HPE MSR954ですが、Comware V7.1 CLIに悪戦苦闘しております。
とりあえず、自己署名はつかいたくないので、ADCSのNDES(ネットワークデバイス登録サービス)から、CA証明書および、証明書を取得してみようと思います。
もちろんNDESが正常に構成されていることが条件ですね。
いくつかのページを参考にしています。
SystemNameはMSR954のSystem nameを指定します。
CommonNameはFQDNになります。
DomainNameですが、例としてHoge.com.localなどであれば、最初のCN(Hoge)を設定します。
system-view
でシステム設定に入ります。
まずは本体のCommonNameを設定します
pki entity <system-name>
common-name <CommonName>
country JA
quit
次に、NDES周りやドメインのの設定をします。
pki domain <domainname>
ca identifier <NameOfCA>
certificate request url http://<NDES URL>/certsrv/mscep/mscep.dll
certificate request from ra
public-key rsa general name BG length 2048
certificate request entity <system-name>
undo crl check enable
quit
quit
crlチェックは無効にしています。
この後、ADCS、NDES側でチャレンジパスワードを取得します。
PCなどで、
http://<NDES URL>/certsrv/mscep_admin
を開き、CA Fingerprintとチャレンジパスワードを取得します。
一応、先にパスワードを取得したのは、CA Fingerprintを確認するためもあります。
さて、MSR954側でCA証明書を取得してみます。
pki retrieve-certificate domain <DomainName> ca
MD5とSHA1のハッシュ値が表示されますので、一応取得したCA Fingerprintと照合し、OKであれば、
Y
で取得します。
私の場合、この後Failed出まくりでした。ここでの取得は成功したか、失敗したかしか表示されないので、
原因が・・・まあ、Importコマンドで直接読み込むといろいろでてくるので・・・ええ、時刻設定してなかったもので。
私は、以前有効にしたWebインターフェースで設定をしました。
CA証明書を読み込めたら、今度は証明書取得です。
pki request-certificate domain <DomainName> password <チャレンジパスワード>
で、取得します。
尚、手順を踏まないと、ここで、CA証明書がないとか、Key Pairがないとか、RA証明書がないとか言われます。
特に、ImportコマンドでCA証明書を入れて、NDESで証明書を取ろうとすると、RA証明書がないといわれちゃいますので、delete-certificateコマンドでいったんCA証明書を消して、retrieve-certificateコマンドで取得する必要があります。
その2で有効にしたWebインターフェースに上記証明書を使用したポリシーを作成し、Webインターフェースに設定します。
policynameは自分でつけましょう。httpもいったん無効にしないと、ポリシー設定に失敗することがあります。
ssl server-policy <policyname>
pki-domain <DomainName>
quit
undo http enable
undo https enable
ip https ssl-server-policy <policyname>
ip http enable
ip https enable
あとは、CommonNameでアクセスできるか確認してみましょう。
次はそろそろ外へつなぐ設定か、先にLink Aggrigation設定を行っておくか・・・