ルーター証明書の自動再登録の設定
auto-re-enrollment ステートメントを使用して、既存の有効期限前に、指定した既存のルーター証明書の自動再登録を設定します。この関数は、ルーター証明書を自動的に再登録します。再登録プロセスでは、認証局(CA)に新しい有効期限を持つ新しいルーター証明書を発行するよう要求します。自動再登録の日付は、次のパラメーターによって決まります。
re-enroll-trigger-time- ルータ証明書の開始日時(証明書が生成された時刻)と有効期間の差の割合。有効期限が切れるまでの自動再登録を開始する期間を指定するために使用します。validity-period- 証明書の生成時に設定された、ルーター証明書の有効期限が切れる発行日後の日数。
デフォルトでは、明示的に設定しない限り、この機能は有効になりません。つまり、自動再登録が構成されていない証明書は、通常の有効期限に有効期限が切れます。
ca-profile ステートメントは、有効期限が切れる証明書を再登録するためにどの CA に接続するかを指定します。これは、元のルーター証明書を発行した CA です。
challenge-password ステートメントは、管理者が設定し、通常は CA の SCEP 登録 Web ページから取得するルーター証明書のパスワードを、発行元 CA に提供します。パスワードの長さは 16 文字です。
オプションで、ルーター証明書のキーペアは、 re-generate-keypair ステートメントを使用して再生成できます。
自動再登録のプロパティを構成するには、 [edit security pki] 階層レベルで次のステートメントを含めます。
[edit security pki] auto-re-enrollment { certificate-id { ca-profile ca-profile-name; challenge-password password; re-enroll-trigger-time-percentage percentage; re-generate-keypair; validity-period days; } }
percentage は、再登録トリガー時間の割合です。範囲は 1 から 99% です。
days は、有効期間の日数です。範囲は 1 から 4095 です。
証明書の自動再登録を構成するタスクは次のとおりです。
証明書 ID を指定します
certificate-id ステートメントを使用して、自動再登録用に構成するルーター証明書の名前を指定します。証明書 ID を指定するには、[edit security pki auto-re-enrollment]階層レベルで ステートメントを含めます。
[edit security pki auto-re-enrollment] certificate-id certificate-name;
CA プロファイルの指定
ca-profile ステートメントを使用して、以前に証明書 ID で指定されたルーター証明書から CA プロファイルの名前を指定します。CA プロファイルを指定するには、[edit security pki auto-re-enrollment certificate-id certificate-name]階層レベルで ステートメントを含めます。
[edit security pki auto-re-enrollment certificate-id certificate-name] ca-profile ca-profile-name;
参照される ca-profile には、 [edit security pki ca-profile ca-profile-name enrollment url] 階層レベルで登録された URL が構成されている必要があります。
チャレンジパスワードを指定する
チャレンジ パスワードは、再登録と失効のために PKI 証明書 ID で指定された CA によって使用されます。チャレンジパスワードを指定するには、 [edit security pki auto-re-enrollment certificate-id certificate-name] 階層レベルで以下のステートメントを含めます。
[edit security pki auto-re-enrollment certificate-id certificate-name] challenge-password password;
再登録トリガー時間を指定する
re-enroll-trigger-time ステートメントを使用して、有効期限が切れるまでの有効期間のうち、再登録が発生する割合を設定します。再登録トリガー時間を指定するには、[edit security pki auto-re-enrollment certificate-id certificate-name]階層レベルで次のステートメントを含めます。
[edit security pki auto-re-enrollment certificate-id certificate-name] re-enroll-trigger-time percentage;
percentage は、再登録トリガー時間の割合です。範囲は 1 から 99% です。
再生成キーペアを指定する
再生成キーペアが設定されると、再登録時に新しいキーペアが生成されます。再登録が成功すると、新しいキー ペアと新しい証明書によって古い証明書とキー ペアが置き換えられます。新しいキーペアを生成するには、 [edit security pki auto-re-enrollment certificate-id certificate-name] 階層レベルで次のステートメントを含めます。
[edit security pki auto-re-enrollment certificate-id certificate-name] re-generate-keypair;
有効期間の指定
validity-period ステートメントは、指定されたルーター証明書の有効期間を、指定されたルーター証明書の有効期間を日数で指定します。有効期間を指定するには、[edit security pki auto-re-enrollment certificate-id certificate-name]階層レベルで ステートメントを含めます。
[edit security pki auto-re-enrollment certificate-id certificate-name] validity-period days;
days は、有効期間の日数です。範囲は 1 から 4095 です。