[index] AMF Cloud リファレンスマニュアル 5.5.2
NoteローカルCAでは、発行済み証明書の失効機能はサポートしていません。
Note本マニュアル執筆時点では、ホワイトリストサーバー(AT-SESC/AMF Security mini)は本製品のクライアント証明書を検証せず、コントロールセッションの暗号化にのみ使用します。そのため、ホワイトリストサーバー側には、本製品のクライアント証明書を検証するためのルートCA証明書は必要ありません。
ただし、この仕様はホワイトリストサーバーのバージョンアップにより変更される可能性があります。詳細はホワイトリストサーバーのドキュメントでご確認ください。
Note「local」「default-selfsigned」以外の名前を持つローカルCAは、AMFネットワーク上でAT-Vista Manager EX(AVM EX)をTLSクライアント証明書で認証する場合にのみ使用できます(この用途には「local」「default-selfsigned」以外を使う必要があります)。それ以外の機能でローカルCAを使う場合は、次節で述べる手順 にしたがい、「local」という名前でローカルCAを別途作成してください。
awplus(config)# crypto pki trustpoint myca ↓ Created trustpoint "myca". awplus(ca-trustpoint)#crypto pki trustpointコマンドを実行すると、グローバルコンフィグモードからCAトラストポイントモードに移動します。
awplus(ca-trustpoint)# do show crypto pki trustpoint ↓ -------------------- Trustpoint "myca" Type : Non-authenticated trustpoint awplus(ca-trustpoint)# do show crypto pki certificates ↓
awplus(ca-trustpoint)# enrollment selfsigned ↓ awplus(ca-trustpoint)# end ↓ awplus# crypto pki authenticate myca ↓ Generating 2048-bit key for local CA... Successfully authenticated trustpoint "myca".これにより、ローカルCAの公開鍵ペア生成と自己署名ルート証明書の発行が行われ、ローカルCAの作成が完了します。
awplus(config)# crypto pki trustpoint local ↓ Created trustpoint "local". Generating 2048-bit key for local CA... Automatically authenticated trustpoint "local".ローカルCAの名前として「local」を指定した場合は、crypto pki trustpointコマンドを実行するだけで、ローカルCAの公開鍵ペア生成と自己署名ルート証明書の発行が行われ、ローカルCAの作成が完了します。
awplus# show crypto pki trustpoint ↓ -------------------- Trustpoint "myca" Type : Self-signed certificate authority Root Certificate: B5AA9359 5A9B2833 785BAA15 C6DC803C 81446F6F Local Server : The server is not enrolled to this trustpoint. Authentication and Enrollment Parameters Enrollment : selfsigned
awplus# show crypto pki certificates ↓ -------------------- Trustpoint "myca" Certificate Chain -------------------- Self-signed root certificate Subject : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX Issuer : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX Valid From : Nov 9 08:40:35 2017 GMT Valid To : Nov 7 08:40:35 2027 GMT Fingerprint : B5AA9359 5A9B2833 785BAA15 C6DC803C 81446F6F
awplus# crypto pki enroll local ↓ Generating 2048-bit key "server-default"... Successfully enrolled the local server.同コマンドの初回実行時には、「server-default」という名前で識別される本製品の公開鍵ペア(秘密鍵と公開鍵)が自動的に生成され、その公開鍵証明書をローカルCAの秘密鍵で署名して、サーバー証明書の発行が完了します。
awplus# show crypto pki certificates ↓ -------------------- Trustpoint "local" Certificate Chain -------------------- Server certificate Subject : /O=AlliedWare Plus/CN=awplus Issuer : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX Valid From : Nov 9 09:04:48 2017 GMT Valid To : Nov 8 09:04:48 2022 GMT Fingerprint : 61DEDC23 AFD1BCAA 1AC8575F EC3CC342 E99930DE Self-signed root certificate Subject : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX Issuer : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX Valid From : Nov 9 08:53:04 2017 GMT Valid To : Nov 7 08:53:04 2027 GMT Fingerprint : 79DF0F8B DA5B190F A38AFDE9 9EEE5BD9 48FC8E6E
awplus(config)# crypto pki trustpoint myca ↓
awplus(ca-trustpoint)# rsakeypair myserverkey ↓
Noteサーバー公開鍵ペアはデフォルトで2048ビット長になります。これを変更したい場合は、次のようにrsakeypairコマンドのオプションパラメーターで鍵の長さをビットで指定してください。有効範囲は1024~4096ビットです。
awplus(ca-trustpoint)# rsakeypair longserverkey 4096 ↓
awplus# crypto pki enroll myca ↓ Generating 2048-bit key "myserverkey"... Successfully enrolled the local server.これにより、デフォルトの「server-default」の代わりに、「myserverkey」という名前で識別される公開鍵ペアが生成され、この公開鍵を対象に本製品のサーバー証明書が発行されます。
(C) 2016 - 2022 アライドテレシスホールディングス株式会社
PN: 613-002312 Rev.AB