HP switch HP5130への証明書import方法

HP5130でWeb認証を実施する際、https で接続させたいため、サーバ証明書をHP5130へ import しました。それが極めて独特な手順だったため紹介します。

手順

1. サーバ証明書と秘密鍵の連結

サーバ証明書と秘密鍵は PEM 形式で連結して1つのファイルにします。

テキストエディタで編集します。文字コードには気を付けて下さい。ここでは「server.cer」という名前とします。

-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
~~~~~~~~~~~~~~~~~~~~~~~
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
~~~~~~~~~~~~~~~~~~~~~~~
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END PRIVATE KEY-----

2. 中間証明書とルート証明書の連結

中間証明書とルート証明書も同様に PEM 形式で連結して 1 つのファイルにします。

上が中間証明書で下がルート証明書です。ここでは「root-ca.cer」という名前とします。

-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXX
~~~~~~~~~~~~~~~~~~~~~~~
XXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXX
~~~~~~~~~~~~~~~~~~~~~~~
XXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----

3. FTPサーバの準備

作業用 PC 等に FTP サーバをインストールして起動し、そのホームディレクトリに上記 2 ファイルを格納します。

4. FTPサーバからのダウンロード

HP5130 から FTP サーバへ IP リーチャブルな環境を作り、FTP でファイルを取得します。

<HP> ftp 10.0.0.1
User (10.0.0.1:(none)): user1
Password:
230 User logged in
ftp> dir
ftp> get server.cer
ftp> get root-ca.cer
ftp> bye

5. 日付と時刻の設定

スイッチの日付と時間が合っていない場合は合わせます。おそらくスイッチの時刻がデジタル証明書の有効期限内でないとエラーが出るようです。

<HP> clock datetime 12:34:56 2017/02/24

6. PKI ドメインの作成とルート証明書の import

以下コマンドでPKIのドメインを作り、その中にルート証明書をimportします。

<HP> system-view
[HP] pki domain AuthDom
[HP-pki-domain-AuthDom] public-key rsa general name webauthdom3 length 2048
[HP-pki-domain-AuthDom] undo crl check enable
[HP] pki import domain AuthDom pem ca filename root-ca.cer
The trusted CA's finger print is:
MD5 fingerprint:XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX
SHA1 fingerprint:XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX
Is the finger print correct?(Y/N):y

7. サーバ証明書の import

続いてサーバ証明書を import します。

[HP] pki import domain AuthDom pem local filename server.cer

これで import は完了です。確認コマンドは以下です。

ルート証明書、中間証明書のインストール状況確認コマンド

[HP] display pki certificate domain AuthDom ca

サーバ証明書のインストール状況確認コマンド

[HP] display pki certificate domain AuthDom local

IT/インフラエンジニアの地位とスキル向上のために

関連記事

IT 技術の進化はとどまることを知りません。矢継ぎ早に新たな技術が出てきたり、数年前の技術が時代遅れになったりと、IT エンジニアは勉強し続ける運命のようです。 それをどう思うかはあなた次第。 ビジネスの基本は『付加価値を与える[…]

IMG
関連記事

nesuke の考える NW エンジニアの2つの道 ネットワークエンジニアには 2 つの道があります。 1 つはネットワーク構築一筋で、L4 までをひたすらきっちりと構築していく道。 もう 1 つはネットワークを軸として深堀し[…]

IMG