Cisco ASA - Local CA - Part 1


 ◆ ローカルCAとは

 ローカルCA機能を使用することにより、Cisco ASA自身が認証局となることができます。ローカルCAによって
 外部の証明書認証に依存することなく、ASAはユーザに信頼できるデジタル証明書を提供することができます。
 ローカルCAによる証明書認証はブラウザベースとクライアントベースのSSL-VPN接続の両方に適用できます。



 ◆ ローカルCAの仕組み

 Cisco ASAにローカルCA設定後、ユーザーは指定されたWebブラウザベースの登録ページにアクセスします。
 ユーザの登録資格を確認するために、ローカルCA管理者により与えられたユーザ名とワンタイムパスワードを
 入力することにより証明書を登録できます。なお、ローカルCAの設定は、CLIとASDMのどちらでも設定可能。


     


 ◆ ローカルCAの設定 - デフォルトローカルCAサーバ : 必須設定

 ◇ Step 1 : crypto ca serverコマンドによりCAサーバコンフィグレーションモードへ移行

 ◇ Step 2 : smtp from-addressコマンドを使用してFromアドレスを指定
 このコマンドは、ユーザに登録案内容のワンタイムパスワードを伝えるメールを送信する時に、ローカルCAが
 送信元アドレスとして使用する有効な電子メールアドレスを提供する。

 ◇ Step 3 : subject-name-defaultコマンドを使用してsubject-name DNを指定
 発行された証明書で各ユーザ名に追加されるオプションのsubject-name DNを指定する。subject-name DNと
 ユーザ名は結合し、ローカルCAサーバで発行した全てのユーザ証明書のDNを形成する。subject-name DNを
 指定しない場合、ユーザを追加するたびにユーザ証明書に含めるサブジェクト名DNを指定する必要があります。

 (config)# crypto ca server
 (config-ca-server)# smtp from-address cool@infraexpert.com
 (config-ca-server)# subject-name-default cn=testasa.infraexpert.com, o=InfraSystems, c=JP
 (config-ca-server)# no shutdown

 crypto ca serverでの設定後、no shutdown(イネーブル)によりサーバ証明書とキーペアが生成されてCAが自動的に作成されます。
ローカルCAサーバの特性 デフォルト値 CLIコンフィグレーション
 データベースとコンフィグ保存場所

 LOCAL-CA-SERVERディレクトリの
 オンボードフラッシュメモリ

  database path

 証明書発行元名

  cn=FQDN  issuer-name
 ローカルCAのイネーブル  ローカルCAサーバは設定されていない

 shudown → ディセーブル
 no shutdown → イネーブル

 発行した証明書のキーペアサイズ

  1つのキーあたり1024ビット  keysize

 ローカルCA証明書のキーペアサイズ

  1つのキーあたり1024ビット  keysize server

 ユーザ証明書、
 サーバ証明書、CRLの有効期間

 ユーザ証明書 = 1年
 サーバ証明書 = 3年、CRL=6時間

 lifetime ca-certificate
 lifetime certificate

 ワンタイムパスワードの有効期間

  72時間で期限満了  otp-expiration

 CRL分散ポイント(CDP)、
 Cisco ASA上のCRLの場所

  https://hostname.domain/+CSCOCA+/asa_ca.crl  cdp-url

 ローカルCA電子メール通知を発行
 する電子メールアドレス

 admin@FQDN。実際には使用されていないアドレスで
 あるため、しかるべきアドレスを指定する必要がある。

  smtp from-address

 ローカルCA電子メール通知の
 サブジェクト行

  "Certificate Enrollment Invitation"  smtp subject

 発行された証明書のユーザ名に追加
 されるsubject-name DNのdefault値

  デフォルト値なし  subject-name-default

 有効期限注意が送信されるまでの日数

  有効期限まで14日間  renewal-reminder

 発行された証明書ファイルを再利用
 可能な登録後/ 更新期間

  24時間  enrollment-retrieval

 ※ ローカルCAをイネーブル(no shutdown)にした後は、issure-name値とkeysize server値は変更できない。
subject-name-default キーワードの説明
 CN  コモンネーム  C  国
 SN  姓  OU  組織ユニット
 T  役職  EA  電子メールアドレス
 O  組織名  ST  都道府県
 L  地名


Cisco ASA - コンフィグ設定

ネットワークエンジニアとして

Copyright (C) 2002-2024 ネットワークエンジニアとして All Rights Reserved.