My Home NW Lab

逸般の誤家庭のネットワーク

Cisco IOS-XE SD-WAN (cEdge)でCLIからルートCA証明書の取り込みを行う

Cisco IOS-XE SD-WAN (cEdge)でCLIからルートCA証明書の取り込みを行う方法を紹介します。

一般的なルートCA証明書の取り込み手順は、File ServerにルートCA証明書を配置してCisco IOS-XE SD-WANから copy コマンドで取得する手順になると思われます。 しかしながら、障害対応での筐体交換や検証のような場合はCLIから貼り付けれた方がFile Serverのセットアップが不要になる利点があります。

IOS-XE SD-WAN(cEdge)へのルートCA証明書の取り込み

CLIからは tclsh コマンドでルートCA証明書の取り込みを行います。
注意点ですが、Cisco IOS XEにはAutonomous ModeとController Modeが存在しますが、Controller Modeでは tclsh コマンドが隠しコマンドとなっているため一時的に有効化します。

隠しコマンドの一時的な有効化の手順が手間であるのならば、Controller Modeに変換する前に、Autonomous Modeの状態で tclsh コマンドを利用して取り込む方法もあります。

本手順はCML2上のCSR 1000VとCatalyst 8000Vで確認しております。

Controller Modeで隠しコマンド (tclsh含む)を有効化

tclsh コマンドを使用するために、一時的に隠しコマンドを有効化します。後ほどの手順で無効化し直します。

config-transaction

service internal

commit

end

debug platform software sdwan unlock-ios-cl

ルートCA証明書の取り込み

ルートCA証明書を実際に取り込みます。
-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- はルートCA証明書の情報となるため、書き換えて使用してください。

tclsh
puts [open "bootflash:ROOTCA.pem" w+] {
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
}
exit


more bootflash:ROOTCA.pem

Controller Modeで隠しコマンド (tclsh含む)を無効化

日常的な運用で隠しコマンドを常用すべきではないため、無効化の状態に戻しておきます。

no debug platform software sdwan unlock-ios-cl

config-transaction

no service internal

commit

end

関連ドキュメント

Cisco Communityの関連トピック

IOS-XE SDWAN : IOS-XE SDWAN におけるファイルの作成方法について - Cisco Community
https://community.cisco.com/t5/-/-/ta-p/5079164