この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
認証局(CA)相互運用性は、IP Security(IPSec)、Secure Socket Layer(SSL)および Secure Shell(SSH)プロトコルのサポートとして提供されます。 このモジュールでは、CA 相互運用性を実装する方法について説明します。
CA 相互運用性は、デバイスが CA からデジタル証明書を取得および使用できるように、Cisco ASR 9000 Series Router デバイスと CA の通信を許可します。 IPSec は CA を使用せずにネットワークで実装できますが、CA を使用すると、IPSec の管理性と拡張性が提供されます。
(注) |
このモジュールで使用される公開キー インフラストラクチャ(PKI)コマンドの詳細については、 『Cisco ASR 9000 Series Aggregation Services Router System Security Command Reference』の「Public Key Infrastructure Commands on Cisco ASR 9000 シリーズ ルータ」モジュールを参照してください。 このモジュールで言及する他のコマンドについては、コマンド リファレンス マスター インデックス(オンライン検索)を使用して、該当するマニュアルを参照してください。 |
リリース |
変更点 |
---|---|
リリース 3.7.2 |
この機能を追加しました。 |
CA 相互運用性を実装するには、次の前提条件を満たす必要があります。
Cisco IOS XR ソフトウェアは、2048 ビットを超える CA サーバ公開キーをサポートしません。
CA を実装するには、次の概念を理解する必要があります。
シスコでは次の標準をサポートしています。
次の項では、CA の背景情報を説明します。
CA は、証明書要求を管理し、参加する IPSec ネットワーク デバイスへの証明書の発行します。 これらのサービスは、参加デバイスのキー管理を一元化して行います。
CA は、IPSec ネットワーク デバイスの管理を簡素化します。 CA は、ルータなど、複数の IPSec 対応デバイスを含むネットワークで使用できます。
Public Key Cryptography によりイネーブルにされたデジタル署名は、デバイスおよび個人ユーザをデジタル認証します。 RSA 暗号化システムなどの Public Key Cryptography では、各ユーザは、公開キーと秘密キーの両方を含むキー ペアを使用します。 これらのキーは、補足として機能し、一方で暗号化されたものは、もう一方で復号化できます。 つまり、シグニチャは、データがユーザの秘密キーで暗号化されるときに形成されます。 受信側は、送信側の公開キーを使用してメッセージを復号化することで、シグニチャを検証します。 メッセージは、送信側の公開キーを使用して復号化できるため、秘密キーの所有者、つまり送信者がメッセージを作成することになります。 このプロセスは、受信者が送信者の公開キーのコピーを持っていて、これが本当に送信者のものであり、送信者を騙る他人のものではないことを高い確実性を持って知っていることを基盤としています。
デジタル証明書はリンクを提供します。 デジタル証明書には、名前、シリアル番号、企業、部署または IP アドレスなど、ユーザまたはデバイスを特定する情報を含んでいます。 また、エンティティの公開キーのコピーも含んでいます。 証明書自体は、受信者が身元を証明し、デジタル証明書を作成するうえで確実に信頼できるサード パーティである、CA により署名されます。
CA のシグニチャを検証するには、受信者は、CA の公開キーを認識している必要があります。 通常、このプロセスは、アウトオブバンドで、またはインストールで行われる操作により処理されます。 たとえば、通常の Web ブラウザでは、デフォルトで、複数の CA の公開キーが設定されています。 IKE は、IPSec の必須要素で、デジタル証明書を使用して、SA を設定する前にピア デバイスの拡張性を認証します。
デジタル シグニチャがない場合、ユーザは、IPSec を使用するデバイスの各ペア間で公開キーまたはシークレットを手動で交換して、通信を保護する必要があります。 証明書がない場合、ネットワークに新しいデバイスが追加されるたびに、安全に通信を行う他のすべてのデバイスで設定を変更する必要があります。 デジタル証明書がある場合、各デバイスは、CA に登録されます。 2 台のデバイスが通信する場合、証明書を交換し、データをデジタル署名して、お互いを認証します。 新しいデバイスがネットワークに追加されると、ユーザは、そのデバイスを CA に登録します。他のデバイスでは変更の必要はありません。 新しいデバイスが IPSec 接続を試行すると、証明書が自動的に交換され、デバイスを認証できます。
CA を使用せずに、2 つの Cisco ルータ間で IPSec サービス(暗号化など)をイネーブルにする場合、最初に、各ルータにもう一方のルータのキー(RSA 公開キーや共有キー)が存在するか確認する必要があります。 つまり、次のいずれかの操作を手動で実行する必要があります。
複数の Cisco ルータをメッシュ トポロジで配置し、すべてのルータ間で IPSec トラフィックを交換させる場合には、最初に、すべてのルータ間に共有キーまたは RSA 公開キーを設定する必要があります。
IPSec ネットワークに新しいルータを追加するごとに、新しいルータと既存の各ルータ間にキーを設定する必要があります
したがって、IPSec サービスを必要とするデバイスが増えるほど、キー管理は複雑になります。 このアプローチでは、より大型で複雑な暗号化ネットワークには拡張できません。
CA を使用する場合、すべての暗号化ルータ間でキーを設定する必要はありません。 代わりに、加入させる各ルータを CA に個別に登録し、各ルータの証明書を要求します。 この登録が完了していれば、各加入ルータは、他のすべての加入ルータをダイナミックに認証できます。
ネットワークに新しい IPSec ルータを追加する場合、新しいルータが CA に証明書を要求するように設定するだけでよく、既存の他のすべての IPSec ルータとの間に複数のキー設定を行う必要はありません。
複数のトラストポイント CA がある場合、証明書をピアに発行した CA にルータを登録する必要はありません。 その代わり、信頼できる複数の CA にルータを設定します。 そのため、ルータは、設定された CA(信頼できるルート)を使用して、ルータ ID で定義されている同じ CA により発行されていない証明を、ピアが提供したかどうかを検証できます。
複数の CA を設定することにより、IKE を使用して IPSec トンネルを確立する場合に、異なるドメイン(異なる CA)に登録した 2 台以上のルータ間で相互の ID を確認できます。
SCEP では、各ルータは、CA(登録 CA)で設定されます。 CA は、CA の秘密キーで署名されるルータに証明書を発行します。 同じドメインのピアの証明書を確認するため、ルータは、登録 CA のルート証明書でも設定されます。
異なるドメインからピアの証明書を確認するには、そのピアのドメインの登録 CA のルート証明書をルータで安全に設定する必要があります。
IKE フェーズ I の署名の検証中、発信側は CA 証明書のリストを応答側に送信します。 応答側は、リストのいずれかの CA により発行される証明書を送信する必要があります。 証明書が検証されたら、証明書に含まれる公開キーを公開キー リングに保存します。
複数のルート CA がある場合、バーチャル プライベート ネットワーク(VPN)ユーザは、一方のドメインで信頼を確立して、もう一方のドメインで簡単かつ安全に配布できます。 そのため、異なるドメインで認証されるエンティティ間の必要なプライベート通信チャネルが発生します。
2 台の IPSec ルータが IPSec で保護されたトラフィックを交換するには、最初に相互に認証しあう必要があります。認証されていない場合、IPSec 保護が適用されません。 この認証を行うには、IKE を使用します。
CA を使用しない場合、ルータは、RSA 暗号化ナンスまたは事前共有キーを使用してリモート ルータに自身を認証します。 いずれの方式でも、2 つのルータ間でキーを事前に設定しておく必要があります。
CA を使用する場合、ルータはリモート ルータに証明書を送信し、何らかの公開キー暗号法を実行することによって、ルータ スイッチに対して自身を認証します。 各ルータは、CA により発行されて検証された、ルータ固有の証明書を送信する必要があります。 このプロセスが有効なのは、各ルータの証明書にルータの公開キーがカプセル化され、各証明書が CA によって認証されることにより、すべての加入ルータが CA を認証局として認識するからです。 この機構は、RSA シグニチャを使用する IKE と呼ばれます。
ルータは、証明書が期限切れになるまで、複数の IPSec ピアに対して、複数の IPSec セッション用に自身の証明書を継続的に送信できます。 証明書が期限満了になったときは、ルータの管理者は新しい証明書を CA から入手する必要があります。
ルータが別のドメイン(異なる CA)のピアから証明書を受信した場合、ルータの CA からダウンロードした証明書失効リスト(CRL)には、そのピアの証明書情報は含まれません。 そのため、Lightweight Directory Access Protocol(LDAP)URL で設定したトラストポイントで発行された CRL をチェックして、ピアの証明書が失効しているかどうかを確認します。
LDAP URL で設定されているトラストポイントにより発行された CRL を照会するには、トラストポイント コンフィギュレーション モードで query url コマンドを使用します。
CA によっては、実装の一部として登録局(RA)を使用します。 RA は CA のプロキシの役割を果たすサーバであるため、CA が使用できないときも CA 機能は継続しています。
この項では、次の手順について説明します。
この作業では、ルータのホスト名および IP ドメイン名を設定します。
ルータのホスト名および IP ドメイン名が未設定の場合には、これらを設定する必要があります。 ホスト名および IP ドメイン名が必要なのは、ルータが完全修飾ドメイン名(FQDN)を IPSec により使用されるキーおよび証明書に割り当て、ルータに割り当てられたホスト名および IP ドメイン名に FQDN が基づいているためです。 たとえば、router20.example.com という名前の証明書は、router20 というルータのホスト名と example.com というルータの IP ドメイン名に基づいています。
RSA キー ペアを生成します。
RSA キー ペアは IKE キー交換管理メッセージの署名および暗号化に使用されます。また、ルータの証明書を取得する際に必要です。
1. crypto key generate rsa [usage keys | general-keys] [keypair-label]
2. crypto key zeroize rsa [keypair-label]
3. show crypto key mypubkey rsa
公開キーをルータにインポートします。
公開キーがルータにインポートされ、ユーザが認証されます。
1. crypto key import authentication rsa [usage keys | general-keys] [keypair-label]
2. show crypto key mypubkey rsa
CA を宣言し、信頼できるポイントを設定します。
1. configure
2. crypto ca trustpoint ca-name
3. enrollment url CA-URL
4. query url LDAP-URL
5. enrollment retry period minutes
6. enrollment retry count number
7. rsakeypair keypair-label
CA をルータに対して認証します。
ルータは、CA の公開キーを含む CA の自己署名証明書を取得して CA を認証する必要があります。 この CA の証明書は自己署名(CA が自身の証明書に署名したもの)であるため、CA の公開キーは、CA アドミニストレータに連絡し、CA 証明書のフィンガープリントを比較して手動で認証する必要があります。
1. crypto ca authenticate ca-name
2. show crypto ca certificates
証明書を CA から要求します。
ルータの各 RSA キー ペアに対して、署名された証明書を CA から取得する必要があります。 汎用 RSA キーを生成した場合、ルータの RSA キー ペアは 1 つだけなので、必要な証明書は 1 つだけです。 特殊用途 RSA キーを生成した場合、ルータには 2 つの RSA キー ペアがあるので、必要な証明書は 2 つです。
1. crypto ca enroll ca-name
2. show crypto ca certificates
ルータが使用するトラストポイント認証局(CA)を宣言して、このトラストポイント CA をカットアンドペーストによる手動登録に設定します。
1. configure
2. crypto ca trustpoint ca-name
3. enrollment terminal
5. crypto ca authenticate ca-name
6. crypto ca enroll ca-name
7. crypto ca import ca- name certificate
8. show crypto ca certificates
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | crypto ca trustpoint ca-name 例: RP/0/RSP0/CPU0:router(config)# crypto ca trustpoint myca RP/0/RSP0/CPU0:router(config-trustp)# |
ルータが使用する CA を宣言し、CA トラストポイント コンフィギュレーション モードを開始します。 |
||
ステップ 3 | enrollment terminal 例: RP/0/RSP0/CPU0:router(config-trustp)# enrollment terminal |
カットアンドペーストによる手動での証明書登録を指定します。 |
||
ステップ 4 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
||
ステップ 5 | crypto ca authenticate ca-name 例: RP/0/RSP0/CPU0:router# crypto ca authenticate myca |
CA の証明書を取得することにより、CA を認証します。
|
||
ステップ 6 | crypto ca enroll ca-name 例: RP/0/RSP0/CPU0:router# crypto ca enroll myca |
CA からルータの証明書を取得します。 |
||
ステップ 7 | crypto ca import ca- name certificate 例: RP/0/RSP0/CPU0:router# crypto ca import myca certificate |
端末で証明書を手動でインポートします。
|
||
ステップ 8 | show crypto ca certificates 例: RP/0/RSP0/CPU0:router# show crypto ca certificates |
証明書と CA 証明書に関する情報を表示します。 |
この項では、次の設定例について説明します。
次に、CA 相互運用性を設定する例を示します。
さまざまなコマンドを説明するコメントが設定に含まれます。
configure hostname myrouter domain name mydomain.com end Uncommitted changes found, commit them? [yes]:yes crypto key generate rsa mykey The name for the keys will be:mykey Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keypair Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [1024]: Generating RSA keys ... Done w/ crypto generate keypair [OK] show crypto key mypubkey rsa Key label:mykey Type :RSA General purpose Size :1024 Created :17:33:23 UTC Thu Sep 18 2003 Data : 30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00CB8D86 BF6707AA FD7E4F08 A1F70080 B9E6016B 8128004C B477817B BCF35106 BC60B06E 07A417FD 7979D262 B35465A6 1D3B70D1 36ACAFBD 7F91D5A0 CFB0EE91 B9D52C69 7CAF89ED F66A6A58 89EEF776 A03916CB 3663FB17 B7DBEBF8 1C54AF7F 293F3004 C15B08A8 C6965F1E 289DD724 BD40AF59 E90E44D5 7D590000 5C4BEA9D B5020301 0001 ! The following commands declare a CA and configure a trusted point. configure crypto ca trustpoint myca enrollment url http://xyz-ultra5 enrollment retry count 25 enrollment retry period 2 rsakeypair mykey end Uncommitted changes found, commit them? [yes]:yes ! The following command authenticates the CA to your router. crypto ca authenticate myca Serial Number :01 Subject Name : cn=Root coax-u10 Certificate Manager,ou=HFR,o=Cisco Systems,l=San Jose,st=CA,c=US Issued By : cn=Root coax-u10 Certificate Manager,ou=HFR,o=Cisco Systems,l=San Jose,st=CA,c=US Validity Start :07:00:00 UTC Tue Aug 19 2003 Validity End :07:00:00 UTC Wed Aug 19 2020 Fingerprint:58 71 FB 94 55 65 D4 64 38 91 2B 00 61 E9 F8 05 Do you accept this certificate?? [yes/no]:yes ! The following command requests certificates for all of your RSA key pairs. crypto ca enroll myca % Start certificate enrollment ... % Create a challenge password. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate. % For security reasons your password will not be saved in the configuration. % Please make a note of it. Password: Re-enter Password: Fingerprint: 17D8B38D ED2BDF2E DF8ADBF7 A7DBE35A ! The following command displays information about your certificate and the CA certificate. show crypto ca certificates Trustpoint :myca ========================================================== CA certificate Serial Number :01 Subject Name : cn=Root coax-u10 Certificate Manager,ou=HFR,o=Cisco Systems,l=San Jose,st=CA,c=US Issued By : cn=Root coax-u10 Certificate Manager,ou=HFR,o=Cisco Systems,l=San Jose,st=CA,c=US Validity Start :07:00:00 UTC Tue Aug 19 2003 Validity End :07:00:00 UTC Wed Aug 19 2020 Router certificate Key usage :General Purpose Status :Available Serial Number :6E Subject Name : unstructuredName=myrouter.mydomain.com,o=Cisco Systems Issued By : cn=Root coax-u10 Certificate Manager,ou=HFR,o=Cisco Systems,l=San Jose,st=CA,c=US Validity Start :21:43:14 UTC Mon Sep 22 2003 Validity End :21:43:14 UTC Mon Sep 29 2003 CRL Distribution Point ldap://coax-u10.cisco.com/CN=Root coax-u10 Certificate Manager,O=Cisco Systems
CA 相互運用性の設定が終了したら、IKE、IPSec および SSL を設定する必要があります。 IKE 設定については、「Implementing Internet Key Exchange Security Protocol on Cisco ASR 9000 シリーズ ルータ」モジュール、「IPSec in the Implementing IPSec Network Security on Cisco ASR 9000 シリーズ ルータ」モジュールおよび「SSL in the Implementing Secure Socket Layer on Cisco ASR 9000 シリーズ ルータ」モジュールを参照してください。 これらのモジュールは、 『Cisco ASR 9000 Series Aggregation Services Router System Security Configuration Guide』(この資料)にあります。
次の項では、認証局相互運用性の実装に関連する参考資料を提供します。
関連項目 |
ドキュメント名 |
---|---|
PKI コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用上のガイドライン、および例 |
『Cisco ASR 9000 Series Aggregation Services Router System Security Command Reference』の「Public Key Infrastructure Commands on Cisco ASR 9000 シリーズ ルータ」モジュール |
標準 |
タイトル |
---|---|
この機能でサポートが追加または変更された標準はありません。また、この機能で変更された既存の標準のサポートはありません。 |
— |
MIB |
MIB リンク |
---|---|
— | Cisco IOS XR ソフトウェアを使用して MIB を検出およびダウンロードするには、URL(http://cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml)にある Cisco MIB Locator を使用して、[Cisco Access Products] メニューでプラットフォームを選択します。 |
RFC |
タイトル |
---|---|
この機能でサポートが追加または変更された RFC はありません。また、この機能で変更された既存の RFC のサポートはありません。 |
— |
説明 |
リンク |
---|---|
シスコのテクニカル サポート Web サイトには、数千ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクもあります。 Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。 |