API Guide
Table Of Contents
53:52:0c:4d:05:ed:31:23:79:44:5c:d7:62:01:9d:
41:e8:ff:3a:b0:35:0c:22:d7:ef:df:05:9a:28:6b:
95:10:8e:bc:c6:62:3a:82:30:0f:4f:4e:19:17:48:
f1:bd:1e:0c:4f:54:03:42:f3:a7:de:22:40:3d:5e:
6b:b2:8e:23:17:53:ef:10:d9:ae:1d:1f:d6:e4:ae:
25:9f:d9:39:60:5c:49:b0:ad
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
DA:39:A3:EE:5E:6B:4B:0D:32:55:BF:EF:95:60:18:90:AF:D8:07:09
X509v3 Subject Alternative Name:
DNS:dell.domain.com
Signature Algorithm: sha256WithRSAEncryption
b8:83:ae:34:bb:84:e6:b4:a3:fd:77:20:67:15:3f:02:76:ca:
f6:74:d4:d2:36:0e:58:8c:96:13:c2:85:8a:df:ba:c0:d9:c8:
証明書の失効
[論拠]:証明書失効リスト(CRL)は、発行元である認証局(CA)が予定された有効期限前に失効させたデジタル証明書のリスト
です。これらの証明書は、信頼できるものではなくなりました。
スイッチと外部デバイス(RADIUS や TLS サーバーなど)を接続する前に、CA 署名付き証明書を互いに提示して安全な接続を設定
します。証明書の検証によりピアは互いの ID を認証でき、その後、証明書が発行元の CA によって失効されていないことを確認し
ます。
証明書には、その証明書を発行した証明書配布ポイント(CDP)に関する URL やその他の情報が含まれています。URL を使用し
て、OS10 は証明書失効リスト(CRL)をダウンロードするために CDP にアクセスします。外部デバイスの証明書がリストにある
場合、または CDP サーバーが応答しない場合、接続は設定されません。
[構成]:
1. 証明書配布ポイントの URL を EXEC モードで構成します。
OS10# crypto cdp add cdp-name cdp-url
スイッチによりアクセスされた CDP を EXEC モードで確認します。
OS10# show crypto cdp [cdp-name]
インストールされている CDP を削除するには、crypto cdp delete cdp-name コマンドを使用します。
2. CDP からダウンロードされた CRL を EXEC モードでインストールします。
OS10# crypto crl install crl-path [crl-filename]
スイッチにインストールされている CRL のリストを EXEC モードで表示します。
OS10# show crypto crl [crl-filename]
crypto crl install コマンドを使用して構成された手動でインストールされた CRL を削除するには、crypto crl
delete [crl-filename]コマンドを使用します。
[例:CDP の構成]
OS10# crypto cdp add cert1_cdp http://crl.chambersign.org/chambersignroot.crl
Successfully added CDP
OS10# show crypto cdp
--------------------------------------
| Manually installed CDPs |
--------------------------------------
cert1_cdp.crl_url
--------------------------------------
| Automatically installed CDPs |
--------------------------------------
[例:CRL のインストール]
OS10# crypto crl install home://pki-regression/Network_Solutions_Certificate_
Authority.0.crl.pem
OS10 セキュリティのベスト プラクティス 27