解決済み: crypto pki authentication コマンドエラー

RANRAN · ‎2020-02-03

こんにちは

下のリンクを参考にし、ルータ（c891 IOS12.4）で証明書を生成する方法を試していますが

https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/ios%E3%83%AB%E3%83%BC%E3%82%BF%E3%81%A7%E3%82%B5%E3%83%BC%E3%83%90%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E4%BD%...

生成された証明書がcrypto pki authentication コマンドでTrustpointにコピーされません。

% Error in receiving Certificate Authority certificate: status = FAIL, cert length = 0

こんな感じのエラーメッセージが発生します。

show crypto pki trustpointsコマンドで確認すると

Trustpointの内容が空になっていますが

これと関係があるのでしょうか？

Router#show crypto pki trustpoint
Trustpoint LOCAL-CA:
Subject Name:
cn=192.168.10.1
Serial Number (hex): 01
Certificate configured.

Trustpoint TP_SERVER_CERT:

どうか解決方法を教えてください。

宜しくお願い致します。

RANRAN · ‎2020-02-26

返信していただきありがとうございます。

本件ですが

crypto key generate rsa modulus 1024 label TP_SERVER_CERT exportable

上記のコマンドを先に入れてKeyを先に生成した後に

Trustpointを生成したら

crypto pki authenticate TP_SERVER_CERT

コマンドで正常にKeyが移せることができました。

確認が遅くなり申し訳ございません。

お忙しい中返答してくださった皆さん

ありがとうございました。

元の投稿で解決策を見る

Akira Muranaka · ‎2020-02-19

こんにちは。ご利用のIOSバージョン 12.4はかなり古すぎるので、15.x系の最新バージョンに上げてから同じ操作を試してみるといかがでしょうか。

https://www.cisco.com/c/en/us/support/routers/891-integrated-services-router-isr/model.html#~tab-downloads

何等か不具合に該当してる可能性が高いように思います。もしくは、その"設定ガイド"よりも古いバージョンを使っていると、一部機能が未実装などの影響で正しく動作しないケースもありえます。

参考にされているドキュメントは 15.3系を利用されてますし、少なくとも参考ドキュメントより新しいIOSバージョン(※つまり、ミニマム 15.3以上)を利用して検証されたほうがいいかと思います。

shimenoy · ‎2020-02-25

RANRANさん、こんにちは :)

少々業務の息抜きも兼ねて、気になったのもあり当方でもやってみました。
(但しちょうど都合よく目の前にあった c892 Version 15.0 で、ですが…)

Factory-defaultから記載のリンク先の手順通りにやってみたところ、確かに同様のエラー
% Error in receiving Certificate Authority certificate: status = FAIL, cert length = 0
が出ましたが、

Router(cs-server)#issuer-name cn="1.178.100.128"
Router(ca-trustpoint)#enrollment url http://1.178.100.128:80
Router(ca-trustpoint)#subject-name cn="1.178.100.128"

この辺りで指定されているIPアドレスの interface (Gi0 1.178.100.128)を物理的に up させてみると…

Router(config)#crypto pki authenticate TP_SERVER_CERT
% Error in receiving Certificate Authority certificate: status = FAIL, cert length = 0

Router(config)#int gi0
Router(config-if)#ip address 1.178.100.128 255.255.255.0
Router(config-if)#no shut
Router(config-if)#
Feb 25 09:00:44.779: %LINK-3-UPDOWN: Interface GigabitEthernet0, changed state to up
Feb 25 09:00:45.779: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0, changed state to up
Router(config-if)#
Feb 25 09:00:49.919: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0, changed state to down
Feb 25 09:00:50.919: %LINK-3-UPDOWN: Interface GigabitEthernet0, changed state to down
Router(config-if)#exit
Router(config)#crypto pki authenticate TP_SERVER_CERT
% Error in receiving Certificate Authority certificate: status = FAIL, cert length = 0

Feb 25 09:01:10.727: %LINK-3-UPDOWN: Interface GigabitEthernet0, changed state to up
Feb 25 09:01:11.727: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0, changed state to up
Router(config)#crypto pki authenticate TP_SERVER_CERT
Certificate has the following attributes:
Fingerprint MD5: F025FE0F B4178C20 E6F90F32 589C54E6
Fingerprint SHA1: C56196E6 AC219B0D FAA9EACF 8EC61187 6C15C154

こんな感じで以降も進めそうでした。

なので、記載頂いている Trustpoint を見る限り cn=192.168.10.1 となっているので、
そのIPアドレスがきちんと interface に設定されていて、かつ up していれば大丈夫なのではないでしょうか。

(もしNGそうなら、また教えて欲しいです。今度はIOSも合致させてチャレンジしてみます…！)

参考になりましたら :)

RANRAN · ‎2020-02-26