Cisco ASA - Local CA - Part 3



 ◆ ローカルCAの設定 - ローカルCAユーザの登録 : 必須設定

 ローカルCAユーザとして登録が必要なユーザは、ローカルCAサーバ(Cisco ASA)のユーザデータベースに
 追加する必要がある。ユーザ登録は
crypto ca server user-db addコマンドを使用して、データベースに
 新しいユーザを追加する。次に、
crypto ca server user-db allowコマンドを使用してemail-OTP が指定
 されている場合、登録を有効にするために、新しいユーザにワンタイムパスワードとユーザ名をメールで送信。

 
Step 1 : crypto ca server user-db addコマンドで、ローカルCAサーバのユーザデータベースにユーザを追加

 (config)#
crypto ca server
 (config-ca-server)# crypto ca server user-db add admin admin@infraexpert.com


 Step 2 : crypto ca server user-db allowコマンドで、データベースの特定のユーザに登録を許可し、OTPを生成

 (config-ca-server)# crypto ca server user-db allow cool


 Step 3 : crypto ca server user-db allowコマンドで、ユーザ証明書を登録およびダウンロードするように通知。

 (config-ca-server)# crypto ca server user-db email-otp cool


 ユーザ登録が成功すると、ローカルCA証明書と一緒にユーザに発行されたキーペア証明書が含まれる
 PKCS12ファイルが生成されます。ユーザはCisco ASAの登録インターフェースにアクセスしてユーザ名と
 ワンタイムパスワードを入力する必要がある。登録期間内にローカルCAがユーザを認証すると、ユーザは
 PKCS12ファイルに含まれる新たに生成された証明書のダウンロードが許可されます。

 PKCS12ファイルの内容はワンタイムパスワードにより保護されます。また、このファイルは管理者が登録を
 許可するとユーザがダウンロードできるようにローカルCAによりユーザにメールで送信することもできます。
 このファイルは、username.p12として一時的にストレージに保存される。このファイルには、
ユーザ証明書
 キーペアローカルCA証明書が含まれます。PCにこれらの証明書をインストールするために、ユーザは
 ファイルのワンタイムパスワードの入力を求められます。登録取得期間が過ぎるとダウンロードできなくなる。

 
Step 1 : otp expirationコマンドで、ワンタイムパスワードの有効期間を時間数で指定 ( 例 : 1日間 )

 (config)#
crypto ca server
 (config-ca-server)# otp expiration 24


 Step 2 : enrollment-retrievalで、登録済みユーザがPKCS12登録ファイルを取得可能な期間を時間数で指定 ( 例:5日間 )

 (config)#
crypto ca server
 (config-ca-server)# enrollment-retrieval 120



 ◆ ローカルCAの設定 - 証明書の無効化、ユーザの削除

 
◆ 実行例 : シリアル番号"123ab09a"の証明書の無効化 ( 復元する場合はcrypto ca server unrevokeを実行 )

 (config)#
crypto ca server
 (config-ca-server)# crypto ca server revoke 123ab09a



 ◆ 実行例 : ユーザデータベースから"admin3"というユーザの削除

 (config)#
crypto ca server
 (config-ca-server)# crypto ca server user-db remove admin3




 ◆ ローカルCAの設定 - ローカルCAサーバ情報の表示

コマンド 表示内容
 show crypto ca server  ローカルCAのコンフィグレーションとステータス
 show crypto ca server cert-db  ユーザ証明書
 show crypto ca server certificate  ローカルCA証明書
 show crypto ca server crl  ローカルCAのCRL(証明書失効リスト)
 show crypto ca server user-db  ローカルCAのユーザのステータス
 show crypto ca server user-db allowed  現在登録が許可されているユーザだけを表示
 show crypto ca server user-db enrolled  登録済みで有効な証明書を持つユーザだけを表示
 show crypto ca server user-db expired  期限満了になった証明書を持つユーザだけを表示
 show crypto ca server user-db on-hold  証明書を持たず現在登録が許可されていないユーザだけを表示



 ◆ ローカルCA証明書データベースのメンテナンス

 dir LOCAL*// と入力することにより、以下のローカルCA証明書データベースを確認することができます。

ローカルCAファイル 説明
LOCAL-CA-SERVER.cdb  発行した証明書関する情報が含まれたファイル
LOCAL-CA-SERVER.p12  no shutに生成されるローカルCA証明書とキーペアのアーカイブ
LOCAL-CA-SERVER.crl  実際のCRL(証明書失効リスト)
LOCAL-CA-SERVER.ser  発行済み証明書のシリアル番号を追跡するために使用される情報
LOCAL-CA-SERVER.udb  登録済みで有効な証明書を持つユーザのデータベース



 ◆ ローカルCAサーバの削除

 既存のローカルCAサーバを削除するには、no crypto ca server後に関連するDBやコンフィグを削除します。
 ワイルドカード名の付いたすべてのファイル、LOCAL-CA-SERVER.* を削除します。

 (config)# no crypto ca server



Cisco ASA - コンフィグ設定

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.