Cisco ASA - Local CA - Part 2



 ◆ ローカルCAの設定 - カスタマイズ : オプション設定

 デフォルト値を変更(カスタマイズ)したい場合、以下のような手順で設定を行っていきます。1つの例です。

 ◇ Step 1 :
crypto ca serverコマンドによりCAサーバコンフィグレーションモードへ移行
 ◇ Step 2 :
issuer-nameコマンドを使用して証明書発行元を定義
 ◇ Step 3 :
smtp subjectコマンドを使用してローカルCAから送信されるメールのsubjectフィールドを定義
 ◇ Step 4 :
smtp from-addressコマンドを使用してFromアドレスを指定
 ◇ Step 5 :
subject-name-defaultコマンドを使用してsubject-name DNを指定
 → subject-name-defaultコマンドで定義しない場合、ユーザを追加する度にDNを指定する必要があります。


 (config)#
crypto ca server
 (config-ca-server)# issuer-name cn=INFRACA
 (config-ca-server)# smtp subject Confidential Information
 (config-ca-server)# smtp from-address admin@infraexpert.com
 (config-ca-server)# subject-name-default cn=testasa.infraexpert.com, o=InfraSystems, c=JP
 (config-ca-server)# no shutdown




 以下のStep 6〜Step 9では、ローカルCA証明書の特性を変更することができます。

 ◇ Step 6 :
lifetime ca-certificateコマンドでローカル CA サーバ証明書の有効期間を日数で設定
 ◇ Step 7 :
lifetime certificateコマンドでユーザ証明書の有効期間を日数で設定
 ◇ Step 8 :
lifetime crl コマンドで証明書失効リストの有効期間を時間数で設定
 ◇ Step 9 :
keysize server コマンドでローカルCA固有のキーペア サイズを設定


 (config-ca-server)# lifetime ca-certificate 365
 (config-ca-server)# lifetime certificate 60
 (config-ca-server)# lifetime crl 10
 (config-ca-server)# keysize server 2048



 ◆ ローカルCAの設定 - ローカルCAファイル用のストレージの設定 : オプション

 Cisco ASAは、ローカルCAデータベースを使用してユーザ情報、発行済み証明書、失効リスト等にアクセスと
 実装をします。このデータベースは、デフォルトでローカルフラッシュメモリに存在するか、またはマウント
 されて、Cisco ASAにアクセス可能なオフボックスのファイルシステム上に設定することもできます。

 ローカルCAユーザーデータベースに保存できるユーザ数に制限はありませんが、フラッシュメモリストレージ
 に問題がある場合、管理者に対策を取るように警告するsyslogが作成され、ローカルCAはストレージの問題が
 解決されるまでディセーブルになることがあります。また、フラッシュメモリは、3500人以下のユーザを持つ
 データベースを保存できるが、ユーザの数がそれ以上のデータベースではオフボックスストレージが必要です。



 ◆ ローカルCAの設定 - 外部ローカルCAファイルストレージの設定 : オプション

 ファイルシステムをマウントすると、サーバへのパスを確立し、ローカルCAにファイルまたはフォルダ名を指定
 してファイルの保存と取得をできるようになります。
database pathコマンドを使用し、ファイルシステムパス
 を設定します。ローカルCAファイルストレージをASAのフラッシュメモリに変更するには no database path。

 Step 1 : ファイルシステムのラベルとタイプのmountコマンドを入力 ( CIFSファイルシステムをマウント)

 (config)#
mount MYDATAtype cifs
 (config-mount-cifs)# mount MYDATA type cifs


 Step 2 : datapathコマンドを使用して、上記で定義した"MYDATA"の場所を指定


 (config)#
crypto ca server
 (config-ca-server)# database path MYDATA:newuser



 ◆ ローカルCAの設定 - CRLストレージの設定 : オプション

 CRL(証明書失効リスト)はローカルCAで発行した証明書の失効を検証する他のデバイスのためにあります。
 また、ローカルCAは、自身の証明書データベース内にある全ての発行済み証明書とステータスを追跡します。
 検証する機関が証明書を発行したCAから失効ステータスを取得してユーザ証明書を検証する必要がある場合
 失効チェックが行われます。CRL配布ポイントであるCDP( CRL distribution point )のデフォルトURLは
 https://hostname.domain/+CSCOCA+/asa_ca.crl 。デフォルト値を変更したい場合
cdp-urlで変更します。


 (config)#
crypto ca server
 (config-ca-server)# cdp-url http:/192.168.1.100/pathname/myca.crl


 ローカルCAはユーザ証明書が無効化/無効化解除される度にCRLを更新する。無効化に変更がない場合には
 CRLライフタイム(デフォルト6時間)1回おきにCRLが再発行されます。変更する場合は
lifetime crlで変更。


 (config)#
crypto ca server
 (config-ca-server)# lifetime crl 24


 特定のインターフェースでCRLにHTTPダウンロードできるようにするには publish-crl コマンドを使用します。
 指定したインターフェイスを使用してCRL着信要求をリスンします。インターフェイスオプションは以下です。

インターフェース名 説明
inside  インターフェイス GigabitEthernet0/1 の名前
outside  インターフェイス GigabitEthernet0/0 の名前
management  インターフェイス Management0/0 の名前


 TCP ポート 80 は HTTPデフォルトポート番号ですが、例えば、interface GigabitEthernet0/0 において、
 CRLへの外部アクセスにポート 60 を指定するには次のコマンドを使用します。


 (config)#
crypto ca server
 (config-ca-server)# publish-crl outside 60




Cisco ASA - コンフィグ設定

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.