はじめに
SD-WAN コントローラの証明書はコントロールコネクションを確立するときの認証に使われています。クラウドホスト型の SD-WAN コントローラの証明書の有効期限は 1年となっており毎年更新が必要です。
この資料では証明書を更新するためにお客様に実施頂く必要がある作業について記載します。
証明書更新作業の流れは以下のとおりです。
- vManage で証明書の関連情報が正しく設定されていることを確認する
- vManage でコントローラの CSR(Certificate Signing Request) を発行する
- Global TAC にケースをオープンし証明書の発行を依頼する
TAC ケース受付け後、シスコが CSR を承認すると自動的に SD-WANコントローラに証明書がインストールされます。
なお、Japan TAC、Global TAC 共に日時指定での対応はサポートしておりません。Global TAC にケースをオープンして証明書の発行を依頼された場合、ケース受け付け後即座に証明書更新作業を実施いたします。任意の日時で証明書を更新されたい場合は本記事の Appendix. をご確認ください。
※本手順とガイド上の内容に差分がある場合は、ガイド上の内容を優先ください。
Cisco SD-WAN Controller Certificates and Authorized Serial Number File Prescriptive Deployment Guide
以下、証明書の有効期限の確認方法と更新作業の各項目について記載いたします。
有効期限の確認
画面左側のメニューから Configuration > Certificates を選択し、Controllers タブを選択することで確認可能です。
証明書の有効期限が 180日をきると、ダッシュボード右上の Warning がカウントアップします。
証明書の期限が切れると、Invalid がカウントアップします。期限切れとなってしまった場合、まずコントロールコネクションがダウンし、最終的にはエッジデバイス間のトンネルがダウンしてしまいますのでご注意ください。
1. 証明書の設定確認
画面左側のメニューから Administration > Settings を選択します。
Controller Certificate Authorization を選択し、各フィールドが正しく設定されているか確認します。
各フィールドに入力する情報
Field |
Value |
Certificate Signing by |
Symantec Automated (Recommended) |
First Name / Last Name |
名前 / 名字
|
Email |
Email アドレス - 証明書の期限が迫ってくると証明書の発行元からこの Email アドレス宛てに通知が届きます
- 本 Email アドレス自体もケースオープン時にご連絡していただくことになります
|
Validity Period |
1 Year |
Edit Challenge Phrase (Optional) |
Check
|
Challenge Phrase (Optional) |
任意のパスワード |
Certificate Retrieve Interval |
1 min |
2. CSR の発行
画面左側のメニューから Configuration > Certificates を選択し、Controllers タブを選択します。
画面右側のメニューから Generate CSR を選択します。
* CSRの取得ができない場合は下記参照ください
https://community.cisco.com/t5/-/-/ta-p/3999141
3. Global TAC にケースオープン
*JAPAN TAC にケースを Open して頂くことも可能ですが、SD-WAN のコントローラーの証明書更新については Global TAC の SD-WAN コントローラーのメンテナンス作業専門のチームで対応しているため、JAPAN TAC にケースを Open 頂いた場合は頂いた内容を翻訳して Global TAC へフォワードする作業のみの対応となります。
*JAPAN TAC に SD-WAN のコントローラーの証明書更新のケースを Open 頂いた場合、頂いた内容を翻訳して Global TAC へフォワードを行う作業は平日の 09:00 - 17:00 のみ対応しています。Global TAC では24時間対応も可能ですので翻訳してフォワードを行う JAPAN TAC にケースを Open 頂くより、Global TAC へ直接ケースを Open 頂く方がよいと思います。
以下の手順で Global TAC にケースをオープンしてください。
Step 1 : Support Case Manager にアクセス
https://mycase.cloudapps.cisco.com/case
Step 2 : 右上の歯車のようなアイコンをクリック
Step 3 : 言語に "Worldwide - English" を選択して保存
Step 4 : "Open New Case" をクリックして "Open Case"
表示が英語に切り替わるので、英語に切り替わったら "Open New Case" をクリックしてください。しばらく経っても切り替わらない場合は、ページを再度読み込んでください。
Product & Services のタブが選択された状態(Default) で Open Case をクリックしてください。
Step 5 : Serial Number を入力して Next
Step 6 : Title, Description, Technology(Manually select a Technology... から選択), Problem Area, Preference, Business Phone, Email の項目を埋めて Submit
それぞれ以下のように埋めてください。他の項目は必要に応じて埋めてください。
Title : SDWAN Certificate Renewal Request
Description : 以下に例を示します。
Hello,
Can you please renew these certificates that belongs to the following:
-----
Email address associated with the CSR requests: "ここに 1. で登録した Email アドレスを記載してください"
Organization Name: "ここに Organization Name を記載してください"
-----
If you need any further information, please let me know.
Regards,
Technology(Manually select a Technology... から選択してください):
Technology には必ず Software Defined Wide Area Networking (SDWAN) > SDWAN Cloud Infra (Certificates-Activation/renewals, vAnalytics, Zprov) を選択してください。
Problem Area : Installation>Licensing
Preference : Global TAC のエンジニアからのご連絡方法を選択してください。(Default Email)
Email : ご自身の Email アドレスを記載してください
Global TAC にケース Open 頂いた場合に、万が一コミュニケーション上の問題が発生した際には、Japan TAC へのケース Open をご検討ください。
注意事項
- 証明書がインストールされるタイミングでコントロールコネクションがダウン・アップします。
- 現在、16.X 等の古い OSバージョンではコントローラの証明書を更新することができません。証明書の更新が可能なバージョンは 17.1.4 以降となります。
- JAPAN TAC に SD-WAN のコントローラーの証明書更新のケースを Open 頂いた場合、頂いた内容を翻訳して Global TAC へフォワードを行う作業は平日の 09:00 - 17:00 のみ対応しています。
Appendix. 任意の日時での証明書更新手順
任意の日時で証明書を更新されたい場合、各種手順をご自身で実施していただくことで可能となります。手順は大きく分けて証明書更新方式を Manual に設定するものと、Cisco Automated に設定するものがございます。
証明書更新方式:Manual
以下が Manual 方式での手順概要です
Step 1 : 証明書更新方式を Manual に設定
Step 2 : CSR を生成
Step 3 : CSR の提出
Step 4 : Global TAC にケースオープンして署名依頼
Step 5 : 署名された証明書のインストール
Step 5 の実施日時を調整することで、コントロールコネクションがダウン・アップするタイミングを調整可能です。
なお、上記手順の詳細につきましては以下の記事をご参照ください。
SD-WAN : Manual 方式によるSD-WAN コントローラの証明書更新
証明書更新方式:Cisco Automated
以下が Cisco Automated 方式の設定・更新手順概要です。
Step 1 : VPN 0 で Internet にアクセス、および、名前解決できるように IP アドレスと DNS を設定
Step 2 : Smart Account Credentials を設定
Step 3 : 証明書更新方式を Cisco Automated に設定
Step 4 : CSR を生成
Step 4 の CSR を生成を実行することで、Global TAC にケースをオープンすることなく自動的に証明書のインストールまで実行されます。そのため、Step 4 の実施日時を調整することで、コントロールコネクションがダウン・アップするタイミングを調整可能です。
なお、上記手順の詳細につきましては以下の記事をご参照ください。
SD-WAN: Cisco 方式による SD-WAN コントローラの証明書更新