Cisco DCNM for LAN セキュリティ コンフィギュレーション ガイド リリース 5.x
キーチェーン管理の設定
キーチェーン管理の設定
発行日;2012/09/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

キーチェーン管理の設定

この章では、Cisco NX-OS デバイスでキーチェーン管理を設定する手順について説明します。


(注)  


管理対象デバイスで稼働している Cisco NX-OS リリースでは、こので説明するすべての機能または設定がサポートされない場合があります。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースのマニュアルとリリース ノートを参照してください。


この章は、次の内容で構成されています。

キーチェーン管理の概要

キーチェーンおよびキーチェーン管理

キーチェーン管理を使用すると、キーチェーンの作成と管理を行えます。キーチェーンはキーのシーケンスを意味します(共有秘密ともいいます)。 キーチェーンは、他のデバイスとの通信をキーベース認証を使用して保護する機能と合わせて使用できます。 デバイスでは複数のキーチェーンを設定できます。

キーベース認証をサポートするルーティング プロトコルの中には、キーチェーンを使用してヒットレス キー ロールオーバーによる認証を実装できるものがあります。 詳細については、を参照してください。

キーのライフタイム

安定した通信を維持するためには、キーベース認証で保護されるプロトコルを使用する各デバイスに、1 つの機能に対して同時に複数のキーを保存し使用できる必要があります。 キーチェーン管理は、キーの送信および受け入れライフタイムに基づいて、キー ロールオーバーを処理するセキュアなメカニズムを提供します。 デバイスはキーのライフタイムを使用して、キーチェーン内のアクティブなキーを判断します。

キーチェーンの各キーには次に示す 2 つのライフタイムがあります。

受け入れライフタイム

別のデバイスとのキー交換時にデバイスがそのキーを受け入れる期間。

送信ライフタイム

別のデバイスとのキー交換時にデバイスがそのキーを送信する期間。

キーの送信ライフタイムおよび受け入れライフタイムは、次のパラメータを使用して定義します。

Start-time

ライフタイムが開始する絶対時間。

End-time

次のいずれかの方法で定義できる終了時。

  • ライフタイムが終了する絶対時間
  • 開始時からライフタイムが終了するまでの経過秒数
  • 無限のライフタイム(終了時なし)

キーの送信ライフタイム中、デバイスはルーティング アップデート パケットをキーとともに送信します。 送信されたキーがデバイス上のキーの受け入れライフタイム期間内でない場合、そのデバイスはキーを送信したデバイスからの通信を受け入れません。

どのキーチェーンも、キーのライフタイムが重なるように設定することを推奨します。 このようにすると、アクティブなキーがないことによるネイバー認証の失敗を避けることができます。

キーチェーン管理のライセンス要件

次の表に、キーチェーン管理のライセンス要件を示します。

製品

ライセンス要件

Cisco DCNM

キーチェーン管理には、LAN Enterprise ライセンスが必要です。 Cisco DCNM ライセンス方式について、およびライセンスの取得方法と適用方法についての詳細は、『Cisco DCNM Installation and Licensing Guide, Release 5.x』を参照してください。

Cisco NX-OS

キーチェーン管理にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 各プラットフォームの Cisco NX-OS ライセンス方式の詳細については、プラットフォームのライセンス ガイドを参照してください。

キーチェーン管理をサポートしているプラットフォーム

この機能は、次のプラットフォームでサポートされています。 注意事項や制約事項、システムのデフォルト値、コンフィギュレーションの制限などに関するプラットフォーム固有の情報については、対応するマニュアルを参照してください。

プラットフォーム マニュアル
Cisco Nexus 7000 シリーズ スイッチ Cisco Nexus 7000 シリーズ スイッチのマニュアル

キーチェーン管理の設定

キーチェーンの作成

デバイスにキーチェーンを作成できます。 新しいキーチェーンには、キーは含まれていません。

手順
    ステップ 1   [Feature Selector] ペインで、[Routing] > [Gateway Redundancy] > [Key Chain] を選択します。

    [Summary] ペインに使用可能なデバイスが表示されます。

    ステップ 2   [Summary] ペインで、キーチェーンを設定するデバイスをクリックします。
    ステップ 3   メニュー バーの [Actions] > [Key Chain] を選択します。

    [Summary] ペインに新しい行が表示されます。

    ステップ 4   キーチェーンの名前を入力します。 有効なキーチェーンの名前は、最大 63 文字の英数字です。
    ステップ 5   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

    キーチェーンの削除

    デバイスのキーチェーンを削除できます。


    (注)  


    キーチェーンを削除すると、キーチェーン内のキーはどれも削除されます。


    はじめる前に

    キーチェーンを削除する場合は、そのキーチェーンを使用している機能がないことを確認してください。 削除するキーチェーンを使用するように設定されている機能がある場合、その機能は他のデバイスとの通信に失敗する可能性が高くなります。

    手順
      ステップ 1   [Feature Selector] ペインで、[Routing] > [Gateway Redundancy] > [Key Chain] を選択します。

      [Summary] ペインに使用可能なデバイスが表示されます。

      ステップ 2   [Summary] ペインで、削除するキーチェーンが属するデバイスをダブルクリックします。

      デバイスのキーチェーンが [Summary] テーブルに表示されます。

      ステップ 3   削除するキーチェーンをクリックします。
      ステップ 4   メニュー バーの [Actions] > [Delete] を選択します。

      [Summary] テーブルにキーチェーンが表示されなくなります。

      ステップ 5   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

      キーの設定

      キーチェーンにキーを設定できます。 新しいキーにはテキスト(共有秘密)は含まれていません。 新しいキーのデフォルトの受け入れライフタイムおよび送信ライフタイムは infinite(無限)です。

      手順
        ステップ 1   [Feature Selector] ペインで、[Routing] > [Gateway Redundancy] > [Key Chain] を選択します。

        [Summary] ペインに使用可能なデバイスが表示されます。

        ステップ 2   [Summary] ペインで、キーを設定するデバイスをダブルクリックします。

        デバイスのキーチェーンが [Summary] テーブルに表示されます。

        ステップ 3   キーを設定するキーチェーンをダブルクリックします。
        ステップ 4   (任意) 新しいキーを作成するには、メニュー バーの [Actions] > [Key Chain Entry] を選択します。

        キーチェーンの下に新しい行が表示されます。

        ステップ 5   設定するキーの [Key Chain Name/ID] エントリをダブルクリックします。 新しいキーを作成している場合、このエントリは空白です。
        ステップ 6   キーの ID を入力します。 ID は、0 ~ 65535 の整数で指定する必要があります。
        ステップ 7   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

        キーのテキストの設定

        キーのテキストを設定できます。 テキストは共有秘密です。 デバイスはこのテキストをセキュアな形式で保存します。

        デフォルトでは、受け入れライフタイムおよび送信ライフタイムは無限になり、キーは常に有効です。 キーにテキストを設定してから、そのキーの受け入れライフタイムと送信ライフタイムを設定します。

        はじめる前に

        そのキーのテキストを決めます。 このテキスト ストリングには、特殊文字を含む最大 63 文字の英数字を使用でき、大文字と小文字が区別されます。

        手順
          ステップ 1   [Feature Selector] ペインで、[Routing] > [Gateway Redundancy] > [Key Chain] を選択します。

          [Summary] ペインに使用可能なデバイスが表示されます。

          ステップ 2   [Summary] ペインで、設定するキーが含まれるデバイスをダブルクリックします。

          デバイスのキーチェーンが [Summary] テーブルに表示されます。

          ステップ 3   設定するキーが属するキーチェーンをダブルクリックします。

          キーチェーン内のキーが [Summary] テーブルに表示されます。

          ステップ 4   設定するキーの [Key String] エントリをダブルクリックします。

          フィールドがドロップダウン リストに変わります。

          ステップ 5   ドロップダウン リストを使用してテキスト ストリングを設定します。同時に、入力したテキスト ストリングを暗号化するかしないかも設定します。 このテキスト ストリングには、最大 63 文字の英数字を使用でき、大文字と小文字が区別されます。 また、特殊文字もサポートされます。
          ステップ 6   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

          キーの受け入れライフタイムおよび送信ライフタイムの設定

          キーの受け入れライフタイムおよび送信ライフタイムを設定できます。


          (注)  


          キーチェーン内のキーのライフタイムが重複するように設定することを推奨します。 このようにすると、アクティブなキーがないために、キーによるセキュア通信の切断を避けることができます。


          はじめる前に

          デフォルトでは、受け入れライフタイムおよび送信ライフタイムは無限になり、キーは常に有効です。

          手順
            ステップ 1   [Feature Selector] ペインで、[Routing] > [Gateway Redundancy] > [Key Chain] を選択します。

            [Summary] ペインに使用可能なデバイスが表示されます。

            ステップ 2   [Summary] ペインで、設定するキーが含まれるデバイスをダブルクリックします。

            デバイスのキーチェーンが [Summary] テーブルに表示されます。

            ステップ 3   設定するキーが属するキーチェーンをダブルクリックします。

            キーチェーン内のキーが [Summary] テーブルに表示されます。

            ステップ 4   [Accept Life Time] で、設定するキーの [Start] エントリをダブルクリックします。

            フィールドがドロップダウン リストに変わります。

            ステップ 5   ドロップダウン リストを使用して、受け入れライフタイムの開始日時を設定します。
            ステップ 6   [Accept Life Time] で、[End] エントリをダブルクリックします。

            フィールドがドロップダウン リストに変わります。

            ステップ 7   ドロップダウン リストを使用して、受け入れライフタイムが終了するタイミングを設定します。

            受け入れライフタイムの終了は、特定の日時、ライフタイムの長さ(秒)、または終了なし(無限)として指定できます。

            ステップ 8   [Send Life Time] で、設定するキーの [Start] エントリをダブルクリックします。

            フィールドがドロップダウン リストに変わります。

            ステップ 9   ドロップダウン リストを使用して、送信ライフタイムの開始日時を設定します。
            ステップ 10   [Send Life Time] で、[End] エントリをダブルクリックします。

            フィールドがドロップダウン リストに変わります。

            ステップ 11   ドロップダウン リストを使用して、送信ライフタイムが終了するタイミングを設定します。

            送信ライフタイムの終了は、特定の日時、ライフタイムの長さ(秒)、または終了なし(無限)として指定できます。

            ステップ 12   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

            次の作業

            キーチェーンを使用するルーティング機能については、を参照してください。

            キーチェーン管理のフィールドの説明

            Keychain Object

            表 1 Keychain Object

            フィールド

            説明

            Key Chain Name/ID

            キーチェーンに割り当てられた名前。 有効な名前は 1 ~ 63 文字の英数字です。

            Keychain Entry Object

            表 2 Keychain Entry Object

            フィールド

            説明

            Key Chain Name/ID

            キーチェーンに割り当てられた ID 番号。 有効な ID 番号は 0 ~ 65535 の整数です。

            Key String

            キーの共有秘密であるテキスト ストリング。 セキュリティのため、このフィールドのエントリはマスクされます。 有効なエントリは特殊文字を含む英数字のテキスト ストリングで、大文字と小文字が区別されます。 長さは最小で 1 文字、 最大で 63 文字です。

            Accept Life Time

            Start

            受け入れライフタイムがアクティブになる日時(UTC)。 開始日時を指定しない場合、受け入れライフタイムは常に有効です。

            End

            受け入れライフタイムが非アクティブになるタイミング。 受け入れライフタイムの終了は次のいずれかの方法で指定できます。

            • [Specific]:受け入れライフタイムが非アクティブになる日時。
            • [Duration]:受け入れライフタイムの長さ(秒)。 最大値は 2147483646 秒(約 68 年)です。
            • [Infinite]:開始時刻以降、受け入れライフタイムは常にアクティブになります。

            Send Life Time

            Start

            送信ライフタイムがアクティブになる日時(UTC)。 開始日時を指定しない場合、送信ライフタイムは常にアクティブです。

            End

            送信ライフタイムが非アクティブになるタイミング。 送信ライフタイムの終了は次のいずれかの方法で指定できます。

            • [Specific]:送信ライフタイムが非アクティブになる日時。
            • [Duration]:送信ライフタイムの長さ(秒)。 最大値は 2147483646 秒(約 68 年)です。
            • [Infinite]:開始時刻以降、送信ライフタイムは常にアクティブになります。

            関連フィールド

            キーチェーンを設定するための各フィールドの詳細については、を参照してください。

            キーチェーン管理に関する追加情報

            関連資料

            関連項目

            参照先

            Gateway Load Balancing Protocol

            標準

            標準

            タイトル

            この機能では、新規の標準がサポートされることも、一部変更された標準がサポートされることもありません。また、既存の標準に対するサポートが変更されることもありません。

            キーチェーン管理の機能の履歴

            次の表に、この機能のリリースの履歴を示します。

            表 3 キーチェーン管理の機能の履歴

            機能名

            リリース

            機能情報

            キーチェーン管理

            5.2(1)

            Release 5.1 以降、変更はありません。

            キーチェーン管理

            5.1(1)

            Release 5.0 以降、変更はありません。

            キーチェーン管理

            5.0(2)

            Release 4.2 以降、変更はありません。

            キーチェーン管理

            4.2(1)

            Release 4.1 以降、変更はありません。