- はじめに
- 新機能および変更された機能に関する情報
- 概要
- FIPS の設定
- AAA の設定
- RADIUS の設定
- TACACS+ の設定
- LDAP の設定
- SSH および Telnet の設定
- PKI の設定
- ユーザ アカウントおよび RBAC の設定
- 802.1X の設定
- NAC の設定
- Cisco TrustSec の設定
- Cisco TrustSec MACSec の設定
- IP ACL の設定
- MAC ACL の設定
- VLAN ACL の設定
- ポート セキュリティの設定
- DHCP の設定
- ダイナミック ARP インスペクションの設定
- IP ソース ガードの設定
- パスワード暗号化の設定
- キーチェーン管理の設定
- トラフィック ストーム制御の設定
- ユニキャスト RPF の設定
- コントロール プレーン ポリシングの設定
- レート制限の設定
Cisco Nexus 7000 Series NX-OS セキュリティ コンフィギュレーション ガイド
- Updated:
- 2017年6月14日
章のタイトル: キーチェーン管理の設定
キーチェーン管理の設定
この章では、Cisco NX-OS デバイスでキーチェーン管理を設定する手順について説明します。
この章は、次の項で構成されています。
- 機能情報の確認
- キーチェーン管理の概要
- Licensing Requirements for Keychain Management
- キーチェーン管理の前提条件
- キーチェーン管理の注意事項と制約事項
- キーチェーン管理のデフォルト設定
- キーチェーン管理の設定
- アクティブなキーのライフタイムの確認
- キーチェーン管理の設定の確認
- キーチェーン管理の設定例
- 次の作業
- キーチェーン管理に関する追加情報
- キーチェーン管理の機能の履歴
機能情報の確認
ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の警告および機能情報については、https://tools.cisco.com/bugsearch/ の Bug Search Tool およびご使用のソフトウェア リリースのリリース ノートを参照してください。このモジュールに記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「新機能および変更された機能に関する情報」の章または以下の「機能の履歴」表を参照してください。
キーチェーン管理の概要
キーチェーンおよびキーチェーン管理
キーチェーン管理を使用すると、キーチェーンの作成と管理を行えます。キーチェーンはキーのシーケンスを意味します(共有秘密ともいいます)。キーチェーンは、他のデバイスとの通信をキーベース認証を使用して保護する機能と合わせて使用できます。デバイスでは複数のキーチェーンを設定できます。
キーベース認証をサポートするルーティング プロトコルの中には、キーチェーンを使用してヒットレス キー ロールオーバーによる認証を実装できるものがあります。詳細については、『Cisco Nexus 7000 Series NX-OS Unicast Routing Configuration Guide』を参照してください。
キーのライフタイム
安定した通信を維持するためには、キーベース認証で保護されるプロトコルを使用する各デバイスに、1 つの機能に対して同時に複数のキーを保存し使用できる必要があります。キーチェーン管理は、キーの送信および受け入れライフタイムに基づいて、キー ロールオーバーを処理するセキュアなメカニズムを提供します。デバイスはキーのライフタイムを使用して、キーチェーン内のアクティブなキーを判断します。
キーチェーンの各キーには次に示す 2 つのライフタイムがあります。
- 受け入れライフタイム
別のデバイスとのキー交換時にデバイスがそのキーを受け入れる期間。
- 送信ライフタイム
別のデバイスとのキー交換時にデバイスがそのキーを送信する期間。
キーの送信ライフタイムおよび受け入れライフタイムは、次のパラメータを使用して定義します。
キーの送信ライフタイム中、デバイスはルーティング アップデート パケットをキーとともに送信します。送信されたキーがデバイス上のキーの受け入れライフタイム期間内でない場合、そのデバイスはキーを送信したデバイスからの通信を受け入れません。
どのキーチェーンも、キーのライフタイムが重なるように設定することを推奨します。このようにすると、アクティブなキーがないことによるネイバー認証の失敗を避けることができます。
キーチェーン管理のバーチャライゼーション サポート
仮想デバイス コンテキスト(VDC)で使用されるキーチェーンには、次の事項が適用されます。
Licensing Requirements for Keychain Management
|
Product |
License Requirement |
|---|---|
|
Cisco NX-OS |
Keychain management requires no license. Any feature not included in a license package is bundled with the Cisco NX-OS system images and is provided at no extra charge to you. For an explanation of the Cisco NX-OS licensing scheme, see the Cisco NX-OS Licensing Guide. |
キーチェーン管理の前提条件
キーチェーン管理には前提条件はありません。
キーチェーン管理の注意事項と制約事項
キーチェーン管理に関する注意事項と制約事項は次のとおりです。
キーチェーン管理のデフォルト設定
|
パラメータ |
デフォルト |
|---|---|
|
キー チェーン |
デフォルトではキーチェーンはありません。 |
|
キー |
デフォルトでは新しいキーチェーンの作成時にキーは作成されません。 |
|
受け入れライフタイム |
常に有効です。 |
|
送信ライフタイム |
常に有効です。 |
|
キーストリング入力の暗号化 |
暗号化されません。 |
キーチェーン管理の設定
キーチェーンの作成
デバイスにキーチェーンを作成できます。新しいキーチェーンには、キーは含まれていません。
1.
configure terminal
2.
keychainname
3.
(任意) show key chainname
4.
(任意) copy running-config startup-config
手順の詳細
キーチェーンの削除
デバイスのキーチェーンを削除できます。
 (注) | キーチェーンを削除すると、キーチェーン内のキーはどれも削除されます。 |
キーチェーンを削除する場合は、そのキーチェーンを使用している機能がないことを確認してください。削除するキーチェーンを使用するように設定されている機能がある場合、その機能は他のデバイスとの通信に失敗する可能性が高くなります。
1.
configure terminal
2.
no keychainname
3.
(任意) show key chain name
4.
(任意) copy running-config startup-config
手順の詳細
マスター キーの設定および AES パスワード暗号化機能のイネーブル化
タイプ 6 暗号化用のマスター キーを設定し、高度暗号化規格(AES)パスワード暗号化機能をイネーブルにすることができます。
1.
[no] key config-key ascii
2.
configure terminal
3.
[no] feature password encryption aes
4.
(任意) show encryption service stat
5.
copy running-config startup-config
手順の詳細
キーのテキストの設定
キーのテキストを設定できます。テキストは共有秘密です。デバイスはこのテキストをセキュアな形式で保存します。
デフォルトでは、受け入れライフタイムおよび送信ライフタイムは無限になり、キーは常に有効です。キーにテキストを設定してから、そのキーの受け入れライフタイムと送信ライフタイムを設定します。
そのキーのテキストを決めます。テキストは、暗号化されていないテキストとして入力できます。また、show key chain コマンド使用時に Cisco NX-OS がキー テキストの表示に使用する暗号形式で入力することもできます。特に、別のデバイスから show key chain コマンドを実行し、その出力に表示されるキーと同じキー テキストを作成する場合には、暗号化形式での入力が便利です。
1.
configure terminal
2.
keychainname
3.
keykey-ID
4.
key-string [encryption-type] text-string
5.
(任意) show key chain name [mode decrypt]
6.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
| ステップ 2 | keychainname 例: switch(config)# key chain glbp-keys switch(config-keychain)# |
指定したキーチェーンのキーチェーン コンフィギュレーション モードを開始します。 |
| ステップ 3 | keykey-ID 例: switch(config-keychain)# key 13 switch(config-keychain-key)# |
指定したキーのキー コンフィギュレーション モードを開始します。key-ID 引数は、0 ~ 65535 の整数で指定する必要があります。 |
| ステップ 4 | key-string [encryption-type] text-string 例: switch(config-keychain-key)# key-string 0 AS3cureStr1ng |
そのキーのテキスト ストリングを設定します。text-string 引数は、大文字と小文字を区別して、英数字で指定します。特殊文字も使用できます。 encryption-type 引数に、次のいずれかの値を指定します。 |
| ステップ 5 | show key chain name [mode decrypt] 例: switch(config-keychain-key)# show key chain glbp-keys | (任意)
キー テキストの設定も含めて、キーチェーンの設定を表示します。デバイス管理者だけが使用できる mode decrypt オプションを使用すると、キーはクリアテキストで表示されます。 |
| ステップ 6 | copy running-config startup-config 例: switch(config-keychain-key)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
キーの受け入れライフタイムおよび送信ライフタイムの設定
キーの受け入れライフタイムおよび送信ライフタイムを設定できます。デフォルトでは、受け入れライフタイムおよび送信ライフタイムは無限になり、キーは常に有効です。
(注) | キーチェーン内のキーのライフタイムが重複するように設定することを推奨します。このようにすると、アクティブなキーがないために、キーによるセキュア通信の切断を避けることができます。 |
1.
configure terminal
2.
keychainname
3.
keykey-ID
4.
accept-lifetime [local] start-timedurationduration-value | infinite | end-time]
5.
send-lifetime [local] start-timedurationduration-value | infinite | end-time]
6.
(任意) show key chain name [mode decrypt]
7.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
| ステップ 2 | keychainname 例: switch(config)# key chain glbp-keys switch(config-keychain)# |
指定したキーチェーンのキーチェーン コンフィギュレーション モードを開始します。 |
| ステップ 3 | keykey-ID 例: switch(config-keychain)# key 13 switch(config-keychain-key)# |
指定したキーのキー コンフィギュレーション モードを開始します。 |
| ステップ 4 | accept-lifetime [local] start-timedurationduration-value | infinite | end-time] 例: switch(config-keychain-key)# accept-lifetime 00:00:00 Jun 13 2008 23:59:59 Sep 12 2008 |
キーの受け入れライフタイムを設定します。デフォルトでは、デバイスは start-time および end-time 引数を UTC として扱います。local キーワードを指定すると、デバイスはこれらの時間を現地時間として扱います。 start-time 引数は、キーがアクティブになる日時です。 ライフタイムの終了時は次のいずれかのオプションで指定できます。 |
| ステップ 5 | send-lifetime [local] start-timedurationduration-value | infinite | end-time] 例: switch(config-keychain-key)# send-lifetime 00:00:00 Jun 13 2008 23:59:59 Aug 12 2008 |
キーの送信ライフタイムを設定します。デフォルトでは、デバイスは start-time および end-time 引数を UTC として扱います。local キーワードを指定すると、デバイスはこれらの時間を現地時間として扱います。 start-time 引数は、キーがアクティブになる日時です。 送信ライフタイムの終了時は次のいずれかのオプションで指定できます。 |
| ステップ 6 | show key chain name [mode decrypt] 例: switch(config-keychain-key)# show key chain glbp-keys | (任意)
キー テキストの設定も含めて、キーチェーンの設定を表示します。デバイス管理者だけが使用できる mode decrypt オプションを使用すると、キーはクリアテキストで表示されます。 |
| ステップ 7 | copy running-config startup-config 例: switch(config-keychain-key)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
アクティブなキーのライフタイムの確認
|
コマンド |
目的 |
|---|---|
|
show key chain |
デバイスに設定されているキーチェーンを表示します。 |
キーチェーン管理の設定の確認
|
コマンド |
目的 |
|---|---|
|
show key chain |
デバイスに設定されているキーチェーンを表示します。 |
キーチェーン管理の設定例
glbp keys という名前のキーチェーンを設定する例を示します。各キー テキスト ストリングは暗号化されています。各キーの受け入れライフタイムは送信ライフタイムよりも長くなっています。これは、誤ってアクティブ キーのない時間を設定してもなるべく通信が失われないようにするためです。
key chain glbp-keys
key 0
key-string 7 zqdest
accept-lifetime 00:00:00 Jun 01 2008 23:59:59 Sep 12 2008
send-lifetime 00:00:00 Jun 01 2008 23:59:59 Aug 12 2008
key 1
key-string 7 uaeqdyito
accept-lifetime 00:00:00 Aug 12 2008 23:59:59 Dec 12 2008
send-lifetime 00:00:00 Sep 12 2008 23:59:59 Nov 12 2008
key 2
key-string 7 eekgsdyd
accept-lifetime 00:00:00 Nov 12 2008 23:59:59 Mar 12 2009
send-lifetime 00:00:00 Dec 12 2008 23:59:59 Feb 12 2009
次の作業
キーチェーンを使用するルーティング機能については、『Cisco Nexus 7000 Series NX-OS Unicast Routing Configuration Guide』を参照してください。
キーチェーン管理に関する追加情報
関連資料
|
関連項目 |
マニュアル タイトル |
|---|---|
|
Gateway Load Balancing Protocol |
『Cisco Nexus 7000 Series NX-OS Unicast Routing Configuration Guide』 |
|
ボーダー ゲートウェイ プロトコル |
『Cisco Nexus 7000 Series NX-OS Unicast Routing Configuration Guide』 |
|
キーチェーン管理のコマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用上のガイドライン、および例 |
『Cisco Nexus 7000 Series NX-OS Security Command Reference』 |
標準
|
標準 |
タイトル |
|---|---|
|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
— |
キーチェーン管理の機能の履歴
|
機能名 |
リリース |
機能情報 |
|---|---|---|
キーチェーン管理 |
6.0(1) |
Release 5.2 以降、変更はありません。 |
キーチェーン管理 |
5.2(1) |
Release 5.1 以降、変更はありません。 |
キーチェーン管理 |
5.1(1) |
Release 5.0 以降、変更はありません。 |
|
キーチェーン管理 |
5.0(2) |
Release 4.2 以降、変更はありません。 |
キーチェーン管理 |
4.2(1) |
リリース 4.1 からの変更はありません。 |
フィードバック