Cisco ASR 9000 シリーズアグリゲーション サービス ルータシステム セキュリティ コマンド リファレンス
Cisco ASR 9000 シリーズ ルータのキー チェーン管理コマンド
Cisco ASR 9000 シリーズ ルータのキーチェーン管理コマンド
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

Cisco ASR 9000 シリーズ ルータのキーチェーン管理コマンド

accept-lifetime

accept-tolerance

cryptographic-algorithm

key (key chain)

key chain (key chain)

key-string (keychain)

send-lifetime

show key chain

Cisco ASR 9000 シリーズ ルータのキーチェーン管理コマンド

ここでは、Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ でキーチェーン管理を設定するために使用される Cisco IOS XR ソフトウェア コマンドについて説明します。

キーチェーン管理の概念、設定作業、および例の詳細については、『 Cisco ASR 9000 Series Aggregation Services Router System Security Configuration Guide 』の「 Implementing Keychain Management on Cisco ASR 9000 Series Routers 」を参照してください。

accept-lifetime

キーチェーンの認証鍵が有効な鍵として受信される期間を設定するには、鍵コンフィギュレーション モードで accept-lifetime コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

accept-lifetime start-time [ duration value | infinite | end-time ]

no accept-lifetime start-time [ duration value | infinite | end-time ]

 
シンタックスの説明

start-time

鍵が有効になる開始時間を hh:mm:ss 日月年 の形式で指定します。範囲は 0:0:0 ~ 23:59:59 です。

日付の範囲は 1 ~ 31 です。

年の範囲は 1993 ~ 2035 です。

duration value

鍵のライフタイムを秒で指定します。範囲は、1 ~ 2147483646 です。

infinite

有効になった後、その鍵が期限切れにならないことを示します。

end-time

鍵が期限切れとなる終了時間を hh:mm:ss 日月年 の形式で指定します。範囲は 0:0:0 ~ 23:59:59 です。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

鍵コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

Release 3.7 FCI

このコマンドは、Cisco ASR 9000 シリーズ ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。ユーザ グループの割り当てによってコマンドが使用できなくなっていると思われる場合は、AAA 管理者にご連絡ください。

タスク ID

タスク ID
操作

system

読み取り、書き込み

次に、 accept-lifetime コマンドの使用例を示します。

RR/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# key chain isis-keys
RP/0/RSP0/CPU0:router(config-isis-keys)# key 8
RP/0/RSP0/CPU0:router(config-isis-keys-0x8)# accept-lifetime 1:00:00 June 29 2006 infinite

 
関連コマンド

コマンド
説明

key (key chain)

キーチェーンの鍵を作成または変更します。

key chain (key chain)

キーチェーンを作成または変更します。

key-string (keychain)

鍵文字列のテキストを指定します。

send-lifetime

有効な鍵を送信します。

show key chain

キーチェーンを表示します。

accept-tolerance

ピアが使用する受け入れ鍵の許容値、つまり受け入れ可能な限度を秒で指定するには、キーチェーン コンフィギュレーション モードで accept-tolerance コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

accept-tolerance [ value | infinite ]

no accept-tolerance [ value | infinite ]

 
シンタックスの説明

value

(任意)秒で示される許容値の範囲。範囲は、1 ~ 8640000 です。

infinite

(任意)指定された許容値が無限であることを示します。この受け入れ鍵は期限切れになりません。無限の許容限度は、受け入れ鍵が常に受け入れ可能であり、ピアが使用する際に検証されることを意味します。

 
デフォルト

デフォルト値は、許容しないことを意味する 0 です。

 
コマンド モード

キーチェーン コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

Release 3.7 FCI

このコマンドは、Cisco ASR 9000 シリーズ ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。ユーザ グループの割り当てによってコマンドが使用できなくなっていると思われる場合は、AAA 管理者にご連絡ください。

accept-tolerance コマンドを設定しない場合、許容値は 0 に設定されます。

鍵が有効なライフタイムの範囲外にある場合でも、許容限度内にあればその鍵は受け入れ可能と判断されます(たとえば、ライフタイムの開始前やライフタイムの終了後など)。

タスク ID

タスク ID
操作

system

読み取り、書き込み

次に、 accept-tolerance コマンドの使用例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# key chain isis-keys
RP/0/RSP0/CPU0:router(config-isis-keys)# accept-tolerance infinite

 
関連コマンド

コマンド
説明

accept-lifetime

有効な鍵を受け入れます。

key chain (key chain)

キーチェーンを作成または変更します。

show key chain

キーチェーンを表示します。

cryptographic-algorithm

鍵 ID に設定された鍵文字列を使用して、パケットに適用する暗号化アルゴリズムを選択するには、キーチェーンーおよび鍵コンフィギュレーション モードで cryptographic-algorithm を使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

cryptographic-algorithm [ HMAC-MD5 | HMAC-SHA1-12 | HMAC-SHA1-20 | MD5 | SHA-1 ]

no cryptographic-algorithm [ HMAC-MD5 | HMAC-SHA1-12 | HMAC-SHA1-20 | MD5 | SHA-1 ]

 
シンタックスの説明

HMAC-MD5

HMAC-MD5 をダイジェスト サイズ 16 バイトの暗号化アルゴリズムとして設定します。

HMAC-SHA1-12

HMAC-SHA1-12 をダイジェスト サイズ 12 バイトの暗号化アルゴリズムとして設定します。

HMAC-SHA1-20

HMAC-SHA1-20 をダイジェスト サイズ 20 バイトの暗号化アルゴリズムとして設定します。

MD5

MD5 をダイジェスト サイズ 16 バイトの暗号化アルゴリズムとして設定します。

SHA-1

SHA-1-20 をダイジェスト サイズ 20 バイトの暗号化アルゴリズムとして設定します。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

キーチェーンの鍵コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

Release 3.7 FCI

このコマンドは、Cisco ASR 9000 シリーズ ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。ユーザ グループの割り当てによってコマンドが使用できなくなっていると思われる場合は、AAA 管理者にご連絡ください。

暗号化アルゴリズムを設定しない場合、MAC 計算と API 検証は無効になります。

各プロトコルがサポートする暗号化アルゴリズムは次のとおりです。

Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)は HMAC-MD5 と HMAC-SHA1-12 だけをサポート

Intermediate System-to-Intermediate System(IS-IS)は HMAC-MD5 だけをサポート

Open Shortest Path First (OSPF)は MD5 だけをサポート

タスク ID

タスク ID
操作

system

読み取り、書き込み

次に、 cryptographic-algorithm コマンドの使用例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# key chain isis-keys
RP/0/RSP0/CPU0:router(config-isis-keys)# key 8
RP/0/RSP0/CPU0:router(config-isis-keys-0x8)# cryptographic-algorithm HMAC-MD5

 
関連コマンド

コマンド
説明

accept-lifetime

有効な鍵を受け入れます。

key chain (key chain)

キーチェーンを作成または変更します。

show key chain

キーチェーンを表示します。

key (key chain)

キーチェーンの鍵を作成または変更するには、キーチェーンの鍵コンフィギュレーション モードで key コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

key key-id

no key key-id

 
シンタックスの説明

key-id

48 ビット整数型の鍵 ID。範囲は 0 ~ 281474976710655 です。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

キーチェーンの鍵コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

Release 3.7 FCI

このコマンドは、Cisco ASR 9000 シリーズ ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。ユーザ グループの割り当てによってコマンドが使用できなくなっていると思われる場合は、AAA 管理者にご連絡ください。

Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)のキーチェーン設定では、 key-id 引数の範囲は 0 ~ 63 でなければなりません。この範囲が 63 の値を超えると、BGP キーチェーンの操作は拒否されます。

タスク ID

タスク ID
操作

system

読み取り、書き込み

次に、 key コマンドの使用例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# key chain isis-keys
RP/0/RSP0/CPU0:router(config-isis-keys)# key 8
RP/0/RSP0/CPU0:router(config-isis-keys-0x8)#

 
関連コマンド

コマンド
説明

accept-lifetime

有効な鍵を受け入れます。

key chain (key chain)

キーチェーンを作成または変更します。

key-string (keychain)

鍵文字列のテキストを指定します。

send-lifetime

有効な鍵を送信します。

show key chain

キーチェーンを表示します。

key chain (key chain)

キーチェーンを作成または変更するには、グローバル コンフィギュレーション モードで key chain コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

key chain key-chain-name

no key chain key-chain-name

 
シンタックスの説明

key-chain-name

キーチェーンの名前を指定します。最大文字数は 48 です。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

Release 3.7 FCI

このコマンドは、Cisco ASR 9000 シリーズ ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。ユーザ グループの割り当てによってコマンドが使用できなくなっていると思われる場合は、AAA 管理者にご連絡ください。

ボーダー ゲートウェイ プロトコル(BGP)のキーチェーンは、ネイバー、セッション グループ、またはネイバー グループとして設定できます。BGP はこのキーチェーンを使用して、ヒットしない鍵更新を認証にインプリメントできます。

タスク ID

タスク ID
操作

system

読み取り、書き込み

次の例は、キーチェーン名 isis-keys が key chain コマンド用であることを示しています。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# key chain isis-keys
RP/0/RSP0/CPU0:router(config-isis-keys)#
 

 
関連コマンド

コマンド
説明

accept-lifetime

有効な鍵を受け入れます。

accept-tolerance

キーチェーンの鍵を受け入れる際の許容値を設定します。

key (key chain)

キーチェーンの鍵を作成または変更します。

key-string (keychain)

鍵文字列のテキストを指定します。

send-lifetime

有効な鍵を送信します。

show key chain

キーチェーンを表示します。

key-string (keychain)

鍵のテキスト文字列を指定するには、キーチェーンの鍵コンフィギュレーション モードで key-string コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

key-string [ clear | password ] key-string-text

no key-string [ clear | password ] key-string-text

 
シンタックスの説明

clear

鍵文字列をクリアテキスト形式で指定します。

password

鍵を暗号化形式で指定します。

key-string-text

鍵のテキスト文字列。パーサー プロセスによって暗号化されてから、設定に保存されます。テキスト文字列には、次の文字制限があります。

プレーン テキストの鍵文字列:最小 1 文字、最大 32 文字。

暗号化された鍵文字列:最小 4 文字、上限はなし。

 
デフォルト

デフォルト値は clear です。

 
コマンド モード

キーチェーンの鍵コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

Release 3.7 FCI

このコマンドは、Cisco ASR 9000 シリーズ ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。ユーザ グループの割り当てによってコマンドが使用できなくなっていると思われる場合は、AAA 管理者にご連絡ください。

暗号化パスワードが有効であるためには、次の条件を満たしている必要があります。

文字列に 4 文字以上の偶数個の文字が含まれている。

パスワード文字列の最初の 2 文字は 10 進数、残りの文字は 16 進数である。

最初の 2 桁は 53 以下である。

次の例は、どちらも有効な暗号化パスワードです。

1234abcd

または

50aefd

タスク ID

タスク ID
操作

system

読み取り、書き込み

次に、 key-string コマンドの使用例を示します。

RP/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# key chain isis-keys
RP/0/RSP0/CPU0:myhost(config-isis-keys)# key 8
RP/0/RSP0/CPU0:myhost(config-isis-keys-0x8)# key-string password 50aefd
 

 
関連コマンド

コマンド
説明

accept-lifetime

有効な鍵を受け入れます。

key (key chain)

キーチェーンの鍵を作成または変更します。

key chain (key chain)

キーチェーンを作成または変更します。

send-lifetime

有効な鍵を送信します。

show key chain

キーチェーンを表示します。

send-lifetime

有効な鍵を送信し、ピアのローカル ホストからの情報を検証するには、キーチェーンおよび鍵コンフィギュレーション モードで send-lifetime コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

send-lifetime start-time [ duration value | infinite | end-time ]

no send-lifetime start-time [ duration value | infinite | end-time ]

 
シンタックスの説明

start-time

鍵が有効になる開始時間を hh:mm:ss 日月年 の形式で指定します。範囲は 0:0:0 ~ 23:59:59 です。

日付の範囲は 1 ~ 31 です。

年の範囲は 1993 ~ 2035 です。

duration value

鍵のライフタイムを秒で指定します。

infinite

一旦有効になると、その鍵は期限切れにならないことを示します。

end-time

鍵が期限切れとなる開始時間を hh:mm:ss 日月年 の形式で指定します。範囲は 0:0:0 ~ 23:59:59 です。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

キーチェーンの鍵コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

Release 3.7 FCI

このコマンドは、Cisco ASR 9000 シリーズ ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。ユーザ グループの割り当てによってコマンドが使用できなくなっていると思われる場合は、AAA 管理者にご連絡ください。

タスク ID

タスク ID
操作

system

読み取り、書き込み

次に、 send-lifetime コマンドの使用例を示します。

RR/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# key chain isis-keys
RP/0/RSP0/CPU0:router(config-isis-keys)# key 8
RP/0/RSP0/CPU0:router(config-isis-keys-0x8)# send-lifetime 1:00:00 June 29 2006 infinite

 
関連コマンド

コマンド
説明

accept-lifetime

有効な鍵を受け入れます。

key (key chain)

キーチェーンの鍵を作成または変更します。

key chain (key chain)

キーチェーンを作成または変更します。

key-string (keychain)

鍵文字列のテキストを指定します。

show key chain

キーチェーンを表示するには、EXEC モードで show key chain コマンドを使用します。

show key chain key-chain-name

 
シンタックスの説明

key-chain-name

指定したキーチェーンの鍵の名前です。最大文字数は 32 です。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

Release 3.7 FCI

このコマンドは、Cisco ASR 9000 シリーズ ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。ユーザ グループの割り当てによってコマンドが使用できなくなっていると思われる場合は、AAA 管理者にご連絡ください。

タスク ID

タスク ID
操作

system

読み取り

セキュアな鍵ストレージが使用可能になった場合は、ユーザにマスター パスワードの入力を要求し、暗号化してから鍵ラベルを表示するのが、キーチェーン管理にとっては望ましい方法です。次の例では、 show key chain コマンドに対して暗号化鍵ラベルだけが表示されます。

RP/0/RSP0/CPU0:router# show key chain isis-keys
 
Key-chain: isis-keys/ -
 
accept-tolerance -- infinite
Key 8 -- text "8"
cryptographic-algorithm -- MD5
Send lifetime: 01:00:00, 29 Jun 2006 - Always valid [Valid now]
Accept lifetime: 01:00:00, 29 Jun 2006 - Always valid [Valid now]

 
関連コマンド

コマンド
説明

accept-lifetime

有効な鍵を受け入れます。

accept-tolerance

キーチェーンの鍵を受け入れる際の許容値を設定します。

cryptographic-algorithm

暗号化アルゴリズムを選択します。

key (key chain)

キーチェーンの鍵を作成または変更します。

key chain (key chain)

キーチェーンを作成または変更します。

key-string (keychain)

鍵文字列のテキストを指定します。

send-lifetime

有効な鍵を送信します。