シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

IOSルータでサーバ証明書を作成する

1. 目的・背景

IOSルータを用いてAnyConnectやIKEv2のリモートアクセス環境を構築する際に必要とされる、サーバ証明書の生成方法について紹介します。

前述の接続方法は、証明書の属性としてEKU (Extended Key Usage)にServer Authが指定されていることが要求事項として存在するため、IOSの自己署名証明書を利用することができません。

このため、IOSのCAサーバ機能を利用して、1つのルータ内でそのルータ向けのサーバ証明書を発行する方法を紹介します。

今回は設定として比較的簡単なSCEPを用いた場合の設定例となります。

2. 検証環境

Router: CISCO892J

IOS:15.3(3)M

以下のネットワークを前提としています。(今回LAN側のセグメントは特に関係ありませんが、Remote accessを前提としているということで、このようなネットワークを想定しています)

3. 設定

  • Local CAサーバーの設定

証明書を管理する時、ルータのClockが正確であることは非常に重要です。

このため、できるだけNTPを利用してClockを同期します。

Router(config)#ntp server x.x.x.x

 

ドメイン保有されている場合には、"ip domain name"や、issure-nameのCNなどは適宜その内容にあわせて変更ください。

ドメインをお持ちでない場合には、設定例のように.localのドメインや、CNをIPアドレスとして問題ありません。

Router(config)#ip domain name ac-test.local
Router(config)#ip http server
Router(config)#crypto pki server LOCAL-CA
Router(cs-server)#issuer-name cn="1.178.100.128"

 

有効期限を変更します(例は10年)。有効期限の初期値はCA証明書3年、ID証明書1年ですが、管理ポリシーにあわせて設定してください。

Router(cs-server)#lifetime ca-certificate 3650
Router(cs-server)#lifetime certificate 3650

 

EKUにServer authを追加します。

Router(cs-server)#eku server-auth


SCEPを有効にします。

Router(cs-server)#grant auto


CAサーバを起動します。

Router(cs-server)#no shutdown
%Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key
% or type Return to exit
Password:

Re-enter password:

% Certificate Server enabled.

 

  • サーバ証明書の発行

 

RSA key pairの作成。

Router(config)#crypto key generate rsa modulus 1024 label TP_SERVER_CERT exportable
The name for the keys will be: TP_SERVER_CERT

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be exportable...
[OK] (elapsed time was 1 seconds)

 

Trustpoint設定

Router(config)#crypto pki trustpoint TP_SERVER_CERT
Router(ca-trustpoint)#enrollment url http://1.178.100.128:80
Router(ca-trustpoint)#subject-name cn="1.178.100.128"
Router(ca-trustpoint)#rsakeypair TP_SERVER_CERT
Router(ca-trustpoint)#exit

 

CA証明書の取得

Router(config)#crypto pki authenticate TP_SERVER_CERT
Certificate has the following attributes:
       Fingerprint MD5: 903C97E6 7D924FB1 3E89E056 CCDCE940
      Fingerprint SHA1: 2DDCF8E4 7BCA3335 A63B11E6 63E71F84 9A6394C9

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.

 

サーバ証明書取得

Router(config)#crypto pki enroll TP_SERVER_CERT
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
   password to the CA Administrator in order to revoke your certificate.
   For security reasons your password will not be saved in the configuration.
   Please make a note of it.

Password:
Re-enter password:

% The subject name in the certificate will include: cn="1.178.100.128"
% The subject name in the certificate will include: Router.ac-test.local
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority
% The 'show crypto pki certificate verbose TP_SERVER_CERT' commandwill show the fingerprint.

Router(config)#

 

4. 確認

 

  • CAサーバの確認
Router#show crypto pki server
Certificate Server LOCAL-CA:
    Status: enabled
    State: enabled
    Server's configuration is locked  (enter "shut" to unlock it)
    Issuer name: cn="1.178.100.128"
    CA cert fingerprint: 903C97E6 7D924FB1 3E89E056 CCDCE940
    Granting mode is: auto
    Last certificate issued serial number (hex): 3
    CA certificate expiration timer: 06:04:38 UTC Nov 25 2024
    CRL NextUpdate timer: 12:04:38 UTC Nov 28 2014
    Current primary storage dir: nvram:
    Database Level: Minimum - no cert data written to storage

 

  • Trustpointの確認
Router#show crypto pki trustpoints
Trustpoint LOCAL-CA:
    Subject Name:
    cn=1.178.100.128
          Serial Number (hex): 01
    Certificate configured.

Trustpoint TP_SERVER_CERT:
    Subject Name:
    cn=1.178.100.128
          Serial Number (hex): 01
    Certificate configured.
    SCEP URL: http://1.178.100.128:80/cgi-bin

 

 

  • 証明書の確認

TP_SERVER_CERTというTrustpointにサーバ証明書とCA証明書が、LOCAL-CAというTrustpointにCA証明書がそれぞれ関連付けられているのが確認できます。

Router#show crypto pki certificates verbose
Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 03
  Certificate Usage: General Purpose
  Issuer:
    cn=1.178.100.128
  Subject:
    Name: Router.ac-test.local
    hostname=Router.ac-test.local
    cn=1.178.100.128
  Validity Date:
    start date: 08:24:37 UTC Nov 28 2014
    end   date: 06:04:38 UTC Nov 25 2024
  Subject Key Info:
    Public Key Algorithm: rsaEncryption
    RSA Public Key: (1024 bit)
  Signature Algorithm: SHA1 with RSA Encryption
  Fingerprint MD5: EDAEFE34 3322750A 2405E0A3 18F8408B
  Fingerprint SHA1: 462BA5BC 2A272900 174DF4C3 1948C5A6 D42B49E4
  X509v3 extensions:
    X509v3 Key Usage: A0000000
      Digital Signature
      Key Encipherment
    X509v3 Subject Key ID: 932CB6D6 E48F38F6 C56DEDF2 B6060180 D5462477
    X509v3 Authority Key ID: 24DB83E6 45C79BFA 66312CFC 1A11CAE6 BBAC165C
    Authority Info Access:
    Extended Key Usage:
        Client Auth
        Server Auth
  Associated Trustpoints: TP_SERVER_CERT
  Storage: nvram:1178100128#3.cer
  Key Label: TP_SERVER_CERT
  Key storage device: private config

CA Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 01
  Certificate Usage: Signature
  Issuer:
    cn=1.178.100.128
  Subject:
    cn=1.178.100.128
  Validity Date:
    start date: 06:04:38 UTC Nov 28 2014
    end   date: 06:04:38 UTC Nov 25 2024
  Subject Key Info:
    Public Key Algorithm: rsaEncryption
    RSA Public Key: (1024 bit)
  Signature Algorithm: MD5 with RSA Encryption
  Fingerprint MD5: 903C97E6 7D924FB1 3E89E056 CCDCE940
  Fingerprint SHA1: 2DDCF8E4 7BCA3335 A63B11E6 63E71F84 9A6394C9
  X509v3 extensions:
    X509v3 Key Usage: 86000000
      Digital Signature
      Key Cert Sign
      CRL Signature
    X509v3 Subject Key ID: 24DB83E6 45C79BFA 66312CFC 1A11CAE6 BBAC165C
    X509v3 Basic Constraints:
        CA: TRUE
    X509v3 Authority Key ID: 24DB83E6 45C79BFA 66312CFC 1A11CAE6 BBAC165C
    Authority Info Access:
  Associated Trustpoints: TP_SERVER_CERT LOCAL-CA
  Storage: nvram:1178100128#2CA.cer

コメント
Community Member

はじめまして。

最近自宅向けにC841M-4X-JAIS/K9を購入し、環境の移行を行っているのですが、インターネットVPNについては、CiscoではVPN Clientのサポートが終了し、

Cisco AnyConnectへの移行を推奨しているようなので、こちらの手順を参考に

ルータ側で証明局とサーバ証明書の作成を行おうとしていたところ、

CA証明書の取得でエラーとなりインポートできない事象が発生します。

こちらの事例の機器はCisco891ですが、841MJでは対応不可ですか?

※サーバ証明書の作成・取得は問題なくできます。

 根本的な話ですが、CA証明書の取得ができないと前段が成り立たないと思っていますので、つまってます。

あとAnyConnectで検索するとやたらASAの話が出てくるのですが、

別途ASAを購入するのは費用が掛かりすぎるので、C841M-4X-JAIS/K9のみで

まかなうつもりなのですが、そもそもの前提でASAがないと

AnyConnectによる接続環境は作れないのでしょうか。

最悪VPN Clientでも対応する手順は見つけたのでそちらで対応するのも致しかたなしかとは思っています。

すみませんがご確認よろしくお願い致します。

2826
閲覧回数
5
いいね!
1
コメント