トラストポイントの PKI 分割 VRF

トラストポイントの PKI 分割 VRF 機能を使用すると、証明書登録と失効で VPN ルーティングおよび転送(VRF)を設定できます。

トラストポイントの PKI 分割 VRF に関する情報

トラストポイントの PKI 分割 VRF の概要

トラストポイントの PKI 分割 VRF 機能を使用すると、証明書登録と証明書失効リスト(CRL)の確認で VPN ルーティングおよび転送(VRF)を設定できます。VRF は、crypto pki profile enrollment コマンドの後に enrollment url コマンドを使用して登録プロファイルに設定し、この登録プロファイルをトラストポイントに添付します。登録および CRL に同じ VRF を設定したり、異なる VRF を設定したりできます。設定(登録または失効)に基づいて、対応する VRF が選択され、Simple Certificate Enrollment Protocol(SCEP)要求が各 VRF を介して送信されます。

さまざまなルーティングパスを介して登録および CRL を設定するには、crypto pki profile enrollment コマンドを使用して登録 url コマンドを設定する必要があります。ここで設定した VRF は登録 VRF として動作し、登録要求はこの VRF を介して送信されます。ただし、CRL はトラストポイントで設定したグローバル VRF を使用します。

enrollment url コマンドで設定した VRF がない場合は、登録が crypto pki trustpoint コマンドで設定されるグローバル登録に変わります。

分割 VRF の設定

手順の概要

  1. enable
  2. configure terminal
  3. crypto pki profile enrollment label
  4. enrollment url url [vrf vrf-name]
  5. exit
  6. show crypto pki profile
  7. show crypto pki trustpoint

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable
特権 EXEC モードを有効にします。
  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal
グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto pki profile enrollment label

例:

Device(config)# crypto pki profile enrollment pki_profile
登録プロファイルを定義し、ca-profile-enroll コンフィギュレーション モードを開始します。
  • label :登録プロファイルの名前。登録プロファイル名は、enrollment profile コマンドで指定された名前と同じである必要があります。

ステップ 4

enrollment url url [vrf vrf-name]

例:

Device(ca-profile-enroll)# enrollment url http://entrust:81/cda-cgi/clientcgi.exe vrf vrf1

証明書登録要求を HTTP または TFTP によって送信する CA サーバの URL および VPN ルーティングおよび転送(VRF)を指定します。

ステップ 5

exit

例:

Device(ca-profile-enroll)# exit
ca-profile-enroll コンフィギュレーション モードを終了します。
  • グローバル コンフィギュレーション モードを終了するため、このコマンドをもう一度入力します。

ステップ 6

show crypto pki profile

例:

Device# show crypto pki profile
(任意)PKI プロファイルの情報を表示します。

ステップ 7

show crypto pki trustpoint

例:

Device# show crypto pki trustpoint
(任意)PKI トラストポイントの情報を表示します。

例:トラストポイントの PKI 分割 VRF の設定

同一 VRF を介した登録と証明書失効リスト

次の例では、同一 VRF を介した登録と証明書失効リスト(CRL)の設定方法について示します。 

crypto pki trustpoint trustpoint1
	enrollment url http://10.10.10.10:80
	vrf vrf1
	revocation-check crl

異なる VRF を介した登録と証明書失効リスト

次の例では、異なる VRF を介した登録と証明書失効リスト(CRL)の設定方法について示します。 

crypto pki profile enrollment pki_profile
 enrollment url http://10.10.10.10:80 vrf vrf2

crypto pki trustpoint trustpoint1
 enrollment profile pki_profile
 vrf vrf1
 revocation-check crl

トラストポイントの PKI 分割 VRF の追加資料

関連資料

関連項目

マニュアル タイトル

Cisco IOS コマンド

『Cisco IOS Master Command List, All Releases』

セキュリティ コマンド

推奨される暗号化アルゴリズム

『Next Generation Encryption』

シスコのテクニカル サポート

説明

リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

Cisco TrustSec の概要の機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. Cisco TrustSec の概要の機能情報

機能名

リリース

機能情報

IPv6 の有効化 - インライン タギング

Cisco IOS XE Fuji 16.8.1

IPv6 のサポートが導入されました。