crypto pki trustpoint
- モード
- グローバルコンフィグモード --> CAトラストポイントモード
- カテゴリー
- 運用・管理 / ローカルCA
構文
(config)# [no] crypto pki trustpoint NAME
コマンド説明
トラストポイントを作成(初期設定)し、CAトラストポイントモードに移行する。または、作成済みのトラストポイントを対象とするCAトラストポイントモードに移行する。no形式で実行した場合は指定したトラストポイントの設定および保存されている証明書や鍵をすべて削除する。この場合はグローバルコンフィグモードのまま移動しない。
トラストポイントは本製品の各種機能で使用する証明書と鍵を保存・管理するための設定要素。詳細については、解説編を参照のこと。
パラメーター
NAME- トラストポイント名。「local」を指定した場合は、ローカルCAの公開鍵ペア生成と自己署名ルート証明書の発行も自動的に行われ、ローカルCA用トラストポイントの使用準備が完了する。「local」以外の名前を指定した場合は、トラストポイント名の定義だけが行われ、公開鍵ペアの生成とルート証明書の発行は行われないので、enrollmentコマンドでselfsigned(自己署名)を指定したのち、crypto pki authenticateコマンドを実行してトラストポイントを利用可能な状態にすること(公開鍵ペアの生成とルート証明書の発行を行うこと)
使用例
トラストポイント「local」を作成する。awplus(config)# crypto pki trustpoint local
Created trustpoint "local".
Generating 2048-bit key for local CA...
Automatically authenticated trustpoint "local".
トラストポイント「local」の設定をすべて削除する。これまでに発行した証明書はすべて無効になるので注意すること。
awplus(config)# no crypto pki trustpoint local
Destroyed trustpoint "local"
注意・補足事項
本製品起動時に「default-selfsigned」というトラストポイント名で、機器固有のサーバー証明書が自動的に作成されるため、ローカルCA機能を使用して任意の証明書を作成する場合は、「default-selfsigned」をトラストポイント名に使用しないようにしてください。この証明書は、AT-Vista Managerでの管理を行う場合に内部的に使用されるものです。atmf trustpointコマンドで指定したTLSクライアント証明書認証用のローカルCAを削除するときは、先にatmf trustpointコマンドをno形式で実行してローカルCAの指定を削除してから、本コマンドをno形式で実行すること。