この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
このモジュールでは、キーチェーン管理の実装方法について説明します。キーチェーン管理は、相互に信頼を確立する前にキーなどの秘密を交換するすべてのエンティティに共有秘密を設定する認証の一般的な方式です。ピアとの通信中に、Cisco IOS XR ソフトウェアのルーティング プロトコルおよびネットワーク管理アプリケーションは、多くの場合、セキュリティを強化するために認証を使用します。
このモジュールでは、キーチェーン管理の実装方法について説明します。キーチェーン管理は、相互に信頼を確立する前にキーなどの秘密を交換するすべてのエンティティに共有秘密を設定する認証の一般的な方式です。ピアとの通信中に、Cisco IOS XR ソフトウェアのルーティング プロトコルおよびネットワーク管理アプリケーションは、多くの場合、セキュリティを強化するために認証を使用します。
システム クロックを変更すると、現在のコンフィギュレーションのキーの有効性に影響を与えることに注意する必要があります。
この作業では、キーチェーンの名前を設定します。
キーチェーンの名前を作成または変更できます。
1. configure
2. key chainkey-chain-name
3. commit
4. show key chainkey-chain-name
次に、キーチェーン管理を設定する例を示します。
configure key chain isis-keys accept-tolerance infinite key 8 key-string mykey91abcd cryptographic-algorithm MD5 send-lifetime 1:00:00 june 29 2006 infinite accept-lifetime 1:00:00 june 29 2006 infinite end Uncommitted changes found, commit them? [yes]: yes show key chain isis-keys Key-chain: isis-keys/ - accept-tolerance -- infinite Key 8 -- text "1104000E120B520005282820" cryptographic-algorithm -- MD5 Send lifetime: 01:00:00, 29 Jun 2006 - Always valid [Valid now] Accept lifetime: 01:00:00, 29 Jun 2006 - Always valid [Valid now]
このタスクでは、ルーティングおよび管理プロトコルなどのアプリケーションのヒットレス キー ロール オーバーを容易にするために、キーチェーンのキーを受け付ける許容値を設定します。
1. configure
2. key chainkey-chain-name
3. accept-tolerancevalue [infinite]
4. commit
ステップ 1 |
configure |
ステップ 2 |
key chainkey-chain-name 例: RP/0//CPU0:router(config)# key chain isis-keys キーチェーンの名前を作成します。 |
ステップ 3 |
accept-tolerancevalue [infinite] 例: RP/0//CPU0:router(config-isis-keys)# accept-tolerance infinite キーチェーンのキーを受け入れる際の許容値を設定します。 |
ステップ 4 |
commit |
この作業では、キーチェーンのキー ID を設定します。
キーチェーンのキーを作成または変更できます。
1. configure
2. key chainkey-chain-name
3. keykey-id
4. commit
ステップ 1 |
configure |
ステップ 2 |
key chainkey-chain-name 例: RP/0//CPU0:router(config)# key chain isis-keys キーチェーンの名前を作成します。 |
ステップ 3 |
keykey-id 例: RP/0//CPU0:router(config-isis-keys)# key 8 キーチェーンのキーを作成します。キー ID 番号は 10 進数から 16 進数に変換され、コマンド モード サブプロンプトが作成されます。 |
ステップ 4 |
commit |
この作業では、キー文字列のテキストを設定します。
1. configure
2. key chainkey-chain-name
3. keykey-id
4. key-string [clear | password] key-string-text
5. commit
ステップ 1 |
configure |
ステップ 2 |
key chainkey-chain-name 例: RP/0//CPU0:router(config)# key chain isis-keys キーチェーンの名前を作成します。 |
ステップ 3 |
keykey-id 例: RP/0//CPU0:router(config-isis-keys)# key 8 RP/0//CPU0:router(config-isis-keys-0x8)# キーチェーンのキーを作成します。 |
ステップ 4 |
key-string [clear | password] key-string-text 例: RP/0//CPU0:router(config-isis-keys-0x8)# key-string password 8 キーのテキスト文字列を指定します。 |
ステップ 5 |
commit |
このタスクでは、リモート ピアを認証するローカル アプリケーションごとに、有効なキーを判断します。
1. configure
2. key chainkey-chain-name
3. keykey-id
4. accept-lifetimestart-time [durationduration-value | infinite | end-time]
5. commit
ステップ 1 |
configure |
ステップ 2 |
key chainkey-chain-name 例:
RP/0/RP0/CPU0:router(config)# key chain isis-keys
キーチェーンの名前を作成します。 |
ステップ 3 |
keykey-id 例: RP/0/RP0/CPU0:router(config-isis-keys)# key 8 RP/0/RP0/CPU0:router(config-isis-keys-0x8)# キーチェーンのキーを作成します。 |
ステップ 4 |
accept-lifetimestart-time [durationduration-value | infinite | end-time] 例: RP/0/RP0/CPU0:router(config-isis-keys)# key 8 RP/0/RP00/CPU0:router(config-isis-keys-0x8)# accept-lifetime 1:00:00 october 24 2005 infinite (任意)時間の観点から、キーのライフタイムの有効性を指定します。 |
ステップ 5 |
commit |
アウトバウンド アプリケーション トラフィックの認証ダイジェストを生成するためのキーを設定します。
1. configure
2. key chainkey-chain-name
3. keykey-id
4. send-lifetimestart-time [durationduration-value | infinite | end-time]
5. commit
ステップ 1 |
configure |
ステップ 2 |
key chainkey-chain-name 例:
RP/0/RP0/CPU0:router(config)# key chain isis-keys
キーチェーンの名前を作成します。 |
ステップ 3 |
keykey-id 例: RP/0/RP0/CPU0:router(config-isis-keys)# key 8 RP/0/RP0/CPU0:router(config-isis-keys-0x8)# キーチェーンのキーを作成します。 |
ステップ 4 |
send-lifetimestart-time [durationduration-value | infinite | end-time] 例: RP/0/RP0/CPU0:router(config-isis-keys)#key 8 RP/0/RP00/CPU0:router(config-isis-keys-0x8)# send-lifetime 1:00:00 october 24 2005 infinite (任意)キーチェーンの認証キーが有効に送信される設定期間を指定します。時間の観点から、キーのライフタイムの有効性を指定できます。 また、start-time の値と次のいずれかの値を指定できます。 キーのライフタイムを設定する場合は、ネットワーク タイム プロトコル(NTP)またはその他の同期方式を推奨します。 |
ステップ 5 |
commit |
暗号化アルゴリズムの選択を受け入れるためのキーチェーンを設定できるようにします。
1. configure
2. key chainkey-chain-name
3. keykey-id
4. cryptographic-algorithm [HMAC-MD5 | HMAC-SHA1-12 | HMAC-SHA1-20 | MD5 | SHA-1]
5. commit
ステップ 1 |
configure |
ステップ 2 |
key chainkey-chain-name 例: RP/0/RP0/CPU0:router(config)# key chain isis-keys RP/0/RP0/CPU0:router(config-isis-keys)# キーチェーンの名前を作成します。 |
ステップ 3 |
keykey-id 例: RP/0/RP0/CPU0:router(config-isis-keys)# key 8 RP/0/RP0/CPU0:router(config-isis-keys-0x8)# キーチェーンのキーを作成します。 |
ステップ 4 |
cryptographic-algorithm [HMAC-MD5 | HMAC-SHA1-12 | HMAC-SHA1-20 | MD5 | SHA-1] 例:
RP/0/RP0/CPU0:router(config-isis-keys-0x8)# cryptographic-algorithm MD5
暗号化アルゴリズムを選択します。次のアルゴリズムから選択できます。 各ルーティング プロトコルは、次のように異なる暗号化アルゴリズムのセットをサポートします。 |
ステップ 5 |
commit |
セキュリティ方式としてキーを使用する場合は、キーのライフタイムを指定して、期限が切れた際には定期的にキーを変更する必要があります。安定性を維持するには、各パーティがアプリケーションのキーを複数保存して同時に使用できるようにする必要があります。キーチェーンは、同じピア、ピアのグループ、またはその両方を認証するために一括管理されている一連のキーです。
キーチェーン管理では、一連のキーをキーチェーンの下にまとめてグループ化し、キーチェーン内の各キーをライフタイムに関連付けます。
![]() (注) |
ライフタイムが設定されていないキーはすべて無効と見なされるため、キーは設定中に拒否されます。 |
キーのライフタイムは、次のオプションによって定義されます。
キーチェーン内のそれぞれのキーの定義では、キーが有効な期間(ライフタイムなど)を指定する必要があります。指定したキーのライフタイム期間中は、この有効なキーとともにルーティング更新パケットが送信されます。キーが有効ではない期間はキーを使用できません。このため、指定したキーチェーンでは、キーの有効期間を重複させて、有効なキーの不在期間をなくすことを推奨します。有効なキーの不在期間が発生した場合、ネイバー認証は行われず、ルーティング更新は失敗します。
複数のキーチェーンを指定できます。