この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ここでは、キーチェーン管理を設定するために使用されるコマンドについて説明します。
キーチェーン管理の概念、設定作業、および例の詳細については、 『Cisco ASR 9000 Series Aggregation Services Router System Security Configuration Guide』の「Implementing Keychain Management on Cisco ASR 9000 Series Router」設定モジュールを参照してください。
キーチェーンの認証キーが有効なキーとして受信される期間を設定するには、キー コンフィギュレーション モードで accept-lifetime コマンドを使用します。 デフォルト値に戻すには、このコマンドの no 形式を使用します。
accept-lifetime start-time [ duration duration value | infinite | end-time ]
no accept-lifetime start-time [ duration duration value | infinite | end-time ]
start-time |
キーが有効になる開始時間を hh:mm:ss 日月年の形式で指定します。 範囲は 0:0:0 ~ 23:59:59 です。 日付の範囲は 1 ~ 31 です。 年の範囲は 1993 ~ 2035 です。 |
duration duration value |
(任意)キーのライフタイムを秒で指定します。 範囲は、1 ~ 2147483646 です。 |
infinite |
(任意)有効になった後、そのキーが期限切れにならないことを示します。 |
end-time |
(任意)キーが期限切れとなる時刻を hh:mm:ss 日月年の形式で指定します。 範囲は 0:0:0 ~ 23:59:59 です。 |
なし
キー コンフィギュレーション
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
system |
read, write |
次に、accept-lifetime コマンドの使用例を示します。
RR/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# key chain isis-keys RP/0/RSP0/CPU0:router(config-isis-keys)# key 8 RP/0/RSP0/CPU0:router(config-isis-keys-0x8)# accept-lifetime 1:00:00 June 29 2006 infinite
コマンド |
説明 |
---|---|
キーチェーンのキーを作成または変更します。 |
|
キーチェーンを作成または変更します。 |
|
キー文字列のテキストを指定します。 |
|
有効なキーを送信します。 |
|
キーチェーンを表示します。 |
ピアが使用する受け入れキーの許容値、つまり受け入れ可能な限度を秒で指定するには、キーチェーン コンフィギュレーション モードで accept-tolerance コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
accept-tolerance [ value | infinite ]
no accept-tolerance [ value | infinite ]
value |
(任意)秒で示される許容値の範囲。 範囲は、1 ~ 8640000 です。 |
infinite |
(任意)指定された許容値が無限であることを示します。 この受け入れキーは期限切れになりません。 無限の許容限度は、受け入れキーが常に受け入れ可能であり、ピアが使用する際に検証されることを意味します。 |
デフォルト値は、許容しないことを意味する 0 です。
キーチェーン コンフィギュレーション
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
accept-tolerance コマンドを設定しない場合、許容値は 0 に設定されます。
キーが有効なライフタイムの範囲外にある場合でも、許容限度内にあればそのキーは受け入れ可能と判断されます(たとえば、ライフタイムの開始前やライフタイムの終了後など)。
タスク ID |
操作 |
---|---|
system |
read, write |
次に、accept-tolerance コマンドの使用例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# key chain isis-keys RP/0/RSP0/CPU0:router(config-isis-keys)# accept-tolerance infinite
コマンド |
説明 |
---|---|
有効なキーを受け入れます。 |
|
キーチェーンを作成または変更します。 |
|
キーチェーンを表示します。 |
キー ID に設定されたキー文字列を使用して、パケットに適用する暗号化アルゴリズムを選択するには、キーチェーンおよびキー コンフィギュレーション モードで cryptographic-algorithm コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
cryptographic-algorithm [ HMAC-MD5 | HMAC-SHA1-12 | HMAC-SHA1-20 | MD5 | SHA-1 ]
no cryptographic-algorithm [ HMAC-MD5 | HMAC-SHA1-12 | HMAC-SHA1-20 | MD5 | SHA-1 ]
HMAC-MD5 |
HMAC-MD5 をダイジェスト サイズ 16 バイトの暗号化アルゴリズムとして設定します。 |
HMAC-SHA1-12 |
HMAC-SHA1-12 をダイジェスト サイズ 12 バイトの暗号化アルゴリズムとして設定します。 |
HMAC-SHA1-20 |
HMAC-SHA1-20 をダイジェスト サイズ 20 バイトの暗号化アルゴリズムとして設定します。 |
MD5 |
MD5 をダイジェスト サイズ 16 バイトの暗号化アルゴリズムとして設定します。 |
SHA-1 |
SHA-1-20 をダイジェスト サイズ 20 バイトの暗号化アルゴリズムとして設定します。 |
デフォルトの動作または値はありません。
キーチェーンのキー コンフィギュレーション
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
暗号化アルゴリズムを設定しない場合、MAC 計算と API 検証は無効になります。
各プロトコルがサポートする暗号化アルゴリズムは次のとおりです。
タスク ID |
操作 |
---|---|
system |
read, write |
次に、cryptographic-algorithm コマンドの使用例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# key chain isis-keys RP/0/RSP0/CPU0:router(config-isis-keys)# key 8 RP/0/RSP0/CPU0:router(config-isis-keys-0x8)# cryptographic-algorithm HMAC-MD5
コマンド |
説明 |
---|---|
有効なキーを受け入れます。 |
|
キーチェーンを作成または変更します。 |
|
キーチェーンを表示します。 |
キーチェーンのキーを作成または変更するには、キーチェーンのキー コンフィギュレーション モードで key コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
key key-id
no key key-id
key-id |
48 ビット整数型のキー ID。範囲は 0 ~ 281474976710655 です。 |
デフォルトの動作または値はありません。
キーチェーンのキー コンフィギュレーション
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ボーダー ゲートウェイ プロトコル(BGP)のキーチェーン設定では、key-id 引数の範囲は 0 ~ 63 でなければなりません。 この範囲が 63 の値を超えると、BGP キーチェーンの操作は拒否されます。
タスク ID |
操作 |
---|---|
system |
read, write |
次に、key コマンドの使用例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# key chain isis-keys RP/0/RSP0/CPU0:router(config-isis-keys)# key 8 RP/0/RSP0/CPU0:router(config-isis-keys-0x8)#
コマンド |
説明 |
---|---|
有効なキーを受け入れます。 |
|
キーチェーンを作成または変更します。 |
|
キー文字列のテキストを指定します。 |
|
有効なキーを送信します。 |
|
キーチェーンを表示します。 |
キーチェーンを作成または変更するには、グローバル コンフィギュレーション モードで key chain コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
key chain key-chain-name
no key chain key-chain-name
key-chain-name |
キーチェーンの名前を指定します。 最大文字数は 48 です。 |
デフォルトの動作または値はありません。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
ボーダー ゲートウェイ プロトコル(BGP)のキーチェーンは、ネイバー、セッション グループ、またはネイバー グループとして設定できます。 BGP はこのキーチェーンを使用して、ヒットしないキー更新を認証にインプリメントできます。
タスク ID |
操作 |
---|---|
system |
read, write |
次の例は、キーチェーン名 isis-keys が key chain コマンド用であることを示しています。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# key chain isis-keys RP/0/RSP0/CPU0:router(config-isis-keys)#
コマンド |
説明 |
---|---|
有効なキーを受け入れます。 |
|
キーチェーンのキーを受け入れる際の許容値を設定します。 |
|
キーチェーンのキーを作成または変更します。 |
|
キー文字列のテキストを指定します。 |
|
有効なキーを送信します。 |
|
キーチェーンを表示します。 |
キーのテキスト文字列を指定するには、キーチェーンのキー コンフィギュレーション モードで key-string コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
key-string [ clear | password ] key-string-text
no key-string [ clear | password ] key-string-text
clear |
キー文字列をクリアテキスト形式で指定します。 |
password |
キーを暗号化形式で指定します。 |
key-string-text |
キーのテキスト文字列。パーサー プロセスによって暗号化されてから、設定に保存されます。 テキスト文字列には、次の文字制限があります。 |
デフォルト値は clear です。
キーチェーンのキー コンフィギュレーション
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
リリース |
変更内容 |
---|---|
リリース 3.3.0 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
暗号化パスワードが有効であるためには、次の条件を満たしている必要があります。
次の例は、どちらも有効な暗号化パスワードです。
1234abcd
または
50aefd
タスク ID |
操作 |
---|---|
system |
read, write |
次に、keystring コマンドの使用例を示します。
RP/0/RSP0/CPU0:router:# configure RP/0/RSP0/CPU0:router(config)# key chain isis-keys RP/0/RSP0/CPU0:router(config-isis-keys)# key 8 RP/0/RSP0/CPU0:router(config-isis-keys-0x8)# key-string password 850aefd
コマンド |
説明 |
---|---|
有効なキーを受け入れます。 |
|
キーチェーンのキーを作成または変更します。 |
|
キーチェーンを作成または変更します。 |
|
有効なキーを送信します。 |
|
キーチェーンを表示します。 |
有効なキーを送信し、ピアのローカル ホストからの情報を認証するには、キーチェーンおよびキー コンフィギュレーション モードで send-lifetime コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
send-lifetime start-time [ duration duration value | infinite | end-time ]
no send-lifetime start-time [ duration duration value | infinite | end-time ]
start-time |
キーが有効になる開始時間を hh:mm:ss 日月年の形式で指定します。 範囲は 0:0:0 ~ 23:59:59 です。 日付の範囲は 1 ~ 31 です。 年の範囲は 1993 ~ 2035 です。 |
duration duration value |
(任意)キーのライフタイムを秒で指定します。 |
infinite |
(任意)一旦有効になると、そのキーは期限切れにならないことを示します。 |
end-time |
(任意)キーが期限切れとなる時刻を hh:mm:ss 日月年の形式で指定します。 範囲は 0:0:0 ~ 23:59:59 です。 |
デフォルトの動作または値はありません。
キーチェーンのキー コンフィギュレーション
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
system |
read, write |
次に、send-lifetime コマンドの使用例を示します。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# key chain isis-keys RP/0/RSP0/CPU0:router(config-isis-keys)# key 8 RP/0/RSP0/CPU0:router(config-isis-keys-0x8)# send-lifetime 1:00:00 June 29 2006 infinite
コマンド |
説明 |
---|---|
有効なキーを受け入れます。 |
|
キーチェーンのキーを作成または変更します。 |
|
キーチェーンを作成または変更します。 |
|
キー文字列のテキストを指定します。 |
キーチェーンを表示するには、EXEC モードで show key chain コマンドを使用します。
show key chain key-chain-name
key-chain-name |
指定したキーチェーンのキーの名前です。 最大文字数は 32 です。 |
デフォルトの動作または値はありません。
EXEC
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
このコマンドが追加されました。 |
このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 ユーザ グループの割り当てのためにコマンドを使用できない場合は、AAA 管理者に連絡してください。
タスク ID |
操作 |
---|---|
system |
read |
セキュアなキー ストレージが使用可能になった場合は、ユーザにマスター パスワードの入力を要求し、暗号化してからキー ラベルを表示するのが、キーチェーン管理にとっては望ましい方法です。 次の例では、show key chain コマンドに対して暗号化キー ラベルだけが表示されます。
RP/0/RSP0/CPU0:router# show key chain isis-keys
Key-chain: isis-keys/ -
accept-tolerance -- infinite
Key 8 -- text "8"
cryptographic-algorithm -- MD5
Send lifetime: 01:00:00, 29 Jun 2006 - Always valid [Valid now]
Accept lifetime: 01:00:00, 29 Jun 2006 - Always valid [Valid now]
コマンド |
説明 |
---|---|
有効なキーを受け入れます。 |
|
キーチェーンのキーを受け入れる際の許容値を設定します。 |
|
キーチェーンのキーを作成または変更します。 |
|
キーチェーンを作成または変更します。 |
|
キー文字列のテキストを指定します。 |
|
有効なキーを送信します。 |