運用・管理 / ローカルCA

トラストポイント
ローカルCA用トラストポイント
外部CA用トラストポイント
ローカルCAの作成
ローカルCA「local」の自動生成
機器固有のサーバー証明書「default-selfsigned」の自動生成
ローカルCAの手動作成
使用すべきトラストポイント名
「local」「default-selfsigned」以外の手動作成
「local」の手動作成
ローカルCAと証明書の確認
サーバー証明書の発行
クライアント証明書(ユーザー証明書)の発行と配布
ルートCA証明書の配布
証明書の有効期間
証明書の再作成
クライアント証明書(ユーザー証明書)の再作成
サーバー証明書の再作成
ルートCA証明書の再作成
外部CA用トラストポイントの設定
CAおよびサーバー証明書の移行(電子証明書の書き出しと取り込み)
ローカルCA用トラストポイントの移行
証明書の書き出し(旧装置)
証明書の取り込み(新装置)
新装置にスタートアップコンフィグが適用されていない場合
新装置にスタートアップコンフィグが適用されている場合
外部CA用トラストポイントの移行
証明書の書き出し(旧装置)
証明書の取り込み(新装置)
新装置にスタートアップコンフィグが適用されていない場合
新装置にスタートアップコンフィグが適用されている場合

本製品は電子証明書を発行する認証局(CA)としての機能(ローカルCA機能)を備えています。
ローカルCAが発行した証明書は本製品の各種機能で利用可能です。
Note
ローカルCAでは、発行済み証明書の失効機能はサポートしていません。

トラストポイント

ローカルCA機能では「トラストポイント」と呼ばれる設定要素を使用します。
トラストポイントは、関連する証明書と鍵の一式を保存・管理するための格納場所です(crypto pki trustpointコマンドで作成)。
Note
他システムにおいて「証明書ストア」、「証明書レポジトリー」、「認証情報ストレージ」、「キーストア・トラストストア」などと呼ばれているものと類似する概念です。
証明書を使用する側の機能では、どの証明書を使用するかをトラストポイント名で指定します(機能によっては使用するトラストポイント名があらかじめ決まっており指定できないものもあります)。
Note
ファームウェアバージョン5.4.6-0.1以前で作成した証明書(SHA1署名付きの1024ビットRSAキー)を含むトラストポイントを適用したローカルRADIUSサーバーは、当該証明書を読み込まずに起動するため、TLS/EAPを使用する認証が動作しません。
その場合は、当該トラストポイントを削除した上で、新たにトラストポイントを作成し、ローカルRADIUSサーバーに適用してください。

トラストポイントには大きく分けて次の2種類があります。

ローカルCA用トラストポイント

ローカルCA用のトラストポイントには次の情報が保存されます。

外部CA用トラストポイント

外部CA用のトラストポイントには次の情報が保存されます。

本章ではこれ以降おもにローカルCA用トラストポイントの設定方法について説明します。
外部CA用トラストポイントの設定方法については本章末尾の「外部CA用トラストポイントの設定」をご覧ください。

なお、ローカルCA機能においては「トラストポイント」=「ローカルCA」と見なせるため、以下の説明ではおもに「ローカルCA」の用語を使用していますが、証明書の保存場所という意味合いで「トラストポイント」を使用している箇所もあります。あらかじめご了承ください。

ローカルCAの作成

ローカルCA機能を使用するには、最初にローカルCAに相当するトラストポイントを作成(初期設定)する必要があります。
ローカルCAの作成とは、具体的には次のことを指します。
  1. ローカルCAの公開鍵ペア(秘密鍵と公開鍵)を作成する。
  2. ローカルCAの自己署名ルートCA証明書を発行する。
    すなわち、手順1で作成した公開鍵の電子証明書を、手順1で作成した自身の秘密鍵で署名する。

ローカルCAの作成には複数の方法がありますが、ローカルRADIUSサーバーを使用する環境では、radius-server localコマンドを初めて実行したときに「local」という名前のローカルCA用トラストポイントが自動作成され、サーバー証明書の発行も自動的に行われるため、通常はローカルCAの作成を手動で行う必要はありません。

ただし、ローカルRADIUSサーバーを使わない環境や、ローカルCAを再セットアップする場合には手動での作成が必要です。
以下、それぞれの方法について解説します。

ローカルCA「local」の自動生成

初めてローカルRADIUSサーバーの設定を行うときには、「local」という名前(トラストポイント名)を持つローカルCAの作成が自動的に行われ、さらにローカルRADIUSサーバーの動作に必要なサーバー証明書も自動的に発行されます。

radius-server localコマンドの初回実行時に自動実行されるローカルCA関連コマンドは次のとおりです。
crypto pki trustpoint local
end
crypto pki enroll local
これにより次のことが行われます。
  1. crypto pki trustpointコマンドにより、「local」という名前のローカルCAを作成します(自己署名ルートCA証明書を発行)。
  2. crypto pki enrollコマンドにより、ローカルCA「local」からローカルRADIUSサーバーの証明書(サーバー証明書)を発行します。
ローカルRADIUSサーバー機能を使用するときは、自動生成されるローカルCA「local」を必ず使用してください。

なお、ローカルCA「local」は、ローカルRADIUSサーバー以外の機能でも使用可能です。ただし、AMFネットワーク上でAT-Vista Manager EX(AVM EX)をTLSクライアント証明書で認証する場合、ローカルCA「local」は使えません。この用途には、後述する手順 にしたがい、「local」以外の名前でローカルCAを作成してください。

機器固有のサーバー証明書「default-selfsigned」の自動生成

本製品起動時に「default-selfsigned」というトラストポイント名で、機器固有のサーバー証明書が自動的に作成されます。
この証明書は、AT-Vista Managerでの管理を行う場合に内部的に使用されるものです。

そのため、ローカルCA機能を使用して任意の証明書を作成する場合は、「default-selfsigned」をトラストポイント名に使用しないようにしてください。

また、AMFネットワーク上でAT-Vista Manager EX(AVM EX)をTLSクライアント証明書で認証する場合も「default-selfsigned」は使えません。
前述したように、上記の場合は「local」も使えませんので、この用途には、後述する手順 にしたがい、「local」「default-selfsigned」以外の名前でローカルCAを作成してください。

ローカルCAの手動作成

ローカルRADIUSサーバーを使用しない場合など、ローカルCAを手動で作成するには次の手順を実行します。
このとき、ローカルCAに付ける名前(トラストポイント名)が「local」かそれ以外かによって手順が異なります。
「local」という名前は特別扱いされ、その他の場合より手順が簡略化されます。
以下では最初に、「local」と「default-selfsigned」以外の場合を説明し、その後「local」の場合の手順を説明します。

使用すべきトラストポイント名

AMFネットワーク上でAT-Vista Manager EX(AVM EX)をTLSクライアント証明書で認証する場合は、「local」「default-selfsigned」以外のトラストポイント名を持つローカルCAが必要なため、後述する手順にしたがい、「local」「default-selfsigned」以外のトラストポイント名を持つローカルCAを作成してください。

外部CAで使用するトラストポイントの場合は「local」「default-selfsigned」以外の名前を使用してください。

「local」「default-selfsigned」以外の手動作成

「local」「default-selfsigned」以外の名前を持つローカルCAを作成するには、以下の手順を実行します。
Note
「local」「default-selfsigned」以外の名前を持つローカルCAは、AMFネットワーク上でAT-Vista Manager EX(AVM EX)をTLSクライアント証明書で認証する場合にのみ使用できます(この用途には「local」「default-selfsigned」以外を使う必要があります)。それ以外の機能でローカルCAを使う場合は、次節で述べる手順 にしたがい、「local」という名前でローカルCAを別途作成してください。
  1. crypto pki trustpointコマンドで「local」「default-selfsigned」以外の任意の名前を指定し、トラストポイントを作成します。
    ここでは例として「myca」という名前のトラストポイントを作成するものとします。
    awplus(config)# crypto pki trustpoint myca
Created trustpoint "myca".
awplus(ca-trustpoint)#

  2. CAトラストポイントモードのenrollmentコマンドで証明書の追加方法をselfsigned(自己署名)に設定します。
    これにより「myca」はローカルCA用のトラストポイントとなります。
    awplus(ca-trustpoint)# enrollment selfsigned

  3. ローカルCAが発行する証明書の有効期間はデフォルト5年です。
    これを変更したい場合はCAトラストポイントモードのlifetimeコマンドで希望する期間を設定します。変更不要な場合は本手順をスキップしてください。
    たとえば証明書の有効期間を1年にしたいときは次のように設定します。
    awplus(ca-trustpoint)# lifetime years 1

  4. 特権EXECモードに移動してcrypto pki authenticateコマンドを実行し、ローカルCAの公開鍵ペアと自己署名ルートCA証明書を発行します。
    awplus(ca-trustpoint)# end
awplus# crypto pki authenticate myca
Generating 2048-bit key for local CA...
Successfully authenticated trustpoint "myca".
ローカルCA用トラストポイント「myca」の作成は完了です。これで各機能が使用する証明書の発行準備が整いました。

「local」の手動作成

ローカルRADIUSサーバーの初回設定時に自動生成されるのと同じトラストポイント名「local」は、ローカルCAを手動作成する場合にも特別扱いされ、作成手順が簡略化されます。

ローカルCA「local」を手動作成する場合の手順は次のとおりです。
  1. crypto pki trustpointコマンドで「local」を指定します。
    awplus(config)# crypto pki trustpoint local
Created trustpoint "local".
Generating 2048-bit key for local CA...
Automatically authenticated trustpoint "local".
awplus(ca-trustpoint)#
    ローカルCAの名前として「local」を指定した場合は、crypto pki trustpointコマンドを実行するだけで、ローカルCAの公開鍵ペア生成と自己署名ルートCA証明書の発行が行われ、ローカルCAの作成が完了します。

    すなわち、「local」以外のローカルCAを作成するときに、enrollmentコマンドでselfsigned(自己署名)を指定し、crypto pki authenticateコマンドを実行したのと同じことが、「local」の手動作成時にはcrypto pki trustpointコマンドだけで完了します。

  2. ローカルCAが発行する証明書の有効期間はデフォルト5年です。
    これを変更したい場合はCAトラストポイントモードのlifetimeコマンドで希望する期間を設定します。変更不要な場合は本手順をスキップしてください。
    たとえば証明書の有効期間を1年にしたいときは次のように設定します。
    awplus(ca-trustpoint)# lifetime years 1
    Note
    トラストポイント名が「local」の場合、crypto pki trustpointコマンドの実行時にルートCA証明書の発行が自動的に行われるため、ルートCA証明書の有効期間をデフォルトの5年から変更することはできませんが、ローカルCA「local」として発行する他の証明書にはlifetimeコマンドで設定した有効期間が適用されます。
これで、各機能が使用する証明書の発行準備が整いました。

ローカルCA「local」は、各種機能で使用可能です。ただし、AMFネットワーク上でAT-Vista Manager EX(AVM EX)をTLSクライアント証明書で認証する場合は、「local」「default-selfsigned」以外のトラストポイント名を持つローカルCAが必要なため、前述の手順にしたがい、「local」「default-selfsigned」以外の名前でローカルCAを作成してください。

ローカルCAと証明書の確認

■ 作成したローカルCAの情報は、show crypto pki trustpointコマンドで確認できます。
awplus# show crypto pki trustpoint
--------------------
Trustpoint "myca"
   Type            : Self-signed certificate authority
   Root Certificate: B5AA9359 5A9B2833 785BAA15 C6DC803C 81446F6F
   Local Server    : The server is not enrolled to this trustpoint.

   Authentication and Enrollment Parameters
      Enrollment   : selfsigned

■ ローカルCAの証明書は、show crypto pki certificatesコマンドで確認できます。
awplus# show crypto pki certificates

--------------------
Trustpoint "myca" Certificate Chain
--------------------
Self-signed root certificate
   Subject     : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX
   Issuer      : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX
   Algorithms  : Public Key : rsaEncryption, 2048 bits
               : Signature  : sha256WithRSAEncryption
   Valid From  : Nov  9 08:40:35 2017 GMT
   Valid To    : Nov  7 08:40:35 2027 GMT
   Fingerprint : B5AA9359 5A9B2833 785BAA15 C6DC803C 81446F6F

サーバー証明書の発行

各機能で使用する本製品の証明書(サーバー証明書)を発行するには、次の手順を実行します。

なお、前述のとおり、ローカルRADIUSサーバーを使用する環境では、ローカルRADIUSサーバーの初回設定時にローカルCA「local」が自動作成され、また、ローカルRADIUSサーバーの動作に必要な本製品のサーバー証明書も自動的に発行されるため、以下の手順は基本的に不要ですが、ローカルRADIUSサーバーを使わない場合や、他の機能では別のローカルCAが発行したサーバー証明書を使いたい場合には以下の手順が必要です。
  1. リモートアクセスIPsec VPN(マルチポイントIPsecトンネルインターフェース)を使用する場合など、サーバー証明書のサブジェクト名(subjectName)、サブジェクト代替名(subjectAltName)を明示的に設定する必要がある場合は、あらかじめsubject-nameコマンド、subject-alt-nameコマンドで指定しておきます。
    awplus(config)# crypto pki trustpoint local
awplus(ca-trustpoint)# subject-name /O=MyOrganization/CN=10.1.1.1
awplus(ca-trustpoint)# subject-alt-name 10.1.1.1
awplus(ca-trustpoint)# end

  2. 本製品のサーバー証明書を発行するには、crypto pki enrollコマンドで発行元のローカルCAを指定します。
    たとえば、ローカルCA「local」を発行元として本製品のサーバー証明書を発行するには次のようにします。
    awplus# crypto pki enroll local
Generating 2048-bit key "server-default"...
Successfully enrolled the local server.
    同コマンドの初回実行時には、「server-default」という名前で識別される本製品の公開鍵ペア(秘密鍵と公開鍵)が自動的に生成され、その公開鍵証明書をローカルCAの秘密鍵で署名して、サーバー証明書の発行が完了します。

発行したサーバー証明書の情報は、show crypto pki certificatesコマンドで確認できます。
awplus# show crypto pki certificates

--------------------
Trustpoint "local" Certificate Chain
--------------------
Server certificate
   Subject     : /O=AlliedWare Plus/CN=awplus
   Issuer      : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX
   Algorithms  : Public Key : rsaEncryption, 2048 bits
               : Signature  : sha256WithRSAEncryption
   Valid From  : Nov  9 09:04:48 2017 GMT
   Valid To    : Nov  8 09:04:48 2022 GMT
   Fingerprint : 61DEDC23 AFD1BCAA 1AC8575F EC3CC342 E99930DE

Self-signed root certificate
   Subject     : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX
   Issuer      : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX
   Algorithms  : Public Key : rsaEncryption, 2048 bits
               : Signature  : sha256WithRSAEncryption
   Valid From  : Nov  9 08:53:04 2017 GMT
   Valid To    : Nov  7 08:53:04 2027 GMT
   Fingerprint : 79DF0F8B DA5B190F A38AFDE9 9EEE5BD9 48FC8E6E

なお、その後、別の名前のローカルCAでサーバー証明書を発行する場合も、デフォルトでは同じ公開鍵ペア(「server-default」という名前で識別される公開鍵ペア)が使われます。その際、すでに「server-default」という公開鍵ペアが生成済みであればそれを使い、公開鍵ペア「server-default」が存在していない場合は新規に生成します。

ローカルCAごとに異なる公開鍵ペアのサーバー証明書を発行したい場合は、以下の手順で発行対象の公開鍵ペアを明示的に指定してからサーバー証明書を発行してください。

たとえば、ローカルCA「myca」からは、デフォルトの「server-default」とは異なる公開鍵ペアを対象にサーバー証明書を発行したい場合は、次のようにします。
なお、ここでは、ローカルCA「myca」は作成済みであると仮定します。
  1. crypto pki trustpointコマンドで作成済みのローカルCA名「myca」を指定し、CAトラストポイントモードに入ります。
    awplus(config)# crypto pki trustpoint myca

  2. rsakeypairコマンドでサーバー証明書の発行対象とする公開鍵ペアの名前を指定します。このとき「server-default」以外の任意の名前を指定してください。
    ここでは例として、サーバーの公開鍵ペア名として「myserverkey」を指定します。
    awplus(ca-trustpoint)# rsakeypair myserverkey
    Note
    サーバー公開鍵ペアはデフォルトで2048ビット長になります。これを変更したい場合は、次のようにrsakeypairコマンドのオプションパラメーターで鍵の長さをビットで指定してください。有効範囲は1024~16384ビットです。
    awplus(ca-trustpoint)# rsakeypair longserverkey 4096

  3. 特権EXECモードに移動し、crypto pki enrollコマンドを実行して、ローカルCA「myca」からサーバー証明書を発行します。
    awplus# crypto pki enroll myca
Generating 2048-bit key "myserverkey"...
Successfully enrolled the local server.
    これにより、デフォルトの「server-default」の代わりに、「myserverkey」という名前で識別される公開鍵ペアが生成され、この公開鍵を対象に本製品のサーバー証明書が発行されます。

クライアント証明書(ユーザー証明書)の発行と配布

以下の機能を使用する場合は、ローカルRADIUSサーバーに登録したユーザーの電子証明書(クライアント証明書)を発行し、ローカルCAの電子証明書(ルートCA証明書)とともに、該当ユーザーに配布する必要があります。

■ ローカルRADIUSサーバーに登録しているユーザーの電子証明書を発行し、ユーザーに配布するには、次のようにします。
  1. crypto pki enroll userコマンドで発行対象のユーザー名を指定します。これにより、該当ユーザーのクライアント証明書(ユーザー証明書)が発行され、秘密鍵とともにローカルCA用のトラストポイントに格納されます。
    なお、同コマンドの実行時には、クライアント証明書の書き出し時にファイルを暗号化するためのパスワードを聞かれるため、確認を含め2回同じパスワード文字列を入力してください。空文字列や「abort」を入力した場合、および、入力した文字列が一致しない場合は発行が中止されます。
    awplus# crypto pki enroll local user user11
Enter an export passphrase, or "abort" to cancel.
XXXXXXXXXXXX ↓(実際には表示されません)
Enter the export passphrase again.
XXXXXXXXXXXX ↓(実際には表示されません)
Generating a user private key for "user1"...
Successfully enrolled user "user1".
The PKCS#12 file is ready to export.

  2. 発行したクライアント証明書とユーザーの秘密鍵、およびローカルCAのルートCA証明書をcrypto pki export pkcs12コマンドでPKCS#12形式のファイルに書き出します。書き出し先のファイル名は任意ですが、拡張子を.p12にしておくとPC上で扱いやすいでしょう。
    awplus# crypto pki export local pkcs12 user11 flash:/user11.p12

  3. 書き出したPKCS#12形式ファイル(ここではflash:/user11.p12)をユーザーに渡します。その際、crypto pki enroll userコマンド実行時に指定したパスワードを安全な方法で伝えることも忘れないでください。
Note
ローカルCAでは証明書失効リスト(CRL)の発行をサポートしていないため、ユーザー証明書を無効にするには、ローカルCAの再セットアップが必要となります(crypto pki trustpointコマンドをno形式、通常形式の順に実行後、機器を再起動する)。なお、ローカルCAを再セットアップすると、それ以前に発行した証明書はすべて無効になり、再発行が必要になるので注意してください。

ルートCA証明書の配布

本製品に接続する他の装置やソフトウェアが本製品の証明書(サーバー証明書)を検証するためには、ローカルCAの証明書(ルートCA証明書)をそれらにインストールしておく必要があります。

そのためには、ローカルCAの証明書をファイルに書き出し、該当装置/ソフトウェアの管理者に配布する必要があります。以下、その手順を説明します。
  1. crypto pki export pemコマンドを実行して、ローカルCAの証明書をPEM形式のファイルに書き出します。書き出し先のファイル名は任意ですが、一般的には拡張子を.cerか.crtにしておくと他の装置やソフトウェアへの取り込み時に便利です。
    awplus# crypto pki export local pem flash:/localca.cer

  2. 書き出したPEM形式ファイル(ここではflash:/localca.cer)を該当装置/ソフトウェアの管理者に渡し、インストールを依頼してください。

証明書の有効期間

ローカルCAが発行する証明書のデフォルト有効期間はそれぞれ以下のとおりです。

新規発行する証明書の有効期間を変更するには次の設定を行います。
  1. サーバー証明書を発行済みの場合は、サーバー証明書をいったん削除します。
    show crypto pki certificatesコマンドでサーバー証明書のFingerprintを確認し、no crypto pki certificateコマンドでサーバー証明書を削除してください。
    サーバー証明書を発行していない場合は本手順をスキップして手順2に進んでください。
    awplus# show crypto pki certificates local
...
Server certificate
...
Fingerprint : 70483113 CC6EF618 4B18C838 2CDD8AA4 05BBD1A5
...

awplus# no crypto pki certificate local 70483113 CC6EF618 4B18C838 2CDD8AA4 05BBD1A5
...
Deleted the certificate.

  2. crypto pki trustpointコマンドで対象のローカルCA用トラストポイントを指定します。
    awplus# configure terminal
awplus(config)# crypto pki trustpoint local

  3. CAトラストポイントモードのlifetimeコマンドで希望する期間を設定します。
    たとえば証明書の有効期間を1年にしたいときは次のように設定します。
    awplus(ca-trustpoint)# lifetime years 1

  4. サーバー証明書を再発行します。
    再発行したサーバー証明書には手順3で設定した有効期間が適用されます。
    awplus(ca-trustpoint)# end
awplus# crypto pki enroll local
Using private key "server-default"...
Successfully enrolled the local server.
設定は以上です。
新しい有効期間はこれ以降新規に発行する証明書から適用されます。
すでに発行済みの証明書の有効期間を変更したい場合は、該当証明書を再作成してください。

なお、ローカルCA用トラストポイントの作成時に有効期間変更の設定を行えば、最初から任意の有効期間で証明書を発行することができます。
その手順については下記をご参照ください。

証明書の再作成

ローカルCAが発行する証明書の有効期限が切れた場合や、新しい有効期間で証明書を作り直したい場合は、以下の手順にしたがって新しい証明書を作成し、必要に応じてクライアントに配布してください。

クライアント証明書(ユーザー証明書)の再作成

ローカルRADIUSサーバーに登録したユーザーの電子証明書(クライアント証明書)は以下の手順で再作成します。
  1. crypto pki enroll userコマンドで対象のローカルCA用トラストポイント名と再作成対象のユーザー名を指定します。
    これにより、該当ユーザーのクライアント証明書(ユーザー証明書)が再作成され、秘密鍵とともにローカルCA用のトラストポイントに格納されます。
    なお、同コマンドの実行時には、クライアント証明書の書き出し時にファイルを暗号化するためのパスワードを聞かれるため、確認を含め2回同じパスワード文字列を入力してください。空文字列や「abort」を入力した場合、および、入力した文字列が一致しない場合は発行が中止されます。
    awplus# crypto pki enroll local user user11
Enter an export passphrase, or "abort" to cancel.
XXXXXXXXXXXX ↓(実際には表示されません)
Enter the export passphrase again.
XXXXXXXXXXXX ↓(実際には表示されません)
Generating a user private key for "user1"...
Successfully enrolled user "user1".
The PKCS#12 file is ready to export.

  2. 発行したクライアント証明書とユーザーの秘密鍵、およびローカルCAのルートCA証明書をcrypto pki export pkcs12コマンドでPKCS#12形式のファイルに書き出します。書き出し先のファイル名は任意ですが、拡張子を.p12にしておくとPC上で扱いやすいでしょう。
    awplus# crypto pki export local pkcs12 user11 flash:/user11.p12

  3. 書き出したPKCS#12形式ファイル(ここではflash:/user11.p12)をユーザーに配布してください。その際、crypto pki enroll userコマンド実行時に指定したパスワードを安全な方法で伝えることも忘れないでください。

サーバー証明書の再作成

サーバー証明書の再作成は以下の手順で行います。
  1. show crypto pki certificatesコマンドでサーバー証明書のFingerprintを確認します。
    awplus# show crypto pki certificates local
...
Server certificate
...
Fingerprint : 70483113 CC6EF618 4B18C838 2CDD8AA4 05BBD1A5
...

  2. no crypto pki certificateコマンドを実行して、サーバー証明書を削除します。
    awplus# no crypto pki certificate local 70483113 CC6EF618 4B18C838 2CDD8AA4 05BBD1A5
...
Deleted the certificate.

  3. サーバー証明書を再発行します。
    これには、crypto pki enrollコマンドで対象のローカルCA用トラストポイント名を指定します。
    awplus# crypto pki enroll local
Using private key "server-default"...
Successfully enrolled the local server.
Note
サーバー証明書のみ更新した場合、クライアントへの再配布は不要です。

ルートCA証明書の再作成

ローカルCAのルートCA証明書を再作成した場合は、同CAが発行した証明書はすべて使用できなくなります。
以下の手順にしたがってルートCA証明書を再作成した後、他の証明書を再作成してください。
  1. show crypto pki certificatesコマンドでサーバー証明書、ルートCA証明書のFingerprintを確認します。
    awplus# show crypto pki certificates local
...
Server certificate
...
   Fingerprint : 70483113 CC6EF618 4B18C838 2CDD8AA4 05BBD1A5

Self-signed root certificate
...
   Fingerprint : 0AEF70A9 43B9DCC5 4CCA7771 2341872D 9321A2CF

Local RADIUS server user enrollments ready for export
   user11

  2. no crypto pki certificateコマンドを実行し、サーバー証明書、ルートCA証明書の順に削除します。
    Note
    クライアント証明書の削除は不要です。
    awplus# no crypto pki certificate local 70483113 CC6EF618 4B18C838 2CDD8AA4 05BBD1A5
...
Deleted the certificate.

awplus# no crypto pki certificate local 0AEF70A9 43B9DCC5 4CCA7771 2341872D 9321A2CF
...
Deleted the certificate.
Deleted the trustpoint key.

  3. crypto pki authenticateコマンドを実行し、ローカルCAの公開鍵ペアと自己署名ルートCA証明書を再作成します。
    awplus# crypto pki authenticate local
Generating 2048-bit key for local CA...
Successfully authenticated trustpoint "local".

  4. crypto pki enrollコマンドを実行し、サーバー証明書を再作成します。
    awplus# crypto pki enroll local
Using private key "server-default"...
Successfully enrolled the local server.

  5. crypto pki export pemコマンドを実行して、ローカルCAの証明書をPEM形式のファイルに書き出します。
    awplus# crypto pki export local pem flash:/cacert.pem

  6. 書き出したPEM形式ファイル(ここではflash:/cacert.pem)をクライアントに配布してください。

  7. クライアント証明書を使用している場合は、さらにcrypto pki enroll userコマンドでクライアント証明書(ユーザー証明書)を再作成します。
    なお、同コマンドの実行時には、クライアント証明書の書き出し時にファイルを暗号化するためのパスワードを聞かれるため、確認を含め2回同じパスワード文字列を入力してください。空文字列や「abort」を入力した場合、および、入力した文字列が一致しない場合は発行が中止されます。
    awplus# crypto pki enroll local user user11
Enter an export passphrase, or "abort" to cancel.
XXXXXXXXXXXX ↓(実際には表示されません)
Enter the export passphrase again.
XXXXXXXXXXXX ↓(実際には表示されません)
Generating a user private key for "user1"...
Successfully enrolled user "user1".
The PKCS#12 file is ready to export.

  8. 発行したクライアント証明書をcrypto pki export pkcs12コマンドでPKCS#12形式のファイルに書き出します。書き出し先のファイル名は任意ですが、拡張子を.p12にしておくとPC上で扱いやすいでしょう。
    awplus# crypto pki export local pkcs12 user11 flash:/user11.p12

  9. 書き出したPKCS#12形式ファイル(ここではflash:/user11.p12)をユーザーに配布してください。その際、crypto pki enroll userコマンド実行時に指定したパスワードを安全な方法で伝えることも忘れないでください。

外部CA用トラストポイントの設定

外部CAによって発行された証明書を利用可能な機能には以下のものがあります。

外部CAによって発行された証明書を使うために必要なトラストポイントの基本的な作成手順は以下のとおりです。
詳細については機能ごとの解説ページもご参照ください。
  1. 外部CA用トラストポイントを作成します。
    crypto pki trustpointコマンドで「local」「default-selfsigned」以外の任意の名前を指定してCAトラストポイントモードに移動したら、外部CA用トラストポイントであることを示すために、enrollmentコマンドでキーワード「terminal」を指定してください。
    awplus(config)# crypto pki trustpoint extca
Created trustpoint "extca".
awplus(ca-trustpoint)# enrollment terminal
awplus(ca-trustpoint)# end

  2. 外部CAの証明書をインポートします。
    これには2つの方法があります。いずれか適切なほうを実施してください。


  3. 本製品の公開鍵ペア(秘密鍵と公開鍵)を生成し、公開鍵証明書の署名要求(CSR)を生成します。
    crypto pki enrollコマンドを実行すると、次のようにCSRの内容が出力されるので、-----BEGIN CERTIFICATE REQUEST----- の行から-----END CERTIFICATE REQUEST----- の行までをクリップボードにコピーしてPC上のファイル(ここでは「my_csr.pem」とします)に保存してください。
    awplus# crypto pki enroll extca
Generating 2048-bit key "server-default"...
Cut and paste this request to the certificate authority:
-----------------------------------------------------------------
-----BEGIN CERTIFICATE REQUEST-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
sQCD7gbOkrMSEpDCSdB85P5on2Gs+CwpHsYlhA==
-----END CERTIFICATE REQUEST-----
-----------------------------------------------------------------

  4. 前の手順でPC上に保存したCSRファイル(本例ではmy_csr.pem)を外部CAに渡し、証明書の発行を依頼してください。
    ここでは、外部CAが発行した本製品の証明書を my_cert.pem という名前のPEM形式ファイルとして入手したものと仮定します。

  5. 外部CAによって発行された本製品の証明書をインポートします。
    これには2つの方法があります。いずれか適切なほうを実施してください。

Note
本製品の証明書を発行する外部CAがルートCAではなく中間CAの場合は、証明書チェーン(外部CAからルートCAまで)を構成するすべてのCAの証明書をインポートする必要があります。

CAおよびサーバー証明書の移行(電子証明書の書き出しと取り込み)

ここでは、機器交換などのためCA証明書とサーバー証明書を別の機器に移行する一般的な手順を説明します。
使用するコマンドや手順は、対象の証明書がローカルCA用トラストポイント、外部CA用トラストポイントのどちらに格納されているかによって異なります。以下、それぞれの手順について説明します。

なお、以下では交換前の装置を「旧装置」、交換後の装置を「新装置」とします。

ローカルCA用トラストポイントの移行

ローカルCA用トラストポイントに格納されたCA証明書とサーバー証明書の移行は以下の手順で行います。

証明書の書き出し(旧装置)

旧装置からCA証明書をファイルに書き出します。
サーバー証明書はローカルCA移行後に再発行するため書き出し不要です。
書き出したファイルは外部メディアやネットワーク経由で管理用PCや新装置に転送してください。
  1. CA証明書と秘密鍵を書き出します。
    ローカルCAの証明書と秘密鍵をcrypto pki export pkcs12コマンドでPKCS#12形式ファイルに書き出します。
    書き出し時に秘密鍵を保護するためのパスフレーズを設定しますが、このパスフレーズは取り込み時に入力する必要があるため、忘れないようにしてください。
    awplus# crypto pki export local pkcs12 ca flash:/ca-keycert.p12
Enter an export passphrase, or "abort" to cancel.
XXXXXXXX ↓(実際には表示されません)
Enter the export passphrase again.
XXXXXXXX ↓(実際には表示されません)
Copying...
Successful operation

証明書の取り込み(新装置)

旧装置から書き出したCA証明書を新装置に取り込み、サーバー証明書を再発行します。
使用するコマンドや手順は、新装置が出荷時状態かどうか(スタートアップコンフィグの有無)によって異なります。以下、それぞれの手順について説明します。

新装置にスタートアップコンフィグが適用されていない場合
出荷時状態の製品を使う場合など、新装置をスタートアップコンフィグなしで起動した場合は以下の手順を実行します。
  1. トラストポイントを作成します。
    証明書を取り込む前に、格納先となるトラストポイントを作成しておきます。
    これには、crypto pki trustpointコマンドでトラストポイント名を指定します。
    awplus(config)# crypto pki trustpoint local
Created trustpoint "local".
Generating 2048-bit key for local CA...
Automatically authenticated trustpoint "local".
awplus(ca-trustpoint)# end

  2. 自動で発行されたCA証明書を削除します(トラストポイント「local」の場合のみ)。
    手順1で作成したトラストポイントの名前が「local」の場合は仕様によりCA証明書が自動生成されますが、これだとCA証明書を取り込めないため、自動生成された証明書を削除します。
    手順1で作成したトラストポイントの名前が「local」以外の場合、本手順は不要ですので次の手順にお進みください。

    show crypto pki certificatesコマンドでCA証明書の Fingerprint 文字列を確認し、no crypto pki certificateコマンドでこの文字列を指定して削除します。
    awplus# show crypto pki certificates local

--------------------
Trustpoint "local" Certificate Chain
--------------------
Self-signed root certificate
   Subject     : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAC6FDB7839B8348B1
   Issuer      : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAC6FDB7839B8348B1
   Algorithms  : Public Key : rsaEncryption, 2048 bits
               : Signature  : sha256WithRSAEncryption
   Valid From  : Apr 29 06:01:59 2023 GMT
   Valid To    : Apr 26 06:01:59 2033 GMT
   Fingerprint : 30CEA2E7 53446692 1E275C02 0B7032BB ECA5264F

awplus# no crypto pki certificate local 30CEA2E7 53446692 1E275C02 0B7032BB ECA5264F
Subject     : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAC6FDB7839B8348B1
Issuer      : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAC6FDB7839B8348B1
Algorithms  : Public Key : rsaEncryption, 2048 bits
            : Signature  : sha256WithRSAEncryption
Valid From  : Apr 29 06:01:59 2023 GMT
Valid To    : Apr 26 06:01:59 2033 GMT
Fingerprint : 30CEA2E7 53446692 1E275C02 0B7032BB ECA5264F
Deleted the certificate.
Deleted the trustpoint key.

  3. CA証明書と秘密鍵を取り込みます。
    旧装置から書き出したCA証明書と秘密鍵のPKCS#12形式ファイルを取り込みます。
    PKCS#12形式ファイルを新装置のファイルシステムにコピーしてから、crypto pki import pkcs12コマンドを実行し、書き出し時に指定したパスフレーズを入力してください。
    awplus# crypto pki import local pkcs12 ca flash:/ca-keycert.p12
Copying...
Successful operation
Enter the import passphrase.
XXXXXXXX ↓(実際には表示されません)
The certificate has been validated successfully.
Successfully imported the trustpoint.

  4. サーバー証明書を再発行します。
    これには、crypto pki enrollコマンドでトラストポイント名を指定します。
    awplus# crypto pki enroll local
Using private key "server-default"...
Successfully enrolled the local server.

  5. 旧装置の設定を適用して再起動します。
    旧装置のコンフィグファイルを新装置のファイルシステムにコピーしてから下記コマンドを実行してください。
    awplus# boot config flash:/sample.cfg
awplus# reload
reboot system? (y/n): y
    あるいは
    awplus# copy flash:/sample.cfg startup-config
awplus# reload
reboot system? (y/n): y

新装置にスタートアップコンフィグが適用されている場合
旧装置のコンフィグを適用済みの場合など、新装置に設定が施されている場合は以下の手順を実行します。
  1. ローカルRADIUSサーバーに適用されているトラストポイント「local」をいったん解除します。
    これには、server trustpointコマンド(RADIUSサーバーモード)をno形式で実行します。
    awplus(config)# radius-server local
awplus(config-radsrv)# no server trustpoint local
PKI trustpoints for RADIUS EAP-TLS changed to:
   (None)
awplus(config-radsrv)# end

  2. 既存のサーバー証明書をいったん削除します。
    これには、特権EXECモードでcrypto pki enrollコマンドをno形式で実行します。
    awplus# no crypto pki enroll local
De-enrolled the server from trustpoint "local".

  3. 自動で発行されたCA証明書を削除します(トラストポイント「local」の場合のみ)。
    手順1で作成したトラストポイントの名前が「local」の場合は仕様によりCA証明書が自動生成されますが、これだとCA証明書を取り込めないため、自動生成された証明書を削除します。
    手順1で作成したトラストポイントの名前が「local」以外の場合、本手順は不要ですので次の手順にお進みください。

    show crypto pki certificatesコマンドでCA証明書の Fingerprint 文字列を確認し、no crypto pki certificateコマンドでこの文字列を指定して削除します。
    awplus# show crypto pki certificates local

--------------------
Trustpoint "local" Certificate Chain
--------------------
Self-signed root certificate
   Subject     : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAC6FDB7839B8348B1
   Issuer      : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAC6FDB7839B8348B1
   Algorithms  : Public Key : rsaEncryption, 2048 bits
               : Signature  : sha256WithRSAEncryption
   Valid From  : Apr 29 06:01:59 2023 GMT
   Valid To    : Apr 26 06:01:59 2033 GMT
   Fingerprint : 30CEA2E7 53446692 1E275C02 0B7032BB ECA5264F

awplus# no crypto pki certificate local 30CEA2E7 53446692 1E275C02 0B7032BB ECA5264F
Subject     : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAC6FDB7839B8348B1
Issuer      : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAC6FDB7839B8348B1
Algorithms  : Public Key : rsaEncryption, 2048 bits
            : Signature  : sha256WithRSAEncryption
Valid From  : Apr 29 06:01:59 2023 GMT
Valid To    : Apr 26 06:01:59 2033 GMT
Fingerprint : 30CEA2E7 53446692 1E275C02 0B7032BB ECA5264F
Deleted the certificate.
Deleted the trustpoint key.

  4. CA証明書と秘密鍵を取り込みます。
    旧装置から書き出したCA証明書と秘密鍵のPKCS#12形式ファイルを取り込みます。
    PKCS#12形式ファイルを新装置のファイルシステムにコピーしてから、crypto pki import pkcs12コマンドを実行し、書き出し時に指定したパスフレーズを入力してください。
    awplus# crypto pki import local pkcs12 ca flash:/ca-keycert.p12
Copying...
Successful operation
Enter the import passphrase.
XXXXXXXX ↓(実際には表示されません)
The certificate has been validated successfully.
Successfully imported the trustpoint.

  5. サーバー証明書を再発行します。
    これには、crypto pki enrollコマンドでトラストポイント名を指定します。
    awplus# crypto pki enroll local
Using private key "server-default"...
Successfully enrolled the local server.

  6. ローカルRADIUSサーバーにトラストポイント「local」を再適用します。
    これには、server trustpointコマンド(RADIUSサーバーモード)を実行します。
    awplus# configure terminal
awplus(config)# radius-server local
awplus(config-radsrv)# server trustpoint local
PKI trustpoints for RADIUS EAP-TLS changed to:
   local
awplus(config-radsrv)# end

  7. 再起動します。
    awplus# reload
reboot system? (y/n): y

外部CA用トラストポイントの移行

外部CA用トラストポイントに格納されたCA証明書とサーバー証明書の移行は以下の手順で行います。

証明書の書き出し(旧装置)

旧装置からCA証明書とサーバー証明書をそれぞれファイルに書き出します。
書き出したファイルは外部メディアやネットワーク経由で管理用PCや新装置に転送してください。
  1. CA証明書を書き出します。
    外部CAの場合は秘密鍵を持っていないためCA証明書のみをcrypto pki export pemコマンドでPEM形式ファイルに書き出します。
    なお、外部CAの証明書を別途保管している、あるいは、外部CAの証明書を再入手できる場合は本手順をスキップしてもかまいません。
    awplus# crypto pki export extca pem flash:/ca-cert.pem
Copying...
Successful operation

  2. サーバー証明書と秘密鍵を書き出します。
    サーバー証明書と秘密鍵をcrypto pki export pkcs12コマンドでPKCS#12形式ファイルに書き出します。
    書き出し時に秘密鍵を保護するためのパスフレーズを設定しますが、このパスフレーズは取り込み時に入力する必要があるため、忘れないようにしてください。
    awplus# crypto pki export extca pkcs12 server flash:/server-keycert.p12
Enter an export passphrase, or "abort" to cancel.
XXXXXXXX ↓(実際には表示されません)
Enter the export passphrase again.
XXXXXXXX ↓(実際には表示されません)
Copying...
Successful operation

証明書の取り込み(新装置)

旧装置から書き出したCA証明書とサーバー証明書を新装置に取り込みます。
使用するコマンドや手順は、新装置が出荷時状態かどうか(スタートアップコンフィグの有無)によって異なります。以下、それぞれの手順について説明します。

新装置にスタートアップコンフィグが適用されていない場合
出荷時状態の製品を使う場合など、新装置をスタートアップコンフィグなしで起動した場合は以下の手順を実行します。
  1. トラストポイントを作成します。
    証明書を取り込む前に、格納先となるトラストポイントを作成しておきます。
    crypto pki trustpointコマンドで「local」「default-selfsigned」以外の任意の名前を指定してCAトラストポイントモードに移動し、外部CA用トラストポイントであることを示すために、enrollmentコマンドでキーワード「terminal」を指定してください。
    awplus(config)# crypto pki trustpoint extca
Created trustpoint "extca".
awplus(ca-trustpoint)# enrollment terminal
awplus(ca-trustpoint)# end

  2. CA証明書を取り込みます。
    旧装置から書き出した外部CA証明書のPEM形式ファイルを取り込みます。
    別途保管していた、あるいは再入手した外部CA証明書のPEM形式ファイルを使用してもかまいません。

    旧装置のPEM形式ファイルを新装置のファイルシステムにコピーしてから、crypto pki import pemコマンドを実行すると証明書の概要が表示されるので内容を確認し、「Accept this certificate?」に「y」で答えてください。
    awplus# crypto pki import extca pem tftp://172.16.10.70/ca-cert.pem
Copying...
Successful operation
Subject     : /C=JP/O=EXAMPLE/CN=SampleRootCA
Issuer      : /C=JP/O=EXAMPLE/CN=SampleRootCA
Algorithms  : Public Key : rsaEncryption, 2048 bits
            : Signature  : sha256WithRSAEncryption
Valid From  : Apr  7 05:32:30 2023 GMT
Valid To    : Apr  4 05:32:30 2033 GMT
Fingerprint : D51BB535 8CBCFE2C BDD6E56B 759BB5C9 4CF9DCBF 
This is a self-signed CA certificate.
The certificate has been validated successfully.
Accept this certificate? (y/n): y 
The certificate was successfully imported.

  3. サーバー証明書と秘密鍵を取り込みます。
    旧装置から書き出したサーバー証明書と秘密鍵のPKCS#12形式ファイルを取り込みます。
    旧装置のPKCS#12形式ファイルを新装置のファイルシステムにコピーしてから、crypto pki import pkcs12コマンドを実行し、書き出し時に指定したパスフレーズを入力してください。
    awplus# crypto pki import extca pkcs12 server tftp://172.16.10.70/server-keycert.p12
Copying...
Successful operation
Enter the import passphrase.
XXXXXXXX ↓(実際には表示されません)
The certificate has been validated successfully.
Successfully imported the server certificate.

  4. 旧装置の設定を適用して再起動します。
    旧装置のコンフィグファイルを新装置のファイルシステムにコピーしてから下記コマンドを実行してください。
    awplus# boot config flash:/sample.cfg
awplus# reload
reboot system? (y/n): y
    あるいは
    awplus# copy flash:/sample.cfg startup-config
awplus# reload
reboot system? (y/n): y

新装置にスタートアップコンフィグが適用されている場合
旧装置のコンフィグを適用済みの場合など、新装置に設定が施されている場合は以下の手順を実行します。
  1. CA証明書を取り込みます。
    旧装置から書き出した外部CA証明書のPEM形式ファイルを取り込みます。
    別途保管していた、あるいは再入手した外部CA証明書のPEM形式ファイルを使用してもかまいません。

    旧装置のPEM形式ファイルを新装置のファイルシステムにコピーしてから、crypto pki import pemコマンドを実行すると証明書の概要が表示されるので内容を確認し、「Accept this certificate?」に「y」で答えてください。
    awplus# crypto pki import extca pem tftp://172.16.10.70/ca-cert.pem
Copying...
Successful operation
Subject     : /C=JP/O=EXAMPLE/CN=SampleRootCA
Issuer      : /C=JP/O=EXAMPLE/CN=SampleRootCA
Algorithms  : Public Key : rsaEncryption, 2048 bits
            : Signature  : sha256WithRSAEncryption
Valid From  : Apr  7 05:32:30 2023 GMT
Valid To    : Apr  4 05:32:30 2033 GMT
Fingerprint : D51BB535 8CBCFE2C BDD6E56B 759BB5C9 4CF9DCBF 
This is a self-signed CA certificate.
The certificate has been validated successfully.
Accept this certificate? (y/n): y 
The certificate was successfully imported.

  2. サーバー証明書と秘密鍵を取り込みます。
    旧装置から書き出したサーバー証明書と秘密鍵のPKCS#12形式ファイルを取り込みます。
    旧装置のPKCS#12形式ファイルを新装置のファイルシステムにコピーしてから、crypto pki import pkcs12コマンドを実行し、書き出し時に指定したパスフレーズを入力してください。
    awplus# crypto pki import extca pkcs12 server tftp://172.16.10.70/server-keycert.p12
Copying...
Successful operation
Enter the import passphrase.
XXXXXXXX ↓(実際には表示されません)
The certificate has been validated successfully.
Successfully imported the server certificate.

  3. 再起動します。
    awplus# reload
reboot system? (y/n): y

(C) 2015 - 2025 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.BE