Cisco Security Appliance コマンド リファレンス Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 8.0(5)

 

構文の説明

 

デフォルト

このコマンドにデフォルトの動作または値はありません。

 

コマンド履歴

 

使用上のガイドライン

トラストポイントが SCEP 登録用に設定されている場合、CA 証明書は SCEP 経由でダウンロードされます。そうでない場合、セキュリティ アプライアンスは、ユーザに Base-64 形式の CA 証明書を端末に貼り付けるように要求します。

このコマンドの呼び出しは、実行コンフィギュレーションの一部になりません。

例

次に、CA 証明書を要求するセキュリティ アプライアンスの例を示します。CA は証明書を送信し、セキュリティ アプライアンスは、管理者に CA 証明書のフィンガープリントをチェックして CA 証明書を確認するように要求します。セキュリティ アプライアンスの管理者は、表示されたフィンガープリントの値を既知の正しい値と照合する必要があります。セキュリティ アプライアンスによって表示されたフィンガープリントが正しい値と一致した場合は、その証明書を有効であるとして受け入れる必要があります。

次に、トラストポイント tp9 が端末ベース（手動）の登録用に設定される例を示します。この場合、セキュリティ アプライアンスは、管理者に CA 証明書を端末に貼り付けるように要求します。証明書のフィンガープリントを表示した後、セキュリティ アプライアンスは、管理者に証明書を保持することを確認するように要求します。

 

関連コマンド

 

構文の説明

 

構文の説明構文の説明

 

デフォルト

このコマンドには、デフォルト値はありません。

 

コマンド履歴

例

次に、トラストポイント central の CA 証明書チェーン サブモードを開始する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

sequence-number のデフォルトの動作や値はありません。

map-name のデフォルトの値は、DefaultCertificateMap です。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを発行すると、セキュリティ アプライアンスは CA 証明書マップ コンフィギュレーション モードになります。このモードでは、証明書の発行者名およびサブジェクト Distinguished Name（DN; 認定者名）に基づいてルールを設定できます。これらのルールの一般的な形式は次のとおりです。

DN match-criteria match-value

DN は、 subject-name または issuer-name のいずれかです。DN は、ITU-T X.509 標準で定義されています。証明書フィールドのリストについては、「関連コマンド」を参照してください。

match-criteria は、次の表現または演算子で構成されます。

DN の一致表現は大文字と小文字が区別されません。

例

次に、example-map というマップ名とシーケンス番号 1（ルール番号 1）で CA 証明書マップ モードを開始し、subject-name という Common Name（CN; 一般名）属性が Example1 と一致する必要があることを指定する例を示します。

次に、example-map というマップ名とシーケンス番号 1 で CA 証明書マップ モードを開始し、subject-name 内に値 cisco が含まれることを指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドの呼び出しは、実行コンフィギュレーションの一部になりません。

例

次に、central という名前のトラストポイントに基づいて CRL を要求する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

トラストポイントが SCEP 登録用に設定されている場合、セキュリティ アプライアンスはただちに CLI プロンプトを表示し、コンソールへのステータス メッセージを非同期的に表示します。トラストポイントが手動登録用に設定されている場合、セキュリティ アプライアンスは Base-64 エンコード PKCS10 証明書要求をコンソールに書き込んでから、CLI プロンプトを表示します。

このコマンドは、参照されるトラストポイントの設定された状態に応じて、異なる対話形式プロンプトを生成します。

例

次に、SCEP 登録を使用して、トラストポイント tp1 でアイデンティティ証明書を登録する例を示します。セキュリティ アプライアンスは、トラストポイント コンフィギュレーションで保存されていない情報を要求します。

次のコマンドは、CA 証明書の手動登録を示しています。

hostname(config)# crypto ca enroll tp1

 

関連コマンド

 

構文の説明

 

構文の説明構文の説明

 

デフォルト

このコマンドには、デフォルト値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドの呼び出しは、アクティブなコンフィギュレーションには含まれません。PEM データまたは PKCS12 データはコンソールに書き込まれます。

Web ブラウザでは、パスワードベースの対称キーで保護された付属の公開キー証明書とともに秘密キーを格納するために PKCS12 形式を使用しています。セキュリティ デバイスは、トラストポイントに関連付けられている証明書とキーを Base-64 エンコード PKCS12 形式でエクスポートします この機能を使用して、証明書とキーをセキュリティ デバイス間で移動できます。

証明書の PEM エンコーディングは、PEM ヘッダーで囲まれた X.509 証明書の Base-64 エンコーディングです。これは、セキュリティ デバイス間で証明書をテキストベースで転送するための標準的な方法を提供します。セキュリティ デバイスがクライアントとして機能している場合、PEM エンコーディングは、SSL/TLS プロトコル プロキシを利用する proxy-ldc-issuer 証明書のエクスポートに使用できます。

例

次に、トラストポイント 222 の PEM 形式の証明書をコンソール表示としてエクスポートする例を示します。

-----BEGIN CERTIFICATE-----

MIIGDzCCBXigAwIBAgIKFiUgwwAAAAAFPDANBgkqhkiG9w0BAQUFADCBnTEfMB0G

CSqGSIb3DQEJARYQd2Jyb3duQGNpc2NvLmNvbTELMAkGA1UEBhMCVVMxCzAJBgNV

BAgTAk1BMREwDwYDVQQHEwhGcmFua2xpbjEWMBQGA1UEChMNQ2lzY28gU3lzdGVt

czEZMBcGA1UECxMQRnJhbmtsaW4gRGV2VGVzdDEaMBgGA1UEAxMRbXMtcm9vdC1j

YS01LTIwMDQwHhcNMDYxMTAyMjIyNjU3WhcNMjQwNTIwMTMzNDUyWjA2MRQwEgYD

VQQFEwtKTVgwOTQwSzA0TDEeMBwGCSqGSIb3DQEJAhMPQnJpYW4uY2lzY28uY29t

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCvxxIYKcrb7cJpsiFKwwsQUph5

4M5Y3CDVKEVF+98HrD6rhd0n/d6R8VYSfu76aeJC5j9Bbn3xOCx2aY5K2enf3SBW

Y66S3JeZBV88etFmyYJ7rebjUVVQZaFcq79EjoP99IeJ3a89Y7dKvYqq8I3hmYRe

uipm1G6wfKHOrpLZnwIDAQABo4IDujCCA7YwCwYDVR0PBAQDAgWgMBoGA1UdEQQT

MBGCD0JyaWFuLmNpc2NvLmNvbTAdBgNVHQ4EFgQUocM/JeVV3fjZh4wDe0JS74Jm

pvEwgdkGA1UdIwSB0TCBzoAUYZ8t0+V9pox+Y47NtCLk7WxvIQShgaOkgaAwgZ0x

HzAdBgkqhkiG9w0BCQEWEHdicm93bkBjaXNjby5jb20xCzAJBgNVBAYTAlVTMQsw

CQYDVQQIEwJNQTERMA8GA1UEBxMIRnJhbmtsaW4xFjAUBgNVBAoTDUNpc2NvIFN5

c3RlbXMxGTAXBgNVBAsTEEZyYW5rbGluIERldlRlc3QxGjAYBgNVBAMTEW1zLXJv

b3QtY2EtNS0yMDA0ghBaZ5s0Ng4SskMxF2NlIoxgMIIBSAYDVR0fBIIBPzCCATsw

geuggeiggeWGgeJsZGFwOi8vd2luMmstYWQuRlJLLU1TLVBLSS5jaXNjby5jb20v

Q049bXMtcm9vdC1jYS01LTIwMDQsQ049d2luMmstYWQsQ049Q0RQLENOPVB1Ymxp

YyUyMEtleSUyMFNlcnZpY2VzLENOPVNlcnZpY2VzLENOPUNvbmZpZ3VyYXRpb24s

REM9RlJLLU1TLVBLSSxEQz1jaXNjbyxEQz1jb20/Y2VydGlmaWNhdGVSZXZvY2F0

aW9uTGlzdD9iYXNlP29iamVjdGNsYXNzPWNSTERpc3RyaWJ1dGlvblBvaW50MEug

SaBHhkVodHRwOi8vd2luMmstYWQuZnJrLW1zLXBraS5jaXNjby5jb20vQ2VydEVu

cm9sbC9tcy1yb290LWNhLTUtMjAwNC5jcmwwggFCBggrBgEFBQcBAQSCATQwggEw

MIG8BggrBgEFBQcwAoaBr2xkYXA6Ly8vQ049bXMtcm9vdC1jYS01LTIwMDQsQ049

QUlBLENOPVB1YmxpYyUyMEtleSUyMFNlcnZpY2VzLENOPVNlcnZpY2VzLENOPUNv

bmZpZ3VyYXRpb24sREM9RlJLLU1TLVBLSSxEQz1jaXNjbyxEQz1jb20/Y0FDZXJ0

aWZpY2F0ZT9iYXNlP29iamVjdGNsYXNzPWNlcnRpZmljYXRpb25BdXRob3JpdHkw

bwYIKwYBBQUHMAKGY2h0dHA6Ly93aW4yay1hZC5mcmstbXMtcGtpLmNpc2NvLmNv

bS9DZXJ0RW5yb2xsL3dpbjJrLWFkLkZSSy1NUy1QS0kuY2lzY28uY29tX21zLXJv

b3QtY2EtNS0yMDA0LmNydDANBgkqhkiG9w0BAQUFAAOBgQBlh7maRutcKNpjPbLk

bdcafJfHQ3k4UoWo0s1A0LXzdF4SsBIKQmpbfqEHtlx4EsfvfHXxUQJ6TOab7axt

hxMbNX3m7giebvtPkreqR9OYWGUjZwFUZ16TWnPA/NP3fbqRSsPgOXkC7+/5oUJd

eAeJOF4RQ6fPpXw9LjO5GXSFQA==

-----END CERTIFICATE-----

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、トラストポイント Main の証明書を手動でインポートする例を示します。

次に、PKCS12 データをトラストポイント central に手動でインポートする例を示します。

 

関連コマンド

 

デフォルト

認証局サーバは、セキュリティ アプライアンス上でイネーブルになっていません。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンス上にローカル CA は 1 つしか存在できません。

crypto ca server コマンドは CA サーバを設定しますが、イネーブルにはしません。ローカル CA をイネーブルにするには、設定 ca サーバ モードで shutdown コマンドの no 形式を使用します。

no shutdown コマンドで CA サーバをアクティブにすると、CA および LOCAL-CA-SERVER というトラストポイントの RSA キー ペアが確立されて自己署名証明書が保持されます。この新しく生成された自己署名証明書には、「デジタル署名」、「crl 署名」および「証明書の署名」のキー使用設定が常に設定されています。

例

次に、このコマンドを使用して設定 ca サーバ コンフィギュレーション モードを開始し、このモードで使用可能なローカル CA サーバ コマンドをリストするために疑問符を使用する例を示します。

次に、設定済みでイネーブルになっている CA サーバをセキュリティ アプライアンスから削除するために、設定 ca サーバ モードで crypto ca server コマンドの no 形式を使用する例を示します。

 

関連コマンド

 

構文の説明

このコマンドにはキーワードまたは引数はありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは失われた CRL の回復に使われますが、ほとんど使用されることはありません。通常、CRL は失効時に既存の CRL に再署名することで自動的に再発行されます。 crypto ca server crl issue コマンドは、証明書データベースに基づいて CRL を再生成します。また、このコマンドを使用するのは、証明書データベースの内容に基づいて CRL を再生成する必要がある場合だけです。

例

次に、ローカル CA サーバによる CRL の発行を強制的に行う例を示します。

A new CRL has been issued.

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンス上のローカル CA によって発行された特定の証明書を失効させるには、そのセキュリティ アプライアンスで crypto ca server revoke コマンドを入力します。証明書は、このコマンドによって CA サーバの証明書データベースと CRL に失効としてマークされると失効します。失効させる証明書を指定するには、証明書のシリアル番号を 16 進形式で入力します。

指定した証明書が失効した後に、CRL が自動的に再生成されます。

例

次に、ローカル CA サーバによって発行されたシリアル番号 782ea09f の証明書を失効させる例を示します。

Certificate with the serial number 0x782ea09f has been revoked.A new CRL has been issued.

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンス上のローカル CA によって発行され、すでに失効している証明書の失効を取り消すには、 crypto ca server unrevoke コマンドを入力します。証明書は、このコマンドによって証明書が証明書データベースで有効とマークされ、CRL から削除されると、再び有効になります。失効を取り消す証明書を指定するには、証明書のシリアル番号を 16 進形式で入力します。

指定した証明書の失効が取り消された後に、CRL が自動的に再生成されます。

例

次に、ローカル CA サーバによって発行されたシリアル番号 782ea09f の証明書の失効を取り消す例を示します。

Certificate with the serial number 0x782ea09f has been unrevoked.A new CRL has been issued.

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

user 引数 には単純なユーザ名（jandoe など）または電子メール アドレス（jandoe@example.com など）を指定できます。 username は、エンド ユーザが登録ページで指定したユーザ名と一致する必要があります。

username は、特権のないユーザとしてデータベースに追加されます。登録特権を付与するには、 crypto ca server allow コマンドを使用する必要があります。

username をワンタイム パスワードとともに使用して、登録インターフェイス ページでユーザを登録します。

（注） ワンタイム パスワード（OTP）を電子メールで通知するには、username フィールドまたは email-address フィールドに電子メール アドレスを指定する必要があります。メール送信時に電子メール アドレスが指定されていない場合、エラーが生成されます。

user 引数の email は、ユーザに登録と更新を忘れないように通知するための電子メール アドレスとしてのみ使用され、発行される証明書には表示されません。

電子メール アドレスを指定すると、質問がある場合にユーザに連絡することができ、また、その電子メール アドレス宛てに、登録に必要なワンタイム パスワードが通知されます。

ユーザにオプションの dn が指定されていない場合、サブジェクト名 dn は、 username と subject-name-default DN 設定を使用して cn= username ,subject-name-default として形成されます。

例

次に、ユーザ名 jandoe@example.com のユーザを完全なサブジェクト名 DN とともにユーザ データベースに追加する例を示します。

hostname (config-ca-server) #

次に、jondoe というユーザに登録特権を付与する例を示します。

hostname (config-ca-server)

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

replace-otp キーワードを指定すると、指定したすべてのユーザに対して OTP が生成されます。指定したユーザに対して以前に生成された有効な OTP は、これらの新しい OTP で置き換えられます。

OTP は、セキュリティ デバイスに保存されませんが、ユーザに通知したり、登録時にユーザを認証したりする必要がある場合に生成および再生成されます。

例

次に、データベース内のすべての未登録ユーザに登録特権を付与する例を示します。

次に、user1 というユーザに登録特権を付与する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、データベース内のすべての未登録ユーザに OTP を電子メールで送信する例を示します。

次に、user1 というユーザに OTP を電子メールで送信する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、CA ユーザ データベースからユーザ名を削除して、ユーザが登録できないようにします。また、このコマンドには、前に発行された有効な証明書を失効させるオプションもあります。

例

次に、ユーザ名 user1 のユーザを CA サーバのユーザ データベースから削除する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、有効または無効な証明書を持つデータベース内のすべてのユーザの OTP を表示する例を示します。

次に、user1 というユーザの OTP を表示する例を示します。

 

関連コマンド

 

構文の説明

このコマンドにはキーワードまたは引数はありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

crypto ca server user-db write コマンドを使用して、新しいユーザベースのコンフィギュレーション データを、データベース パス コンフィギュレーションで指定した場所に保存します。この情報は、 crypto ca server user-db add コマンドおよび crypto ca server user-db allow コマンドで新しいユーザが追加または許可されると生成されます。

例

次に、ローカル CA データベースに設定されているユーザ情報を保存場所に書き込む例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

CA を宣言するには、 crypto ca trustpoint コマンドを使用します。このコマンドを発行すると、クリプト CA トラストポイント コンフィギュレーション モードが開始されます。

このコマンドは、トラストポイント情報を管理します。トラストポイントは、CA が発行する証明書に基づいた CA のアイデンティティとデバイスのアイデンティティを表します。トラストポイント サブモード内のコマンドは、CA 固有のコンフィギュレーション パラメータを制御します。これらのパラメータでは、セキュリティ アプライアンスが CA 証明書を取得する方法、セキュリティ アプライアンスが CA から証明書を取得する方法、および CA が発行するユーザ証明書の認証ポリシーを指定します。

このコマンド リファレンス ガイドにアルファベット順で記載されている次のコマンドを使用して、トラストポイントの特性を指定できます。

• accept-subordinates ：トラストポイントに関連付けられた CA に従属する CA 証明書がデバイスにインストールされていない場合、フェーズ 1 の IKE 交換中にその CA 証明書が提供されたときに、それを受け入れるかどうかを指定します。

• client-types ：このトラストポイントを使用して、ユーザ接続に関連付けられた証明書を検証できるクライアント接続タイプを指定します。

• crl required | optional | nocheck ：CRL コンフィギュレーション オプションを指定します。

• crl configure ：CRL コンフィギュレーション モードを開始します（ crl を参照）。

• default enrollment ：すべての登録パラメータをシステム デフォルト値に戻します。このコマンドの呼び出しは、アクティブなコンフィギュレーションには含まれません。

• email address ：登録中に、指定した電子メール アドレスを証明書のサブジェクト代替名の拡張に含めるかどうかを CA に確認します。

• enrollment retry period ：SCEP 登録の再試行期間を分単位で指定します。

• enrollment retry count ：SCEP 登録に許可する最大試行回数を指定します。

• enrollment self ：自己署名証明書を生成する登録を指定します。

• enrollment terminal ：このトラストポイントへのカット アンド ペースト登録を指定します。

• enrollment url url ：このトラストポイントに登録する SCEP 登録を指定し、登録 URL（ url ）を設定します。

• exit ：コンフィギュレーション モードを終了します。

• fqdn fqdn ：登録中に、指定した FQDN を証明書のサブジェクト代替名の拡張に含めるかどうかを CA に確認します。

• id-cert-issuer ：廃止されました。このトラストポイントに関連付けられた CA によって発行されるピア証明書をシステムが受け入れるかどうかを指定します。

• id-usage ：トラストポイントの登録済み ID の使用方法を指定します。

• ignore-ipsec-keyusage ：廃止されました。IPsec クライアント証明書のキー使用チェックを行わないようにします。

• ignore-ssl-keyusage ：廃止されました。SSL クライアント証明書のキー使用チェックを行わないようにします。

• ip-addr ip-address ：登録中に、セキュリティ アプライアンスの IP アドレスを証明書に含めるかどうかを CA に確認します。

• keypair name ：公開キーが証明対象となるキー ペアを指定します。

• match certificate map-name override ocsp ：証明書マップを OCSP 上書きルールと照合します。

• ocsp disable-nonce ：ナンス拡張子をディセーブルにします。ナンス拡張子は、失効要求と応答を結び付けて暗号化して、リプレイ アタックを回避するためのものです。

• ocsp url ：この URL の OCSP サーバで、トラストポイントに関連するすべての証明書の失効ステータスをチェックすることを指定します。

• password string ：登録中に CA に登録されるチャレンジ フレーズを指定します。通常、CA はこのフレーズを使用して、その後の失効要求を認証します。

• proxy-ldc-issuer ：TLS プロキシ ローカル ダイナミック証明書の発行者を指定します。

• revocation check ：失効をチェックする方法（CRL、OCSP、none）を指定します。

• serial-number ：登録中に、セキュリティ アプライアンスのシリアル番号を証明書に含めるかどうかを CA に確認します。

• subject-name X.500 name ：登録中に、指定したサブジェクト DN を証明書に含めるかどうかを CA に確認します。

• support-user-cert-validation ：廃止されました。イネーブルの場合、リモート証明書を発行した CA に対してトラストポイントが認証されていれば、リモート ユーザ証明書を検証するコンフィギュレーション設定をこのトラストポイントから取得できます。このオプションは、サブコマンド crl required | optional | nocheck および CRL サブモードのすべての設定に関連付けられたコンフィギュレーション データに適用されます。

• validation-policy ：廃止されました。ユーザ接続に関連付けられている証明書を検証するためのトラストポイントの条件を指定します。

例

次に、central という名前のトラストポイントを管理するために CA トラストポイント モードを開始する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドの詳細については、 crypto map match address コマンドを参照してください。

例

次に、 crypto dynamic-map コマンドを使用して、aclist1 という名前のアクセス リストのアドレスに一致させる例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの設定はオフです。

 

コマンド履歴

 

使用上のガイドライン

NAT-T をグローバルにイネーブルにするには、 isakmp nat-traversal コマンドを使用します。その後、 crypto dynamic-map set nat-t-disable コマンドを使用して、特定のクリプト マップ エントリの NAT-T をディセーブルにできます。

例

次のコマンドでは、mymap という名前のダイナミック クリプト マップの NAT-T をディセーブルにします。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、mymap という名前のダイナミック マップのピアを IP アドレス 10.0.0.1 に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

crypto dynamic-map コマンド（ match address 、 set peer 、 s et pfs など）については、 crypto map コマンドの項で説明します ピアがネゴシエーションを開始するときに、ローカル コンフィギュレーションで PFS が指定されている場合、ピアは PFS 交換を実行する必要があります。実行しない場合、ネゴシエーションは失敗します。ローカル コンフィギュレーションでグループが指定されていない場合、セキュリティ アプライアンスはデフォルトの group2 が指定されているものと見なします。ローカル コンフィギュレーションで PFS が指定されていない場合は、ピアからの PFS のオファーがすべて受け入れられます。

セキュリティ アプライアンスは、Cisco VPN Client と対話するときに PFS 値を使用しません。その代わり、フェーズ 1 でネゴシエートされた値を使用します。

例

次に、ダイナミック クリプト マップ mymap 10 用の新しいセキュリティ アソシエーションをネゴシエートするときに、必ず PFS を使用するよう指定する例を示します。指定されているグループはグループ 2 です。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドのデフォルト値はオフです。

 

コマンド履歴

例

次のコマンドでは、mymap という名前のダイナミック クリプト マップの RRI をイネーブルにします。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ダイナミック クリプト マップは、いずれのパラメータも設定されていないクリプト マップです。ダイナミック クリプト マップは、欠落しているパラメータが、IPsec ネゴシエーションの結果として、ピアの要件に合うように後でダイナミックに学習されるポリシー テンプレートの役割を果たします。セキュリティ アプライアンスは、スタティック クリプト マップでピアの IP アドレスがまだ指定されていない場合、ピアでトンネルをネゴシエートさせるためにダイナミック クリプト マップを適用します。これは、次のタイプのピアで発生します。

• パブリック IP アドレスがダイナミックに割り当てられるピア。

LAN-to-LAN のピア、およびリモート アクセスするピアは、両方とも DHCP を使用してパブリック IP アドレスを取得できます。セキュリティ アプライアンスは、トンネルを開始するときだけこのアドレスを使用します。

• プライベート IP アドレスがダイナミックに割り当てられるピア。

通常、リモート アクセスのトンネルを要求するピアは、ヘッドエンドによって割り当てられたプライベート IP アドレスを持っています 一般に、LAN-to-LAN トンネルには、事前に決定済みのプライベート ネットワークのセットがあり、スタティック マップを設定し、IPSec SA を確立するために使用されます。

管理者がスタティック クリプト マップを設定するため、（DHCP または別の方法で）ダイナミックに割り当てられた IP アドレスがわからない場合や、割り当て方法には関係なく他のクライアントのプライベート IP アドレスがわからない場合があります。通常、VPN クライアントは、スタティック IP アドレスを持たないため、IPSec ネゴシエーションを開始するためにダイナミック クリプト マップを必要とします。たとえば、ヘッドエンドが IKE のネゴシエーション中に Cisco VPN Client に IP アドレスを割り当て、クライアントはこのアドレスを IPSec SA のネゴシエーションで使用します。

ダイナミック クリプト マップを使用すると、IPsec のコンフィギュレーションが簡単になります。ダイナミック クリプト マップは、ピアが常に事前に決定されるとは限らないネットワークで使用することを推奨します。ダイナミック クリプト マップは、Cisco VPN Client（モバイル ユーザなど）、およびダイナミックに割り当てられた IP アドレスを取得するルータに対して使用してください。

ヒント ダイナミック クリプト マップの permit エントリに any キーワードを使用する場合は、注意が必要です。このような permit エントリの対象となるトラフィックにマルチキャストやブロードキャストのトラフィックが含まれる場合、該当するアドレス範囲について deny エントリをアクセス リストに挿入します。ネットワークとサブネットのブロードキャスト トラフィック、および IPSec で保護されない他のすべてのトラフィックについて deny エントリを挿入するようにしてください。

ダイナミック クリプト マップは、接続を開始したリモートのピアと SA をネゴシエートするときだけ機能します。セキュリティ アプライアンスは、ダイナミック クリプト マップを使用してリモート ピアとの接続を開始することはできません。ダイナミック クリプト マップを設定した場合は、発信トラフィックがアクセス リストの permit エントリに一致する場合でも、対応する SA が存在しないと、セキュリティ アプライアンスはそのトラフィックをドロップします。

クリプト マップ セットには、ダイナミック クリプト マップを含めることができます。ダイナミック クリプト マップのセットには、クリプト マップ セットで一番低いプライオリティ（つまり、一番大きいシーケンス番号）を設定し、セキュリティ アプライアンスが他のクリプト マップを先に評価するようにする必要があります。セキュリティ アプライアンスは、他の（スタティック）マップのエントリが一致しない場合にだけ、ダイナミック クリプト マップのセットを調べます。

スタティック クリプト マップ セットと同様に、ダイナミック クリプト マップ セットにも、同じ dynamic-map-name を持つすべてのダイナミック クリプト マップを含めます。dynamic-seq-num によって、セット内のダイナミック クリプト マップが区別されます。ダイナミック クリプト マップを設定する場合は、クリプト アクセス リストに対して IPSec ピアのデータ フローを指定するために許可 ACL を挿入します。このように設定しないと、セキュリティ アプライアンスは、ピアが提示するあらゆるデータ フロー ID を受け入れることになります。

1 つのクリプト マップ セット内で、スタティック マップ エントリとダイナミック マップ エントリを組み合わせることができます。

例

次に、10 個の同じトランスフォーム セットから成る「dynamic0」というダイナミック クリプト マップ エントリを作成する例を示します。「crypto ipsec transform-set（トランスフォーム セットの作成または削除）」の項には、10 個のトランスフォーム セット サンプル コマンドが示されています。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドは、デフォルトでディセーブルになっています。設定を指定せずにこのコマンドをイネーブルにすると、セキュリティ アプライアンスはデフォルトとして copy-df 設定を使用します。

 

コマンド履歴

 

使用上のガイドライン

DF ビットを IPSec トンネル機能とともに使用すると、セキュリティ アプライアンスが、カプセル化されたヘッダーで Don't Fragment（DF）ビットをクリア、設定、またはコピーできるかどうかを指定できます。IP ヘッダー内の DF ビットにより、デバイスがパケットをフラグメント化できるかどうかが決定されます。

カプセル化されたヘッダーに DF ビットを指定するようにセキュリティ アプライアンスを設定するには、グローバル コンフィギュレーション モードで crypto ipsec df-bit コマンドを使用します。

トンネル モードの IPSec トラフィックをカプセル化する場合は、DF ビットに clear-df 設定を使用します。この設定を使用すると、デバイスは、使用可能な MTU サイズよりも大きなパケットを送信できます。また、この設定は、使用可能な MTU サイズが不明な場合にも適しています。

例

次に、グローバル コンフィギュレーション モードで、IPSec DF ポリシーを clear-df に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

この機能は、デフォルトでイネーブルにされています。

 

コマンド履歴

 

使用上のガイドライン

パケットは、暗号化するセキュリティ アプライアンスの発信リンクの MTU サイズに近い場合、IPSec ヘッダーを付けてカプセル化されると、発信リンクの MTU を超える可能性があります。超えた場合は、暗号化の後にパケットがフラグメント化され、復号化デバイスがプロセス パスで再構築することになります。IPSec VPN の事前フラグメント化では、デバイスはプロセス パスではなく高性能な CEF パスで動作するため、復号化時のデバイスのパフォーマンスが向上します。

IPSec VPN の事前フラグメント化により、暗号化デバイスは、IPSec SA の一部として設定されたトランスフォーム セットで使用可能な情報から、カプセル化されたパケット サイズを事前に設定します。デバイスでパケットが出力インターフェイスの MTU を超えることが事前に設定されている場合、デバイスは暗号化する前にそのパケットをフラグメント化します。これにより、復号化前にプロセス レベルでパケットを再構築する必要がなくなるため、復号化のパフォーマンスと IPsec トラフィックの全体的なスループットが向上します。

例

次に、グローバル コンフィギュレーション モードで、IPSec パケットの事前フラグメント化をデバイス上でグローバルにイネーブルにする例を示します。

次に、グローバル コンフィギュレーション モードで、IPSec パケットの事前フラグメント化をインターフェイス上でディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの KB 数は 4,608,000 で、デフォルトの秒数は 28,800 です。

 

コマンド履歴

 

使用上のガイドライン

crypto ipsec security-association lifetime コマンドは、IPSec セキュリティ アソシエーションのネゴシエート時に使用されるグローバル ライフタイム値を変更します。

IPSec セキュリティ アソシエーションでは、共有秘密キーが使用されます。これらのキーとセキュリティ アソシエーションは、両方同時にタイムアウトになります。

個々のクリプト マップ エントリでライフタイム値が設定されていない場合、セキュリティ アプライアンスは、ネゴシエート中に新しいセキュリティ アソシエーションを要求するときに、ピアへの要求の中でグローバル ライフタイム値を指定します。セキュリティ アプライアンスは、この値を新しいセキュリティ アソシエーションのライフタイムとして使用します。セキュリティ アプライアンスは、ピアからネゴシエーション要求を受信すると、ピアが指定するライフタイム値またはローカルに設定済みのライフタイム値のうち、小さい方を新しいセキュリティ アソシエーションのライフタイムとして使用します。

ライフタイムには、「期間」ライフタイムと、「トラフィック量」ライフタイムの 2 種類があります。これらのライフタイムのいずれかに最初に到達すると、セキュリティ アソシエーションが期限切れになります。

セキュリティ アプライアンスでは、クリプト マップ、ダイナミック マップ、および ipsec 設定をオンザフライで変更できます。変更された場合、セキュリティ アプライアンスでは、変更によって影響を受ける接続のみが切断されます。クリプト マップに関連付けられている既存のアクセス リストをユーザが変更した場合（たとえばアクセス リスト内のエントリを削除した場合）、関連する接続のみが切断されます。アクセス リスト内の他のエントリに基づく接続は、影響を受けません。

グローバルな指定時刻ライフタイムを変更するには、 crypto ipsec security-association lifetime seconds コマンドを使用します。指定時刻ライフタイムを使用すると、指定した秒数が経過した後にセキュリティ アソシエーションがタイムアウトします。

グローバル トラフィック量ライフタイムを変更するには、 crypto ipsec security-association lifetime kilobytes コマンドを使用します。トラフィック量ライフタイムを使用すると、指定した量のトラフィック（KB 単位）がセキュリティ アソシエーション キーによって保護された後に、セキュリティ アソシエーションがタイムアウトします。

ライフタイムを短くするほど、同一キーで暗号化されている解析対象データが少なくなるため、攻撃者はキー回復攻撃を開始することが難しくなります。ただし、ライフタイムを短くするほど、新しいセキュリティ アソシエーションの確立にかかる CPU 処理時間が長くなります。

セキュリティ アソシエーション（および対応するキー）は、指定した秒数または指定したトラフィック量（KB 単位）のうち、いずれかを最初に超えた時点で有効期限が切れます。

例

次に、セキュリティ アソシエーションのグローバル指定時刻ライフタイムを指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのウィンドウ サイズは 64 です。

 

コマンド履歴

 

使用上のガイドライン

Cisco IPsec 認証では、暗号化されたパケットそれぞれに対して固有のシーケンス番号を割り当てることによって、暗号化されたパケットを複製する攻撃者に対するアンチ リプレイ保護が提供されます （セキュリティ アソシエーションのアンチ リプレイは、受信者が過去のパケットや複製されたパケットを拒否することによりリプレイ アタックを防ぐセキュリティ サービスです）。復号化側では、検知したことのあるシーケンス番号は破棄されます。エンクリプタによって、シーケンス番号が昇順で割り当てられます。すでに検出されている最も高いシーケンス番号である値 X はデクリプタによって記録されます。また、デクリプタによって、X-N+1 ～ X（N はウィンドウ サイズ）までのシーケンス番号を持つパケットが検出されているかどうかも記録されます。シーケンス番号 X-N のパケットはすべて廃棄されます。現在、N は 64 に設定されているため、デクリプタによって追跡できるパケットは 64 までです。

ただし、64 パケット ウィンドウ サイズでは不十分な場合があります。たとえば、QoS はプライオリティが高いパケットを優先しますが、これにより、プライオリティが低いパケットが、デクリプタによって受信された最後の 64 パケットの 1 つであっても、廃棄される場合があります。このイベントにより、誤ったアラームである警告 syslog メッセージが生成される可能性があります。 crypto ipsec security-association replay コマンドを使用すると、ウィンドウ サイズを拡張して、デクリプタが 64 を超えるパケットを追跡できます。

アンチリプレイ ウィンドウ サイズを増やしても、スループットおよびセキュリティに影響はありません。メモリへの影響は限定的です。デクリプタ上にシーケンス番号を保管するために必要となるのは、着信 IPsec SA ごとに追加の 128 バイトだけであるためです。今後アンチリプレイに関する問題が発生しないように、最大のウィンドウ サイズである 1024 を使用することを推奨します。

例

次に、セキュリティ アソシエーションのアンチリプレイ ウィンドウ サイズを指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの認証設定は、esp-none（認証しない）です。

 

コマンド履歴

 

使用上のガイドライン

トランスフォーム セットを設定したら、そのセットをクリプト マップに割り当てます。1 つのクリプト マップに対して最大 6 つのトランスフォーム セットを割り当てることができます。ピアが IPSec セッションを確立しようとすると、セキュリティ アプライアンスは、一致が検出されるまで、各クリプト マップのアクセス リストに照らしてピアを評価します。次に、セキュリティ アプライアンスは、一致が検出されるまで、ピアがネゴシエートするすべてのプロトコル、アルゴリズム、およびその他の設定を、クリプト マップに割り当てられているトランスフォーム セット内の設定に照らして評価します。セキュリティ アプライアンスでは、ピアの IPSec ネゴシエーションとトランスフォーム セット内の設定とが一致すると、IPSec セキュリティ アソシエーションの一部としてその設定を保護されたトラフィックに適用します。セキュリティ アプライアンスは、ピアがアクセス リストに一致しない場合や、クリプト マップに割り当てられているトランスフォーム セット内にピアのセキュリティ設定と完全に一致するセキュリティ設定が見つからない場合、IPSec セッションを終了します。

暗号化と認証のどちらを先に指定してもかまいません。認証を指定せずに暗号化を指定することもできます。作成するトランスフォーム セットに認証を指定する場合は、暗号化も指定する必要があります。変更するトランスフォーム セットに認証だけを指定した場合、トランスフォーム セットでは、現在の暗号化設定が維持されます。

AES 暗号化を指定する場合は、グローバル コンフィギュレーション モードでも isakmp policy priority group 5 コマンドを使用して、AES で提供される大きなキー サイズに対応できるように Diffie-Hellman グループ 5 を割り当てることを推奨します。

ヒント クリプト マップまたはダイナミック クリプト マップにトランスフォーム セットを適用し、そのマップに割り当てられているトランスフォーム セットを表示する場合は、トランスフォーム セットにコンフィギュレーションの内容を表す名前を付けておくと便利です。たとえば、次に示す最初の例の「3des-md5」は、トランスフォーム セットで使用する暗号化と認証を示しています。この名前の後に続く値は、トランスフォーム セットに割り当てる実際の暗号化と認証の設定です。

例

次のコマンドは、使用可能な暗号化と認証のすべてのオプション（暗号化と認証をまったく指定しないオプションは除く）を示しています。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルト値はイネーブルです。

 

コマンド履歴

例

次に、グローバル コンフィギュレーション モードでの入力で、アグレッシブ モードの着信接続をディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルト値はディセーブルです。

 

コマンド履歴

例

次の例では、グローバル コンフィギュレーション モードで、ピアに対する切断通知をイネーブルにします。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次の例では、グローバル コンフィギュレーション モードで、内部インターフェイス上で ISAKMP をディセーブルにする方法を示しています。

 

関連コマンド