Cisco ASA シリーズ コマンド リファレンス、I ~ R のコマンド
java-trustpoint コマンド~ kill コマンド
java-trustpoint コマンド~ kill コマンド
発行日;2015/05/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

java-trustpoint コマンド~ kill コマンド

java-trustpoint

join-failover-group

jumbo-frame reservation

kcd-server

keepout

kerberos-realm

key(AAA サーバ ホスト)

key(クラスタ グループ)

key config-key password-encryption

key-hash

keypair

keysize

keysize server

key-string

kill

java-trustpoint コマンド~ kill コマンド

java-trustpoint

指定したトラストポイントの場所から PKCS12 証明書およびキー関連情報を使用するように WebVPN Java オブジェクト署名機能を設定設定するには、webvpn コンフィギュレーション モードで java-trustpoint コマンドを使用します。Java オブジェクト署名のトラストポイントを削除するには、このコマンドの no 形式を使用します。

java-trustpoint trustpoint

no java-trustpoint

 
構文の説明

trustpoint

crypto ca import コマンドによって設定されたトラストポイントの場所を指定します。

 
デフォルト

デフォルトでは、Java オブジェクト署名のトラストポイントは none に設定されています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.1(2)

このコマンドが導入されました。

 
使用上のガイ ド ライン

トラストポイントは、認証局(CA)または ID キー ペアを表します。 java-trustpoint コマンドの場合、指定したトラストポイントにはアプリケーション署名エンティティの X.509 証明書、その証明書に対応する RSA 秘密キー、ルート CA までの認証局チェーンを含める必要があります。そのためには通常、 crypto ca import コマンドを使用して PKCS12 形式のバンドルをインポートします。PKCS12 バンドルは、信頼できる CA 認証局から入手するか、openssl といったオープン ソース ツールを使用して既存の X.509 証明書と RSA 秘密キーから手動で作成できます。


) アップロードされた証明書は、パッケージ(CSD パッケージなど)に組み込まれた Java オブジェクトの署名には使用できません。


次に、最初に新しいトラストポイントを設定してから、そのトラストポイントを WebVPN Java オブジェクト署名用に設定する例を示します。

ciscoasa(config)# crypto ca import mytrustpoint pkcs12 mypassphrase
Enter the base 64 encoded PKCS12.
End with the word “quit” on a line by itself.
[ PKCS12 data omitted ]
quit
INFO: Import PKCS12 operation completed successfully.
ciscoasa(config)#
 

次に、WebVPN Java オブジェクトに署名する新しいトラストポイントを設定する例を示します。

ciscoasa(config)# webvpn
ciscoasa(config)# java-trustpoint mytrustpoint
ciscoasa(config)#

 
関連コマンド

コマンド
説明

crypto ca import

PKCS12 データを使用してトラストポイントの証明書とキー ペアをインポートします。

join-failover-group

コンテキストをフェールオーバー グループに割り当てるには、コンテキスト コンフィギュレーション モードで join-failover-group コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

join-failover-group group_num

no join-failover-group group_num

 
構文の説明

group_num

フェールオーバー グループの番号を指定します。

 
デフォルト

フェールオーバー グループ 1。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

コンテキスト コンフィギュレーション

Yes

Yes

--

Yes

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイ ド ライン

管理コンテキストは、常にフェールオーバー グループ 1 に割り当てられます。フェールオーバー グループとコンテキスト アソシエーションを表示するには、 show context detail コマンドを使用できます。

コンテキストをフェールオーバー グループに割り当てる前に、 failover group コマンドを使用して、フェールオーバー グループをシステム コンテキスト内に作成する必要があります。このコマンドは、コンテキストがアクティブ状態になっているユニット上で入力します。デフォルトでは、未割り当てのコンテキストは、フェールオーバー グループ 1 のメンバーになっています。そのため、コンテキストがまだフェールオーバー グループに割り当てられていない場合は、フェールオーバー グループ 1 がアクティブ状態になっているユニット上で、このコマンドを入力する必要があります。

システムからフェールオーバー グループを削除するには、事前に no join-failover-group コマンドを使用して、フェールオーバー グループからコンテキストをすべて削除しておく必要があります。

次に、ctx1 というコンテキストをフェールオーバー グループ 2 に割り当てる例を示します。

ciscoasa(config)# context ctx1
ciscoasa(config-context)# join-failover-group 2
ciscoasa(config-context)# exit
 

 
関連コマンド

コマンド
説明

context

指定したコンテキストのコンテキスト コンフィギュレーション モードを開始します。

failover group

Active/Active フェールオーバーのためのフェールオーバー グループを定義します。

show context detail

コンテキストの詳細情報(名前、クラス、インターフェイス、フェールオーバー グループ アソシエーション、およびコンフィギュレーション ファイルの URL など)を表示します。

jumbo-frame reservation

ジャンボ フレームをサポート対象のモデルでイネーブルにするには、グローバル コンフィギュレーション モードで jumbo-frame reservation コマンドを使用します。ジャンボ フレームをディセーブルにするには、このコマンドの no 形式を使用します。


) この設定を変更した場合は、ASA のリブートが必要です。


jumbo-frame reservation

no jumbo-frame reservation

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ジャンボ フレームの予約は、デフォルトではディセーブルになっています。

ASASM では、デフォルトでジャンボ フレームがサポートされます。このコマンドを使用する必要はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

Yes

Yes

--

Yes

 
コマンド履歴

リリース
変更内容

8.1(1)

このコマンドが ASA 5580 に追加されました。

8.2(5)/8.4(1)

ASA 5585-X でサポートされるようになりました。

8.6(1)

ASA 5512-X ~ ASA 5555-X でサポートされるようになりました。

 
使用上のガイ ド ライン

ジャンボ フレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)より大きく、9216 バイトまでのイーサネット パケットのことです。ジャンボ フレームをサポートするには追加のメモリが必要となるため、アクセス リストなどの他の機能の最大使用量が制限される可能性があります。

ジャンボ フレームは Management n / n インターフェイスではサポートされません。

ジャンボ フレームを送信する必要がある各インターフェイスについて、MTU を 1500 より大きい値に設定してください。たとえば、 mtu コマンドを使用して値を 9000 に設定してください。ASASM では、デフォルトでジャンボ フレームがサポートされるため、 jumbo-frame reservation コマンドを設定する必要はありません。MTU の値の設定だけ行ってください。

また、ジャンボ フレームを使用する場合は、TCP の最大セグメント サイズ(MSS)の値を設定してください。MSS は、MTU より 120 バイト小さい値に設定する必要があります。たとえば、MTU を 9000 に設定した場合、MSS は 8880 に設定する必要があります。MSS を設定するには、 sysopt connection tcpmss コマンドを使用できます。

フェールオーバー ペアでジャンボ フレームがサポートされるようにするには、プライマリ ユニットとセカンダリ ユニットの両方をリブートする必要があります。ダウン時間を回避するには、次の手順を実行します。

アクティブ ユニットでコマンドを発行します。

アクティブ ユニットで実行コンフィギュレーションを保存します。

プライマリ ユニットとセカンダリ ユニットを 1 つずつリブートします。

次に、ジャンボ フレームの予約をイネーブルにし、コンフィギュレーションを保存して ASA をリロードする例を示します。

ciscoasa(config)# jumbo-frame reservation
WARNING: this command will take effect after the running-config is saved
and the system has been rebooted.Command accepted.
 
ciscoasa(config)# write memory
Building configuration...
Cryptochecksum: 718e3706 4edb11ea 69af58d0 0a6b7cb5
 
70291 bytes copied in 3.710 secs (23430 bytes/sec)
[OK]
ciscoasa(config)# reload
Proceed with reload?[confirm] Y
 

 
関連コマンド

コマンド
説明

mtu

インターフェイスの最大伝送単位を指定します。

show jumbo-frame reservation

jumbo-frame reservation コマンドの現在のコンフィギュレーションを表示します。

kcd-server

Active Directory ドメインに参加できるように ASA を設定するには、webvpn コンフィギュレーション モードで kcd-server コマンドを使用します。指定した ASA の動作を削除するには、このコマンドの no 形式を使用します。

kcd-server aaa-server-group_name user username password password

no kcd-server

 
構文の説明

user

サービス レベル特権を持つ Active Directory ユーザを指定します。

password

指定したユーザのパスワードを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

8.4(1)

このコマンドが導入されました。

 
使用上のガイ ド ライン

Active Directory ドメインに参加できるように ASA を設定するには、webvpn コンフィギュレーション モードで kcd-server コマンドを使用します。ドメイン コントローラの名前とレルムは aaa-server-groupname コマンドで指定します。AAA サーバ グループのタイプは Kerberos サーバにする必要があります。 username オプションと password オプションは、管理者特権を持つユーザには対応しませんが、ドメイン コントローラのサービス レベル特権を持つユーザに対応する必要があります。このコマンドの結果として成功または失敗のステータスが表示されます。この結果は、 show webvpn kcd コマンドでも確認できます。

ASA 環境の Kerberos 制約付き委任(KCD)は、Kerberos で保護されたすべての Web サービスへのシングル サインオン(SSO)アクセスを WebVPN ユーザに提供します。ユーザの代わりに ASA でクレデンシャル(サービス チケット)を管理し、そのチケットを使用してサービスに対するユーザの認証を行います。

kcd-server コマンドが機能するには、ASA は ソース ドメイン(ASA が常駐するドメイン)と ターゲット または リソース ドメイン(Web サービスが常駐するドメイン)間の信頼関係を確立する必要があります。ASA は、その独自のフォーマットを使用して、サービスにアクセスするリモート アクセス ユーザの代わりに、ソースから宛先ドメインへの認証パスを越えて、必要なチケットを取得します。

このパスのことをクロスレルム認証と呼びます。クロスレルム認証の各フェーズで、ASA は特定のドメインのクレデンシャルおよび後続のドメインとの信頼関係に依存しています。

クロスレルム認証を使用するように ASA を設定するには、 ntp hostname dns domain-lookup、dns server-group の各コマンドを使用して、Active Directory ドメインに参加する必要があります。

次に、 kcd-server コマンドの使用例を示します。

ciscoasa(config)# aaa-server kcd-grp protocol kerberos
ciscoasa(config-aaa-server-group)# aaa-server kcd-grp host DC
ciscoasa(config-aaa-server-group)# kerberos-realm EXAMPLE.COM
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# kcd-server kcd-grp user Administrator password Cisco123
ciscoasa(config-aaa-server-group)# exit
ciscoasa(config)#
 

次に、クロスレルム認証の設定例を示します。ドメイン コントローラは 10.1.1.10(内部インターフェイスで到達可能)、ドメイン名は PRIVATE.NET です。また、ドメイン コントローラのサービス アカウントのユーザ名は dcuser、パスワードは dcuser123! です 。

ciscoasa(config)# config t
 
-----Create an alias for the Domain Controller-------------
 
ciscoasa(config)# name 10.1.1.10 DC
 
----Configure the Name server------------------------------
 
ciscoasa(config)# ntp server DC
 
----Enable a DNS lookup by configuring the DNS server and Domain name --------------
 
ciscoasa(config)# dns domain-lookup inside
ciscoasa(config)# dns server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server DC
ciscoasa(config-dns-server-group)# domain-name private.net
 
----Configure the AAA server group with Server and Realm------------------------------
 
ciscoasa(config)# aaa-server KerberosGroup protocol Kerberos
ciscoasa(config-asa-server-group)# aaa-server KerberosGroup (inside) host DC
ciscoasa(config-asa-server-group)# Kerberos-realm PRIVATE.NET
 
----Configure the Domain Join------------------------------
 
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# kcd-server KerberosGroup username dcuser password dcuser123!
ciscoasa(config)#
 

 
関連コマンド

コマンド
説明

aaa-server

AAA サーバ コンフィギュレーション モードを開始します。このモードでは、AAA サーバのパラメータを設定できます。

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始します。このモードでは、ホストに固有の AAA サーバ パラメータを設定できます。

clear configure aaa-server

すべての AAA コマンド ステートメントをコンフィギュレーションから削除します。

dns

ドメイン ネーム サーバを指定します。

domain-name

サーバのドメイン名を指定します。

hostname

ホスト名を指定します。

ntp

転送プロトコルを指定します。

show aaa-kerberos

すべての Kerberos AAA サーバのサーバ統計情報を表示します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

keepout

(ASA のメンテナンスまたはトラブルシューティングの実行中に)新しいユーザ セッションのログイン ページではなく、管理者定義のメッセージを表示するには、webvpn コンフィギュレーション モードで keepout コマンドを使用します。以前に設定された立ち入り禁止ページを削除するには、このコマンドの no 形式を使用します。

keepout

no keepout string

 
構文の説明

string

二重引用符で囲んだ英数字ストリング。

 
デフォルト

立ち入り禁止ページはありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイ ド ライン

このコマンドがイネーブルにされると、クライアントレスの WebVPN ポータル ページが使用不可になります。ポータルのログイン ページではなく、ポータルが使用不可であることを通知する管理者定義メッセージが表示されます。クライアントレス アクセスをディセーブルにするが AnyConnect アクセスは許可するには、 keepout コマンドを使用します。また、このコマンドを使用して、メンテナンス中のためポータルが使用不可であることを示すこともできます。

次に、立ち入り禁止ページを設定する例を示します。

ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# keepout “The system is unavailable until 7:00 a.m.EST.”
ciscoasa(config-webvpn)#

 
関連コマンド

コマンド
説明

webvpn

webvpn コンフィギュレーション モードを開始します。このモードではクライアントレス SSL VPN 接続の属性を設定できます。

kerberos-realm

この Kerberos サーバのレルム名を指定するには、AAA サーバ ホスト コンフィギュレーション モードで kerberos-realm コマンドを使用します。レルム名を削除するには、このコマンドの no 形式を使用します。

kerberos-realm string

no kerberos-realm

 
構文の説明

string

大文字と小文字が区別される最大 64 文字の英数字ストリング。ストリングにスペースは使用できません。

引数に小文字のアルファベットを使用できますが、小文字は大文字に変換されません。大文字だけを使用してください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

Yes

Yes

Yes

Yes

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイ ド ライン

このコマンドは、Kerberos サーバに対してのみ有効です。

Microsoft Windows の set USERDNSDOMAIN コマンドを Kerberos レルムの Windows 2000 Active Directory サーバ上で実行する場合は、 string 引数の値をこのコマンドの出力と一致させる必要があります。次の例では、EXAMPLE.COM が Kerberos レルム名です。

C:\>set USERDNSDOMAIN
USERDNSDOMAIN=EXAMPLE.COM
 

string 引数には、数字と大文字のアルファベットのみを使用する必要があります。 kerberos-realm コマンドでは、大文字と小文字が区別されます。また、ASA では、小文字は大文字に変換されません。

次のシーケンスは、AAA サーバ ホストの設定に関するコンテキストで Kerberos レルムを「EXAMPLE.COM」に設定するための kerberos-realm コマンドを示しています。

ciscoasa(config)# aaa-server svrgrp1 protocol kerberos
ciscoasa(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
ciscoasa(config-aaa-server-host)# timeout 9
ciscoasa(config-aaa-server-host)# retry 7
ciscoasa(config-aaa-server-host)# kerberos-realm EXAMPLE.COM
ciscoasa(config-aaa-server-host)# exit
ciscoasa(config)#

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション サブモードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コマンド ステートメントをコンフィギュレーションから削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

key(AAA サーバ ホスト)

AAA サーバに対して NAS を認証するために使用されるサーバ シークレットの値を指定するには、AAA サーバ ホスト コンフィギュレーション モードで key コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。キーを削除するには、このコマンドの no 形式を使用します。

key key

no key

 
構文の説明

key

最大 127 文字の英数字キーワード。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

Yes

Yes

Yes

Yes

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイ ド ライン

key の値は、127 文字までの英数字で構成されているキーワードで、TACACS+ サーバ上のキーと同じ値にします。大文字と小文字は区別されます。127 文字を超える場合、以降の文字は無視されます。このキーは、クライアントとサーバの間でやり取りするデータを暗号化するために使用されます。キーは、クライアント システムとサーバ システムの両方で同一である必要があります。キーにスペースは使用できませんが、その他の特殊文字は使用できます。キー(サーバ シークレット)の値は、ASA を AAA サーバに対して認証します。

このコマンドは、RADIUS サーバと TACACS+ サーバに対してのみ有効です。

次に、ホスト「1.2.3.4」に「srvgrp1」という TACACS+ AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、キーを「myexclusivemumblekey」に設定する例を示します。

ciscoasa(config)# aaa-server svrgrp1 protocol tacacs+
ciscoasa(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
ciscoasa(config-aaa-server-host)# timeout 9
ciscoasa(config-aaa-server-host)# retry-interval 7
ciscoasa(config-aaa-server-host)# key myexclusivemumblekey

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始します。このモードでは、ホストに固有の AAA サーバ パラメータを設定できます。

clear configure aaa-server

すべての AAA コマンド ステートメントをコンフィギュレーションから削除します。

show running-config aaa-server

AAA サーバの設定を表示します。

key(クラスタ グループ)

クラスタ制御リンクの制御トラフィックの認証キーを設定するには、クラスタ グループ コンフィギュレーション モードで key コマンドを使用します。キーを削除するには、このコマンドの no 形式を使用します。

key shared_secret

no key [ shared_secret ]

 
構文の説明

shared_secret

共有秘密を 1 ~ 63 文字の ASCII 文字列に設定します。共有秘密は、キーを生成するために使用されます。

 
コマン ドデフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

Yes

Yes

--

Yes

 
コマンド履歴

リリース
変更内容

9.0(1)

このコマンドが導入されました。

 
使用上のガイ ド ライン

このコマンドは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。

次に、共有秘密を設定する例を示します。

ciscoasa(config)# cluster group cluster1

ciscoasa(cfg-cluster)# key chuntheunavoidable

 

 

 

 

 

 

 

 

 

 
関連コマンド

コマンド
説明

clacp system-mac

スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバー スイッチとの間で EtherChannel のネゴシエーションを行います。

cluster group

クラスタに名前を付け、クラスタ コンフィギュレーション モードを開始します。

cluster-interface

クラスタ制御リンク インターフェイスを指定します。

cluster interface-mode

クラスタ インターフェイス モードを設定します。

conn-rebalance

接続の再分散をイネーブルにします。

console-replicate

スレーブ ユニットからマスター ユニットへのコンソール複製をイネーブルにします。

enable(クラスタ グループ)

クラスタリングをイネーブルにします。

health-check

クラスタのヘルス チェック機能(ユニットのヘルス モニタリングおよびインターフェイスのヘルス モニタリングを含む)をイネーブルにします。

local-unit

クラスタ メンバに名前を付けます。

mtu cluster-interface

クラスタ制御リンク インターフェイスの最大伝送単位を指定します。

priority(クラスタ グループ)

マスター ユニット選定用に、このユニットのプライオリティを設定します。

key config-key password-encryption

暗号キーの生成に使用するパスフレーズを設定するには、グローバル コンフィギュレーション モードで key config-key password-encryption コマンドを使用します。パスフレーズで暗号化されたパスワードを復号化するには、このコマンドの no 形式を使用します。

key config-key password-encryption [new pass phrase [old pass phrase]]

no key config-key password-encryption [current pass phrase]

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

Yes

Yes

--

Yes

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが導入されました。

 
使用上のガイ ド ライン

このコマンドがイネーブルの場合は、暗号キーの生成に使用するパスフレーズを設定します。パスフレーズの初回設定時には、現在のパスワードを入力する必要はありません。それ以外の場合は、現在のパスワードを入力する必要があります。新しいパスフレーズの長さは、8 ~ 128 文字の間である必要があります。パスフレーズには、バック スペースと二重引用符を除くすべての文字を使用できます。

write erase コマンドに続いて reload コマンドを使用すると、マスター パスフレーズが紛失された場合にパスフレーズが削除されます。

次に、暗号キーの生成に使用するパスフレーズを設定する例を示します。

ciscoasa(config)# key config-key password-encryption
 

 
関連コマンド

コマンド
説明

password encryption aes

パスワードの暗号化をイネーブルにします。

write erase

reload コマンドを続いて使用すると、マスター パスフレーズが紛失された場合にパスフレーズを削除します。

key-hash

オンボードのセキュア コピー(SCP)クライアントのサーバのハッシュ SSH ホスト キーを手動で追加するには、サーバ コンフィギュレーション モードで key-hash コマンドを使用します。サーバ コンフィギュレーション モードにアクセスするには、先に ssh pubkey-chain コマンドを入力します。キーを削除するには、このコマンドの no 形式を使用します。

key-hash { md5 | sha256 } fingerprint

no key-hash { md5 | sha256 } fingerprint

 
構文の説明

fingerprint

ハッシュ キーを入力します。

{md5 | sha256}

使用するハッシュのタイプ(MD5 または SHA-256)を設定します。ASA のコンフィギュレーションでは、常に SHA-256 が使用されます。

 
コマン ドデフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

サーバ コンフィギュレーション

Yes

Yes

Yes

--

Yes

 
コマンド履歴

リリース
変更内容

9.1(5)

このコマンドが導入されました。

 
使用上のガイ ド ライン

オンボードの SCP クライアントを使用して、ASA との間でファイルをコピーすることができます。接続先の各 SCP サーバの SSH ホスト キーは ASA に格納されます。必要に応じて、ASA のデータベースに格納されるサーバとそのキーを手動で追加したり削除したりできます。

各サーバについて、SSH ホストの key-string (公開キー)または key-hash (ハッシュ値)を指定できます。 key-hash では、すでにハッシュされているキーを入力します(MD5 または SHA-256 を使用)。たとえば、 show コマンドの出力からコピーしたキーなどを入力できます。

次に、10.86.94.170 にあるサーバのすでにハッシュされているホスト キーを追加する例を示します。

ciscoasa(config)# ssh pubkey-chain
ciscoasa(config-ssh-pubkey-chain)# server 10.86.94.170
ciscoasa(config-ssh-pubkey-server)# key-hash sha256 65:d9:9d:fe:1a:bc:61:aa:64:9d:fc:ee:99:87:38:df:a8:8e:d9:e9:ff:42:de:e8:8d:2d:bf:a9:2b:85:2e:19

 
関連コマンド

コマンド
説明

copy

ASA との間でファイルをコピーします。

key-hash

ハッシュ SSH ホスト キーを入力します。

key-string

公開 SSH ホスト キーを入力します。

ssh pubkey-chain

ASA のデータベースに格納されるサーバとそのキーを手動で追加または削除します。

ssh stricthostkeycheck

オンボードのセキュア コピー(SCP)クライアントの SSH ホスト キーのチェックをイネーブルにします。

keypair

証明する公開キーのキー ペアを指定するには、クリプト CA トラストポイント コンフィギュレーション モードで keypair コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

keypair name

no keypair

 
構文の説明

name

キー ペアの名前を指定します。

 
デフォルト

デフォルト設定では、キー ペアは含まれません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クリプト CA トラストポイント コンフィギュレーション

Yes

Yes

Yes

Yes

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次に、central トラストポイントのクリプト CA トラストポイント コンフィギュレーション モードを開始し、central トラストポイント用に証明するキー ペアを指定する例を示します。

ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# keypair exchange
 

 
関連コマンド

コマンド
説明

crypto ca trustpoint

クリプト CA トラストポイント コンフィギュレーション モードを開始します。

crypto key generate dsa

DSA キーを生成します。

crypto key generate rsa

RSA キーを生成します。

default enrollment

登録パラメータをデフォルト値に戻します。

keysize

ユーザ証明書の登録で、ローカルの認証局(CA)サーバによって生成される公開キーと秘密キーのサイズを指定するには、CA サーバ コンフィギュレーション モードで keysize コマンドを使用します。キー サイズをデフォルトの 1024 ビットの長さにリセットするには、このコマンドの no 形式を使用します。

keysize { 512 | 768 | 1024 | 2048 }

no keysize

 
構文の説明

512

証明書の登録で生成される公開キーと秘密キーのサイズを 512 ビットに指定します。

768

証明書の登録で生成される公開キーと秘密キーのサイズを 768 ビットに指定します。

1024

証明書の登録で生成される公開キーと秘密キーのサイズを 1024 ビットに指定します。

2048

証明書の登録で生成される公開キーと秘密キーのサイズを 2048 ビットに指定します。

 
デフォルト

デフォルトでは、このキー ペアの各キーの長さは 1024 ビットです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

次に、ローカル CA サーバによってユーザ用に生成される、公開キーと秘密キーのすべてのキー ペアのキーのサイズを 2048 ビットに指定する例を示します。

ciscoasa(config)# crypto ca server
ciscoasa(config-ca-server))# keysize 2048
ciscoasa(config-ca-server)#
 

次に、ローカル CA サーバによってユーザ用に生成される、公開キーと秘密キーのすべてのキー ペアのキーのサイズを、デフォルトの 1024 ビットの長さにリセットする例を示します。

ciscoasa(config)# crypto ca server
ciscoasa(config-ca-server)# no keysize
ciscoasa(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードのコマンド セットへのアクセスを提供し、ローカル CA の設定と管理ができるようにします。

issuer-name

認証局証明書のサブジェクト名 DN を指定します。

subject-name-default

CA サーバが発行するすべてのユーザ証明書でユーザ名とともに使用される汎用的なサブジェクト名 DN を指定します。

keysize server

ローカルの認証局(CA)サーバによって生成される公開キーと秘密キーのサイズを指定し、CA のキー ペアのサイズを設定するには、CA サーバ コンフィギュレーション モードで keysize server コマンドを使用します。キー サイズをデフォルトの 1024 ビットの長さにリセットするには、このコマンドの no 形式を使用します。

keysize server { 512 | 768 | 1024 | 2048 }

no keysize server

 
構文の説明

512

証明書の登録で生成される公開キーと秘密キーのサイズを 512 ビットに指定します。

768

証明書の登録で生成される公開キーと秘密キーのサイズを 768 ビットに指定します。

1024

証明書の登録で生成される公開キーと秘密キーのサイズを 1024 ビットに指定します。

2048

証明書の登録で生成される公開キーと秘密キーのサイズを 2048 ビットに指定します。

 
デフォルト

デフォルトでは、このキー ペアの各キーの長さは 1024 ビットです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

次に、CA 証明書のキー サイズを 2048 ビットに指定する例を示します。

ciscoasa(config)# crypto ca server
ciscoasa(config-ca-server))# keysize server 2048
ciscoasa(config-ca-server)#
 

次に、CA 証明書のキー サイズをデフォルトの 1024 ビットにリセットする例を示します。

ciscoasa(config)# crypto ca server
ciscoasa(config-ca-server)# no keysize server
ciscoasa(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードのコマンド セットへのアクセスを提供し、ローカル CA の設定と管理ができるようにします。

issuer-name

認証局証明書のサブジェクト名 DN を指定します。

keysize

ユーザ証明書のキー ペアのサイズを指定します。

subject-name-default

CA サーバが発行するすべてのユーザ証明書でユーザ名とともに使用される汎用的なサブジェクト名 DN を指定します。

key-string

オンボードのセキュア コピー(SCP)クライアントのサーバの pub;ic SSH ホスト キーを手動で追加するには、サーバ コンフィギュレーション モードで key-string コマンドを使用します。サーバ コンフィギュレーション モードにアクセスするには、先に ssh pubkey-chain コマンドを入力します。このコマンドを入力すると、キー ストリングを入力するプロンプトが表示されます。ストリングがコンフィギュレーションに保存されると、SHA-256 を使用してハッシュされ、 key-hash コマンドとして保存されます。したがって、ストリングを削除するときは、 no key-hash コマンドを使用します。

key-string
key_string

 
構文の説明

key_string

公開キーを入力します。

 
コマン ドデフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

サーバ コンフィギュレーション

Yes

Yes

Yes

--

Yes

 
コマンド履歴

リリース
変更内容

9.1(5)

このコマンドが導入されました。

 
使用上のガイ ド ライン

オンボードの SCP クライアントを使用して、ASA との間でファイルをコピーすることができます。接続先の各 SCP サーバの SSH ホスト キーは ASA に格納されます。必要に応じて、ASA のデータベースに格納されるサーバとそのキーを手動で追加したり削除したりできます。

各サーバについて、SSH ホストの key-string (公開キー)または key-hash (ハッシュ値)を指定できます。 key_string は、リモート ピアの Base64 エンコード形式の RSA 公開キーです。オープン SSH クライアントから(言い換えると .ssh/id_rsa.pub ファイルから)公開キー値を取得できます。Base64 エンコード形式の公開キーを送信すると、そのキーが SHA-256 でハッシュされます。

次に、10.7.8.9 にあるサーバのホスト ストリング キーを追加する例を示します。

ciscoasa(config)# ssh pubkey-chain

ciscoasa(config-ssh-pubkey-chain)# server 10.7.8.9

ciscoasa(config-ssh-pubkey-server)# key-string

Enter the base 64 encoded RSA public key.

End with the word "exit" on a line by itself

ciscoasa(config-ssh-pubkey-server-string)# c1:b1:30:29:d7:b8:de:6c:97:77:10:d7:46:41:63:87

ciscoasa(config-ssh-pubkey-server-string)# exit

 

次に、保存されたハッシュ キーを表示する例を示します。

ciscoasa(config-ssh-pubkey-server)# show running-config ssh
ssh scopy enable
ssh stricthostkeycheck
ssh pubkey-chain
server 10.7.8.9
key-hash sha256 65:d9:9d:fe:1a:bc:61:aa:64:9d:fc:ee:99:87:38:df:a8:8e:d9:e9:ff:42:de:e8:8d:2d:bf:a9:2b:85:2e:19

 
関連コマンド

コマンド
説明

copy

ASA との間でファイルをコピーします。

key-hash

ハッシュ SSH ホスト キーを入力します。

key-string

公開 SSH ホスト キーを入力します。

ssh pubkey-chain

ASA のデータベースに格納されるサーバとそのキーを手動で追加または削除します。

ssh stricthostkeycheck

オンボードのセキュア コピー(SCP)クライアントの SSH ホスト キーのチェックをイネーブルにします。

kill

Telnet セッションを終了するには、特権 EXEC モードで kill コマンドを使用します。

kill telnet_id

 
構文の説明

telnet_id

Telnet セッションの ID を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

Yes

Yes

Yes

Yes

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイ ド ライン

kill コマンドを使用すると、Telnet セッションを終了できます。Telnet セッションの ID を表示するには、who コマンドを使用します。Telnet セッションを終了すると、ASA は、警告することなく、すべてのアクティブなコマンドを終了して接続をドロップします。

次に、ID「2」の Telnet セッションを終了する例を示します。最初に、アクティブな Telnet セッションのリストを表示するため、who コマンドを入力します。次に、ID「2」の Telnet セッションを終了するため、 kill 2 コマンドを入力します。

ciscoasa# who
2: From 10.10.54.0
 
ciscoasa# kill 2

 
関連コマンド

コマンド
説明

Telnet

ASA への Telnet アクセスを設定します。

who

アクティブな Telnet セッションのリストを表示します。