Cisco IOS-XE SD-WAN (cEdge)でCLIからルートCA証明書の取り込みを行う方法を紹介します。
一般的なルートCA証明書の取り込み手順は、File ServerにルートCA証明書を配置してCisco IOS-XE SD-WANから copy
コマンドで取得する手順になると思われます。
しかしながら、障害対応での筐体交換や検証のような場合はCLIから貼り付けれた方がFile Serverのセットアップが不要になる利点があります。
CLIからは tclsh
コマンドでルートCA証明書の取り込みを行います。
注意点ですが、Cisco IOS XEにはAutonomous ModeとController Modeが存在しますが、Controller Modeでは tclsh
コマンドが隠しコマンドとなっているため一時的に有効化します。
隠しコマンドの一時的な有効化の手順が手間であるのならば、Controller Modeに変換する前に、Autonomous Modeの状態で tclsh
コマンドを利用して取り込む方法もあります。
本手順はCML2上のCSR 1000VとCatalyst 8000Vで確認しております。
Controller Modeで隠しコマンド (tclsh含む)を有効化
tclsh
コマンドを使用するために、一時的に隠しコマンドを有効化します。後ほどの手順で無効化し直します。
config-transaction service internal commit end debug platform software sdwan unlock-ios-cl
ルートCA証明書の取り込み
ルートCA証明書を実際に取り込みます。
-----BEGIN CERTIFICATE-----
から -----END CERTIFICATE-----
はルートCA証明書の情報となるため、書き換えて使用してください。
tclsh puts [open "bootflash:ROOTCA.pem" w+] { -----BEGIN CERTIFICATE----- MIIDBTCCAe2gAwIBAgIUBoY/fDZ42wHpr9fBVAjSfidDJJkwDQYJKoZIhvcNAQEL BQAwEjEQMA4GA1UEAwwHdm1hbmFnZTAeFw0yMjA1MTAwODEyNTZaFw0zMjAyMDcw ODEyNTZaMBIxEDAOBgNVBAMMB3ZtYW5hZ2UwggEiMA0GCSqGSIb3DQEBAQUAA4IB DwAwggEKAoIBAQC327Dt8wX6DcrT5q54kFYRSYJDFnS1P8C3XS36sFKFiXchP2JF i8DF8y3G+XeYzKjoJL/iX1j/jsqYNOmi0NWiM6PlJERdzGcoBo1RBbvF+AvDgweF gdOvCIj/fLHeHAAO0ru7hEe3UuN60bafFpzO7/qiUtbeOmc/LgYPtBm/tBS0k/pO eR9tWEq51rqinGBvaJw7ijuhjfNUEaZVSBPQU24t8JFRWEUvSXaHFSHZwww7z4Hi OXW3Uiyqa6fVU3EovZwz5S+7EZk8ScHv+MWSPqvyNOwO9WdWSvEbg+gVDIsUf6c0 NJcUYEPDRMzvpeezxFGo1OiiTPVDNUREPUCJAgMBAAGjUzBRMB0GA1UdDgQWBBTo sNRoXUpS98VjQwKkL/r2resgOzAfBgNVHSMEGDAWgBTosNRoXUpS98VjQwKkL/r2 resgOzAPBgNVHRMBAf8EBTADAQH/MA0GCSqGSIb3DQEBCwUAA4IBAQB1hE9sJuO0 szltljhAxgyaGbPlGNRZ32lETqRZbSFlhFfP2qckmcSUnVLQKTyTGTLNg3bUjh2x 0Tf0jjN5+GtZFVVXQ35MS2NaUnSqhpSJFSP0k18+MtQn22UHzLqKijiH/ikRo1Gx HVuCzkf/pf26pDbz9fgU/eYhFKEhIED2jQRdkeffa4voSjIKWQKU9rVLpgn10kmB Cerw2oI7tj1PV6y0ER0N8USuCWCeOuEDI7rwKZ37oxtS/Gu8DC+rSQKBAPhUzTwf S/vUF5ZDiDCKIKm/KbN67hJ5e8oPhEgdOhbFeXFJDqIJiDUxZMgHZl4Sw4fAhUD2 3hHDVXXtb0vE -----END CERTIFICATE----- } exit more bootflash:ROOTCA.pem
Controller Modeで隠しコマンド (tclsh含む)を無効化
日常的な運用で隠しコマンドを常用すべきではないため、無効化の状態に戻しておきます。
no debug platform software sdwan unlock-ios-cl config-transaction no service internal commit end
関連ドキュメント
Replace a cEdge RMA Router (英語版Doc)
https://www.cisco.com/c/en/us/support/docs/routers/sd-wan/217606-replace-a-cedge-rma-router.html#anc19
Step 3. Copy and Install the Root CA Certificate into Spare or RMA cEdge.
セクションを参照します。cEdge RMAルータの交換 (日本語版Doc) https://www.cisco.com/c/ja_jp/support/docs/routers/sd-wan/217606-replace-a-cedge-rma-router.html#anc19
ステップ 3: ルートCA証明書をコピーして、スペアまたはRMA cEdgeにインストールします。
セクションを参照します。