Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:ピア証明書チェーン検証用のデバイスの設定

この例では、IKEネゴシエーション中にピアデバイスを検証するために使用される証明書チェーンにデバイスを設定する方法を示します。

要件

開始する前に、ローカル証明書の要求を送信する際に、認証機関(CA)のアドレスと必要な情報(チャレンジ パスワードなど)を取得します。

概要

この例では、証明書チェーンにローカルデバイスを設定し、CAとローカル証明書を登録し、登録された証明書の有効性を確認し、ピアデバイスの失効ステータスを確認する方法を示しています。

トポロジ

この例では、 図 1 に示すように、Host-A の設定および運用コマンドを示しています。Host-A で動的 CA プロファイルが自動的に作成され、Host-A が Sales-CA から CRL をダウンロードし、Host-B の証明書の失効ステータスを確認できます。

図 1:証明書チェーンの例 Certificate Chain Example
メモ:

この例では、ホスト-Aのフェーズ1およびフェーズ2ネゴシエーションのIPsec VPN設定を示しています。フェーズ1とフェーズ2のオプションが正常にネゴシエートされ、SA(セキュリティアソシエーション)が確立されるように、ピアデバイス(ホスト-B)を適切に設定する必要があります。

構成

証明書チェーンにデバイスを設定するには、次の手順に従います。

CA プロファイルの設定

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

CAプロファイルを設定するには:

  1. ルート CA の CA プロファイルを作成します。

  2. Eng-CA の CA プロファイルを作成します。

  3. Dev-CA の CA プロファイルを作成します。

結果

設定モードから、 コマンドを入力して設定を show security pki 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

認定書の登録

手順

認定書を登録するには、

  1. CA 証明書を登録します。

    プロンプトで を入力 yes して CA 証明書を読み込みます。

  2. CA 証明書がデバイスに登録されていることを確認します。

  3. 登録された CA 証明書の有効性を検証します。

  4. ローカル証明書を登録します。

  5. ローカル証明書がデバイスに登録されていることを確認します。

  6. 登録されたローカル証明書の有効性を確認します。

  7. 構成済みの CA プロファイルの CRL ダウンロードを確認します。

IPsec VPN オプションの設定

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

IPsec VPN オプションを設定するには:

  1. フェーズ1のオプションを設定します。

  2. フェーズ2オプションを設定します。

結果

設定モードから、 および show security ipsec コマンドを入力して設定をshow security ike確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

ピアデバイス間のIKEネゴシエーション中に証明書の検証が成功した場合、IKEとIPsecセキュリティアソシエーション(SA)の両方が確立されます。

IKEフェーズ1ステータスの確認

目的

IKEフェーズ1のステータスを確認します。

アクション

動作モードから コマンドを show services ipsec-vpn ike security-associations 入力します。

IPsecフェーズ2のステータスの確認

目的

IPsecフェーズ2のステータスを確認します。

アクション

動作モードから コマンドを show services ipsec-vpn ipsec security-associations 入力します。

取り消された証明書のIKEおよびIPsec SAの失敗

取り消された証明書のチェック

問題

ピアデバイス間のIKEネゴシエーション中に証明書の検証が失敗した場合は、ピアの証明書が取り消されていないことを確認してください。動的 CA プロファイルにより、ローカル デバイスはピアの CA から CRL をダウンロードし、ピアの証明書の失効ステータスを確認できます。動的CAプロファイルを有効にするには、 revocation-check crl 親CAプロファイルで オプションを設定する必要があります。

ソリューション

ピアの証明書の失効ステータスを確認するには、以下の手順にしたがっています。

  1. 運用モードから コマンドを入力して、ピア デバイスの CRL を表示する動的 CA プロファイルを show security pki crl 識別します。

    CA プロファイル dynamic-001 は Host-A で自動的に作成されるため、Host-A は Host-B の CA(Sales-CA)から CRL をダウンロードし、ピアの証明書の失効ステータスを確認できます。

  2. 動作モードから コマンドを入力して、動的 CA プロファイルの CRL 情報を show security pki crl ca-profile dynamic-001 detail 表示します。

    入力

    ホスト B の証明書(シリアル番号10647084)が取り消されました。