Sichere gespeicherte vorinstallierte Schlüssel auf einem Router

Download-Optionen

PDF (261.5 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen

Aktualisiert:24. April 2026

Dokument-ID:46420

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Konventionen

Hintergrundinformationen

Konfigurieren

Konfigurationen

Überprüfung

Zugehörige Informationen

Einleitung

In diesem Dokument wird beschrieben, wie Sie die Verschlüsselung des aktuellen und des neuen Pre-Shared Keys auf einem Router einrichten.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf der folgenden Softwareversion:

Cisco IOS XE® Softwareversion 16.9

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

Die Cisco IOS Software, Version 12.3(2)T, bietet eine neue Funktionalität, mit der der Router den vorinstallierten ISAKMP-Schlüssel (Internet Security Association and Key Management Protocol) im sicheren Format Typ 6 im nichtflüchtigen RAM (NVRAM) verschlüsseln kann. Der vorinstallierte Schlüssel, der verschlüsselt werden soll, kann entweder als Standard, unter einem ISAKMP-Keyring, im aggressiven Modus oder als Gruppenkennwort unter einem Easy Virtual Private Network (EzVPN)-Server oder Client-Setup konfiguriert werden.

Konfigurieren

In diesem Abschnitt finden Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.

Diese beiden Befehle wurden eingeführt, um die Verschlüsselung mit vorinstalliertem Schlüssel zu ermöglichen:

key config-key password-encryption [Primärschlüssel]
Kennwort-Verschlüsselungsrate

Der [Primärschlüssel] ist das Kennwort bzw. der Schlüssel, mit dem alle anderen Schlüssel in der Router-Konfiguration mithilfe eines symmetrischen Advanced Encryption Standard (AES)-Verschlüsselungsverfahrens verschlüsselt werden. Der Primärschlüssel ist nicht in der Router-Konfiguration gespeichert und kann bei der Verbindung mit dem Router nicht angezeigt oder abgerufen werden.

Nach der Konfiguration wird der Primärschlüssel zur Verschlüsselung aktueller oder neuer Schlüssel in der Router-Konfiguration verwendet. Wenn der [Primärschlüssel] nicht in der Befehlszeile angegeben ist, fordert der Router den Benutzer zur Eingabe des Schlüssels und zur erneuten Eingabe zur Überprüfung auf. Wenn bereits ein Schlüssel vorhanden ist, wird der Benutzer aufgefordert, zuerst den alten Schlüssel einzugeben. Schlüssel werden erst verschlüsselt, wenn Sie den Befehl password encryption aes eingeben.

Der Primärschlüssel kann mit dem Befehl key config-key password-encryption erneut mit dem neuen [primary-key] geändert werden (obwohl dies nur erforderlich ist, wenn der Schlüssel in irgendeiner Weise kompromittiert wurde). Alle aktuellen verschlüsselten Schlüssel in der Router-Konfiguration werden mit dem neuen Schlüssel neu verschlüsselt.

Sie können den Primärschlüssel löschen, wenn Sie dieSchlüsselkonfiguration-Schlüsselkennwortverschlüsselung vornehmen. Dadurch werden jedoch alle aktuell konfigurierten Schlüssel in der Routerkonfiguration nutzlos (eine Warnmeldung wird angezeigt, die dies detailliert beschreibt und bestätigt, dass der Primärschlüssel gelöscht wurde). Da der Primärschlüssel nicht mehr vorhanden ist, können die Typ-6-Kennwörter nicht entschlüsselt und vom Router verwendet werden.

Anmerkung: Aus Sicherheitsgründen werden die Kennwörter in der Router-Konfiguration weder durch Entfernen des Primärschlüssels noch durch Entfernen der Kennwortverschlüsselung entschlüsselt. Sobald Kennwörter verschlüsselt sind, werden sie nicht mehr entschlüsselt. Die aktuellen verschlüsselten Schlüssel in der Konfiguration können weiterhin entschlüsselt werden, sofern der Primärschlüssel nicht entfernt wird.

Um Meldungen vom Typ debug über Passwortverschlüsselungsfunktionen anzuzeigen, verwenden Sie im Konfigurationsmodus den Befehl password logging.

Konfigurationen

In diesem Dokument werden die folgenden Konfigurationen auf dem Router verwendet:

Aktuellen vorinstallierten Schlüssel verschlüsseln
Router#show running-config Building configuration... ! crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco123 address 10.1.1.1 ! <output omitted> ! end Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#key config-key password-encrypt testkey123 Router(config)#password encryption aes Router(config)#^Z Router# Router#show running-config Building configuration... ! ! password encryption aes ! ! crypto isakmp policy 10 authentication pre-share crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1 ! <output omitted> ! end

Aktuellen vorinstallierten Schlüssel verschlüsseln

Router#show running-config 
Building configuration...
!
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 10.1.1.1
!
<output omitted>
!
end

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#key config-key password-encrypt testkey123
Router(config)#password encryption aes
Router(config)#^Z
Router#
Router#show running-config 
Building configuration...
!
!
password encryption aes
!
!
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1
!
<output omitted>
!
end

Neuen Primärschlüssel interaktiv hinzufügen
Router(config)#key config-key password-encrypt New key: Confirm key: Router(config)#

Den aktuellen Primärschlüssel interaktiv ändern
Router(config)#key config-key password-encrypt Old key: New key: Confirm key: Router(config)# *Jan 7 01:42:12.299: TYPE6_PASS: Master key change heralded, re-encrypting the keys with the new primary key

Den aktuellen Primärschlüssel interaktiv ändern

Router(config)#key config-key password-encrypt
 Old key: 
New key: 
Confirm key: 
Router(config)#
*Jan  7 01:42:12.299: TYPE6_PASS: Master key change heralded, re-encrypting the keys with the new primary key

Primärschlüssel löschen
Router(config)#no key config-key password-encrypt WARNING: All type 6 encrypted keys will become unusable Continue with primary key deletion ? [yes/no]: yes Router(config)#