を行うようにすることができます。サーバ認証

についての詳細は、第 4 章「SSL 開始の設定」の「サーバ認証での認証グループ

の使用」を参照してください。

認証グループを作成し、authgroup コンフィギュレーションモードにアクセスす

るには、コンフィギュレーションモードで crypto authgroup コマンドを使用し

ます。このコマンドの構文は次のとおりです。

crypto authgroup group_name

group_name 引数は、証明書の認証グループの名前です。64 文字以内で、引用符

やスペースを含めずに、英数字を入力します。

たとえば、認証グループ AUTH-CERT1 を作成するには、次のように入力します。

host1/Admin(config)# crypto authgroup AUTH-CERT1

認証グループの作成後、authgroup コンフィギュレーションモードにアクセスし

て、グループに必要な証明書ファイルを追加します。

host1/Admin(config-authgroup)#

既存の認証グループを削除するには、次のように入力します。

host1/Admin(config)# no crypto authgroup AUTH-CERT1

証明書ファイルを認証グループに追加するには、authgroup コンフィギュレー

ションモードで cert コマンドを使用します。大 4 つの証明書を持つ認証グルー

プを設定できます。


認証の証明書グループの設定


OL-16203-01-J


cert cert_filename

cert_filename 引数は、ACE に格納されている既存の証明書ファイルの名前です。

40 文字以内で、引用符のない英数字を入力します。

（注）認証グループに変更を加えると、変更はただちに適用されます。

既存の証明書ファイルのリストを表示するには、show crypto files コマンドを使

用します（第 6 章「SSL 証明書および鍵ペア情報の表示」の「証明書情報の表

示」を参照）。証明書を検証するデバイスが正しい順序を判断するため、階層の

順序で証明書を追加する必要はありません。

たとえば、証明書ファイル MYCERTS.PEM と MYCERTS_2.PEM を認証グループ

に追加するには、次のように入力します。

host1/Admin(config-authgroup)# cert MYCERTS.PEMhost1/Admin(config-authgroup)# cert MYCERTS_2.PEM

証明書ファイルを認証グループから削除するには、次のように入力します。

host1/Admin(config-authgroup)# no cert MYCERTS_2.PEM

証明書および鍵の管理 - ciscool-16203-01-j 第2 章 証明書および鍵の管理...

Documents

証明書および鍵の管理 - ciscool-16203-01-j 第2 章証明書および鍵の管理...