CA における発信トラフィックの送信元インターフェイス選択機能の詳細
エンティティを識別する証明書
証明書を使用して、エンティティを識別できます。認証局(CA)とも呼ばれるトラステッド サーバにより、エンティティの ID を決定した後にエンティティに証明書が発行されます。Cisco IOS XE ソフトウェアを実行しているルータは、CA にネットワーク接続することでその証明書を取得します。Simple Certificate Enrollment Protocol(SCEP)を使用して、ルータはその証明書要求を CA に送信し、許可された証明書を受信します。ルータは、SCEP を使用した場合と同様に CA の証明書を取得します。リモート デバイスからの証明書を検証する場合、ルータは再度 CA または Lightweight Directory Access Protocol(LDAP)サーバあるいは HTTP サーバに連絡して、リモート デバイスの証明書が失効しているかどうか判断できます(このプロセスは、証明書失効リスト(CRL)のチェックとも呼ばれています)。
Note |
Cisco IOS リリースに応じて、LDAP がサポートされます。 |
設定によっては、有効またはルーティング可能な IP アドレスを持たないインターフェイスを使用して発信 TCP 接続を実行できる場合があります。ユーザは、異なるインターフェイスのアドレスを発信接続の送信元 IP アドレスとして使用するよう指定する必要があります。この要件の具体例としてケーブル モデムがあります。発信ケーブル インターフェイス(RF インターフェイス)には通常、ルーティング可能なアドレスがないためです。ただし、ユーザ インターフェイス(通常は FastEthernet)には有効な IP アドレスはありません。
トラストポイントに関連付けられた発信 TCP 接続の送信元インターフェイス
トラストポイントを指定するには、crypto pki trustpoint コマンドを使用します。インターフェイスのアドレスを、そのトラストポイントに関連付けられたすべての発信 TCP 接続の送信元アドレスとして指定する場合は、source interface コマンドも crypto pki trustpoint コマンドとともに使用します。
Note |
インターフェイスアドレスが source interface コマンドを使用して指定されていない場合は、発信インターフェイスのアドレスが使用されます。 |