API Guide

ManualsBrandsDell ManualsAccess PlatformsSmartFabric OS10 Documentation

Table Of Contents

● CONFIGURATION モードでアプリケーション固有のセキュリティプロファイルを作成します。

OS10(config)# crypto security-profile profile-name

● 証明書とプライベートキーのペアを SECURITY-PROFILE モードでセキュリティプロファイルに割り当てます。

certificate-name には、show crypto certs 出力に表示される証明書キーペアの名前を.pem 拡張子なしで入力します。

OS10(config-sec-profile)# certificate certificate-name

exit

● （オプション）SECURITY-PROFILE モードで外部デバイスから受信した証明書の CRL チェックを有効にします。CRL チェック

では、スイッチにインストールされている CRL を使用して証明書の有効性を確認します。

OS10(config-sec-profile)#revocation-check

● （オプション）SECURITY-PROFILE モードで、外部デバイスによって提供される証明書に対してピア名のチェックを有効にしま

す。ピア名のチェックにより、証明書がリモートサーバー名などのピアデバイス名と一致することを確認します。

OS10(config-sec-profile)#peer-name-check

● セキュリティプロファイルを使用して、X.509v3 ベースのサービスを構成します。例えば、X.509v3 証明書を使用して RADIUS

over TLS 認証を構成するには、radius-server host tls コマンドを入力します。

OS10(config)# radius-server host {hostname | ip-address} tls security-profile profile-name

[auth-port port-number] key {0 authentication-key | 9 authentication-key |

authenticationkey}

［例：RADIUS over TLS 認証のセキュリティプロファイル］

OS10# show crypto cert

--------------------------------------

| Installed non-FIPS certificates |

--------------------------------------

dv-fedgov-s6010-1.pem

--------------------------------------

| Installed FIPS certificates |

--------------------------------------

OS10#

OS10(config)#

OS10(config)# crypto security-profile radius-prof

OS10(config-sec-profile)# certificate dv-fedgov-s6010-1

OS10(config-sec-profile)# revocation-check

OS10(config-sec-profile)# peer-name-check

OS10(config-sec-profile)# exit

OS10(config)#

OS10(config)# radius-server host radius-server-2.test.com tls security-profile radius-prof

key radsec

OS10(config)# end

OS10# show running-configuration crypto security-profile

crypto security-profile radius-prof

certificate dv-fedgov-s6010-1

［セキュリティプロファイルが有効化されているかどうかのチェック］

セキュリティプロファイルが有効化されているかどうかは次のように示されます。

OS10# show running-configuration radius-server

radius-server host radius-server-2.test.com tls security-profile radius-prof key 9

2b9799adc767c0efe8987a694969b1384c541414ba18a44cd9b25fc00ff180e9

SSH のスマートカード認証

OS10 では、SSH を使用してデバイスに接続する際のユーザー認証に、共通アクセスカード（CAC）や個人識別情報の検証（PIV）

スマートカードを使用できます。CAC および PIV スマートカードには、認証局によって発行された公開鍵基盤（PKI）X.509v3 証

明書が含まれています。この機能を使用すると、OS10 ソフトウェアによってユーザー認証、E メール署名、および暗号化を検証で

きます。スマートカード認証を使用するには、X.509v3 認証をサポートしている SSH クライアントを使用します。

OS10 セキュリティのベストプラクティス 29