Cisco IOS-XE SD-WAN (cEdge)でCLIからルートCA証明書の取り込みを行う方法を紹介します。
一般的なルートCA証明書の取り込み手順は、File ServerにルートCA証明書を配置してCisco IOS-XE SD-WANから copy コマンドで取得する手順になると思われます。
しかしながら、障害対応での筐体交換や検証のような場合はCLIから貼り付けれた方がFile Serverのセットアップが不要になる利点があります。
CLIからは tclsh コマンドでルートCA証明書の取り込みを行います。
注意点ですが、Cisco IOS XEにはAutonomous ModeとController Modeが存在しますが、Controller Modeでは tclsh コマンドが隠しコマンドとなっているため一時的に有効化します。
隠しコマンドの一時的な有効化の手順が手間であるのならば、Controller Modeに変換する前に、Autonomous Modeの状態で tclsh コマンドを利用して取り込む方法もあります。
本手順はCML2上のCSR 1000VとCatalyst 8000Vで確認しております。
Controller Modeで隠しコマンド (tclsh含む)を有効化
tclsh コマンドを使用するために、一時的に隠しコマンドを有効化します。後ほどの手順で無効化し直します。
config-transaction service internal commit end debug platform software sdwan unlock-ios-cl
ルートCA証明書の取り込み
ルートCA証明書を実際に取り込みます。
-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- はルートCA証明書の情報となるため、書き換えて使用してください。
tclsh
puts [open "bootflash:ROOTCA.pem" w+] {
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
}
exit
more bootflash:ROOTCA.pem
Controller Modeで隠しコマンド (tclsh含む)を無効化
日常的な運用で隠しコマンドを常用すべきではないため、無効化の状態に戻しておきます。
no debug platform software sdwan unlock-ios-cl config-transaction no service internal commit end
関連ドキュメント
Replace a cEdge RMA Router (英語版Doc)
https://www.cisco.com/c/en/us/support/docs/routers/sd-wan/217606-replace-a-cedge-rma-router.html#anc19
Step 3. Copy and Install the Root CA Certificate into Spare or RMA cEdge.セクションを参照します。cEdge RMAルータの交換 (日本語版Doc) https://www.cisco.com/c/ja_jp/support/docs/routers/sd-wan/217606-replace-a-cedge-rma-router.html#anc19
ステップ 3: ルートCA証明書をコピーして、スペアまたはRMA cEdgeにインストールします。セクションを参照します。
