複数の暗号のサポート

CAPWAP-DTLS でサポートされるデフォルトの暗号スイート

Cisco IOS XE Bengaluru 17.5.1 から、Perfect Forward Secrecy(PFS)機能を備えた Elliptic Curve Diffie-Hellman Ephemeral(ECDHE)/Galois Counter Mode(GCM)暗号スイートが、既存の AES128-SHA 暗号スイートとともにデフォルトリストに追加されました。Cisco IOS AP を除くシスコのすべてのアクセスポイント(AP)モデルは、デフォルト設定において、CAPWAP-DTLS のこの PFS 暗号スイートを優先します。


(注)  

セキュアなデータチャネルトラフィックのためにリンク暗号化が有効になっている場合、COS AP(DTLS クライアント)は ECDHE/GCM 暗号スイートよりも DHE-RSA-AES128-SHA を優先します。

DTLS ハンドシェイク中は、暗号スイートの優先順位が重要です。この機能を使用すると、暗号スイートの設定時に優先順位を設定できます。

暗号スイートが明示的に設定されていない場合は、次の表に記載されているデフォルトの暗号スイートが適用されます。

表 1. デフォルトの暗号スイート

セキュリティモード

暗号スイート

FIPS および非 FIPS

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

WLANCC

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

この機能は、Cisco Industrial Wireless 3702 アクセスポイントを除く、Cisco Catalyst 9800 シリーズ ワイヤレス コントローラおよび AP のすべてのバリアントでサポートされています。

特定のリリースでサポートされているコントローラと AP のリストについては、次の URL のリリースノートを参照してください。https://www.cisco.com/c/en/us/support/wireless/catalyst-9800-series-wireless-controllers/products-release-notes-list.html

複数の暗号スイートの設定


(注)  

  • Cisco IOS XE Bengaluru 17.5.1 より前のバージョンの暗号スイート選択設定を持つスタートアップ コンフィギュレーションがコントローラにロードされた場合は、最新バージョンの暗号スイート選択設定に自動に変換されます。

  • 暗号スイートの設定を変更すると、AP フラップが発生します。

  • Cisco IOS XE Bengaluru 17.5.1 より前のバージョンにダウングレードすると、暗号スイートの設定は失われます。

  • FIPS モードまたは WLANCC モードで 17.12.1 より前のバージョンにダウングレードする場合は、AP DTLS に ECDHE-RSA-AES128-GCM-SHA256 暗号スイートが選択されていることを確認してください(デフォルトでは選択されています)。これ以外の設定では、ダウングレードがすべての COS AP に影響します。

  • これは、show wireless certification config コマンドを使用して確認できます。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ap dtls-ciphersuite priority priority-num ciphersuite

例:

Device(config)# ap dtls-ciphersuite priority 2 TLS_DHE_RSA_WITH_AES_128_CBC_SHA

特定の暗号スイートの優先順位を設定します。最高の優先順位を設定するには、ゼロ(0)を使用します。

(注)  

 

設定を変更すると、既存の AP が自動的に切断されます。

ステップ 3

exit

例:

Device(config)# exit

特権 EXEC モードに戻ります。

サーバー優先順位の設定

暗号スイートの設定によって、DTLS ハンドシェイクで優先順位を適用します。設定されたすべての暗号スイートに同じ優先順位を与えるには、対応する AP 参加プロファイルで no ciphersuite server-preference コマンドを使用します。デフォルトで、サーバー優先順位は有効になっています。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ap profile profile-name

例:

Device(config)# ap profile xxy

AP プロファイルを設定し、AP プロファイル コンフィギュレーション モードを開始します。

ステップ 3

[no] ciphersuite server-preference

例:

Device(config-ap-profile)# [no] ciphersuite server-preference

暗号スイートサーバー優先順位を設定します。

サーバー優先順位を無効にするには、このコマンドの no 形式を使用します。デフォルトで、サーバー優先順位は有効になっています。

ステップ 4

exit

例:

Device(config)# exit

グローバル コンフィギュレーション モードに戻ります。

運用上の暗号スイートと優先順位の確認

運用上の暗号スイートとその優先順位を表示するには、次のコマンドを使用します。 

Device# show wireless certification config

WLANCC                        : Not Configured
AP DTLS Version               : DTLS v1.0 - v1.2

AP DTLS Cipher Suite List:

  Priority                Ciphersuite
--------------------------------------------------------------------------------
   0                      AES128-SHA
   1                      DHE-RSA-AES256-SHA256