SSH 認証の X.509v3 証明書
SSH 認証の X.509v3 証明書機能は、サーバ内で X.509v3 デジタル証明書を使用し、セキュア シェル(SSH)サーバ側でユーザ認証を使用します。
このモジュールでは、デジタル証明書用のサーバおよびユーザ証明書プロファイルを設定する方法について説明します。
SSH 認証の X.509v3 証明書の前提条件
- SSH 認証の X.509v3 証明書機能では、ip ssh server authenticate
user コマンドの代わりに ip ssh server algorithm
authentication コマンドが導入されます。ip ssh server authenticate
user コマンドを使用すると、次の警告メッセージが表示されます。
Warning: SSH command accepted but this CLI will be deprecated soon. Please move to new CLI “ip ssh server algorithm authentication”. Please configure “default ip ssh server authenticate user” to make CLI ineffective.
-
ip ssh server authenticate user コマンドの影響を受けないようにするには、default ip ssh server authenticate user コマンドを使用します。その後、IOS セキュア シェル(SSH)サーバは ip ssh server algorithm authentication コマンドを使用して起動します。
-
SSH 認証の X.509v3 証明書の制約事項
-
SSH 認証の X.509v3 証明書機能の実装は、IOS セキュア シェル(SSH)サーバ側にのみ適用できます。
-
IOS SSH サーバは、IOS SSH サーバ側のサーバおよびユーザ認証について、x509v3-ssh-rsa アルゴリズム ベースの証明書のみをサポートします。
SSH 認証用の X.509v3 証明書に関する情報
デジタル証明書
認証の有効性は、公開署名キーとその署名者のアイデンティティとの関連の強さに依存します。X.509v3 形式(RFC5280)のデジタル証明書は、アイデンティティの管理を実行するために使用されます。信頼できるルート証明機関とその中間証明機関による署名の連鎖によって、指定の公開署名キーと指定のデジタル アイデンティティがバインドされます。
公開キー インフラストラクチャ(PKI)のトラストポイントは、デジタル証明書の管理に役立ちます。証明書とトラストポイントを関連付けることによって、証明書を追跡できます。トラストポイントには、認証局(CA)、さまざまなアイデンティティ パラメータ、およびデジタル証明書に関する情報が含まれています。複数のトラストポイントを作成して、異なる証明書に関連付けることができます。
X.509v3 を使用したサーバおよびユーザ認証
サーバ認証の場合、IOS セキュア シェル(SSH)が確認のためにそれ自体の証明書を SSH クライアントに送信します。このサーバ証明書は、サーバ証明書プロファイル(ssh-server-cert-profile-server コンフィギュレーション モード)で設定されたトラストポイントに関連付けられます。
ユーザ認証の場合、SSH クライアントが確認のためにユーザの証明書を IOS SSH サーバに送信します。SSH サーバは、サーバ証明書プロファイル(ssh-server-cert-profile-user コンフィギュレーション モード)で設定された公開キー インフラストラクチャ(PKI)トラストポイントを使用して、受信したユーザ証明書を確認します。
デフォルトでは、証明書ベースの認証が、IOS SSH サーバ端末でサーバおよびユーザに対して有効になっています。
SSH 認証用の X.509v3 証明書の設定方法
サーバ認証にデジタル証明書を使用するための IOS SSH サーバの設定
手順
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。
|
||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
ip ssh server algorithm hostkey {x509v3-ssh-rsa [ssh-rsa ] | ssh-rsa [x509v3-ssh-rsa ]} 例:
|
ホスト キー アルゴリズムの順序を定義します。セキュア シェル(SSH)クライアントとネゴシエートされるのは、設定済みのアルゴリズムのみです。
|
||
ステップ 4 |
ip ssh server certificate profile 例:
|
サーバ証明書プロファイルおよびユーザ証明書プロファイルを設定し、SSH 証明書プロファイル コンフィギュレーション モードを開始します。 |
||
ステップ 5 |
server 例:
|
サーバ証明書プロファイルを設定し、SSH サーバ証明書プロファイルのユーザ コンフィギュレーション モードを開始します。 |
||
ステップ 6 |
trustpoint sign PKI-trustpoint-name 例:
|
公開キー インフラストラクチャ(PKI)トラストポイントをサーバ証明書プロファイルにアタッチします。SSH サーバは、この PKI トラストポイントに関連付けられた証明書をサーバ認証に使用します。 |
||
ステップ 7 |
ocsp-response include 例:
|
(任意)Online Certificate Status Protocol(OCSP)の応答または OCSP ステープリングをサーバ証明書と一緒に送信します。
|
||
ステップ 8 |
end 例:
|
SSH サーバ証明書プロファイルのサーバ コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
ユーザ認証用のユーザのデジタル証明書を確認するための IOS SSH サーバの設定
手順
コマンドまたはアクション | 目的 | |||||||
---|---|---|---|---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。
|
||||||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||||||
ステップ 3 |
ip ssh server algorithm authentication {publickey | keyboard | password } 例:
|
ユーザ認証アルゴリズムの順序を定義します。セキュア シェル(SSH)クライアントとネゴシエートされるのは、設定済みのアルゴリズムのみです。
|
||||||
ステップ 4 |
ip ssh server algorithm publickey {x509v3-ssh-rsa [ssh-rsa ] | ssh-rsa [x509v3-ssh-rsa ]} 例:
|
公開キー アルゴリズムの順序を定義します。SSH クライアントによってユーザ認証に許可されるのは、設定済みのアルゴリズムのみです。
|
||||||
ステップ 5 |
ip ssh server certificate profile 例:
|
サーバ証明書プロファイルおよびユーザ証明書プロファイルを設定し、SSH 証明書プロファイル コンフィギュレーション モードを開始します。 |
||||||
ステップ 6 |
user 例:
|
ユーザ証明書プロファイルを設定し、SSH サーバ証明書プロファイルのユーザ コンフィギュレーション モードを開始します。 |
||||||
ステップ 7 |
trustpoint verify PKI-trustpoint-name 例:
|
受信したユーザ証明書の確認に使用される公開キー インフラストラクチャ(PKI)トラストポイントを設定します。
|
||||||
ステップ 8 |
ocsp-response required 例:
|
(任意)受信したユーザ証明書による Online Certificate Status Protocol(OCSP)の応答の有無を要求します。
|
||||||
ステップ 9 |
end 例:
|
SSH サーバ証明書プロファイルのユーザ コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
デジタル証明書を使用したサーバおよびユーザ認証の設定の確認
手順
ステップ 1 |
enable 特権 EXEC モードをイネーブルにします。
例:
|
ステップ 2 |
show ip ssh 現在設定されている認証方式を表示します。証明書ベース認証の使用を確認するには、x509v3-ssh-rsa アルゴリズムが設定済みのホスト キー アルゴリズムであることを確認します。 例:
|
SSH 認証用の X.509v3 証明書の設定例
サーバ認証にデジタル証明書を使用するための IOS SSH サーバの設定
手順
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。
|
||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
ip ssh server algorithm hostkey {x509v3-ssh-rsa [ssh-rsa ] | ssh-rsa [x509v3-ssh-rsa ]} 例:
|
ホスト キー アルゴリズムの順序を定義します。セキュア シェル(SSH)クライアントとネゴシエートされるのは、設定済みのアルゴリズムのみです。
|
||
ステップ 4 |
ip ssh server certificate profile 例:
|
サーバ証明書プロファイルおよびユーザ証明書プロファイルを設定し、SSH 証明書プロファイル コンフィギュレーション モードを開始します。 |
||
ステップ 5 |
server 例:
|
サーバ証明書プロファイルを設定し、SSH サーバ証明書プロファイルのユーザ コンフィギュレーション モードを開始します。 |
||
ステップ 6 |
trustpoint sign PKI-trustpoint-name 例:
|
公開キー インフラストラクチャ(PKI)トラストポイントをサーバ証明書プロファイルにアタッチします。SSH サーバは、この PKI トラストポイントに関連付けられた証明書をサーバ認証に使用します。 |
||
ステップ 7 |
ocsp-response include 例:
|
(任意)Online Certificate Status Protocol(OCSP)の応答または OCSP ステープリングをサーバ証明書と一緒に送信します。
|
||
ステップ 8 |
end 例:
|
SSH サーバ証明書プロファイルのサーバ コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
例:ユーザ認証用のユーザのデジタル証明書を確認するための IOS SSH サーバの設定
Device> enable
Device# configure terminal
Device(config)# ip ssh server algorithm authentication publickey
Device(config)# ip ssh server algorithm publickey x509v3-ssh-rsa
Device(config)# ip ssh server certificate profile
Device(ssh-server-cert-profile)# user
Device(ssh-server-cert-profile-user)# trustpoint verify trust2
Device(ssh-server-cert-profile-user)# end
SSH 認証の X.509v3 証明書に関するその他の参考資料
関連資料
関連項目 |
参照先 |
---|---|
Cisco IOS コマンド |
|
Security コマンド |
|
SSH 認証 |
『セキュア シェル設定ガイド』の「セキュア シェル:ユーザ認証方式の設定」の章 |
公開キー インフラストラクチャ(PKI)のトラストポイント |
『Public Key Infrastructure Configuration Guide』の「Configuring and Managing a Cisco IOS Certificate Server for PKI Deployment」の章 |
テクニカル サポート
説明 |
リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Product Alert Tool(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
SSH 認証の X.509v3 証明書の機能情報
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースのみを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよび Cisco ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
SSH 認証の X.509v3 証明書 |
Cisco IOS XE Everest 16.5.1a |
SSH 認証の X.509v3 証明書機能は、サーバ内で X.509v3 デジタル証明書を使用し、SSH サーバ側でユーザ認証を使用します。 この機能は、次のプラットフォームに実装されていました。
|