Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

ES PIC でのデジタル証明書に関する IKE ポリシー

ES PIC のデジタル証明書の IKE ポリシーの設定

デジタル証明書IKE ポリシーは、IKE ネゴシエーション中に使用されるセキュリティ パラメーター(IKE プロポーザル)の組み合わせを定義します。ピアアドレスと、その接続に必要なプロポーザルを定義します。IKE ネゴシエーション中に、IKE は両方のピアで同じ IKE ポリシーを探します。ネゴシエーションを開始したピアは、そのすべてのポリシーをリモートピアに送信し、リモートピアは一致を見つけようとします。

ES PIC のデジタル証明書の IKE ポリシーを設定するには、 [edit security ike policy ike-peer-address] 階層レベルで以下のステートメントを含めます。

デジタル証明書のIKEポリシーを設定する作業は、以下の通りです。

CA がサポートするエンコードの種類の構成

既定では、エンコードはバイナリに設定されています。エンコードは、 local-certificate ステートメントと local-key-pair ステートメントに使用されるファイル形式を指定します。既定では、バイナリ (識別エンコード規則) 形式は有効になっています。 PEM は、ASCII ベース 64 でエンコードされた形式です。CA に問い合わせて、サポートされているファイル形式を確認してください。

CA がサポートするファイル形式を設定するには、 encoding ステートメントを含め、 [edit security ike policy ike-peer-address] 階層レベルでバイナリまたは PEM 形式を指定します。

リモート証明書名を定義するための ID の構成

リモート証明書名を定義するには、[edit security ike policy ike-peer-address]階層レベルで identity ステートメントを含めます。

identity-name は、IKE で学習できない場合のリモート証明書名の ID (ID ペイロードまたは IP アドレス) を定義します。

証明書のファイル名の指定

ローカル証明書を読み取る証明書のファイル名を設定するには、[edit security ike policy ike-peer-address]階層レベルで local-certificate ステートメントを含めます。

certificate-filename ローカル証明書を読み取るファイルを指定します。

秘密鍵ファイルと公開鍵ファイルの指定

公開鍵と秘密鍵を読み取るファイル名を指定するには、[edit security ike policy ike-peer-address]階層レベルで local key-pair ステートメントを含めます。

private-public-key-file ペア キーを読み取るファイルを指定します。

関連項目

ES PIC の CA からの署名付き証明書の取得

CA から署名付き証明書を取得するには、次のコマンドを発行します。

結果は、指定したファイルの /var/etc/ikecert ディレクトリに保存されます。

次に、設定された certification-authority ステートメント local を参照して、CA 署名付き証明書を取得する例を示します。このステートメントは、 request security certificate enroll filename filename subject subject alternative-subject alternative-subject certification-authority certification-authority コマンドによって参照されます。

CA から署名付き証明書を取得するには、次のコマンドを発行します。

動作モードコマンドを使用して署名付き証明書を取得する方法については、 CLI Explorer を参照してください。

CA から署名付き証明書を取得する別の方法は、 certification-authority ステートメントを使用して、URL、CA 名、CA 証明書ファイルなどの設定されたステートメントを参照することです。

関連項目

設定されたセキュリティアソシエーションと論理インターフェイスの関連付け

ES PIC を設定すると、設定された SA が論理インターフェイスに関連付けられます。この設定では、 トンネル 自体(論理サブユニット、トンネル アドレス、最大伝送単位 [MTU]、オプションのインターフェイス アドレス、トラフィックに適用する SA の名前)を定義します。

トンネルの送信元および宛先として設定されているアドレスは、トンネルの外部 IP ヘッダー内のアドレスです。

手記:

トンネル送信元アドレスはルーター上でローカルに設定する必要があり、トンネル宛先アドレスはトンネルを終端するセキュリティ ゲートウェイの有効なアドレスである必要があります。

M5、M10、M20、およびM40ルーターはES PICをサポートします。

SA は、有効なトンネル モード SA である必要があります。記載されているインターフェイスアドレスと宛先アドレスはオプションです。宛先アドレスにより、ユーザーはトラフィックを暗号化するための静的ルートを構成できます。スタティック ルートがその宛先アドレスをネクスト ホップとして使用する場合、暗号化が行われるトンネルの部分を通ってトラフィックが転送されます。

次に、ES PIC の論理インターフェイスとして IPsec トンネルを設定する例を示します。論理インターフェイスは、暗号化されたトラフィックが通過するトンネルを指定します。 ipsec-sa ステートメントは、セキュリティプロファイルをインターフェイスに関連付けます。

関連項目