|
◆ ローカルCAの設定 - カスタマイズ : オプション設定
デフォルト値を変更(カスタマイズ)したい場合、以下のような手順で設定を行っていきます。1つの例です。
Step 1 : crypto ca serverコマンドによりCAサーバコンフィグレーションモードへ移行
Step 2 : issuer-nameコマンドを使用して証明書発行元を定義
Step 3 : smtp subjectコマンドを使用してローカルCAから送信されるメールのsubjectフィールドを定義
Step 4 : smtp from-addressコマンドを使用してFromアドレスを指定
Step 5 : subject-name-defaultコマンドを使用してsubject-name DNを指定
→ subject-name-defaultコマンドで定義しない場合、ユーザを追加する度にDNを指定する必要があります。
(config)# crypto ca server
(config-ca-server)# issuer-name cn=INFRACA
(config-ca-server)# smtp subject Confidential Information
(config-ca-server)# smtp from-address admin@infraexpert.com
(config-ca-server)# subject-name-default cn=testasa.infraexpert.com, o=InfraSystems, c=JP
(config-ca-server)# no shutdown
|
以下のStep 6〜Step 9では、ローカルCA証明書の特性を変更することができます。
◇ Step 6 : lifetime ca-certificateコマンドでローカル CA サーバ証明書の有効期間を日数で設定
◇ Step 7 : lifetime certificateコマンドでユーザ証明書の有効期間を日数で設定
◇ Step 8 : lifetime crl コマンドで証明書失効リストの有効期間を時間数で設定
◇ Step 9 : keysize server コマンドでローカルCA固有のキーペア サイズを設定
(config-ca-server)# lifetime ca-certificate 365
(config-ca-server)# lifetime certificate 60
(config-ca-server)# lifetime crl 10
(config-ca-server)# keysize server 2048
|
◆ ローカルCAの設定 - ローカルCAファイル用のストレージの設定 : オプション
Cisco ASAは、ローカルCAデータベースを使用してユーザ情報、発行済み証明書、失効リスト等にアクセスと
実装をします。このデータベースは、デフォルトでローカルフラッシュメモリに存在するか、またはマウント
されて、Cisco ASAにアクセス可能なオフボックスのファイルシステム上に設定することもできます。
ローカルCAユーザーデータベースに保存できるユーザ数に制限はありませんが、フラッシュメモリストレージ
に問題がある場合、管理者に対策を取るように警告するsyslogが作成され、ローカルCAはストレージの問題が
解決されるまでディセーブルになることがあります。また、フラッシュメモリは、3500人以下のユーザを持つ
データベースを保存できるが、ユーザの数がそれ以上のデータベースではオフボックスストレージが必要です。
◆ ローカルCAの設定 - 外部ローカルCAファイルストレージの設定 : オプション
ファイルシステムをマウントすると、サーバへのパスを確立し、ローカルCAにファイルまたはフォルダ名を指定
してファイルの保存と取得をできるようになります。database pathコマンドを使用し、ファイルシステムパス
を設定します。ローカルCAファイルストレージをASAのフラッシュメモリに変更するには no database path。
Step 1 : ファイルシステムのラベルとタイプのmountコマンドを入力 ( CIFSファイルシステムをマウント)
(config)# mount MYDATAtype cifs
(config-mount-cifs)# mount MYDATA type cifs
|
Step 2 : datapathコマンドを使用して、上記で定義した"MYDATA"の場所を指定
(config)# crypto ca server
(config-ca-server)# database path MYDATA:newuser
|
◆ ローカルCAの設定 - CRLストレージの設定 : オプション
CRL(証明書失効リスト)はローカルCAで発行した証明書の失効を検証する他のデバイスのためにあります。
また、ローカルCAは、自身の証明書データベース内にある全ての発行済み証明書とステータスを追跡します。
検証する機関が証明書を発行したCAから失効ステータスを取得してユーザ証明書を検証する必要がある場合
失効チェックが行われます。CRL配布ポイントであるCDP( CRL distribution point )のデフォルトURLは
https://hostname.domain/+CSCOCA+/asa_ca.crl 。デフォルト値を変更したい場合cdp-urlで変更します。
(config)# crypto ca server
(config-ca-server)# cdp-url http:/192.168.1.100/pathname/myca.crl
|
ローカルCAはユーザ証明書が無効化/無効化解除される度にCRLを更新する。無効化に変更がない場合には
CRLライフタイム(デフォルト6時間)1回おきにCRLが再発行されます。変更する場合はlifetime crlで変更。
(config)# crypto ca server
(config-ca-server)# lifetime crl 24
|
特定のインターフェースでCRLにHTTPダウンロードできるようにするには publish-crl コマンドを使用します。
指定したインターフェイスを使用してCRL着信要求をリスンします。インターフェイスオプションは以下です。
| インターフェース名 |
説明 |
| inside |
インターフェイス GigabitEthernet0/1 の名前 |
| outside |
インターフェイス GigabitEthernet0/0 の名前 |
| management |
インターフェイス Management0/0 の名前 |
TCP ポート 80 は HTTPデフォルトポート番号ですが、例えば、interface GigabitEthernet0/0 において、
CRLへの外部アクセスにポート 60 を指定するには次のコマンドを使用します。
(config)# crypto ca server
(config-ca-server)# publish-crl outside 60
|
|