• はじめに
• Step 1. コントローラーから Root 証明書の取り出し
• Step 2. 該当機器に Root 証明書をコピー
• Step 3. 該当機器に Root 証明書をインストール
• 参考情報

はじめに

本ドキュメントでは、SD-WAN Controller にインストールされている Root 証明書を取り出し、新しく設置する機器に Root 証明書をインストールする手順を示します。
誤った Root 証明書をインストールした結果 Control Connection が張れない、というような自体を避けるためにも Root 証明書については SD-WAN Controller から取り出したものを使用することが確実かと思います。

このドキュメントでは、vmanage の Root 証明書を取り出し、他の機器にインストールする手順を示します。

Step 1. コントローラーから Root 証明書の取り出し

vManage の /usr/share/viptela/root-ca.crt が vManage にインストールされている Root 証明書です。
以下のようにして root-ca.crt を取り出してください。
＊vBond, vSmart でも同じ場所に Root 証明書がインストールされているのでそちらを取り出して頂いても良いです。

Step 1-1. vManage の CLI で vshell コマンドを実行し shell に入ります。
vmanage# vshell
(shell内へ移動)

Step 1-2. root-ca.crt を /home/admin へ copy
vmanage:~$ cp /usr/share/viptela/root-ca.crt /home/admin

Step 1-3. shell から抜ける
vmanage:~$ exit
exit
vmanage#

Step 1-4. root-ca.crt を ftp, scp 等でファイルサーバに copy します。
ftp であれば以下のように実行してください。
vmanage# request upload vpn <vpn_num> ftp://<ftp_username>:<ftp_password>@<ftp_server_ip>/root-ca.crt root-ca.crt

WinSCP などの GUI ツールを使用して、vManage へ接続し SCP/SFTP でのダウンロードするのが一番簡単な方法かと思います。

※バージョンによっては、CSCvt05575 の不具合の影響により WinSCP にて接続ができない場合があります。その場合は、CLI などでご対応ください。
CSCvt05575 SFTP to vManage is not working after upgrade to 20.1, 19.2

Step 2. 該当機器に Root 証明書をコピー

viptela OS:

viptela OS の機器は SCP Server として動作しています。SCP Client を使用して Root 証明書(root-ca.crt) を該当機器にコピーしてください。 
CLI で行うのであれば SCP Client 側で以下のように実行し、root-ca.crt を SCP Client から SCP Server(viptela OS の機器) にコピーしてください。

scp root-ca.crt admin@<IP Address>:/home/admin/

XE SDWAN:
以下を参照し root-ca.crt を bootflash 配下にコピーしてください。
SD-WAN : cEdge における TFTP/FTP/SCP を使用したファイル転送
https://community.cisco.com/t5/-/-/ta-p/3807457

Step 3. 該当機器に Root 証明書をインストール

該当機器によってコマンドが異なります。
viptela OS(vmanage, vbond, vsmart, vedge) であれば以下のように実行してください。
viptela OS:

request root-cert-chain install /home/admin/root-ca.crt

cEdge であれば以下のように実行してください。
XE SDWAN:

request platform software sdwan root-cert-chain install bootflash:root-ca.crt

参考情報