crypto pki enroll

モード: 特権EXECモード
カテゴリー: 運用・管理 / ローカルCA

# [no] crypto pki enroll NAME

本コマンドは、指定したトラストポイントがローカルCA用か外部CA用かによって動作が異なる。

ローカルCA発行の証明書を利用するためのトラストポイント（enrollment selfsigned）
ローカルCAの秘密鍵を用いて本製品のサーバー証明書を発行し、該当トラストポイントに保存する。
これにより本製品のサーバー証明書が利用可能になる。
外部CA発行の証明書を利用するためのトラストポイント（enrollment terminal）
本製品の証明書発行要求（CSR）を生成し、PEM形式テキストとして端末画面に表示する。
本製品の証明書を利用可能な状態にするには、この後次のステップが必要となる。
1. 本コマンドによって表示されたCSRの内容をコピー＆ペーストでファイル（CSRファイル）に保存する。
2. CSRファイルを外部CAに渡し、本製品の証明書を発行を依頼する。
3. 外部CAによって発行された証明書をcrypto pki import pemコマンドでトラストポイントにインポートして保存する。

no形式で実行した場合は、指定したトラストポイントに保存されている本製品のサーバー証明書を削除する。

なお、ローカルRADIUSサーバーを使用する環境では、radius-server localコマンドを初めて実行したときに「local」という名前のローカルCA用トラストポイントが自動作成され、サーバー証明書の発行も自動的に行われるため、通常本コマンドを手動で実行する必要はない。何らかの理由によりローカルRADIUSサーバーの証明書を作り直したいときだけ手で実行すればよい。

パラメーター

NAME トラストポイント名

使用例

■ ローカルCA「local」によって本製品のサーバー証明書を発行する

awplus# crypto pki enroll local ↓
Generating 2048-bit key "server-default"...
Successfully enrolled the local server.

■ 外部CA発行の証明書を利用するためのトラストポイント「appproxy」において、本製品の証明書発行要求（CSR）を生成し、端末画面に表示する。
証明書の発行を外部CAに依頼するには、画面に表示された -----BEGIN CERTIFICATE REQUEST----- から -----END CERTIFICATE REQUEST----- をファイルに保存して外部CAに渡す。
発行された証明書をトラストポイントに取り込むには、crypto pki import pemコマンドを使う。

awplus# crypto pki enroll extca ↓
Generating 2048-bit key "key"...
Cut and paste this request to the certificate authority:
-----------------------------------------------------------------
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
-----------------------------------------------------------------

注意・補足事項

■ 本コマンドの実行時には、rsakeypairコマンドで指定した名前のサーバー公開鍵ペアが生成済みであればそれを使い、存在しない場合は新規に生成する。rsakeypairコマンドで対象鍵ペアを指定していない場合は、既定の公開鍵ペア名「server-default」が指定されたものとして扱う。

■ 本コマンドをno形式で実行しても、トラストポイントから証明書を削除するだけで、失効処理は行われない（ローカルCAでは証明書失効リストの発行をサポートしていない）。

■ 「local」以外のトラストポイント名は特定の用途でのみサポート。通常用途ではトラストポイント名「local」を使用すること。詳細は解説編を参照。

crypto pki enroll

パラメーター

使用例

注意・補足事項

関連コマンド