この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Broadband Access Center(BAC)の Device Provisioning Engine(DPE)上の CPE WAN 管理プロトコル(CWMP)技術を管理および監視するために使用する、コマンドライン インターフェイス(CLI)コマンドについて説明します。
この章で説明するコマンドを使用すると、DPE で CWMP サービスおよび HTTP ファイル サービスの設定を構成できます。どちらのサービスにもサービス 1 および サービス 2 という独自のインスタンスがあります。これらのインスタンスは、個別に設定する必要があります。
サービスごとに異なるオプションを設定できるよう、BAC は異なるインスタンスをサポートします。たとえば CWMP サービス 1 は、デフォルトでは HTTP ダイジェスト認証を要求するように設定されていますが、HTTP over SSL/TLS はサポートしていません。このサービスは、ポート 7547 で実行されるように設定されており、デフォルトではイネーブルになっています。CWMP サービス 2 は、HTTP over SSL/TLS を使用するポート 7547 で実行されるように設定されていますが、デフォルトではディセーブルになっています。実際の要件に合わせて、各サービスのこれらのデフォルトを再設定できます。各サービスのデフォルト設定については、 表4-1 を参照してください。
|
|
|||
---|---|---|---|---|
|
|
|
|
|
(注) CWMP 関連サービスを、グローバルにイネーブルまたはディセーブルにすることはできません。CWMP 機能は、個別でのみイネーブルまたはディセーブルにできます。
–「service cwmp num allow-unknown-cpe」
–「service cwmp num client-auth mode」
–「service cwmp num enable {true | false}」
–「service cwmp session timeout value」
–「service cwmp num ssl client-auth mode」
–「service cwmp num ssl client-auth client-cert-css-ext」
–「service cwmp num ssl cipher {all-cipher-suites | value}」
–「service cwmp num ssl enable {true | false}」
–「service cwmp num ssl keystore keystore-filename keystore-password key-password」
–「service http num client-auth mode」
–「service http num enable {true | false}」
–「service http num ssl client-auth mode」
–「service http num ssl client-auth client-cert-css-ext」
–「service http num ssl cipher {all-cipher-suites | value}」
–「service http num ssl enable {true | false}」
–「service http num ssl keystore keystore-filename keystore-password key-pasword」
これは、DPE で実行されている CWMP サービスに対してさまざまな設定を構成するときに使用するコマンドのグローバル構文です。これらのコマンドを使用すると、次のことが可能です。
• SSL/TLS 上で HTTP を使用するようにサービスを設定する
service cwmp は、 表4-2 に記載されているコマンドと併せて使用してください。
(注) これらのコマンドを使用するときは、特に記載のない限り、DPE を再起動して変更内容を有効にする必要があります。DPE を再起動するには、dpe reload コマンドを実行します(「dpe reload」を参照してください)。
|
|
|
---|---|---|
DPE で不明なデバイスに対して DPE が RDU に構成要求することをイネーブルまたはディセーブルにします。 ![]() (注) この機能をイネーブル化すると、RDU に対する DoS 攻撃が可能になる場合があります。 |
|
|
DPE 上の CWMP サービスに対して HTTP を使用することにより、クライアント認証をイネーブルまたはディセーブルにします。 BAC の認証オプションのリストについては、『 Cisco Broadband Access Center |
• • – – – ![]() (注) クライアント認証中のセキュリティ リスクを制限するため、ダイジェストモード(デフォルト設定)を使用することをお勧めします。基本モードでクライアント認証を許可したり、基本およびダイジェスト認証を完全にディセーブルにしたりすることは推奨されていません。 |
|
• |
|
|
CWMP サービスが CPE と通信するポートを表します。異なるポート番号を指定することにより、DPE が、他のアプリケーションによって使用されるポート間の共有違反を回避できるようになります。 |
• |
|
![]() (注) このコマンドを有効にするために、DPE を再起動する必要はありません。 |
value: CWMP セッションのタイムアウト期間をミリ秒(ms)で表します。タイムアウト期間は、1000 ms(1 秒)から 3000000 ms(50 分)までの任意の値です。 |
|
DPE 上で実行されている CWMP サービスに対して HTTP over SSL/TLS を使用することにより、クライアント証明書認証をイネーブルまたはディセーブルにします。 BAC の認証オプションのリストについては、『 Cisco Broadband Access Center |
• デフォルトでは、SSL/TLS でのクライアント証明書認証は次のようになっています。 • – – – |
|
HTTP over SSL/TLS を使用する接続が ![]() (注) このコマンドをイネーブルにする前に、必ず CSS を設定して、クライアント証明書フィールドを HTTP ヘッダーに挿入してください。詳細については、『Cisco Content Services Switch SSL Configuration Guide (Software Version 7.40)』を参照してください。 BAC の認証オプションのリストについては、『 Cisco Broadband Access Center |
デフォルトでは、CWMP サービスに対して HTTP over SSL/TLS を使用するクライアント証明書認証は、次のようになっています。 |
|
暗号アルゴリズムまたは暗号を使用して、DPE サーバと CPE の間の認証をイネーブルまたはディセーブルにします。これらの暗号アルゴリズムまたは暗号は、証明書管理およびセッション管理用に、HTTP over SSL/TLS によってサポートされています。SSL ハンドシェイク中、DPE サーバと CPE デバイスは、これら両方でイネーブルになっている最も強い暗号スイートを特定し、SSL セッションでそのスイートを使用します。 ![]() (注) BAC は、DPE のコマンドライン インターフェイスから設定可能な暗号スイートのリストをサポートします。BAC でサポートされる暗号スイートのリストについては、表4-5 を参照してください。 |
• • ![]() (注) service cwmp ssl cipher all-cipher-suites コマンドは、個々の暗号を設定していない場合にのみ動作します。個々の暗号スイートをディセーブルにするには、no service cwmp ssl cipher value コマンドを使用します。すべての暗号をディセーブルにするには、no service cwmp ssl cipher all-cipher-suites コマンドを使用します。 • 各暗号スイートは、特定の暗号法の機能に関連付けられている一連のアルゴリズムを指定します。BAC でサポートされる暗号法アルゴリズムのリストについては、 表4-4 を参照してください。 |
|
DPE 上の CWMP サービスに対して、SSL/TLS 上での HTTP の使用をイネーブルまたはディセーブルにします。 ![]() (注) DPE を再起動する前にキーストア ファイルおよびキーストア パスワードを設定しないと、 |
• |
|
service cwmp num ssl keystore keystore-filename keystore-password key-password |
||
プロビジョニング サーバ証明書が含まれるキーストア ファイルを設定します。この証明書は、HTTP over SSL/TLS を使用して、デバイスに対してプロビジョニング サーバを認証するのに使用されます。 ![]() (注) この設定は、サービスのインスタンスがイネーブルになっており(service cwmp 2 の場合と同様、デフォルトではディセーブルになっている)、このサービスに対して SSL/TLS プロトコルがイネーブルになっている場合にのみ関連します。SSL/TLS トランスポートをイネーブルにするには、service cwmp num ssl enable true コマンドを使用します。 |
• • • • |
|
DPE は、自己署名証明書が含まれるデフォルトのサンプル キーストアとともに出荷されます。ただし、CWMP デバイスは自己署名証明書を信頼しないので、このキーストアを使用して HTTP over SSL/TLS にデバイスをプロビジョニングさせることはできません。代わりに、署名済みのサービス プロバイダー証明書およびキーストアを取得する必要があります。詳細については、『 Cisco Broadband Access Center Administrator’s Guide, Release 3.0 』を参照してください。 |
このコマンドは、既存の秘密鍵と証明書を、SSL クライアントへの DPE の認証で使用する DPE 互換ファイルにインポートするときに使用します。 keystore import-pkcs12 コマンドにより PKCS#12 ファイルが開かれ、内容が読み取られ、JKS と呼ばれる Sun 独自の Java キーストア形式で新規のキーストアが書き込まれます。
PKCS#12 ファイル形式は、証明書と秘密鍵を格納するために使用する規格です。たとえば、Microsoft Windows 2000 IIS 5.0 サーバからインポートされた証明書がこれに該当します。
(注) 秘密鍵と証明書が別々のファイルに格納されている場合は、keystore import-pkcs12 コマンドを実行する前に、これらのファイルを単一の PKCS#12 ファイルに結合してください。
次の例に記載されている構文を使用できます。この例では、openssl コマンドによって、example.key
内の鍵と example.crt file
内の証明書が example.pkcs12
ファイルに結合されています。#
openssl pkcs12 -inkey example.key -in example.crt -export -out example.pkcs12
• keystore-filename :作成される JKS キーストア ファイルを表します。ファイルがすでに存在している場合、ファイルは上書きされます。
(注) 必ずキーストア ファイルのフル パスを指定してください。
• pkcs12-filename :鍵と証明書のインポート元である PKCS#12 ファイルを表します。
• keystore-password :キーストア ファイルの作成時に使用した秘密鍵パスワードおよびキーストア パスワードを表します。このパスワードの文字数は、6 ~ 30 文字にする必要があります。
• key-password :DPE キーストア内の鍵へのアクセスに使用されるパスワードを表します。このパスワードの文字数は、6 ~ 30 文字にする必要があります。
• export-password :PKCS#12 ファイル内の鍵の複合化に使用されるパスワードを表します。エクスポート パスワードの文字数は、6 ~ 30 文字にする必要があります。
• export-key-password :PKCS#12 キーストア内の鍵へのアクセスに使用されるパスワードを表します。このパスワードの文字数は、6 ~ 30 文字にする必要があります。
これは、DPE で実行されている HTTP サービスに対してさまざまな設定を構成するときに使用するコマンドのグローバル構文です。これらのコマンドを使用すると、次のことが可能です。
• SSL/TLS 上で HTTP を使用するようにサービスを設定する
service http は、 表4-3 に記載されているコマンドのリストと併せて使用してください。
(注) これらのコマンドを使用するときは、特に記載のない限り、DPE を再起動して変更内容を有効にする必要があります。DPE を再起動するには、dpe reload コマンド(「dpe reload」を参照)を実行します。
|
|
|
---|---|---|
DPE 上の HTTP ファイル サービスに対するクライアント認証をイネーブルまたはディセーブルにします。 BAC の認証オプションのリストについては、『 Cisco Broadband Access Center |
• • – – – ![]() (注) クライアント認証中のセキュリティ リスクを制限するため、ダイジェストモード(デフォルト設定)を使用することをお勧めします。基本モードでクライアント認証を許可したり、基本およびダイジェスト認証をディセーブルにしたりすることは推奨されていません。 |
|
• デフォルトでは、HTTP ファイル サービスは次のようになっています。 |
|
|
HTTP ファイル サービスが CPE デバイスと通信するポートを表します。異なるポート番号を指定することにより、DPE が、他のアプリケーションによって使用されるポート間の共有違反を回避できるようになります。 |
• デフォルトでは、HTTP ファイル サービスは次のポートをリスニングするように設定されています。 ![]() (注) service http port コマンドは、指定されたポート番号が別のアプリケーションまたはシステム ユーティリティによって使用されているかどうかはチェックしません。 |
|
DPE 上で実行されている HTTP ファイル サービスに対して HTTP over SSL/TLS を使用することにより、クライアント証明書認証をイネーブルまたはディセーブルにします。 BAC の認証オプションのリストについては、『 Cisco Broadband Access Center Administrator’s Guide, Release 3.0 』を参照してください。 |
• デフォルトでは、HTTP ファイル サービスに対して HTTP over SSL/TLS を使用するクライアント証明書認証は、次のようになっています。 • – – |
|
HTTP over SSL/TLS を使用する接続が Cisco CSS 11500 シリーズ Content Services Switch(CSS 11500)で終端している CPE の、認証をイネーブルにします。下流 CSS は、CPE デバイスから SSL セッションに関する情報(特にクライアント証明書フィールド)を取り出し、そのデータをさまざまな HTTP ヘッダーに挿入します。その後 BAC は、CSS ヘッダーの ![]() (注) このコマンドをイネーブルにする前に、必ず CSS を設定して、クライアント証明書フィールドを HTTP ヘッダーに挿入してください。詳細については、『Cisco Content Services Switch SSL Configuration Guide (Software Version 7.40)』を参照してください。 BAC の認証オプションのリストについては、『 Cisco Broadband Access Center |
num :HTTP ファイル サービス(1 または 2)を表します。 デフォルトでは、HTTP ファイル サービスに対して HTTP over SSL/TLS を使用するクライアント証明書認証は、次のようになっています。 |
|
暗号アルゴリズムまたは暗号を使用して、DPE サーバと CPE の間の認証をイネーブルまたはディセーブルにします。これらの暗号アルゴリズムまたは暗号は、証明書管理およびセッション管理用に HTTP over SSL/TLS によってサポートされています。SSL ハンドシェイク中、DPE サーバと CPE デバイスは、これら両方でイネーブルになっている最も強い暗号スイートを特定し、SSL セッションでそのスイートを使用します。 ![]() (注) BAC は、DPE のコマンドライン インターフェイスから設定可能な暗号スイートのリストをサポートします。BAC がサポートする暗号スイートのリストについては、表4-5 を参照してください。 |
• • ![]() (注) service http ssl cipher all-cipher-suites コマンドは、個々の暗号を設定していない場合にのみ動作します。個々の暗号スイートをディセーブルにするには、no service http ssl cipher value コマンドを使用します。すべての暗号をディセーブルにするには、no service http ssl cipher all-cipher-suites コマンドを使用します。 • 各暗号スイートは、特定の暗号法の機能に関連付けられている一連のアルゴリズムを指定します。BAC がサポートする暗号法アルゴリズムのリストについては、 表4-4 を参照してください。 |
|
DPE 上の HTTP ファイル サービスに対して、SSL/TLS 上での HTTP の使用をイネーブルまたはディセーブルにします。 ![]() (注) DPE を再起動する前にキーストア ファイルおよびキーストア パスワードを設定しないと、HTTP ファイル サービスが起動しなくなります。キーストア ファイルおよびキーストア パスワードの設定方法については、『Cisco Broadband |
• |
|
service http num ssl keystore keystore-filename keystore-password key-pasword |
||
プロビジョニング サーバ証明書が含まれるキーストア ファイルを設定します。この証明書は、HTTP over SSL/TLS を使用して、デバイスに対してプロビジョニング サーバを認証するのに使用されます。 ![]() (注) この設定は、サービスのインスタンスがイネーブルになっており(service http 2 の場合と同様、デフォルトではディセーブルになっている)、このサービスに対して HTTP over SSL/TLS がイネーブルになっている場合にのみ関連します。SSL/TLS トランスポートをイネーブルにするには、service http num ssl enable true コマンドを使用します。 |
• • • • |
|
DPE は、自己署名証明書が含まれるデフォルトのサンプル キーストアとともに出荷されます。ただし、CWMP デバイスは自己署名証明書を信頼しないので、このキーストアを使用して HTTP over SSL/TLS にデバイスをプロビジョニングさせることはできません。代わりに、署名済みのサービス プロバイダー証明書およびキーストアを取得する必要があります。署名済みのサービス プロバイダー証明書、およびキーストアの取得方法に関する詳細については、『 Cisco Broadband Access Center Administrator’s Guide, Release 3.0 』を参照してください。 |
一般的な SSL セッションでは、安全な接続を確立および保持するため、暗号化サイファが必要になります。暗号スイートは、SSL/TLS プロトコルがクライアント/サーバ交換を認証し、安全な接続を確立および保持するのに必要な暗号アルゴリズムを提供します。
表4-4 は、この BAC のリリースでサポートされる暗号法アルゴリズムを定義しています。
(注) 暗号スイートの詳細については、『Cisco Content Services Switch SSL Configuration Guide (Software Version 7.40)』を参照してください。
|
|
|
---|---|---|
|