○証明書登録手順_F2500
(1)RSA 鍵ペアを生成します。
(2)証明書リクエストを生成します。
(3)本装置の証明書を登録します。
(4)CA証明書を登録します。
※特権ユーザモードでの操作となります。
(1)RSA 鍵ペアを生成します。
設定データの例
Router#crypto pki key generate rsa label PKI_KEY modulus 2048
key-label:PKI_KEY modulus:2048 key is generated.
RSA 鍵ペアの情報を表示します。
Router#show crypto pki key mypubkey rsa
< For IPsec >
Key label: PKI_KEY
Modulus n 2048 bits
( 鍵ペア情報を表示します )
Router#
(2)証明書リクエストを生成します。
利用するIDタイプを設定してください
設定データの例
鍵ペア名 |
PKI_KEY |
IPv4 address |
192.0.2.1 |
Subject Alternative Name |
IPv6 address |
2001:DB8:1:1::1 |
Subject Alternative Name |
fqdn(ip domain-name) |
CENTER.example.com |
Subject Alternative Name |
user-fqdn(email) |
test@CENTER.example.com |
Subject Alternative Name |
|
Router#crypto pki enroll PKI_KEY
IPv4 address:192.0.2.1
IPv6 address:2001:DB8:1:1::1
fqdn:CENTER.example.com
user-fqdn:test@CENTER.example.com
subject name:
-----BEGIN CERTIFICATE REQUEST-----
( PEMフォーマットで画面上に出力します )
-----END CERTIFICATE REQUEST-----
※上記の証明書リクエストで、認証局 (CA)より許可された証明書(PEMフォーマット)を取得して下さい。
(3)本装置の証明書を登録します。
設定データの例
鍵ペア名 |
PKI_KEY |
公開鍵証明書名 |
device_CERT |
|
Router#crypto pki add certificate device_CERT PKI_KEY
Input certificate data(Finally please input <CR>)
-----BEGIN X509 CERTIFICATE-----
( PEMフォーマットで画面上に入力します )
-----END X509 CERTIFICATE-----
(4)CA証明書を登録します。
設定データの例
Router#crypto pki add ca certificate rootCA 1
Input certificate data(Finally please input <CR>)
-----BEGIN X509 CERTIFICATE-----
( PEMフォーマットで画面上に出力します )
-----END X509 CERTIFICATE-----
証明書情報を表示します。
Router#show crypto pki certificates device_CERT ※装置証明書
Certificate device_CERT Key label:PKI_KEY
Issuer : C=JP, O=Furukawa Electric Co.\, Ltd., CN=Test CA 1
Serial Number : 97
PublicKeyInfo :
Modulus n 2048 bits
( 鍵情報を表示します )
Exponent e 17 bits
65537
Validity Start : 2003 Jan 1st, 00:00:00 GMT
End : 2020 Oct 22nd, 00:00:00 GMT
Subject Alternative Name :
IP = 192.0.2.1
IP = 2001:0db8:0001:0001:0000:0000:0000:0001
DNS = CENTER.example.com
EMAIL = test@CENTER.example.com
CRL Distribution Point :
<Entry 1>
FullName :
URI = http://******
KeyUsage : DigitalSignature KeyEncipherment
Router#show crypto pki certificates ca rootCA ※ルート証明書
Trust Certificate rootCA Index:1
Subject : C=JP, O=Furukawa Electric Co.\, Ltd., CN=Test CA 1
Issuer : C=JP, O=Furukawa Electric Co.\, Ltd., CN=Test CA 1
Serial Number : 1
PublicKeyInfo :
Modulus n 2048 bits
( 鍵情報を表示します )
Exponent e 17 bits
65537
Validity Start : 2003 Nov 20th, 12:00:00 GMT
End : 2020 Nov 20th, 12:00:00 GMT
Subject Alternative Name :
EMAIL = furukawa-ca-1@inf.furukawa.co.jp
CRL Distribution Point :
<Entry 1>
FullName :
URI = http://******
Reasons : KeyCompromise
KeyUsage : DigitalSignature KeyCertSign
--------------------------------------------------------------------------------
○証明書登録手順_F60
(1)RSA 鍵ペアを生成します。
(2)証明書のリクエストを作成する上で、自身の情報を設定します。
(3)証明書リクエストを生成します。
(4)本装置の証明書を登録します。
(5)CA証明書を登録します。
※特権ユーザモードでの操作となります。
(1)RSA 鍵ペアを生成します。
Router#generate key
Finally re-starting of equipment is required for this command.
May I continue as it is [yes/no]?: yes
Warning: Key pair is already created.
Is new key pair created ?[yes/no]: yes
Choose the size of the key modulus in the range of 512 to 2048 for your Signatur
e Keys.
How many bits in the modulus [1024]?: 2048
Generating RSA keys ... [OK].
Key type: RSA public key
Modulus n (2048 bits):
( 鍵ペア情報を表示します )
Next rebooting firmware SIDE-A.frm is fine.
Are you OK to cold start ?[yes/no]: yes ※装置を再起動します。
(2)証明書のリクエストを作成する上で、自身の情報を設定します。
利用するIDタイプを設定してください
設定データの例
ip address |
192.0.2.2 |
ipv6 address |
2001:DB8:1:2::1 |
ip domain-name(fqdn) |
KYOTEN.example.com |
email(user-fqdn) |
test@KYOTEN.example.com |
|
この設定を利用したい方はこちら
crypto ca identity
ip address 192.0.2.2
ipv6 address 2001:DB8:1:2::1
ip domain-name KYOTEN.example.com
email test@KYOTEN.example.com
exit
|
|
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
! 特権ユーザモードに移行します。
!
Router> enable
Enter password: super ←パスワードを入力します。(実際は表示されない)
Router#
!
!
! 基本設定モードに移行します。
!
Router# configure terminal
Router(config)#
!
!
! RSA signatures認証で使用する、IDタイプを設定します。
!
Router(config)#crypto ca identity
Router(config-ca-identity)# ip address 192.0.2.2
Router(config-ca-identity)# ipv6 address 2001:DB8:1:2::1
Router(config-ca-identity)# ip domain-name KYOTEN.example.com
Router(config-ca-identity)# email test@KYOTEN.example.com
Router(config-ca-identity)#exit
!
Router(config)# end
!
! 設定を保存します。
!
Router# save SIDE-*.cfg ←*には、保存したい面に応じて、A・Bのどちらかを入れる
% saving working-config
% finished saving
!
!
! 設定を有効にするために再起動します。
!
Router# reset
Are you OK to cold start?(y/n) y
|
|
(3)証明書リクエストを生成します。
設定データの例
鍵長 |
miyagi |
装置証明書名 |
ishinomaki |
ルート証明書名 |
jp |
|
Router#generate certificate-request
Input, when you register a common name, organization name and country name into
a certificate request message.
Common Name (Max 64 characters):miyagi
Organization Name (Max 64 characters):ishinomaki
Country Name [jp]:jp
-----BEGIN CERTIFICATE REQUEST-----
( PEMフォーマットで画面上に出力します )
-----END CERTIFICATE REQUEST-----
※上記の証明書リクエストで、認証局 (CA)より許可された証明書(PEMフォーマット)を取得して下さい。
(4)本装置の証明書を登録します。
設定データの例
Router#set crypto ca certificate MyCERT
Input certificate data (Finally please input <CR>):
-----BEGIN X509 CERTIFICATE-----
( PEMフォーマットで画面上に入力します )
-----END X509 CERTIFICATE-----
Attachment of the inputted certificate is performed.
May I continue as it is [yes/no]?: yes
OK!!
Is the following certificate added ?[yes/no]: yes ※
※続けてCA証明書を登録する場合は"yes"を入力する
※CA証明書が登録済みの場合は"no"を入力して装置を再起動します。
(5)CA証明書を登録します。
設定データの例
鍵長 |
2048 |
装置証明書名 |
MyCERT |
ルート証明書名 |
rootCA |
|
Router#set crypto ca certificate rootCA root
Input certificate data (Finally please input <CR>):
-----BEGIN X509 CERTIFICATE-----
( PEMフォーマットで画面上に入力します )
-----END X509 CERTIFICATE-----
Attachment of the inputted certificate is performed.
May I continue as it is [yes/no]?: yes
OK!!
Is the following certificate added ?[yes/no]: no
Next rebooting firmware SIDE-A.frm is fine.
Are you OK to cold start ?[yes/no]: yes ※装置を再起動します。
証明書情報を表示します。
Router#show crypto ca certificate private
[ 1] Type: root ※ルート証明書
Cert Name: rootCA
Subject: C=JP, O=Furukawa Electric Co.\, Ltd., CN=Test CA 1
Issuer: C=JP, O=Furukawa Electric Co.\, Ltd., CN=Test CA 1
Serial Number: 1
Validity: 2003.11.20 12:00:00 [UTC] - 2020.11.20 12:00:00 [UTC]
CRL DistPoint: http://******
Key Usage: DigitalSignature KeyCertSign
Email Address: furukawa-ca-1@inf.furukawa.co.jp
Signature Algorithm: sha1WithRSAEncryption
[ 2] Type: other ※装置証明書
Cert Name: MyCERT
Subject: C=jp, O=ishinomaki, CN=miyagi
Issuer: C=JP, O=Furukawa Electric Co.\, Ltd., CN=Test CA 1
Serial Number: 50
Validity: 2003.01.01 00:00:00 [UTC] - 2020.10.22 00:00:00 [UTC]
Domain Name: KYOTEN.example.com
IP Address: 192.0.2.2
IPv6 Address: 2001:db8:1:2::1
CRL DistPoint: http://******
Key Usage: DigitalSignature KeyEncipherment
Email Address: test@KYOTEN.example.com
Signature Algorithm: sha1WithRSAEncryption