[index] AT-AR1050V コマンドリファレンス 5.5.4
NoteローカルCAでは、発行済み証明書の失効機能はサポートしていません。
Note証明書を使用する側の機能では、どの証明書を使用するかをトラストポイント名で指定します(機能によっては使用するトラストポイント名があらかじめ決まっており指定できないものもあります)。他システムにおいて「証明書ストア」、「証明書レポジトリー」、「認証情報ストレージ」、「キーストア・トラストストア」などと呼ばれているものと類似する概念です。
crypto pki trustpoint local end crypto pki enroll localこれにより次のことが行われます。
Note「local」「default-selfsigned」以外の名前を持つローカルCAは、AMFネットワーク上でAT-Vista Manager EX(AVM EX)をTLSクライアント証明書で認証する場合にのみ使用できます(この用途には「local」「default-selfsigned」以外を使う必要があります)。それ以外の機能でローカルCAを使う場合は、次節で述べる手順 にしたがい、「local」という名前でローカルCAを別途作成してください。
awplus(config)# crypto pki trustpoint myca ↓ Created trustpoint "myca". awplus(ca-trustpoint)#
awplus(ca-trustpoint)# enrollment selfsigned ↓
awplus(ca-trustpoint)# lifetime years 1 ↓
awplus(ca-trustpoint)# end ↓ awplus# crypto pki authenticate myca ↓ Generating 2048-bit key for local CA... Successfully authenticated trustpoint "myca".
awplus(config)# crypto pki trustpoint local ↓ Created trustpoint "local". Generating 2048-bit key for local CA... Automatically authenticated trustpoint "local". awplus(ca-trustpoint)#ローカルCAの名前として「local」を指定した場合は、crypto pki trustpointコマンドを実行するだけで、ローカルCAの公開鍵ペア生成と自己署名ルートCA証明書の発行が行われ、ローカルCAの作成が完了します。
awplus(ca-trustpoint)# lifetime years 1 ↓
Noteトラストポイント名が「local」の場合、crypto pki trustpointコマンドの実行時にルートCA証明書の発行が自動的に行われるため、ルートCA証明書の有効期間をデフォルトの5年から変更することはできませんが、ローカルCA「local」として発行する他の証明書にはlifetimeコマンドで設定した有効期間が適用されます。
awplus# show crypto pki trustpoint ↓ -------------------- Trustpoint "myca" Type : Self-signed certificate authority Root Certificate: B5AA9359 5A9B2833 785BAA15 C6DC803C 81446F6F Local Server : The server is not enrolled to this trustpoint. Authentication and Enrollment Parameters Enrollment : selfsigned
awplus# show crypto pki certificates ↓ -------------------- Trustpoint "myca" Certificate Chain -------------------- Self-signed root certificate Subject : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX Issuer : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX Algorithms : Public Key : rsaEncryption, 2048 bits : Signature : sha256WithRSAEncryption Valid From : Nov 9 08:40:35 2017 GMT Valid To : Nov 7 08:40:35 2027 GMT Fingerprint : B5AA9359 5A9B2833 785BAA15 C6DC803C 81446F6F
awplus(config)# crypto pki trustpoint local ↓ awplus(ca-trustpoint)# subject-name /O=MyOrganization/CN=10.1.1.1 ↓ awplus(ca-trustpoint)# subject-alt-name 10.1.1.1 ↓ awplus(ca-trustpoint)# end ↓
awplus# crypto pki enroll local ↓ Generating 2048-bit key "server-default"... Successfully enrolled the local server.同コマンドの初回実行時には、「server-default」という名前で識別される本製品の公開鍵ペア(秘密鍵と公開鍵)が自動的に生成され、その公開鍵証明書をローカルCAの秘密鍵で署名して、サーバー証明書の発行が完了します。
awplus# show crypto pki certificates ↓ -------------------- Trustpoint "local" Certificate Chain -------------------- Server certificate Subject : /O=AlliedWare Plus/CN=awplus Issuer : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX Algorithms : Public Key : rsaEncryption, 2048 bits : Signature : sha256WithRSAEncryption Valid From : Nov 9 09:04:48 2017 GMT Valid To : Nov 8 09:04:48 2022 GMT Fingerprint : 61DEDC23 AFD1BCAA 1AC8575F EC3CC342 E99930DE Self-signed root certificate Subject : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX Issuer : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX Algorithms : Public Key : rsaEncryption, 2048 bits : Signature : sha256WithRSAEncryption Valid From : Nov 9 08:53:04 2017 GMT Valid To : Nov 7 08:53:04 2027 GMT Fingerprint : 79DF0F8B DA5B190F A38AFDE9 9EEE5BD9 48FC8E6E
awplus(config)# crypto pki trustpoint myca ↓
awplus(ca-trustpoint)# rsakeypair myserverkey ↓
Noteサーバー公開鍵ペアはデフォルトで2048ビット長になります。これを変更したい場合は、次のようにrsakeypairコマンドのオプションパラメーターで鍵の長さをビットで指定してください。有効範囲は1024~16384ビットです。
awplus(ca-trustpoint)# rsakeypair longserverkey 4096 ↓
awplus# crypto pki enroll myca ↓ Generating 2048-bit key "myserverkey"... Successfully enrolled the local server.これにより、デフォルトの「server-default」の代わりに、「myserverkey」という名前で識別される公開鍵ペアが生成され、この公開鍵を対象に本製品のサーバー証明書が発行されます。
awplus# crypto pki enroll local user user11 ↓ Enter an export passphrase, or "abort" to cancel. XXXXXXXXXXXX ↓(実際には表示されません) Enter the export passphrase again. XXXXXXXXXXXX ↓(実際には表示されません) Generating a user private key for "user1"... Successfully enrolled user "user1". The PKCS#12 file is ready to export.
awplus# crypto pki export local pkcs12 user11 flash:/user11.p12 ↓
NoteローカルCAでは証明書失効リスト(CRL)の発行をサポートしていないため、ユーザー証明書を無効にするには、ローカルCAの再セットアップが必要となります(crypto pki trustpointコマンドをno形式、通常形式の順に実行後、機器を再起動する)。なお、ローカルCAを再セットアップすると、それ以前に発行した証明書はすべて無効になり、再発行が必要になるので注意してください。
awplus# crypto pki export local pem flash:/localca.cer ↓
awplus# show crypto pki certificates local ↓ ... Server certificate ... Fingerprint : 70483113 CC6EF618 4B18C838 2CDD8AA4 05BBD1A5 ... awplus# no crypto pki certificate local 70483113 CC6EF618 4B18C838 2CDD8AA4 05BBD1A5 ↓ ... Deleted the certificate.
awplus# configure terminal ↓ awplus(config)# crypto pki trustpoint local ↓
awplus(ca-trustpoint)# lifetime years 1 ↓
awplus(ca-trustpoint)# end ↓ awplus# crypto pki enroll local ↓ Using private key "server-default"... Successfully enrolled the local server.
awplus# crypto pki enroll local user user11 ↓ Enter an export passphrase, or "abort" to cancel. XXXXXXXXXXXX ↓(実際には表示されません) Enter the export passphrase again. XXXXXXXXXXXX ↓(実際には表示されません) Generating a user private key for "user1"... Successfully enrolled user "user1". The PKCS#12 file is ready to export.
awplus# crypto pki export local pkcs12 user11 flash:/user11.p12 ↓
awplus# show crypto pki certificates local ↓ ... Server certificate ... Fingerprint : 70483113 CC6EF618 4B18C838 2CDD8AA4 05BBD1A5 ...
awplus# no crypto pki certificate local 70483113 CC6EF618 4B18C838 2CDD8AA4 05BBD1A5 ↓ ... Deleted the certificate.
awplus# crypto pki enroll local ↓ Using private key "server-default"... Successfully enrolled the local server.
Noteサーバー証明書のみ更新した場合、クライアントへの再配布は不要です。
awplus# show crypto pki certificates local ↓ ... Server certificate ... Fingerprint : 70483113 CC6EF618 4B18C838 2CDD8AA4 05BBD1A5 Self-signed root certificate ... Fingerprint : 0AEF70A9 43B9DCC5 4CCA7771 2341872D 9321A2CF Local RADIUS server user enrollments ready for export user11
Noteクライアント証明書の削除は不要です。
awplus# no crypto pki certificate local 70483113 CC6EF618 4B18C838 2CDD8AA4 05BBD1A5 ↓ ... Deleted the certificate. awplus# no crypto pki certificate local 0AEF70A9 43B9DCC5 4CCA7771 2341872D 9321A2CF ↓ ... Deleted the certificate. Deleted the trustpoint key.
awplus# crypto pki authenticate local ↓ Generating 2048-bit key for local CA... Successfully authenticated trustpoint "local".
awplus# crypto pki enroll local ↓ Using private key "server-default"... Successfully enrolled the local server.
awplus# crypto pki export local pem flash:/cacert.pem ↓
awplus# crypto pki enroll local user user11 ↓ Enter an export passphrase, or "abort" to cancel. XXXXXXXXXXXX ↓(実際には表示されません) Enter the export passphrase again. XXXXXXXXXXXX ↓(実際には表示されません) Generating a user private key for "user1"... Successfully enrolled user "user1". The PKCS#12 file is ready to export.
awplus# crypto pki export local pkcs12 user11 flash:/user11.p12 ↓
awplus(config)# crypto pki trustpoint extca ↓ Created trustpoint "extca". awplus(ca-trustpoint)# enrollment terminal ↓ awplus(ca-trustpoint)# end ↓
awplus# crypto pki import extca pem extca_cert.pem ↓ Copying... Successful operation Subject : /C=JP/O=EXAMPLE/CN=SampleRootCA Issuer : /C=JP/O=EXAMPLE/CN=SampleRootCA Algorithms : Public Key : rsaEncryption, 2048 bits : Signature : sha256WithRSAEncryption Valid From : Apr 7 05:32:30 2023 GMT Valid To : Apr 4 05:32:30 2033 GMT Fingerprint : D51BB535 8CBCFE2C BDD6E56B 759BB5C9 4CF9DCBF This is a self-signed CA certificate. The certificate has been validated successfully. Accept this certificate? (y/n): y ↓ The certificate was successfully imported.
-----BEGIN CERTIFICATE-----
から -----END CERTIFICATE-----
の行までをクリップボードにコピーしてCLIにペーストし、「Enter」キーを押します。awplus# crypto pki authenticate extca ↓ Paste the certificate PEM file into the terminal. Type "abort" to cancel. -----BEGIN CERTIFICATE----- XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ... xaPuyjGcQ3kCjW32sO0InQxjLPCp/celKKRZbIwETAor -----END CERTIFICATE----- Complete ("END CERTIFICATE" detected). Subject : /C=JP/O=EXAMPLE/CN=SampleRootCA Issuer : /C=JP/O=EXAMPLE/CN=SampleRootCA Algorithms : Public Key : rsaEncryption, 2048 bits : Signature : sha256WithRSAEncryption Valid From : Apr 7 05:32:30 2023 GMT Valid To : Apr 4 05:32:30 2033 GMT Fingerprint : D51BB535 8CBCFE2C BDD6E56B 759BB5C9 4CF9DCBF This is a self-signed CA certificate. The certificate has been validated successfully. Accept this certificate? (y/n): y ↓ Successfully authenticated trustpoint "extca".
-----BEGIN CERTIFICATE REQUEST-----
の行から-----END CERTIFICATE REQUEST-----
の行までをクリップボードにコピーしてPC上のファイル(ここでは「my_csr.pem」とします)に保存してください。awplus# crypto pki enroll extca ↓ Generating 2048-bit key "server-default"... Cut and paste this request to the certificate authority: ----------------------------------------------------------------- -----BEGIN CERTIFICATE REQUEST----- XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ... sQCD7gbOkrMSEpDCSdB85P5on2Gs+CwpHsYlhA== -----END CERTIFICATE REQUEST----- -----------------------------------------------------------------
awplus# crypto pki import extca pem extca_cert.pem ↓ Copying... Successful operation Subject : /O=AlliedWare Plus/CN=awplus Issuer : /C=JP/O=EXAMPLE/CN=SampleRootCA Algorithms : Public Key : rsaEncryption, 2048 bits : Signature : sha256WithRSAEncryption Valid From : Apr 19 07:41:24 2023 GMT Valid To : Apr 18 07:41:24 2024 GMT Fingerprint : DDDDDDDD EEEEEEEE AAAAAAAA DDDDDDDD BBBBBBBB This is not a valid CA certificate. Attempting to import as a server certificate. The certificate has been validated successfully. Accept this certificate? (y/n): y ↓ The certificate was successfully imported.
-----BEGIN CERTIFICATE-----
から -----END CERTIFICATE-----
の行までをクリップボードにコピーしてCLIにペーストし、「Enter」キーを押します。awplus# crypto pki import extca terminal ↓ Paste the certificate PEM file into the terminal. Type "abort" to cancel. -----BEGIN CERTIFICATE----- XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ... WF/C9/ijoy0UIjDFJms6uBo5gw== -----END CERTIFICATE----- Complete ("END CERTIFICATE" detected). Subject : /O=AlliedWare Plus/CN=awplus Issuer : /C=JP/O=EXAMPLE/CN=SampleRootCA Algorithms : Public Key : rsaEncryption, 2048 bits : Signature : sha256WithRSAEncryption Valid From : Apr 19 07:41:24 2023 GMT Valid To : Apr 18 07:41:24 2024 GMT Fingerprint : DDDDDDDD EEEEEEEE AAAAAAAA DDDDDDDD BBBBBBBB This is not a valid CA certificate. Attempting to import as a server certificate. The certificate has been validated successfully. Accept this certificate? (y/n): y ↓ The certificate was successfully imported.
Note本製品の証明書を発行する外部CAがルートCAではなく中間CAの場合は、証明書チェーン(外部CAからルートCAまで)を構成するすべてのCAの証明書をインポートする必要があります。
- 手順1:外部CA(中間CA)からルートCAまでのすべてCAの証明書を本製品のフラッシュメモリーにコピーしてください。
- 手順2:CA証明書のインポートはルートCAから順に(上位から下位の順に)行ってください。
たとえば、証明書チェーンが「外部CA(中間CA) → ルートCA」の2段階になっており、外部CA(中間CA)の証明書が「intca_cert.pem」、ルートCAの証明書が「rootca_cert.pem」の場合、次のようにしてインポートします。
awplus# crypto pki import extca pem rootca_cert.pem ↓ ... Issuer : /C=JP/O=EXAMPLE/CN=SampleRootCA Issuer : /C=JP/O=EXAMPLE/CN=SampleRootCA ... This is a self-signed CA certificate. The certificate has been validated successfully. Accept this certificate? (y/n): y ↓ The certificate was successfully imported. awplus# crypto pki import extca pem intca_cert.pem ↓ ... Issuer : /C=JP/O=EXAMPLE/CN=SampleIntermediateCA Issuer : /C=JP/O=EXAMPLE/CN=SampleRootCA ... This is an intermediate CA certificate. The certificate has been validated successfully. Accept this certificate? (y/n): y ↓ The certificate was successfully imported.
awplus# crypto pki export local pkcs12 ca tftp://172.16.10.70/ca-keycert.p12 ↓ Enter an export passphrase, or "abort" to cancel. XXXXXXXX ↓(実際には表示されません) Enter the export passphrase again. XXXXXXXX ↓(実際には表示されません) Copying... Successful operation
awplus# crypto pki export local pkcs12 server tftp://172.16.10.70/server-keycert.p12 ↓ Enter an export passphrase, or "abort" to cancel. XXXXXXXX ↓(実際には表示されません) Enter the export passphrase again. XXXXXXXX ↓(実際には表示されません) Copying... Successful operation
awplus(config)# crypto pki trustpoint local ↓ Created trustpoint "local". Generating 2048-bit key for local CA... Automatically authenticated trustpoint "local". awplus(ca-trustpoint)# enrollment selfsigned ↓ awplus(ca-trustpoint)# end ↓
awplus# show crypto pki certificates local ↓ -------------------- Trustpoint "local" Certificate Chain -------------------- Self-signed root certificate Subject : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAC6FDB7839B8348B1 Issuer : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAC6FDB7839B8348B1 Algorithms : Public Key : rsaEncryption, 2048 bits : Signature : sha256WithRSAEncryption Valid From : Apr 29 06:01:59 2023 GMT Valid To : Apr 26 06:01:59 2033 GMT Fingerprint : 30CEA2E7 53446692 1E275C02 0B7032BB ECA5264F awplus# no crypto pki certificate local 30CEA2E7 53446692 1E275C02 0B7032BB ECA5264F ↓ Subject : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAC6FDB7839B8348B1 Issuer : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAC6FDB7839B8348B1 Algorithms : Public Key : rsaEncryption, 2048 bits : Signature : sha256WithRSAEncryption Valid From : Apr 29 06:01:59 2023 GMT Valid To : Apr 26 06:01:59 2033 GMT Fingerprint : 30CEA2E7 53446692 1E275C02 0B7032BB ECA5264F Deleted the certificate. Deleted the trustpoint key.
awplus# crypto pki import local pkcs12 ca tftp://172.16.10.70/ca-keycert.p12 ↓ Copying... Successful operation Enter the import passphrase. XXXXXXXX ↓(実際には表示されません) The certificate has been validated successfully. Successfully imported the trustpoint.
awplus# crypto pki import local pkcs12 server tftp://172.16.10.70/server-keycert.p12 ↓ Copying... Successful operation Enter the import passphrase. XXXXXXXX ↓(実際には表示されません) The certificate has been validated successfully. Successfully imported the server certificate.
awplus# crypto pki export extca pem tftp://172.16.10.70/ca-cert.pem ↓ Copying... Successful operation
awplus# crypto pki export extca pkcs12 server tftp://172.16.10.70/server-keycert.p12 ↓ Enter an export passphrase, or "abort" to cancel. XXXXXXXX ↓(実際には表示されません) Enter the export passphrase again. XXXXXXXX ↓(実際には表示されません) Copying... Successful operation
awplus(config)# crypto pki trustpoint extca ↓ Created trustpoint "extca". awplus(ca-trustpoint)# enrollment terminal ↓ awplus(ca-trustpoint)# end ↓
awplus# crypto pki import extca pem tftp://172.16.10.70/ca-cert.pem ↓ Copying... Successful operation Subject : /C=JP/O=EXAMPLE/CN=SampleRootCA Issuer : /C=JP/O=EXAMPLE/CN=SampleRootCA Algorithms : Public Key : rsaEncryption, 2048 bits : Signature : sha256WithRSAEncryption Valid From : Apr 7 05:32:30 2023 GMT Valid To : Apr 4 05:32:30 2033 GMT Fingerprint : D51BB535 8CBCFE2C BDD6E56B 759BB5C9 4CF9DCBF This is a self-signed CA certificate. The certificate has been validated successfully. Accept this certificate? (y/n): y ↓ The certificate was successfully imported.
awplus# crypto pki import extca pkcs12 server tftp://172.16.10.70/server-keycert.p12 ↓ Copying... Successful operation Enter the import passphrase. XXXXXXXX ↓(実際には表示されません) The certificate has been validated successfully. Successfully imported the server certificate.
(C) 2019 - 2024 アライドテレシスホールディングス株式会社
PN: 613-002735 Rev.AD