ES PIC のデジタル証明書の設定
デジタル証明書は、認証局 (CA) と呼ばれる信頼できるサード パーティを介してユーザーを認証する方法を提供します。CA は、証明書所有者の身元を検証し、証明書が偽造または変更されていないことを証明するために証明書に「署名」します。
暗号化サービス・インターフェースのデジタル証明書構成を定義するには、 [edit security certificates] および [edit security ike] 階層レベルで以下のステートメントを組み込みます。
[edit security] certificates { cache-size bytes; cache-timeout-negative seconds; certification-authority ca-profile-name { ca-name ca-identity; crl filename; encoding (binary | pem); enrollment-url url-name; file certificate-filename; ldap-url url-name; } enrollment-retry attempts; local certificate-filename { certificate-key-string; load-key-file URL key-file-name; } maximum-certificates number; path-length certificate-path-length; } ike { policy ike-peer-address { description policy; encoding (binary | pem); identity identity-name; local-certificate certificate-filename; local-key-pair private-public-key-file; mode (aggressive | main); pre-shared-key (ascii-text key | hexadecimal key); proposals [ proposal-names ]; } }
ES PICのデジタル証明書を設定するタスクは、以下の通りです。
ES PIC の認証局プロパティの設定
CA は、デジタル証明書の作成、登録、検証、および失効を行う信頼できるサードパーティ組織です。
ES PICの認証局とそのプロパティを設定するには、 [edit security certificates] 階層レベルで以下のステートメントを含めます。
[edit security certificates] certification-authority ca-profile-name { ca-name ca-identity; crl filename; encoding (binary | pem); enrollment-url url-name; file certificate-filename; ldap-url url-name; }
ca-profile-name は CA プロファイル名です。
CA プロパティを構成するためのタスクは次のとおりです。
認証局名の指定
単純な証明書登録プロトコル (SCEP) を使用して CA に登録する場合は、SCEP サーバーの URL に加えて、証明書の要求で使用される CA 名 (CA ID) を指定する必要があります。
CA ID の名前を指定するには、[edit security certificates certification-authority ca-profile-name]階層レベルで ca-name ステートメントを含めます。
[edit security certificates certification-authority ca-profile-name] ca-name ca-identity;
ca-identity 証明書の要求で使用する CA ID を指定します。通常は CA ドメイン名です。
証明書失効リストの構成
証明書失効リスト (CRL) には、有効期限前に取り消されたデジタル証明書のリストが含まれています。参加ピアがデジタル証明書を使用すると、証明書の署名と有効性がチェックされます。また、最後に発行された CRL を取得し、証明書のシリアル番号がその CRL にないことを確認します。
CA 証明書失効リストを構成するには、 crl ステートメントを含め、CRL を読み取るファイルを [edit security certificates certification-authority ca-profile-name] 階層レベルで指定します。
[edit security certificates certification-authority ca-profile-name] crl filename;
CA がサポートするエンコードの種類の構成
デフォルトでは、エンコーディングはバイナリに設定されています。エンコードは、 local-certificate ステートメントと local-key-pair ステートメントに使用されるファイル形式を指定します。既定では、バイナリ (識別エンコード規則) 形式は有効になっています。プライバシー拡張メール(PEM)は、ASCII Base 64でエンコードされた形式です。CA に問い合わせて、サポートされているファイル形式を確認してください。
CA がサポートするファイル形式を設定するには、 encoding ステートメントを含め、 [edit security certificates certification-authority ca-profile-name] 階層レベルでバイナリまたは PEM 形式を指定します。
[edit security certificates certification-authority ca-profile-name] encoding (binary | pem);
登録 URL の指定
ルーターまたはスイッチが SCEP ベースの証明書登録要求を送信する CA の場所を指定します。CA URL に名前を付けて CA の場所を指定するには、[edit security certificates certification-authority ca-profile-name]階層レベルで enrollment-url ステートメントを含めます。
[edit security certificates certification-authority ca-profile-name] enrollment-url url-name;
url-name は CA の場所です。形式は http://ca-name で、 ca-name は CA ホスト DNS 名または IP アドレスです。
デジタル証明書を読み取るファイルの指定
デジタル証明書を読み取るファイルを指定するには、 file ステートメントをインクルードし、 [edit security certificates certification-authority ca-profile-name] 階層レベルで証明書のファイル名を指定します。
[edit security certificates certification-authority ca-profile-name] file certificate-filename;
LDAP URL の指定
CA が現在の CRL をライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバーに格納している場合は、必要に応じて、デジタル証明書を使用する前に CA CRL リストを確認できます。デジタル証明書が CA CRL に表示されている場合、ルーターまたはスイッチでは使用できません。CA CRLにアクセスするには、[edit security certificates certification-authority ca-profile-name]階層レベルで ldap-url ステートメントを含めます。
[edit security certificates certification-authority ca-profile-name] ldap-url url-name;
url-name は、証明機関の LDAP サーバー名です。形式は ldap://server-name, で、 server-name は CA ホストの DNS 名または IP アドレスです。
キャッシュサイズの設定
既定では、キャッシュ サイズは 2 メガバイト (MB) です。デジタル証明書の合計キャッシュ サイズを構成するには、[edit security certificates] 階層レベルで cache-size ステートメントを含めます。
[edit security certificates] cache-size bytes;
bytes は、デジタル証明書のキャッシュ・サイズです。範囲は 64 から 4,294,967,295 バイトです。
キャッシュ サイズは 4 MB に制限することをお勧めします。
ネガティブキャッシュの設定
否定キャッシュは否定結果を格納し、否定応答の応答時間を短縮します。また、リモート・サーバーに送信されるメッセージの数も削減されます。負のキャッシュ状態を維持することで、システムは検索の試行が再試行されたときにエラー状態をすばやく返すことができます。負のキャッシュ状態がない場合、再試行では、リモートサーバーが応答していないことをシステムがすでに「認識」しているにもかかわらず、リモートサーバーが応答に失敗するのを待つ必要があります。
既定では、負のキャッシュは 20 秒です。ネガティブキャッシュを設定するには、[edit security certificates]階層レベルで cache-timeout-negative ステートメントを含めます。
[edit security certificates] cache-timeout-negative seconds;
seconds は、失敗した CA またはルーター証明書が負のキャッシュに存在する時間です。一致する CA ID (証明書のドメイン名または CRL の CA ドメイン名とシリアル) を持つ証明書を検索するときに、負のキャッシュが最初に検索されます。負のキャッシュにエントリが見つかった場合、検索はすぐに失敗します。
大きな負のキャッシュ値を構成すると、サービス拒否 (DoS) 攻撃を受けやすくなります。
登録再試行回数の構成
既定では、登録の再試行回数は 0 に設定されており、再試行回数は無制限です。ルーターまたはスイッチが証明書要求を再送信する回数を指定するには、[edit security certificates]階層レベルで enrollment-retry ステートメントを含めます。
[edit security certificates] enrollment-retry attempts;
attempts は、登録の再試行回数 (0 から 100) です。
ピア証明書の最大数の設定
デフォルトでは、キャッシュされるピア証明書の最大数は 1024 です。キャッシュされるピア証明書の最大数を設定するには、[edit security certificates]階層ステートメントレベルで maximum-certificates ステートメントを含めます。
[edit security certificates] maximum-certificates number;
number は、キャッシュされるピア証明書の最大数です。範囲は、64 から 4,294,967,295 ピア証明書からです。
証明書階層のパスの長さの設定
証明機関は、他の CA に証明書を発行できます。これにより、ツリー状の証明書階層が作成されます。階層内で最も信頼されている最上位の CA は、 トラスト アンカーと呼ばれます。トラストアンカーがルートCAである場合もあります。ルートCAは通常、それ自体で署名されています。階層では、すべての証明書はそのすぐ上の CA によって署名されます。例外はルート CA 証明書で、通常はルート CA 自体によって署名されます。一般に、1 つの CA によって署名された公開キー所有者 (エンド エンティティ) の証明書と、他の CA によって署名された CA の 0 個以上の追加証明書で構成される、複数の証明書のチェーンが必要になる場合があります。このようなチェーンは、証明パスと呼ばれ、公開キー ユーザーは限られた数の保証された CA 公開キーでのみ初期化されるため、必要です。
パス長とは、CA とその "子" の関係に基づいて、ある証明書から別の証明書への証明書のパスを指します。 path-length ステートメントを設定する場合、信頼されたルート CA 証明書から対象の証明書までの証明書を検証するための階層の最大の深さを指定します。証明書階層の詳細については、RFC 3280「 インターネット X.509 公開キー基盤証明書と証明書失効リスト (CRL) プロファイル」を参照してください。
既定では、証明書パスの最大長は 15 に設定されています。ルート アンカーは 1 です。
パスの長さを設定するには、[edit security certificates]階層レベルで path-length ステートメントを含めます。
[edit security certificates] path-length certificate-path-length;
certificate-path-length は、証明書パスの長さに対する証明書の最大数です。範囲は 2 から 15 証明書からです。