Ciscoルータを認証局(CA)にしてみる

Cisco Systems

セキュアなネットワーク環境を構築しようとすると、通信上の暗号化や証明書による認証といった環境構築が必要になってきます。

証明書というと、公な認証局にそれなりに費用を払って証明書を発行してもらうのが良いのですが、社内といった限られた環境内限定であれば自前で認証局を作って証明書を発行することもできます。いわゆるオレオレ証明書ですね。

Windows ServerやLinux環境で認証局を作成して運用するのが一般的だとは思いますが、Cisco Systems社ルータでも認証局として機能させることができます。

認証局に関するパラメータは多くありますが、動作させるだけならそんなにコマンドは必要ありません。

認証局が動作するのに必要なコマンド。

hostname R1
ip domain-name example.com
crypto key generate rsa modulus 2048 label CiscoCA1 exportable
ip http server

認証局の設定

crypto pki server CiscoCA1
issuer-name CN=CiscoCA1.example.com OU=221a C=jp
no shutdown

no shutdownの後にパスフレーズを求められますので、入力して忘れないようにしておきます。

これだけで認証局が動作します。

R1#show crypto pki server       
Certificate Server CiscoCA1:
    Status: enabled
    State: enabled
    Server's configuration is locked  (enter "shut" to unlock it)
    Issuer name: CN=CiscoCA1.example.com OU=221a C=jp
    CA cert fingerprint: 8C16D3D6 EEE86890 8DF4B2AD 01687C92 
    Granting mode is: manual
    Last certificate issued serial number (hex): 1
    CA certificate expiration timer: 16:33:51 JST Sep 2 2022
    CRL NextUpdate timer: 22:33:51 JST Sep 3 2019
    Current primary storage dir: nvram:
    Database Level: Minimum - no cert data written to storage

これだけだと色々と運用上の問題があるのですが、動作確認という意味では十分でしょう。

証明書は以下のようになっています。

R1#show crypto pki certificates 
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: Signature
  Issuer: 
    cn=CiscoCA1.example.com OU=221a C=jp
  Subject: 
    cn=CiscoCA1.example.com OU=221a C=jp
  Validity Date: 
    start date: 16:33:51 JST Sep 3 2019
    end   date: 16:33:51 JST Sep 2 2022
  Associated Trustpoints: CiscoCA1 

証明書の期間は3年間となっています。

コメント

タイトルとURLをコピーしました