概要
この記事は、Cisco ACI を使用する際の HTTPS アクセスのカスタム証明書を設定する方法の例を示します。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
この記事は、Cisco ACI を使用する際の HTTPS アクセスのカスタム証明書を設定する方法の例を示します。
ワイルドカード証明書(*.cisco.com など。複数のデバイス間で使用)およびそれに関連する他の場所で生成される秘密キーは、APIC ではサポートされません。これは、APIC に秘密キーまたはパスワードを入力するためのサポートがないためです。また、ワイルドカード証明書などのいかなる証明書の秘密キーもエクスポートできません。
証明書署名要求(CSR)を生成する前に、公開中間証明書とルート CA 証明書をダウンロードしてインストールする必要があります。ルート CA 証明書は技術的には CSR を生成するために必要ではありませんが、シスコでは、対象とする CA 機関と CSR への署名に使用される実物の間の不一致を防ぐために、CSR を生成する前にルート CA 証明書が必要です。APIC は、送信された証明書が設定されている CA によって署名されていることを確認します。
更新された証明書の生成に同じ公開キーと秘密キーを使用するには、次のガイドラインを満たす必要があります。
元の CSR にはキー リング内の秘密キーとペアになる公開キーが含まれているため、元の CSR を維持する必要があります。
APIC で公開キーと秘密キーを再利用する場合は、元の証明書に使用されたものと同じ CSR を、更新された証明書に関して再送信する必要があります。
更新された証明書に同じ公開キーと秘密キーを使用する場合は、元のキー リングを削除しないでください。キー リングを削除すると、CSR で使用されている関連秘密キーが自動的に削除されます。
マルチサイト、VCPlugin、VRA、および SCVMM は、証明書ベースの認証ではサポートされません。
ポッドあたり 1 つの証明書ベースのルートのみをアクティブにすることができます。
任意のリリースからリリース 4.0(1) へのダウングレードを実行する場合は、事前に証明書ベースの認証を無効にしておく必要があります。
証明書ベースの認証セッションを終了するには、ユーザはログアウトして CAC カードを削除する必要があります。
注意:ダウンタイムの可能性があるため、メンテナンス時間中にのみこのタスクを実行してください。ダウンタイムは外部ユーザまたはシステムからの APIC クラスタおよびスイッチへのアクセスには影響しますが、APIC とスイッチの接続には影響しません。スイッチ上の NGINX プロセスも影響を受けますが、外部接続のみでファブリックのデータ プレーンには影響ありません。APIC、設定、管理、トラブルシューティングなどへのアクセスは影響を受けることになります。この操作中にファブリック内のすべての Web サーバの再起動が予期されます。
適切な認証局を作成できるように、信頼できる証明書を取得する機関を決定します。
ステップ 1 |
メニュー バーで、 の順に選択します。 |
||
ステップ 2 |
[Navigation] ペインで、[Security] を選択します。 |
||
ステップ 3 |
[Work] ペインで、 を選択します。 |
||
ステップ 4 |
[Create Certificate Authority] ダイアログボックスの [Name] フィールドに、認証局の名前を入力します。 |
||
ステップ 5 |
[Certificate Chain] フィールドに、Application Policy Infrastructure Controller(APIC)の証明書署名要求(CSR)に署名する認証局の中間証明書およびルート証明書をコピーします。
|
||
ステップ 6 |
[Submit] をクリックします。 |
||
ステップ 7 |
[Navigation] ペインで、 の順に選択します。 |
||
ステップ 8 |
[Work] ペインで、 の順に選択します。 |
||
ステップ 9 |
[Create Key Ring] ダイアログボックスで、[Name] フィールドに、名前を入力します。 |
||
ステップ 10 |
[Certificate] フィールドには、コンテンツを追加しないでください。 |
||
ステップ 11 |
[Modulus] フィールドで、目的のキー強度のラジオボタンをクリックします。 |
||
ステップ 12 |
[Certificate Authority] フィールドのドロップダウン リストから、前に作成した認証局を選択します。[Submit] をクリックします。
|
||
ステップ 13 |
[Navigation] ペインで、 の順に選択します。 |
||
ステップ 14 |
[Work] ペインで、 の順に選択します。 |
||
ステップ 15 |
[Subject] フィールドに、APIC の完全修飾ドメイン名(FQDN)を入力します。 |
||
ステップ 16 |
必要に応じて、残りのフィールドに入力します。
|
||
ステップ 17 |
[Submit] をクリックします。 |
||
ステップ 18 |
[Navigation] ペインで、 の順に選択します。 |
||
ステップ 19 |
[Work] ペインの [Certificate] フィールドに、認証局から受信した署名付き証明書を貼り付けます。 |
||
ステップ 20 |
[Submit] をクリックします。
|
||
ステップ 21 |
メニュー バーで、 の順に選択します。 |
||
ステップ 22 |
[Navigation] ペインで、 の順に選択します。 |
||
ステップ 23 |
[Work] ペインの [Admin Key Ring] ドロップダウン リストで目的のキー リングを選択します。 |
||
ステップ 24 |
(オプション)証明書ベースの認証では、[Client Certificate TP] ドロップダウン リストで、以前に作成したローカル ユーザ ポリシーを選択し、[Client Certificate Authentication state] の [Enabled] をクリックします。 |
||
ステップ 25 |
[Submit] をクリックします。 |
証明書の失効日には注意しておき、期限切れになる前に対応する必要があります。更新された証明書に対して同じキー ペアを維持するには、CSR を維持する必要があります。これは、CSR にはキー リング内の秘密キーとペアになる公開キーが含まれているためです。証明書が期限切れになる前に、同じ CSR を再送信する必要があります。キー リングを削除すると、APIC に内部的に保存されている秘密キーも削除されるため、新しいキー リングの削除または作成は行わないでください。
証明書ベースの認証を有効にするには、次の手順を実行します。 例:
|