crypto pki trustpoint

モード: グローバルコンフィグモード --> CAトラストポイントモード
カテゴリー: 運用・管理 / ローカルCA

(config)# [no] crypto pki trustpoint NAME

ローカルなルート認証局(ローカルCA)を作成(初期設定)し、CAトラストポイントモードに移行する。
no形式で実行した場合はローカルCA関連の設定をすべて削除する。この場合はグローバルコンフィグモードのまま移動しない。

ローカルCAの作成とは、具体的には次のことを指す。

  1. ローカルCAの公開鍵ペア(秘密鍵と公開鍵)を作成する。
  2. ローカルCAの自己署名ルート証明書を発行する。
    すなわち、手順1で作成した公開鍵の電子証明書を、手順1で作成した自身の秘密鍵で署名する。

なお、ローカルRADIUSサーバーを使用する環境では、radius-server localコマンドを初めて実行したときに本コマンドが自動実行され、「local」という名前のローカルCAが自動作成されるため、通常は本コマンドを手動入力する必要はない。その場合、トラストポイント名を必要とする他のコマンドでは「local」を指定すること。

ただし、前記環境でローカルCA「local」を再セットアップするときや、ローカルRADIUSサーバーを使わない場合は、本コマンドを手動で実行する必要がある。


パラメーター

NAME ローカルCAのトラストポイント名。「local」を指定した場合は、ローカルCAの公開鍵ペア生成と自己署名ルート証明書の発行も自動的に行われ、ローカルCAの作成が完了する。「local」以外の名前を指定した場合は、ローカルCA名の定義だけが行われ、公開鍵ペアの生成とルート証明書の発行は行われないので、enrollmentコマンドでselfsigned(自己署名)を指定したのち、crypto pki authenticateコマンドを実行してローカルCAの作成を完了すること(開鍵ペアの生成とルート証明書の発行を行うこと)


使用例

■ ローカルCA「local」を作成する。

awplus(config)# crypto pki trustpoint local
Created trustpoint "local".
Generating 2048-bit key for local CA...
Automatically authenticated trustpoint "local".

■ ローカルCA「local」の設定をすべて削除する。これまでに発行した証明書はすべて無効になるので注意すること。
awplus(config)# no crypto pki trustpoint local
Destroyed trustpoint "local"


注意・補足事項

■ 「local」以外のトラストポイント名は、AMFネットワーク上にて、AT-Vista Manager(AVM)をTLSクライアント証明書で認証する場合のみサポート。それ以外の用途ではトラストポイント名「local」を使用すること。詳細は解説編を参照。

atmf trustpointコマンドで指定したTLSクライアント証明書認証用のローカルCAを削除するときは、先にatmf trustpointコマンドをno形式で実行してローカルCAの指定を削除してから、本コマンドをno形式で実行すること。


コマンドツリー

configure terminal (特権EXECモード)
    |
    +- crypto pki trustpoint(グローバルコンフィグモード)
         |
         +- enrollment(CAトラストポイントモード)
         +- rsakeypair(CAトラストポイントモード)

関連コマンド

crypto pki authenticate(特権EXECモード)
openflow ssl trustpoint(グローバルコンフィグモード)
radius-server local(グローバルコンフィグモード)
show crypto pki certificates(特権EXECモード)
show crypto pki trustpoint(特権EXECモード)


(C) 2012 - 2019 アライドテレシスホールディングス株式会社

PN: 613-001763 Rev.AB