キーチェーン管理の概要
ここでは、次の内容について説明します。
• 「キーチェーンおよびキーチェーン管理」
• 「キーのライフタイム」
キーチェーンおよびキーチェーン管理
キーチェーン管理機能では、キーチェーンの作成および保守を行うことができます。キーチェーンとはキーのシーケンスです(共有秘密と呼ぶこともあります)。キーチェーンは、キーベースの認証を使用して他のデバイスとセキュアな通信を確立する機能と併用できます。このデバイスでは複数のキーチェーンを設定できます。
キーベースの認証をサポートする一部のルーティング プロトコルは、キーチェーンを使用して、認証のヒットレス キー ロールオーバーを実装します。詳細については、『 Cisco NX-OS Unicast Routing Configuration Guide 』を参照してください。
キーのライフタイム
安定した通信を維持するためには、キーベース認証で保護されるプロトコルを使用する各デバイスに、1 つの機能に対して同時に複数のキーを保存し使用する能力が必要です。キーチェーン管理は、キーの送信および受け入れライフタイムに基づいて、キー ロールオーバーを処理するセキュアなメカニズムを提供します。デバイスはキーのライフタイムを使用して、キーチェーン内のアクティブなキーを判断します。
キーチェーンの各キーには次に示す 2 つのライフタイムがあります。
• 受け入れライフタイム ― 別のデバイスとのキー交換時にデバイスがそのキーを受け入れる期間
• 送信ライフタイム ― 別のデバイスとのキー交換時にデバイスがそのキーを送信する期間
キーの送信ライフタイムおよび受け入れライフタイムは、次のパラメータを使用して定義します。
• 開始時 ― ライフタイムが開始される絶対時間
• 終了時 ― 次のいずれかの方法で定義できます。
–ライフタイムが終了する絶対時間
–開始時からライフタイムが終了するまでの経過秒数
–無限のライフタイム(終了時なし)
キーの送信ライフタイム中、デバイスはルーティング アップデート パケットをキーと一緒に送信します。送信されたキーがデバイス上のキーの受け入れライフタイム期間内でない場合、そのデバイスはキーを送信したデバイスからの通信を受け入れません。
どのキーチェーンも、キーのライフタイムが重なるように設定することを推奨します。このようにすると、アクティブなキーがないことによるネイバー認証の失敗を避けることができます。
バーチャライゼーション サポート
Virtual Device Context(VDC; バーチャル デバイス コンテキスト)では、キーチェーンに次の事項が適用されます。
• キーチェーンは各 VDC に固有です。ある VDC で作成した キーチェーン を別の VDC に使用することはできません。
• 複数の VDC でキーチェーンが共有されることはないので、キーチェーン名は他の VDC に再利用できます。
• デバイスは、キーチェーンを VDC 単位では制限しません。
キーチェーン管理のライセンス要件
この機能のライセンス要件は次の表のとおりです。
|
|
NX-OS |
キーチェーン管理にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide 』を参照してください。 |
キーチェーン管理の前提条件
キーチェーン管理には前提条件はありません。
注意事項および制約事項
キーチェーン管理に関する注意事項と制約事項は次のとおりです。
• システム クロックが変更されると、キーがアクティブになる時期に影響が生じます。
キーチェーン管理の設定
ここでは、次の内容について説明します。
• 「キーチェーンの作成」
• 「キーチェーンの削除」
• 「キーの設定」
• 「キーのテキストの設定」
• 「キーの受け入れライフタイムおよび送信ライフタイムの設定」
キーチェーンの作成
デバイスにキーチェーンを作成できます。
作業を開始する前に
新しいキーチェーンには、キーは含まれていません。キーの追加については、「キーの設定」を参照してください。
正しい VDC 内にいることを確認します(あるいは、 switch to vdc コマンドを使用します)。
手順の概要
1. config t
2. key chain name
3. show key chain name
4. copy running-config startup-config
詳細な手順
|
|
|
ステップ 1 |
config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
key chain name 例: switch(config)# key chain glbp-keys switch(config-keychain)# |
キーチェーンを作成し、キーチェーン コンフィギュレーション モードを開始します。 |
ステップ 3 |
show key chain name 例: switch(config-keychain)# show key chain glbp-keys |
(任意)キーチェーンの設定を表示します。 |
ステップ 4 |
copy running-config startup-config 例: switch(config-keychain)# copy running-config startup-config |
(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
キーチェーンの削除
デバイスのキーチェーンを削除できます。
(注) キーチェーンを削除すると、キーチェーン内のキーはどれも削除されます。
作業を開始する前に
キーチェーンを削除する場合は、そのキーチェーンを使用している機能がないことを確認してください。削除するキーチェーンを使用するように設定されている機能がある場合、その機能は他のデバイスとの通信に失敗する可能性が高くなります。
正しい VDC 内にいることを確認します(あるいは、 switch to vdc コマンドを使用します)。
手順の概要
1. config t
2. no key chain name
3. show key chain name
4. copy running-config startup-config
詳細な手順
|
|
|
ステップ 1 |
config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
no key chain name 例: switch(config)# no key chain glbp-keys |
キーチェーンおよびそのキーチェーンに含まれているすべてのキーを削除します。 |
ステップ 3 |
show key chain name 例: switch(config-keychain)# show key chain glbp-keys |
(任意)そのキーチェーンが実行コンフィギュレーション内にないことを確認します。 |
ステップ 4 |
copy running-config startup-config 例: switch(config-keychain)# copy running-config startup-config |
(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
キーの設定
キーチェーンにキーを設定できます。
新しいキーにはテキスト(共有秘密)は含まれていません。キーへのテキストの追加については、「キーのテキストの設定」を参照してください。
作業を開始する前に
正しい VDC 内にいることを確認します(あるいは、 switch to vdc コマンドを使用します)。
新しいキーのデフォルトの受け入れライフタイムおよび送信ライフタイムはinfinite(無限)です。詳細については、「キーの受け入れライフタイムおよび送信ライフタイムの設定」を参照してください。
手順の概要
1. config t
2. key chain name
3. key key-ID
4. show key chain name
5. copy running-config startup-config
詳細な手順
|
|
|
ステップ 1 |
config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
key chain name 例: switch(config)# key chain glbp-keys switch(config-keychain)# |
指定したキーチェーンのキーチェーン コンフィギュレーション モードを開始します。 |
ステップ 3 |
key key-ID 例: switch(config-keychain)# key 13 switch(config-keychain-key)# |
指定したキーのキー コンフィギュレーション モードを開始します。 key-ID 引数は、0 ~ 65535 の整数で指定する必要があります。 |
ステップ 4 |
show key chain name 例: switch(config-keychain-key)# show key chain glbp-keys |
(任意)キーの設定も含めて、キーチェーンの設定を表示します。 |
ステップ 5 |
copy running-config startup-config 例: switch(config-keychain)# copy running-config startup-config |
(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
キーのテキストの設定
キーのテキストを設定できます。テキストは共有秘密です。デバイスはこのテキストをセキュアな形式で保存します。
作業を開始する前に
そのキーのテキストを決めます。テキストは、暗号化されていないテキストとして入力できます。また、 show key chain コマンド使用時に NX-OS がキー テキストの表示に使用する暗号形式で入力することもできます。特に、別のデバイスから show key chain コマンドを実行し、その出力に表示されるキーと同じキー テキストを作成する場合には、暗号化形式での入力が便利です。
デフォルトでは、受け入れライフタイムおよび送信ライフタイムは無限になり、キーは常に有効です。キーにテキストを設定してから、そのキーの受け入れライフタイムと送信ライフタイムを設定します。詳細については、「キーの受け入れライフタイムおよび送信ライフタイムの設定」を参照してください。
正しい VDC 内にいることを確認します(あるいは、 switch to vdc コマンドを使用します)。
手順の概要
1. config t
2. key chain name
3. key key-ID
4. key-string [ encryption-type ] text-string
5. show key chain name [ mode decrypt ]
6. copy running-config startup-config
詳細な手順
|
|
|
ステップ 1 |
config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
key chain name 例: switch(config)# key chain glbp-keys switch(config-keychain)# |
指定したキーチェーンのキーチェーン コンフィギュレーション モードを開始します。 |
ステップ 3 |
key key-ID 例: switch(config-keychain)# key 13 switch(config-keychain-key)# |
指定したキーのキー コンフィギュレーション モードを開始します。 key-ID 引数は、0 ~ 65535 の整数で指定する必要があります。 |
ステップ 4 |
key-string [ encryption-type ] text-string 例: switch(config-keychain-key)# key-string 0 AS3cureStr1ng |
そのキーのテキスト ストリングを設定します。 text-string 引数は、大文字と小文字を区別して、英数字で指定します。特殊文字も使用できます。 encryption-type 引数には、次のいずれかの値を指定できます。 • 0入力する text-string 引数は暗号化されていないテキストです。これがデフォルトです。 • 7 ― 入力する text-string 引数は暗号化されています。シスコ固有の暗号方式で暗号化されます。このオプションは、別の NX-OS デバイスで show key chain コマンドを実行し、表示された暗号化出力に基づいてテキスト ストリングを入力する場合に便利です。 |
ステップ 5 |
show key chain name [ mode decrypt ] 例: switch(config-keychain-key)# show key chain glbp-keys |
(任意)キー テキストの設定も含めて、キーチェーンの設定を表示します。デバイス管理者だけが使用できる mode decrypt オプションを使用すると、キーはクリアテキストで表示されます。 |
ステップ 6 |
copy running-config startup-config 例: switch(config-keychain-key)# copy running-config startup-config |
(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
キーの受け入れライフタイムおよび送信ライフタイムの設定
キーの受け入れライフタイムおよび送信ライフタイムを設定できます。
(注) キーチェーン内のキーのライフタイムが重複するように設定することを推奨します。このようにすると、アクティブなキーがないために、キーによるセキュア通信が切断される事態を避けることができます。
作業を開始する前に
デフォルトでは、受け入れライフタイムおよび送信ライフタイムは無限になり、キーは常に有効です。
正しい VDC 内にいることを確認します(あるいは、 switch to vdc コマンドを使用します)。
手順の概要
1. config t
2. key chain name
3. key key-ID
4. accept-lifetime [ local ] start-time [ duration duration-value | infinite | end-time ]
send-lifetime [ local ] start-time [ duration duration-value | infinite | end-time ]
5. show key chain name [ mode decrypt ]
6. copy running-config startup-config
詳細な手順
|
|
|
ステップ 1 |
config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
key chain name 例: switch(config)# key chain glbp-keys switch(config-keychain)# |
指定したキーチェーンのキーチェーン コンフィギュレーション モードを開始します。 |
ステップ 3 |
key key-ID 例: switch(config-keychain)# key 13 switch(config-keychain-key)# |
指定したキーのキー コンフィギュレーション モードを開始します。 |
ステップ 4 |
accept-lifetime [ local ] start-time duration duration-value | infinite | end-time ] 例: switch(config-keychain-key)# accept-lifetime 00:00:00 Jun 13 2008 23:59:59 Sep 12 2008 |
キーの受け入れライフタイムを設定します。デフォルトでは、デバイスは start-time 引数と end-time 引数を UTC として扱います。 local キーワードを指定すると、デバイスはこれらの時間を現地時間として扱います。 start-time 引数は、キーがアクティブになる日時です。 ライフタイムの終了時は次のいずれかのオプションで指定できます。 • duration duration-value ― ライフタイムの長さ(秒)。最大値は 2147483646 秒(約 68 年)です。 • infinite ― キーの受け入れライフタイムは期限切れになりません。 • end-time ― end-time 引数はキーがアクティブでなくなる日時です。 |
send-lifetime [ local ] start-time duration duration-value | infinite | end-time ] 例: switch(config-keychain-key)# send-lifetime 00:00:00 Jun 13 2008 23:59:59 Aug 12 2008 |
キーの送信ライフタイムを設定します。デフォルトでは、デバイスは start-time 引数と end-time 引数を UTC として扱います。 local キーワードを指定すると、デバイスはこれらの時間を現地時間として扱います。 start-time 引数は、キーがアクティブになる日時です。 送信ライフタイムの終了時は次のいずれかのオプションで指定できます。 • duration duration-value ― ライフタイムの長さ(秒)。最大値は 2147483646 秒(約 68 年)です。 • infinite ― キーの送信ライフタイムは期限切れになりません。 • end-time ― end-time 引数はキーがアクティブでなくなる日時です。 |
ステップ 5 |
show key chain name [ mode decrypt ] 例: switch(config-keychain-key)# show key chain glbp-keys |
(任意)キー テキストの設定も含めて、キーチェーンの設定を表示します。デバイス管理者だけが使用できる mode decrypt オプションを使用すると、キーはクリアテキストで表示されます。 |
ステップ 6 |
copy running-config startup-config 例: switch(config-keychain-key)# copy running-config startup-config |
(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
アクティブなキーのライフタイムの確認
キーチェーン内のキーのうち、受け入れライフタイムまたは送信ライフタイムがアクティブなキーを確認するには、次のコマンドを使用します。
|
|
show key chain |
デバイスに設定されているキーチェーンを表示します。 |
このコマンドの出力フィールドに関する詳細は、『 Cisco NX-OS Security Command Reference 』を参照してください。
キーチェーン管理の設定の確認
キーチェーン管理の設定情報を表示するには、次のいずれかの作業を行います。
|
|
show key chain |
デバイスに設定されているキーチェーンを表示します。 |
このコマンドの出力フィールドに関する詳細は、『 Cisco NX-OS Security Command Reference 』を参照してください。
キーチェーン管理の設定例
glbp keys という名前のキーチェーンを設定する例を示します。各キー テキスト ストリングは暗号化されています。各キーの受け入れライフタイムは送信ライフタイムよりも長くなっています。これは、誤ってアクティブ キーのない時間を設定してもなるべく通信が失われないようにするためです。
accept-lifetime 00:00:00 Jun 01 2008 23:59:59 Sep 12 2008
send-lifetime 00:00:00 Jun 01 2008 23:59:59 Aug 12 2008
accept-lifetime 00:00:00 Aug 12 2008 23:59:59 Dec 12 2008
send-lifetime 00:00:00 Sep 12 2008 23:59:59 Nov 12 2008
accept-lifetime 00:00:00 Nov 12 2008 23:59:59 Mar 12 2009
send-lifetime 00:00:00 Dec 12 2008 23:59:59 Feb 12 2009
関連情報
キーチェーンを使用するルーティング機能については、『 Cisco NX-OS Unicast Routing Configuration Guide 』を参照してください。
デフォルト設定
表17-1 に キーチェーン管理パラメータのデフォルトの設定値を示します。
表17-1 キーチェーン管理パラメータのデフォルト値
|
|
キーチェーン |
デフォルトではキーチェーンはありません。 |
キー |
デフォルトでは新しいキーチェーンの作成時にキーは作成されません。 |
受け入れライフタイム |
常に有効です。 |
送信ライフタイム |
常に有効です。 |
キーストリング入力の暗号化 |
暗号化されません。 |
その他の参考資料
キーチェーン管理の実装に関する詳細情報については、次を参照してください。
• 「関連資料」
• 「規格」
関連資料
|
|
Gateway Load Balancing Protocol |
『 Cisco NX-OS Unicast Configuration Guide 』 |
Border Gateway Protocol |
『 Cisco NX-OS Unicast Configuration Guide 』 |
キーチェーン管理のコマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例 |
『 Cisco NX-OS Security Command Reference 』 |
規格
|
|
この機能のサポート対象の規格には、新規規格も変更された規格もありません。また、この機能は既存の規格に対するサポートに影響を及ぼしません。 |
-- |