Cisco DCNM Security コンフィギュレーション ガイド Release 4.0
キーチェーン管理の設定
キーチェーン管理の設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

キーチェーン管理の設定

キーチェーン管理の概要

キーチェーンおよびキーチェーン管理

キーのライフタイム

バーチャライゼーション サポート

キーチェーン管理のライセンス要件

キーチェーン管理の前提条件

注意事項および制約事項

キーチェーン管理の設定

キーチェーンの作成

キーチェーンの削除

キーの設定

キーのテキストの設定

キーの受け入れライフタイムおよび送信ライフタイムの設定

次の作業

キーチェーン管理のフィールドに関する説明

Keychain オブジェクト

Keychain Entry オブジェクト

関連フィールド

その他の参考資料

関連資料

規格

キーチェーン管理の概要

ここでは、次の内容について説明します。

「キーチェーンおよびキーチェーン管理」

「キーのライフタイム」

キーチェーンおよびキーチェーン管理

キーチェーン管理を使用すると、キーチェーンの作成と管理を行えます。キーチェーンは鍵のシーケンスを意味します(共有秘密ともいいます)。キーチェーンは、他の装置との通信を鍵ベース認証を使用して保護する機能と合わせて使用できます。装置では複数のキーチェーンを設定できます。

鍵ベース認証をサポートするルーティング プロトコルの中には、キーチェーンを使用してヒットレス キー ロールオーバーによる認証を実装できるものがあります。詳細については、『 Cisco DCNM Unicast Routing Configuration Guide 』を参照してください。

キーのライフタイム

安定した通信を維持するためには、キーベース認証で保護されるプロトコルを使用する各デバイスに、1 つの機能に対して同時に複数のキーを保存し使用する能力が必要です。キーチェーン管理は、キーの送信および受け入れライフタイムに基づいて、キー ロールオーバーを処理するセキュアなメカニズムを提供します。デバイスはキーのライフタイムを使用して、キーチェーン内のアクティブなキーを判断します。

キーチェーンの各キーには次に示す 2 つのライフタイムがあります。

受け入れライフタイム ― 別のデバイスとのキー交換時にデバイスがそのキーを受け入れる期間

送信ライフタイム ― 別のデバイスとのキー交換時にデバイスがそのキーを送信する期間

キーの送信ライフタイムおよび受け入れライフタイムは、次のパラメータを使用して定義します。

開始時 ― ライフタイムが開始される絶対時間

終了時 ― 次のいずれかの方法で定義できます。

ライフタイムが終了する絶対時間

開始時からライフタイムが終了するまでの経過秒数

無限のライフタイム(終了時なし)

キーの送信ライフタイム中、デバイスはルーティング アップデート パケットをキーと一緒に送信します。送信されたキーがデバイス上のキーの受け入れライフタイム期間内でない場合、そのデバイスはキーを送信したデバイスからの通信を受け入れません。

どのキーチェーンも、キーのライフタイムが重なるように設定することを推奨します。このようにすると、アクティブなキーがないことによるネイバー認証の失敗を避けることができます。

バーチャライゼーション サポート

Virtual Device Context(VDC; バーチャル デバイス コンテキスト)では、キーチェーンに次の事項が適用されます。

キーチェーンは各 VDC に固有です。ある VDC で作成した キーチェーン を別の VDC に使用することはできません。

複数の VDC でキーチェーンが共有されることはないので、キーチェーン名は他の VDC に再利用できます。

デバイスは、キーチェーンを VDC 単位では制限しません。

キーチェーン管理のライセンス要件

この機能のライセンス要件は次の表のとおりです。

 

製品
ライセンス要件

DCNM

キーチェーン管理には LAN Enterprise のライセンスが必要です。DCNM のライセンス スキームおよびライセンスの取得方法と適用方法に関する詳細は、『 Cisco DCNM Licensing Guide 』を参照してください。

NX-OS

キーチェーン管理にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide 』を参照してください。

キーチェーン管理の前提条件

キーチェーン管理には前提条件はありません。

注意事項および制約事項

キーチェーン管理に関する注意事項と制約事項は次のとおりです。

システム クロックが変更されると、キーがアクティブになる時期に影響が生じます。

キーチェーン管理の設定

図14-1 は、Key Chain のコンテンツ ペインを示しています。

図14-1 Key Chain のコンテンツ ペイン

 

ここでは、次の内容について説明します。

「キーチェーンの作成」

「キーチェーンの削除」

「キーの設定」

「キーのテキストの設定」

「キーの受け入れライフタイムおよび送信ライフタイムの設定」

キーチェーンの作成

デバイスにキーチェーンを作成できます。

作業を開始する前に

新しいキーチェーンには、キーは含まれていません。キーの追加については、「キーの設定」を参照してください。

詳細な手順

キーチェーンを作成するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Routing > Gateway Redundancy > Key Chain を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、キーチェーンを設定するデバイスをクリックします。

ステップ 3 メニューバーから、 Key Chain > Key Chain を選択します。

新しい行が Summary ペインに表示されます。

ステップ 4 そのキーチェーンの名前を入力します。有効なキーチェーン名は、最大 63 文字の英数字です。

ステップ 5 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

キーチェーンの削除

デバイスのキーチェーンを削除できます。


) キーチェーンを削除すると、キーチェーン内のキーはどれも削除されます。


作業を開始する前に

キーチェーンを削除する場合は、そのキーチェーンを使用している機能がないことを確認してください。削除するキーチェーンを使用するように設定されている機能がある場合、その機能は他のデバイスとの通信に失敗する可能性が高くなります。

詳細な手順

キーチェーンを削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Routing > Gateway Redundancy > Key Chain を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、削除するキーチェーンを持つデバイスをダブルクリックします。

そのデバイス上のキーチェーンが Summary テーブルに表示されます。

ステップ 3 削除するキーチェーンをクリックします。

ステップ 4 メニューバーから、 Key Chain > Delete を選択します。

そのキーチェーンが Summary テーブルから削除されます。

ステップ 5 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

キーの設定

キーチェーンにキーを設定できます。

新しいキーにはテキスト(共有秘密)は含まれていません。キーへのテキストの追加については、「キーのテキストの設定」を参照してください。

作業を開始する前に

新しいキーのデフォルトの受け入れライフタイムおよび送信ライフタイムはinfinite(無限)です。詳細については、「キーの受け入れライフタイムおよび送信ライフタイムの設定」を参照してください。

詳細な手順

キーを設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Routing > Gateway Redundancy > Key Chain を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、キーを設定するデバイスをダブルクリックします。

そのデバイス上のキーチェーンが Summary テーブルに表示されます。

ステップ 3 キーを設定するキーチェーンをダブルクリックします。

キーチェーンにキーが存在する場合、Summary テーブルに表示されます。

ステップ 4 (任意)新しいキーを作成するには、メニューバーから Key Chain > Key Chain Entry を選択します。

新しい行が、そのキーチェーンの下に表示されます。

ステップ 5 設定するキーの Key Chain Name/ID エントリをダブルクリックします。新しいキーを作成している場合、このエントリはブランクです。

ステップ 6 そのキーの識別子を入力します。識別子は、0 ~ 65535 の整数で指定する必要があります。

ステップ 7 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

キーのテキストの設定

キーのテキストを設定できます。テキストは共有秘密です。デバイスはこのテキストをセキュアな形式で保存します。

作業を開始する前に

そのキーのテキストを決めます。

デフォルトでは、受け入れライフタイムおよび送信ライフタイムは無限になり、キーは常に有効です。キーにテキストを設定してから、そのキーの受け入れライフタイムと送信ライフタイムを設定します。詳細については、「キーの受け入れライフタイムおよび送信ライフタイムの設定」を参照してください。

詳細な手順

キーのテキストを設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Routing > Gateway Redundancy > Key Chain を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、設定するキーを持つデバイスをダブルクリックします。

そのデバイス上のキーチェーンが Summary テーブルに表示されます。

ステップ 3 設定するキーを持つキーチェーンをダブルクリックします。

キーチェーンのキーが Summary テーブルに表示されます。

ステップ 4 設定するキーの Key String エントリをダブルクリックします。

フィールドはドロップダウン リストになります。

ステップ 5 このドロップダウン リストを使用し、テキスト ストリングに関して、入力する内容を非暗号化または暗号化のどちらにするかの選択を含む設定を行います。テキスト ストリングは最大 63 文字の英数字で、大文字と小文字は区別されます。特殊文字もサポートされます。

ステップ 6 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

キーの受け入れライフタイムおよび送信ライフタイムの設定

キーの受け入れライフタイムおよび送信ライフタイムを設定できます。


) キーチェーン内のキーのライフタイムが重複するように設定することを推奨します。このようにすると、アクティブなキーがないために、キーによるセキュア通信が切断される事態を避けることができます。


作業を開始する前に

デフォルトでは、受け入れライフタイムおよび送信ライフタイムは無限になり、キーは常に有効です。

受け入れライフタイムおよび送信ライフタイムについての詳細は、「キーのライフタイム」を参照してください。

詳細な手順

キーのテキストを設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Routing > Gateway Redundancy > Key Chain を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、設定するキーを持つデバイスをダブルクリックします。

そのデバイス上のキーチェーンが Summary テーブルに表示されます。

ステップ 3 設定するキーを持つキーチェーンをダブルクリックします。

キーチェーンのキーが Summary テーブルに表示されます。

ステップ 4 Accept Life Time の下で、設定するキーの Start エントリをダブルクリックします。

フィールドはドロップダウン リストになります。

ステップ 5 ドロップダウン リストを使用して、受け入れライフタイムの開始日時を設定します。

ステップ 6 Accept Life Time の下で、 End エントリをダブルクリックします。

フィールドはドロップダウン リストになります。

ステップ 7 このドロップダウン リストを使用して、受け入れライフタイムが終了する時期を設定します。

受け入れライフタイムの終了時期には、特定の日時、ライフタイムの期間(秒数)、または終了時なし(無限)を指定することができます。

ステップ 8 Send Life Time の下で、設定するキーの Start エントリをダブルクリックします。

フィールドはドロップダウン リストになります。

ステップ 9 このドロップダウン リストを使用して、送信ライフタイムの開始日時を設定します。

ステップ 10 Send Life Time の下で、 End エントリをダブルクリックします。

フィールドはドロップダウン リストになります。

ステップ 11 このドロップダウン リストを使用して、送信ライフタイムが終了する時期を設定します。

送信ライフタイムの終了時期には、特定の日時、ライフタイムの期間(秒数)、または終了時なし(無限)を指定することができます。

ステップ 12 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

次の作業

キーチェーンを使用するルーティング機能については、『 Cisco DCNM Unicast Routing Configuration Guide 』を参照してください。

キーチェーン管理のフィールドに関する説明

ここでは、キーチェーン管理のフィールドについて説明します。

「Keychain オブジェクト」

「Keychain Entry オブジェクト」

「関連フィールド」

Keychain オブジェクト

 

表14-1 Keychain オブジェクト

フィールド
説明

Key Chain Name/ID

キーチェーンに割り当てられた名前。有効な名前は、1 ~ 63 文字の英数字です。

Keychain Entry オブジェクト

 

表14-2 Keychain Entry オブジェクト

フィールド
説明

Key Chain Name/ID

キーチェーンに割り当てられた識別番号。有効な識別番号は、0 ~ 65535 の整数です。

Key String

キーの秘密を共有するテキスト ストリング。このフィールドのエントリは、セキュリティのためマスクされます。有効なエントリは、特殊文字を含む英数字のテキスト ストリングで、大文字と小文字は区別されます。最小長は 1 文字です。最大長は 63 文字です。

Accept Life Time

Start

受け入れライフタイムがアクティブになる UTC での日時。開始日時を指定しない場合、受け入れライフタイムは常に有効となります。

End

受け入れライフタイムが非アクティブになる時期。受け入れライフタイムの終了時期は、次のいずれかの方法で指定できます。

Specific ― 受け入れライフタイムが非アクティブになる日時。

Duration ― 受け入れライフタイムの秒単位の長さ。最大値は 2147483646 秒(約 68 年)です。

Infinite ― 受け入れライフタイムは、開始時以降、常にアクティブとなります。

Send Life Time

Start

送信ライフタイムがアクティブになる UTC での日時。開始日時を指定しない場合、送信ライフタイムは常にアクティブとなります。

End

送信ライフタイムが非アクティブになる時期。送信ライフタイムの終了時期は、次のいずれかの方法で指定できます。

Specific ― 送信ライフタイムが非アクティブになる日時。

Duration ― 送信ライフタイムの秒単位の長さ。最大値は 2147483646 秒(約 68 年)です。

Infinite ― 送信ライフタイムは、開始時以降、常にアクティブとなります。

関連フィールド

キーチェーンを設定するフィールドについては、『 Cisco DCNM Unicast Configuration Guide 』を参照してください。

その他の参考資料

キーチェーン管理の実装に関する詳細情報については、次を参照してください。

「関連資料」

「規格」

関連資料

関連事項
タイトル

Gateway Load Balancing Protocol

Cisco NX-OS Unicast Configuration Guide

規格

規格
タイトル

この機能のサポート対象の規格には、新規規格も変更された規格もありません。また、この機能は既存の規格に対するサポートに影響を及ぼしません。

--