|
◆ ローカルCAの設定 - ローカルCAユーザの登録 : 必須設定
ローカルCAユーザとして登録が必要なユーザは、ローカルCAサーバ(Cisco ASA)のユーザデータベースに
追加する必要がある。ユーザ登録はcrypto ca server user-db addコマンドを使用して、データベースに
新しいユーザを追加する。次に、crypto ca server user-db allowコマンドを使用してemail-OTP が指定
されている場合、登録を有効にするために、新しいユーザにワンタイムパスワードとユーザ名をメールで送信。
Step 1 : crypto ca server user-db addコマンドで、ローカルCAサーバのユーザデータベースにユーザを追加
(config)# crypto ca server
(config-ca-server)# crypto ca server user-db add admin admin@infraexpert.com
|
Step 2 : crypto ca server user-db allowコマンドで、データベースの特定のユーザに登録を許可し、OTPを生成
(config-ca-server)# crypto ca server user-db allow cool
|
Step 3 : crypto ca server user-db allowコマンドで、ユーザ証明書を登録およびダウンロードするように通知。
(config-ca-server)# crypto ca server user-db email-otp cool
|
ユーザ登録が成功すると、ローカルCA証明書と一緒にユーザに発行されたキーペアと証明書が含まれる
PKCS12ファイルが生成されます。ユーザはCisco ASAの登録インターフェースにアクセスしてユーザ名と
ワンタイムパスワードを入力する必要がある。登録期間内にローカルCAがユーザを認証すると、ユーザは
PKCS12ファイルに含まれる新たに生成された証明書のダウンロードが許可されます。
PKCS12ファイルの内容はワンタイムパスワードにより保護されます。また、このファイルは管理者が登録を
許可するとユーザがダウンロードできるようにローカルCAによりユーザにメールで送信することもできます。
このファイルは、username.p12として一時的にストレージに保存される。このファイルには、ユーザ証明書
キーペア、ローカルCA証明書が含まれます。PCにこれらの証明書をインストールするために、ユーザは
ファイルのワンタイムパスワードの入力を求められます。登録取得期間が過ぎるとダウンロードできなくなる。
Step 1 : otp expirationコマンドで、ワンタイムパスワードの有効期間を時間数で指定 ( 例 : 1日間 )
(config)# crypto ca server
(config-ca-server)# otp expiration 24
|
Step 2 : enrollment-retrievalで、登録済みユーザがPKCS12登録ファイルを取得可能な期間を時間数で指定 ( 例:5日間 )
(config)# crypto ca server
(config-ca-server)# enrollment-retrieval 120
|
◆ ローカルCAの設定 - 証明書の無効化、ユーザの削除
◆ 実行例 : シリアル番号"123ab09a"の証明書の無効化 ( 復元する場合はcrypto ca server unrevokeを実行 )
(config)# crypto ca server
(config-ca-server)# crypto ca server revoke 123ab09a
|
◆ 実行例 : ユーザデータベースから"admin3"というユーザの削除
(config)# crypto ca server
(config-ca-server)# crypto ca server user-db remove admin3
|
◆ ローカルCAの設定 - ローカルCAサーバ情報の表示
| コマンド |
表示内容 |
| show crypto ca server |
ローカルCAのコンフィグレーションとステータス |
| show crypto ca server cert-db |
ユーザ証明書 |
| show crypto ca server certificate |
ローカルCA証明書 |
| show crypto ca server crl |
ローカルCAのCRL(証明書失効リスト) |
| show crypto ca server user-db |
ローカルCAのユーザのステータス |
| show crypto ca server user-db allowed |
現在登録が許可されているユーザだけを表示 |
| show crypto ca server user-db enrolled |
登録済みで有効な証明書を持つユーザだけを表示 |
| show crypto ca server user-db expired |
期限満了になった証明書を持つユーザだけを表示 |
| show crypto ca server user-db on-hold |
証明書を持たず現在登録が許可されていないユーザだけを表示 |
◆ ローカルCA証明書データベースのメンテナンス
dir LOCAL*// と入力することにより、以下のローカルCA証明書データベースを確認することができます。
| ローカルCAファイル |
説明 |
| LOCAL-CA-SERVER.cdb |
発行した証明書関する情報が含まれたファイル |
| LOCAL-CA-SERVER.p12 |
no shutに生成されるローカルCA証明書とキーペアのアーカイブ |
| LOCAL-CA-SERVER.crl |
実際のCRL(証明書失効リスト) |
| LOCAL-CA-SERVER.ser |
発行済み証明書のシリアル番号を追跡するために使用される情報 |
| LOCAL-CA-SERVER.udb |
登録済みで有効な証明書を持つユーザのデータベース |
◆ ローカルCAサーバの削除
既存のローカルCAサーバを削除するには、no crypto ca server後に関連するDBやコンフィグを削除します。
ワイルドカード名の付いたすべてのファイル、LOCAL-CA-SERVER.* を削除します。
| (config)# no crypto ca server |
|