Cisco IOS セキュリティ コンフィギュレーション ガ イド:Secure Connectivity
PKI 内での RSA 鍵の展開
PKI 内での RSA 鍵の展開
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

PKI 内での RSA 鍵の展開

機能情報の入手

この章の構成

PKI での RSA 鍵の設定に関する前提条件

RSA 鍵の設定に関する情報

RSA 鍵の概要

用途 RSA 鍵と汎用目的 RSA 鍵

ルータに複数の RSA 鍵を保管する理由

エクスポート可能な RSA 鍵のメリット

RSA 鍵のインポートおよびエクスポート時のパスフレーズ保護

PKI 内で RSA 鍵を設定および展開する方法

RSA キー ペアの生成

この次の手順

複数の RSA キー ペアの生成および保管

前提条件

RSA 鍵のエクスポートおよびインポート

PKCS12 ファイルの RSA 鍵のエクスポートおよびインポート

PEM 形式ファイルの RSA 鍵のエクスポートおよびインポート

ルータの秘密鍵の暗号化およびロック

前提条件

秘密鍵の暗号化およびロックに関する制約事項

RSA キー ペア設定の削除

RSA キー ペア展開での設定例

RSA 鍵の生成および指定例

RSA 鍵のエクスポートおよびインポート:例

PKCS12 ファイルの RSA 鍵のエクスポートおよびインポート:例

PEM ファイルの RSA 鍵の生成、エクスポート、インポート、および検証例

PEM ファイルからのルータ RSA キー ペアおよび証明書のエクスポート例

PEM ファイルからのルータ RSA キー ペアおよび証明書のインポート:例

ルータの秘密鍵の暗号化およびロック:例

暗号鍵の設定および検証例

ロックされた鍵の設定および確認例

関連情報

その他の参考資料

関連資料

シスコのテクニカル サポート

PKI 内の RSA 鍵に関する機能情報

PKI 内での RSA 鍵の展開

この章では、Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)内で Rivest、Shamir、Adelman(RSA)鍵 を設定および展開する方法について説明します。ルータの証明書を取得する前に、RSA キー ペア(公開鍵と秘密鍵)が要求されます。つまり、エンド ホストは RSA 鍵のペアを生成し、認証局(CA)と公開鍵を交換して証明書を取得し、PKI に登録する必要があります。

機能情報の入手

ご使用のソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「PKI 内の RSA 鍵に関する機能情報」を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスしてください。Cisco.com のアカウントは必要ありません。

PKI での RSA 鍵の設定に関する前提条件

PKI の RSA 鍵を設定および展開する前に、 Cisco IOS PKI Overview: Understanding and Planning a PKI 」の内容を理解している必要があります

Cisco IOS リリース 12.3(7)T の時点で、コマンドの先頭に付けられていた「crypto ca」は、すべて「crypto pki」に変更されました。ルータは引き続き crypto ca コマンドを受け入れますが、すべての出力は crypto pki として読み替えられます。

RSA 鍵の設定に関する情報

PKI 内で RSA 鍵を展開するには、次の概念を理解しておく必要があります。

「RSA 鍵の概要」

「ルータに複数の RSA 鍵を保管する理由」

「エクスポート可能な RSA 鍵のメリット」

「RSA 鍵のインポートおよびエクスポート時のパスフレーズ保護」

RSA 鍵の概要

RSA キー ペアは、公開鍵と秘密鍵で構成されます。PKI を設定する場合、証明書登録要求に公開鍵を含める必要があります。証明書が付与された後、ピアが公開鍵を使用して、ルータに送信されるデータを暗号化できるように、公開鍵が証明書に組み込まれます。秘密鍵はルータに保持され、ピアによって送信されたデータの復号化と、ピアとネゴシエーションするときの、トランザクションのデジタル署名に使用されます。

RSA キー ペアには、鍵のモジュラス値が含まれています。モジュラス値に応じて、RSA 鍵のサイズが決まります。モジュラス値が大きいほど、RSA 鍵の安全性が高まります。ただし、モジュラス値が大きくなると、鍵の生成にかかる時間が長くなり、鍵のサイズが大きくなると暗号化処理および復号化処理にかかる時間が長くなります。


) Cisco IOS リリース 12.4(11)T の時点では、最大 4096 ビットまでのピアの公開 RSA 鍵のモジュラス値が自動的にサポートされます。

秘密 RSA 鍵の最大モジュラス値は 2048 ビットです。したがって、ルータが生成またはインポートできる RSA 秘密鍵の最大サイズは、2048 ビットです。

CA の推奨モジュラス値は 2048 ビット、クライアントの推奨モジュラス値は 1024 ビットです。


用途 RSA 鍵と汎用目的 RSA 鍵

RSA キー ペアには用途鍵と汎用目的鍵の 2 つのタイプがあり、これらは相互に排他的です。RSA キー ペアを生成するとき( crypto key generate rsa コマンドを使用)、用途鍵または汎用目的鍵を選択するためのプロンプトが表示されます。

用途 RSA 鍵

用途鍵は 2 組の RSA キー ペアで構成されます。このうち 1 組の RSA キー ペアは暗号化用に、もう 1 組の RSA キー ペアは署名用にそれぞれ生成され、使用されます。用途鍵を使用すると、各鍵は不必要に暴露されなくなります (用途鍵を使用しない場合、1 つの鍵が両方の認証方法に使用されるため、その鍵が暴露される危険性が高くなります)。

汎用目的 RSA 鍵

汎用目的鍵は、1 つの RSA キー ペアだけで構成され、このキー ペアは暗号化と署名の両方に使用されます。汎用目的のキー ペアは、用途キー ペアよりも頻繁に使用されます。

ルータに複数の RSA 鍵を保管する理由

複数の RSA キー ペアを設定することで、Cisco IOS ソフトウェアは、対応する CA ごとに異なるキー ペアを維持できます。このようにして、このソフトウェアは、同じ CA で複数のキー ペアおよび証明書を維持できます。したがって、Cisco IOS ソフトウェアは、鍵の長さ、鍵のライフタイム、汎用目的鍵または用途鍵など、他の CA で指定される要件を損なうことなく、各 CA のポリシー要件に合致します。

名前付きのキー ペア( label key-label オプションを使用して指定する)を使用して、複数の RSA キー ペアを用意すると、Cisco IOS ソフトウェアがアイデンティティの証明書ごとに異なるキー ペアを維持できるようになります。

エクスポート可能な RSA 鍵のメリット


注意 エクスポート可能な RSA 鍵を使用すると、鍵が暴露される危険性があるため、エクスポート可能な RSA キーは、使用前に慎重に評価する必要があります。

既存の RSA 鍵はすべてエクスポート不能です。新しい鍵は、デフォルトでエクスポート不能として生成されます。既存のエクスポート不能の鍵は、エクスポート可能な鍵に変換できません。

Cisco IOS リリース 12.2(15)T では、ユーザは、ルータの秘密 RSA キー ペアをスタンバイ ルータと共有できます。したがって、ネットワーキング デバイス間でセキュリティ証明書を転送できます。キー ペアを 2 台のルータ間で共有すると、一方のルータが、もう一方のルータの機能を迅速かつトランスペアレントに引き継ぐことができます。メイン ルータが故障した場合、スタンバイ ルータがネットワークに投入され、鍵の再生、CA への再登録、または手動での鍵の再配布を行うことなく、メイン ルータを置き換えます。

また、セキュア シェル(SSH)を使用するすべての管理ステーションを 1 つの公開 RSA キーで設定できるように、RSA キー ペアをエクスポートおよびインポートすると、ユーザは同じ RSA キー ペアを複数のルータに配置することもできます。

PEM 形式ファイルでエクスポート可能な RSA 鍵

Privacy-Enhanced Mail(PEM; プライバシエンハンストメール)形式ファイルを使用した RSA 鍵のインポートまたはエクスポートは、Cisco IOS ソフトウェア リリース 12.3(4)T 以降を実行するお客様および、Secure Socket Layer(SSL; セキュア ソケット レイヤ)またはセキュア シェル(SSH)アプリケーションを使用して、RSA キー ペアを手動で生成し、鍵を PKI アプリケーションに再インポートするお客様に役立ちます。PEM 形式のファイルを使用すると、新しい鍵を生成しなくても、既存の RSA キー ペアを Cisco IOS ルータで直接使用できます。

RSA 鍵のインポートおよびエクスポート時のパスフレーズ保護

エクスポートする PKCS12 ファイルまたは PEM ファイルを暗号化するには、パスフレーズを含める必要があります。また、PKCS12 または PEM ファイルをインポートするときは、同じパスフレーズを入力して復号化する必要があります。PKCS12 または PEM ファイルをエクスポート、削除、またはインポートする際にこれらのファイルを暗号化すると、ファイルの伝送あるいは外部デバイスへの保管中に、ファイルを不正なアクセスおよび使用から保護します。

パスフレーズには、8 文字以上の任意のフレーズを指定できます。パスフレーズにはスペースおよび句読点を含めることができますが、Cisco IOS パーサに特殊な意味を持つ疑問符(?)は除きます。

エクスポート可能な RSA キー ペアをエクスポート不能な RSA キー ペアに変換する方法

パスフレーズ保護により、外部の PKCS12 または PEM ファイルが不正なアクセスおよび使用から保護されます。RSA キー ペアがエクスポートされないようにするには、RSA キー ペアに「エクスポート不能」のラベルを付ける必要があります。エクスポート可能な RSA キー ペアをエクスポート不能なキー ペアに変換するには、キー ペアをエクスポートしてから、「exportable」キーワードを指定せずに再インポートする必要があります。

PKI 内で RSA 鍵を設定および展開する方法

ここでは、次の各手順について説明します。

「RSA キー ペアの生成」

「複数の RSA キー ペアの生成および保管」

「RSA 鍵のエクスポートおよびインポート」

「ルータの秘密鍵の暗号化およびロック」

「RSA キー ペア設定の削除」

RSA キー ペアの生成

RSA キー ペアを手動で生成するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto key generate rsa [ general-keys | usage-keys | signature | encryption ] [ label key-label ] [ exportable ] [ modulus modulus-size ] [ storage devicename: ] [ on devicename: ]

4. exit

5. show crypto key mypubkey rsa

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto key generate rsa [ general-keys | usage-keys | signature | encryption ] [ label key-label ] [ exportable ] [ modulus modulus-size ] [ storage devicename: ] [ on devicename: ]

 

Router(config)# crypto key generate rsa general-keys modulus 360

(任意)証明書サーバの RSA キー ペアを生成します。

storage キーワードを使用すると、鍵の保管場所を指定できます。

key-label 引数を指定することによってラベル名を指定する場合、 crypto pki server cs-label コマンドによって証明書サーバに使用するラベルと同じ名前を使用する必要があります。 key-label 引数を指定していない場合、ルータの Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)であるデフォルト値が使用されます。

no shutdown コマンドを発行する前に、CA 証明書が生成されるまで待ってからエクスポート可能な RSA キー ペアを手動で生成する場合、 crypto ca export pkcs12 コマンドを使用して、証明書サーバ証明書および秘密鍵を含む PKCS12 ファイルをエクスポートできます。

デフォルトでは、CA 鍵のモジュラス サイズは 1024 ビットです。推奨される CA 鍵のモジュラスは 2048 ビットです。CA 鍵のモジュラス サイズの範囲は 350 ~ 4096 ビットです。

on キーワードは、指定した装置上で RSA キー ペアが作成されることを指定します。この装置には Universal Serial Bus(USB; ユニバーサルシリアルバス)トークン、ローカル ディスク、および NVRAM などがあります。装置の名前の後にはコロン(:)を付けます。

(注) USB トークン上で作成されるキーは、2048 ビット以下である必要があります。

ステップ 4

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 5

show crypto key mypubkey rsa

 

Router# show crypto key mypubkey rsa

(任意)ルータの RSA 公開鍵を表示します。

このステップでは、RSA キー ペアが正常に生成されたことを確認できます。

この次の手順

正常に RSA キー ペアを生成したら、この章のいずれかの追加作業に進み、RSA キー ペアに対して追加の RSA キー ペアを生成する、RSA キー ペアのエクスポートおよびインポートを実行する、または追加のセキュリティ パラメータ(秘密鍵の暗号化またはロックなど)を設定します。

複数の RSA キー ペアの生成および保管

複数の RSA キー ペアを生成および保管し、トラストポイントにキー ペアを関連付けるようにルータを設定するには、次の作業を実行します。

トラストポイント(CA としても知られる)は、証明書要求を管理し、参加ネットワーク デバイスに証明書を発行します。これらのサービスは、参加デバイスを一元的に管理します。またこれらのサービスによって受信者は、明示的に信頼してアイデンティティを確認し、デジタル証明書を作成できます。PKI の動作を開始する前に、CA は独自の公開鍵ペアを生成し、自己署名 CA 証明書を作成します。その後、CA は、証明書要求に署名し、PKI に対してピア登録を開始できます。

前提条件

RSA キー ペアを、 「RSA キー ペアの生成」 の手順どおりに生成している必要があります。

手順の概要

1. crypto pki trustpoint name

2. rsakeypair key-label [ key-size [ encryption-key-size ]]

3. exit

4. exit

5. show crypto key mypubkey rsa

手順の詳細

コマンドまたはアクション
目的

ステップ 1

crypto pki trustpoint name

 

Router(config)# crypto pki trustpoint fancy-ca

トラストポイントを作成し、CA トラストポイント コンフィギュレーション モードを開始します。

ステップ 2

rsakeypair key-label [ key-size [ encryption-key-size ]]

 

Router(ca-trustpoint)# rsakeypair fancy-keys

トラストポイントに使用するキー ペアを指定します。

鍵を生成するための key-size 引数を指定し、 encryption-key-size 引数を指定して、個別の暗号化、署名キー、および証明書を要求します。

ステップ 3

exit

 

Router (ca-trustpoint)# exit

CA トラストポイント コンフィギュレーション モードを終了します。

ステップ 4

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 5

show crypto key mypubkey rsa

 

Router# show crypto key mypubkey rsa

(任意)ルータの RSA 公開鍵を表示します。

このステップでは、RSA キー ペアが正常に生成されたことを確認できます。

RSA 鍵のエクスポートおよびインポート

ここでは、RSA 鍵のエクスポートおよびインポートに使用できる次の作業について説明します。エクスポート可能な RSA 鍵を使用すると、メイン ルータが故障した場合に、使用ファイルが PKCS12 ファイルか PEM ファイルかにかかわらず、新しい RSA 鍵を生成しなくても、Cisco IOS ルータの既存の RSA 鍵を使用できます。

「PKCS12 ファイルの RSA 鍵のエクスポートおよびインポート」

「PEM 形式ファイルの RSA 鍵のエクスポートおよびインポート」

PKCS12 ファイルの RSA 鍵のエクスポートおよびインポート

RSA キー ペアをエクスポートおよびインポートすることにより、ユーザは、セキュリティ証明書をデバイス間で転送できます。キー ペアを 2 台のデバイス間で共有すると、一方のデバイスが、もう一方のデバイスの機能を迅速かつトランスペアレントに引き継ぐことができます。

PKCS12 ファイルの RSA 鍵のエクスポートおよびインポートに関する前提条件

RSA キー ペアを 「RSA キー ペアの生成」 の作業に従って生成し、そのキー ペアに「エクスポート可能」のマークを付ける必要があります。

PKCS12 ファイルの RSA 鍵のエクスポートおよびインポートに関する制約事項

システムを Cisco IOS リリース 12.2(15)T 以降にアップグレードするまでは、ルータ上に存在する RSA 鍵をエクスポートできません。Cisco IOS ソフトウェアのアップグレード後、新しい RSA 鍵を生成し、この鍵に「エクスポート可能」のラベルを付ける必要があります。

サードパーティ製のアプリケーションで生成された PKCS12 ファイルをインポートする場合、PKCS12 ファイルには CA 証明書が含まれている必要があります。

RSA キー ペアをすでにエクスポートし、ターゲット ルータにインポートした後で RSA キー ペアを再インポートする場合、RSA キー ペアをインポートするときに、 exportable キーワードを指定する必要があります。

ルータがインポートできる RSA 鍵の最大サイズは、2048 ビットです。

手順の概要

1. crypto pki trustpoint name

2. rsakeypair key-label [ key-size [ encryption-key-size ]]

3. exit

4. crypto pki export trustpointname pkcs12 destination-url passphrase

5. crypto pki import trustpointname pkcs12 source-url passphrase

6. exit

7. show crypto key mypubkey rsa

手順の詳細

コマンドまたはアクション
目的

ステップ 1

crypto pki trustpoint name

 

Router(config)# crypto pki trustpoint my-ca

RSA キー ペアに関連付けるトラストポイント名を作成し、CA トラストポイント コンフィギュレーション モードを開始します。

ステップ 2

rsakeypair key-label [ key-size [ encryption-key-size ]]

 

Router(ca-trustpoint)# rsakeypair my-keys

トラストポイントに使用するキー ペアを指定します。

ステップ 3

exit

 

Router(ca-trustpoint)# exit

CA トラストポイント コンフィギュレーション モードを終了します。

ステップ 4

crypto pki export trustpointname pkcs12 destination-url passphrase

 

Router(config)# crypto pki export my-ca pkcs12 tftp://tftpserver/my-keys PASSWORD

トラストポイント名を使用して RSA 鍵をエクスポートします。

フラッシュ、ヌル、FTP、NVRAM、Remote File Copying(RCP)、SCP、システム、TFTP、Webflash、Xmodem、または Ymodem

ステップ 5

crypto pki import trustpointname pkcs12 source-url passphrase

 

Router(config)# crypto pki import my-ca pkcs12 tftp://tftpserver/my-keys PASSWORD

ターゲット ルータに RSA 鍵をインポートします。

ステップ 6

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 7

show crypto key mypubkey rsa

 

Router# show crypto key mypubkey rsa

(任意)ルータの RSA 公開鍵を表示します。

PEM 形式ファイルの RSA 鍵のエクスポートおよびインポート

PEM ファイルの RSA キー ペアをエクスポートまたはインポートするには、次の作業を実行します。

PEM 形式ファイルの RSA 鍵のエクスポートおよびインポートに関する前提条件

RSA キー ペアを 「RSA キー ペアの生成」 の作業に従って生成し、そのキー ペアに「エクスポート可能」のマークを付ける必要があります。

PEM 形式ファイルの RSA 鍵のエクスポートおよびインポートに関する制約事項

システムを Cisco IOS リリース 12.3 (4)T 以降のリリースにアップグレードする前に、エクスポート可能のフラグを付けずに生成された RSA 鍵は、エクスポートおよびインポートできません。Cisco IOS ソフトウェアをアップグレードしたら、新しい RSA 鍵を生成する必要があります。

ルータがインポートできる RSA 鍵の最大サイズは、2048 ビットです。

手順の概要

1. crypto key generate rsa { usage-keys | general-keys } label key-label [ exportable ]

2. crypto key export rsa key-label pem { terminal | url url } { 3des | des } passphrase

3. crypto key import rsa key-label pem [ usage-keys ] { terminal | url url } [ exportable ] passphrase

4. exit

5. show crypto key mypubkey rsa

手順の詳細

コマンドまたはアクション
目的

ステップ 1

crypto key generate rsa {usage-keys | general-keys} label key-label [exportable]

 

Router(config)# crypto key generate rsa general-keys label mykey exportable

RSA キー ペアを生成します。

PEM ファイルを使用するには、RSA キー ペアはエクスポート可能のラベルが付いている必要があります。

ステップ 2

crypto key export rsa key-label pem { terminal | url url } { 3des | des } passphrase

 

Router(config)# crypto key export rsa mycs pem url nvram: 3des PASSWORD

生成された RSA キー ペアをエクスポートします。

ヒント PEM ファイルは、必ず安全な場所に保管してください。たとえば、別のバックアップ ルータに保管することもできます。

ステップ 3

crypto key import rsa key-label pem [usage-keys] {terminal | url url} [exportable] passphrase

 

Router(config)# crypto key import rsa mycs2 pem url nvram: PASSWORD

生成された RSA キー ペアをインポートします。

(注) 鍵を CA からエクスポート可能にしない場合は、その鍵をエクスポート不能のキー ペアとしてエクスポートしてから、CA に再度インポートしてください。この鍵は削除できなくなります。

ステップ 4

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 5

show crypto key mypubkey rsa

 

Router# show crypto key mypubkey rsa

(任意)ルータの RSA 公開鍵を表示します。

ルータの秘密鍵の暗号化およびロック

デジタル署名は、あるデバイスを別のデバイスに対して認証するために使用されます。デジタル署名を使用するには、プライベート情報(秘密鍵)を、署名を提示しているデバイスに保管する必要があります。保管されたプライベート情報は、秘密鍵を含むハードウェア装置を乗っ取ろうとする攻撃者に役立つことがあります。たとえば、攻撃者は、乗っ取ったルータを使用し、ルータに保管されている RSA 秘密鍵を使用して、別のサイトへのセキュアな接続を開始する可能性があります。


) RSA 鍵はパスワードの復元操作中に失われます。パスワードを喪失した場合、パスワードの復元操作を実行すると、RSA 鍵は削除されます (この機能により、攻撃者がパスワードの復元を実行して鍵を使用するのを防止します)。


攻撃者から秘密 RSA 鍵を保護するために、ユーザは、パスフレーズを使用して NVRAM に保管された秘密鍵を暗号化できます。侵入を試みる攻撃者によってルータが乗っ取られた場合、ユーザは、秘密鍵を「ロック」することもできます。これにより、稼動中ルータからの新しい接続の試行がブロックされ、ルータ内の鍵が保護されます。

NVRAM に保存された秘密鍵を暗号化しロックするには、次の作業を実行します。

前提条件

秘密鍵を暗号化またはロックする前に、次の作業を実行する必要があります。

RSA キー ペアを 「RSA キー ペアの生成」 の手順どおりに生成します。

必要に応じて、各ルータを認証し、CA サーバに登録できます。


) CA の登録中は、RSA 鍵のロックを解除する必要があります。ルータの秘密鍵は認証時に使用されないため、CA でルータを認証している間、この秘密鍵をロックできます。


秘密鍵の暗号化およびロックに関する制約事項

下位互換性に関する制約事項

Cisco IOS リリース 12.3(7)T よりも前のイメージは、暗号鍵をサポートしません。暗号鍵がルータによってすべて喪失されないように、Cisco IOS リリース 12.3(7)T 以前のイメージを起動する前に、暗号化されていない鍵だけが NVRAM に書き込まれていることを確認してください。

Cisco IOS リリース 12.3(7)T 以前のイメージをダウンロードする必要がある場合は、ダウンロードされたイメージによって設定が上書きされないように、鍵を復号化し、ただちに設定を保存してください。

アプリケーションとの相互作用

ルータの起動後、鍵を手動で( crypto key unlock rsa コマンドを使用して)アンロックするまで、暗号鍵は有効になりません。暗号化されているキー ペアによっては、この機能により、IP セキュリティ(IPsec)、SSH、SSL などのアプリケーションに悪影響が及ぶ可能性があります。つまり必要なキー ペアがアンロックされるまで、セキュア チャネル経由でのルータ管理ができない場合があります。

手順の概要

1. crypto key encrypt [ write ] rsa [ name key-name ] passphrase passphrase

2. exit

3. show crypto key mypubkey rsa

4. crypto key lock rsa [ name ] key-name [ passphrase passphrase

5. show crypto key mypubkey rsa

6. crypto key unlock rsa [ name ] key-name [ passphrase passphrase

7. configure terminal

8. crypto key decrypt [ write ] rsa [ name key-name ] passphrase passphrase

手順の詳細

コマンドまたはアクション
目的

ステップ 1

crypto key encrypt [write] rsa [name key-name] passphrase passphrase

 

Router(config)# crypto key encrypt write rsa name pki.example.com passphrase password

RSA 鍵を暗号化します。

このコマンドが発行されると、ルータは鍵を引き続き使用でき、鍵はアンロックされたままになります。

ステップ 2

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 3

show crypto key mypubkey rsa

 

Router# show crypto key mypubkey rsa

(任意)秘密鍵が暗号化(保護)され、アンロックされていることを確認できます。

(注) このコマンドを使用して、鍵の暗号化後、Internet Key Exchange(IKE; インターネット キー エクスチェンジ)および SSH などのアプリケーションが適切に機能していることを確認することもできます。

ステップ 4

crypto key lock rsa [ name key-name ] passphrase passphrase

 

Router# crypto key lock rsa name pki.example.com passphrase password

(任意)暗号化された秘密鍵を稼動中のルータ上でロックします。

すべての RSA 鍵をロックすると、SSH は自動的にディセーブルになります。

ステップ 5

show crypto key mypubkey rsa

 

Router# show crypto key mypubkey rsa

(任意)秘密鍵が保護され、ロックされていることを確認できます。

このコマンドの出力では、IKE、SSH、SSL などのアプリケーションによって試行された接続の失敗も表示されます。

ステップ 6

crypto key unlock rsa [ name key-name ] passphrase passphrase

 

Router# crypto key unlock rsa name pki.example.com passphrase password

(任意)秘密鍵をアンロックします。

(注) このコマンドを発行すると、IKE トンネルを引き続き確立できます。

ステップ 7

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 8

crypto key decrypt [ write ] rsa [ name key-name ] passphrase passphrase

 

Router(config)# crypto key decrypt write rsa name pki.example.com passphrase password

(任意)暗号化された鍵を削除し、暗号化されていない鍵だけを残します。

キーワードを発行しない場合、設定を手動で NVRAM に書き込む必要があります。この作業を行わないと、次にルータをリロードしときに鍵が暗号化したままになります。

RSA キー ペア設定の削除

次のいずれかの理由により、RSA キー ペアの削除が必要になる場合があります。

手動での PKI 操作およびメンテナンスの間に、古い RSA 鍵を削除して、新しい鍵と交換できます。

既存の CA を置き換えた場合、新しい CA では、新たに鍵を生成する必要があります。たとえば、必要な鍵のサイズが組織によって異なることがあるため、古い 1024 ビット鍵を削除し、新しい 2048 ビット鍵を生成することが必要になる場合があります。

すべての RSA 鍵またはルータによって生成された指定の RSA キー ペアを削除するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto key zeroize rsa [ key-pair-label ]

4. exit

5. show crypto key mypubkey rsa

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto key zeroize rsa [key-pair-label]

 

Router(config)# crypto key zeroize rsa fancy-keys

ルータから RSA キー ペアを削除します。

key-pair-label 引数を指定していない 場合 ルータによって生成された RSA 鍵はすべて削除されます。

ステップ 4

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 5

show crypto key mypubkey rsa

 

Router# show crypto key mypubkey rsa

(任意)ルータの RSA 公開鍵を表示します。

このステップでは、RSA キー ペアが正常に生成されたことを確認できます。

RSA キー ペア展開での設定例

ここでは、次の設定例を示します。

「RSA 鍵の生成および指定例」

「RSA 鍵のエクスポートおよびインポート:例」

「ルータの秘密鍵の暗号化およびロック:例」

RSA 鍵の生成および指定例

次の例は、RSA キー ペア「exampleCAkeys」を生成し、指定する方法を示すサンプルのトラストポイント設定です。

crypto key generate rsa general-purpose exampleCAkeys
crypto ca trustpoint exampleCAkeys
enroll url http://exampleCAkeys/certsrv/mscep/mscep.dll
rsakeypair exampleCAkeys 1024 1024
 
 

PKCS12 ファイルの RSA 鍵のエクスポートおよびインポート:例

次の例では、RSA キー ペア「mynewkp」がルータ A で生成され、トラストポイント名「mynewtp」が作成されて、この RSA キー ペアに関連付けられています。このトラストポイントは、ルータ B にインポートできるように、TFTP サーバにエクスポートされます。ユーザは、ルータ B にトラストポイント「mynewtp」をインポートして、ルータ B に RSA キー ペア「mynewkp」をインポートしました。

ルータ A

crypto key generate rsa general label mykeys exportable
! The name for the keys will be:mynewkp
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]:
% Generating 512 bit RSA keys ...[OK]
!
crypto pki trustpoint mynewtp
rsakeypair mykeys
exit
 
crypto pki export mytp pkcs12 flash:myexport companyname
Destination filename [myexport]?
Writing pkcs12 file to tftp:/mytftpserver/myexport
CRYPTO_PKI:Exported PKCS12 file successfully.
Verifying checksum... OK (0x3307)
!
Feb 18 17:30:09 GMT:%CRYPTO-6-PKCS12EXPORT_SUCCESS:PKCS #12 Successfully Exported.

ルータ B

crypto pki import mynewtp pkcs12 flash:myexport companyname
Source filename [myexport]?
CRYPTO_PKI:Imported PKCS12 file successfully.
 
!
Feb 18 18:07:50 GMT:%CRYPTO-6-PKCS12IMPORT_SUCCESS:PKCS #12 Successfully Imported.

PEM ファイルの RSA 鍵の生成、エクスポート、インポート、および検証例

次の例では、鍵を生成してエクスポートし、戻す(インポートする)方法、および RSA キー ペア「mycs」のステータスを確認する方法を示します。

! Generate the key pair
!
Router(config)# crypto key generate rsa general-purpose label mycs exportable
The name for the keys will be: mycs
 
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.
 
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys ...[OK]
!
! Archive the key pair to a remote location, and use a good password.
!
Router(config)# crypto key export rsa mycs pem url nvram:3des PASSWORD
 
% Key name:mycs
Usage:General Purpose Key
Exporting public key...
Destination filename [mycs.pub]?
Writing file to nvram:mycs.pub
Exporting private key...
Destination filename [mycs.prv]?
Writing file to nvram:mycs.prv
!
! Import the key as a different name.
!
Router(config)# crypto key import rsa mycs2 pem url nvram:mycs PASSWORD
 
% Importing public key or certificate PEM file...
Source filename [mycs.pub]?
Reading file from nvram:mycs.pub
% Importing private key PEM file...
Source filename [mycs.prv]?
Reading file from nvram:mycs.prv% Key pair import succeeded.
!
! After the key has been imported, it is no longer exportable.
!
! Verify the status of the key.
!
Router# show crypto key mypubkey rsa
 
% Key pair was generated at:18:04:56 GMT Jun 6 2003
Key name:mycs
Usage:General Purpose Key
Key is exportable.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00E65253
9C30C12E 295AB73F B1DF9FAD 86F88192 7D4FA4D2 8BA7FB49 9045BAB9 373A31CB
A6B1B8F4 329F2E7E 8A50997E AADBCFAA 23C29E19 C45F4F05 DBB2FA51 4B7E9F79
A1095115 759D6BC3 5DFB5D7F BCF655BF 6317DB12 A8287795 7D8DC6A3 D31B2486
C9C96D2C 2F70B50D 3B4CDDAE F661041A 445AE11D 002EEF08 F2A627A0 5B020301 0001
% Key pair was generated at:18:17:25 GMT Jun 6 2003
Key name:mycs2
Usage:General Purpose Key
Key is not exportable.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00E65253
9C30C12E 295AB73F B1DF9FAD 86F88192 7D4FA4D2 8BA7FB49 9045BAB9 373A31CB
A6B1B8F4 329F2E7E 8A50997E AADBCFAA 23C29E19 C45F4F05 DBB2FA51 4B7E9F79
A1095115 759D6BC3 5DFB5D7F BCF655BF 6317DB12 A8287795 7D8DC6A3 D31B2486
C9C96D2C 2F70B50D 3B4CDDAE F661041A 445AE11D 002EEF08 F2A627A0 5B020301 0001

PEM ファイルからのルータ RSA キー ペアおよび証明書のエクスポート例

次の例では、トラストポイント「mycs」に関連付けられているルータの RSA キー ペア「aaa」と PEM ファイル形式の証明書を生成し、これらをエクスポートする方法を示します。また、この例では、他の SSL および SSH アプリケーションで使用される PEM 形式ファイルも示します。このファイルには、Base 64 暗号化データの前後の PEM 境界が含まれています。

Router(config)# crypto key generate rsa general-keys label aaa exportable
 
The name for the keys will be:aaa
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.
!
How many bits in the modulus [512]:
% Generating 512 bit RSA keys ...[OK]
!
Router(config)# crypto pki trustpoint mycs
Router(ca-trustpoint)# enrollment url http://mycs
Router(ca-trustpoint)# rsakeypair aaa
Router(ca-trustpoint)# exit
Router(config)# crypto pki authenticate mycs
Certificate has the following attributes:
Fingerprint:C21514AC 12815946 09F635ED FBB6CF31
% Do you accept this certificate? [yes/no]: y
Trustpoint CA certificate accepted.
!
Router(config)# crypto pki enroll mycs
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
 
Password:
Re-enter password:
 
% The fully-qualified domain name in the certificate will be: Router
% The subject name in the certificate will be:host.example.com
% Include the router serial number in the subject name? [yes/no]: n
% Include an IP address in the subject name? [no]: n
Request certificate from CA? [yes/no]: y
% Certificate request sent to Certificate Authority
% The certificate request fingerprint will be displayed.
% The 'show crypto ca certificate' command will also show the fingerprint.
 
Router(config)# Fingerprint:8DA777BC 08477073 A5BE2403 812DD157
 
00:29:11:%CRYPTO-6-CERTRET:Certificate received from Certificate Authority
 
Router(config)# crypto ca export aaa pem terminal 3des password
% CA certificate:
-----BEGIN CERTIFICATE-----
MIICAzCCAa2gAwIBAgIBATANBgkqhkiG9w0BAQUFADBOMQswCQYDVQQGEwJVUzES
<snip>
waDeNOSI3WlDa0AWq5DkVBkxwgn0TqIJXJOCttjHnWHK1LMcMVGn
-----END CERTIFICATE-----
 
% Key name:aaa
Usage:General Purpose Key
-----BEGIN RSA PRIVATE KEY-----
Proc-Type:4,ENCRYPTED
DEK-Info:DES-EDE3-CBC,ED6B210B626BC81A
 
Urguv0jnjwOgowWVUQ2XR5nbzzYHI2vGLunpH/IxIsJuNjRVjbAAUpGk7VnPCT87
<snip>
kLCOtxzEv7JHc72gMku9uUlrLSnFH5slzAtoC0czfU4=
-----END RSA PRIVATE KEY-----
 
% Certificate:
-----BEGIN CERTIFICATE-----
MIICTjCCAfigAwIBAgICIQUwDQYJKoZIhvcNAQEFBQAwTjELMAkGA1UEBhMCVVMx
<snip>
6xlBaIsuMxnHmr89KkKkYlU6
-----END CERTIFICATE-----

PEM ファイルからのルータ RSA キー ペアおよび証明書のインポート:例

次の例では、TFTP を使用して、PEM ファイルから RSA キー ペアと証明書をトラストポイント「ggg」にインポートする方法を示します。

Router(config)# crypto pki import ggg pem url tftp://10.1.1.2/username/msca password
% Importing CA certificate...
Address or name of remote host [10.1.1.2]?
Destination filename [username/msca.ca]?
Reading file from tftp://10.1.1.2/username/msca.ca
Loading username/msca.ca from 10.1.1.2 (via Ethernet0):!
[OK - 1082 bytes]
 
% Importing private key PEM file...
Address or name of remote host [10.1.1.2]?
Destination filename [username/msca.prv]?
Reading file from tftp://10.1.1.2/username/msca.prv
Loading username/msca.prv from 10.1.1.2 (via Ethernet0):!
[OK - 573 bytes]
 
% Importing certificate PEM file...
Address or name of remote host [10.1.1.2]?
Destination filename [username/msca.crt]?
Reading file from tftp://10.1.1.2/username/msca.crt
Loading username/msca.crt from 10.1.1.2 (via Ethernet0):!
[OK - 1289 bytes]
% PEM files import succeeded.
Router(config)#

ルータの秘密鍵の暗号化およびロック:例

ここでは、次の設定例を示します。

「暗号鍵の設定および検証例」

「ロックされた鍵の設定および確認例」

暗号鍵の設定および検証例

次の例では、RSA 鍵「pki-123.example.com」を暗号化する方法を示します。その後、 show crypto key mypubkey rsa コマンドを発行して、RSA 鍵が暗号化(保護)され、アンロックされていることを確認します。

Router(config)# crypto key encrypt rsa name pki-123.example.com passphrase password
Router(config)# exit
Router# show crypto key mypubkey rsa
 
% Key pair was generated at:00:15:32 GMT Jun 25 2003
Key name:pki-123.example.com
Usage:General Purpose Key
*** The key is protected and UNLOCKED. ***
Key is not exportable.
Key Data:
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E0CC9A 1D23B52C
CD00910C ABD392AE BA6D0E3F FC47A0EF 8AFEE340 0EC1E62B D40E7DCC
23C4D09E
03018B98 E0C07B42 3CFD1A32 2A3A13C0 1FF919C5 8DE9565F 1F020301 0001
% Key pair was generated at:00:15:33 GMT Jun 25 2003
Key name:pki-123.example.com.server
Usage:Encryption Key
Key is exportable.
Key Data:
307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00D3491E 2A21D383
854D7DA8 58AFBDAC 4E11A7DD E6C40AC6 66473A9F 0C845120 7C0C6EC8 1FFF5757
3A41CE04 FDCB40A4 B9C68B4F BC7D624B 470339A3 DE739D3E F7DDB549 91CD4DA4
DF190D26 7033958C 8A61787B D40D28B8 29BCD0ED 4E6275C0 6D020301 0001
Router#

ロックされた鍵の設定および確認例

次の例では、RSA 鍵「pki-123.example.com」をロックする方法を示します。その後、 show crypto key mypubkey rsa コマンドを発行して、RSA 鍵が保護(暗号化)され、アンロックされていることを確認します。

Router# crypto key lock rsa name pki-123.example.com passphrase password
!
Router# show crypto key mypubkey rsa
 
% Key pair was generated at:20:29:41 GMT Jun 20 2003
Key name:pki-123.example.com
Usage:General Purpose Key
*** The key is protected and LOCKED. ***
Key is exportable.
Key Data:
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00D7808D C5FF14AC
0D2B55AC 5D199F2F 7CB4B355 C555E07B 6D0DECBE 4519B1F0 75B12D6F 902D6E9F
B6FDAD8D 654EF851 5701D5D7 EDA047ED 9A2A619D 5639DF18 EB020301 0001

関連情報

RSA キー ペアを生成したら、トラストポイントを設定する必要があります。すでにトラストポイントを設定している場合は、ルータを認証し、PKI に登録する必要があります。登録に関する情報については、「Configuring Certificate Enrollment for a PKI」を参照してください。

その他の参考資料

次の項では、PKI での RSA 鍵の設定に関連する参考資料を示します。

関連資料

内容
参照先

PKI の概要(RSA キー、証明書登録、および CA を含む)

「Cisco IOS PKI Overview: Understanding and Planning a PKI」

PKI コマンド:完全なコマンドの構文、コマンド モード、デフォルト、使用上の注意事項、例

『Cisco IOS Security Command Reference』

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

PKI 内の RSA 鍵に関する機能情報

表 1 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。この表には、Cisco IOS リリース 12.2(1) 以降のリリースで導入または変更された機能だけを示します。

ここに記載されていないこのテクノロジーの機能情報については、「Implementing and Managing PKI Features Roadmap」を参照してください。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 1 PKI 内の RSA 鍵に関する機能情報

機能名
ソフトウェア リリース
機能設定情報

Cisco IOS 4096 ビット公開鍵のサポート

12.4(12)T

この機能により、Cisco IOS 4096 ビット ピア公開鍵がサポートされます。

この機能に関する詳細については、次の項を参照してください。

「RSA 鍵の概要」

RSA 鍵のエクスポートおよびインポート

12.2(15)T

この機能では、RSA 鍵をエクスポートし、インポートすることにより、デバイス間でセキュリティ証明書を転送できます。キー ペアを 2 台のデバイス間で共有すると、一方のデバイスが、もう一方のデバイスの機能を迅速かつトランスペアレントに引き継ぐことができます。

この機能に関する詳細については、次の各項を参照してください。

「エクスポート可能な RSA 鍵のメリット」

「PKCS12 ファイルの RSA 鍵のエクスポートおよびインポート」

この機能により、 crypto ca export pkcs12 crypto ca import pkcs12 crypto key generate rsa (IKE) コマンドが導入または変更されました。

RSA キー ペアおよび PEM 形式証明書のインポート

12.3(4)T

この機能を使用すると、PEM 形式ファイルを使用して、RSA キー ペアをインポートまたはエクスポートできます。 PEM 形式のファイルを使用すると、新しい鍵を生成しなくても、既存の RSA キー ペアを Cisco IOS ルータで直接使用できます。

この機能に関する詳細については、次の各項を参照してください。

「エクスポート可能な RSA 鍵のメリット」

「PEM 形式ファイルの RSA 鍵のエクスポートおよびインポート」

この機能により、次のコマンドが導入されました。
crypto ca export pem crypto ca import pem crypto key export pem crypto key import pem

複数の RSA キー ペアのサポート

12.2(8)T

この機能では、複数の RSA キー ペアを保持するようにルータを設定できます。したがって、Cisco IOS ソフトウェアはアイデンティティ証明書ごとに異なるキー ペアを維持できます。

この機能に関する詳細については、次の各項を参照してください。

「ルータに複数の RSA 鍵を保管する理由」

「複数の RSA キー ペアの生成および保管」

この機能により、 crypto key generate rsa crypto key zeroize rsa rsakeypair コマンドが導入または変更されました。

秘密鍵保管の保護

12.3(7)T

この機能により、ユーザは、Cisco IOS ルータで使用される RSA 秘密鍵を暗号化およびロックできます。これにより、秘密鍵の不正使用を防止できます。

この機能に関する詳細については、次の項を参照してください。

「ルータの秘密鍵の暗号化およびロック」

この機能により、次のコマンドが導入または変更されました
crypto key decrypt rsa crypto key encrypt rsa crypto key lock rsa crypto key unlock rsa show crypto key mypubkey rsa

ソフトウェア暗号エンジンサポートでの RSA 4096 ビット キー生成

15.1(1)T

crypto key generate rsa コマンドの modulus キーワードの値の範囲は、360 ~ 2048 ビットから 360 ~ 4096 ビットに拡張されました。