[Network][Cisco] 自己証明書の再投入

こんな情報がありました。

どうもIOS12.x全般、IOS15.9以前など、古い機種を中心としてIOSにも共と組み込まれていた自己証明書が2020年1月1日に期限切れを起こすそうです。この影響に伴い、証明書を使用する機能に関してまともに動かなくなる可能性があるというメーカー勧告が上記リンクになります。

回避策として、自身がピンとくる内容としてはOpenSSLを使用した方法があったのでこれを使いました。

Linuxサーバ側で自己証明書を作成する

以下のようなコマンドを打ち込みます。

openssl req -newkey rsa:2048 -nodes -keyout tmp.key -x509 -days 4000 -out tmp.cer \
 -subj"/CN=SelfSignedCert" &> /dev/null && openssl pkcs12 -export -in tmp.cer -inkey tmp.key \
 -out tmp.bin -passout pass:<Password-string> &amp;&amp; openssl pkcs12 -export -out certificate.pfx \
 -password pass:<Password-string> -inkey tmp.key -in tmp.cer &amp;&amp; rm tmp.bin tmp.key tmp.cer &amp;&amp; \
 openssl base64 -in certificate.pfx

出力結果として、Base64エンコードされたPKCS12形式が標準出力に表示されます。この結果をあらかじめテキスト等に保存しとくと良いかなと思います。

IOS側で自己証明書を組み込む

まずはログインし、コンフィグモード荷移動します。

Susuki#
Susuki#conf t
Enter configuration commands, one per line.  End with CNTL/Z.

んで、証明書組み込むためのコマンドを順次実行していきます。

Susuki(config)#crypto pki trustpoint TEST
Susuki(ca-trustpoint)#enrollment terminal
Susuki(ca-trustpoint)#revocation-check none
Susuki(ca-trustpoint)#exit
Susuki(config)#crypt pki import TEST pkcs12 terminal password <Password-string>

IOSが出力したメッセージに従い、先の手順で出力された文字を貼り付けます。
貼り付けたら改行の後、「quit」と入力してEnterを押下します。

Enter the base 64 encoded pkcs12.
End with a blank line or the word "quit" on a line by itself:<-ここまでがIOS側のメッセージ
MIIJSQIBAzCCCQ8GCSqGSIb3DQEHAaCCCQAEggj8MIII+DCCA68GCSqGSIb3DQEH<-ここから貼り付けた箇所
BqCCA6AwggOcAgEAMIIDlQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQIl6qC
   :
   :
   :
//4oDG3OH7z22nyDI1pYsAsVFahKNYkaJBkMFwm+IbprrzsxJTAjBgkqhkiG9w0B
CRUxFgQUTNijq09RRrBhAmOab2E1RFrEdTQwMTAhMAkGBSsOAwIaBQAEFNqxwBJA
DUtvg99LrGJGXLQdd9raBAgLOre09Bbe2wICCAA=<-ここまで貼り付けた箇所
quit                                    <-「quit」と入力してEnter

どうやら以下の通り表示したら無事組み込まれたと判断して良さそうです。

CRYPTO_PKI: Imported PKCS12 file successfully.

証明書を参照し、期限が延びたことを確認するには以下のようなことをすると分かるようです。

Susuki#show crypto pki certificates TEST
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 00F7F0F1A4A7851879
  Certificate Usage: General Purpose
  Issuer:
    cn=SelfSignedCert
  Subject:
    cn=SelfSignedCert
  Validity Date:
    start date: 20:46:47 JST Dec 21 2019
    end   date: 20:46:47 JST Dec 3 2030
  Associated Trustpoints: TEST

10年ちょい期限が延びました。あとはwrite memoryしてオペレーション完了。

最近多いなーと感じること

中古サーバの稼働継続が難しくなるケースが増えたなーと思います。旧機種のドライバーを入手できないようにしたり、そもそもドライバー欲しければ製品保守入ってないと入手できないとか、本当に時代の移り変わりって激しいなーと思うばかり。

結局それって、個人で検証するぐらいなら良いのだけど、保証切れたサーバを延々と稼働継続させてその癖障害が起きたらメーカーに怒鳴り込むユーザが一定数いらっしゃるからかなーとも感じたりします。そういう所にリソースなんてかけたくねーよバカというメーカーの怨念めいた意思がどっからか聞こえてくるようです・・・はは・

Follow me!