Chaves pré-compartilhadas armazenadas seguras em um roteador

Opções de download

  • PDF     (260.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (83.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (70.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:8 de dezembro de 2025
ID do documento:46420

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar a criptografia das chaves pré-compartilhadas atuais e novas em um roteador.

    Pré-requisitos

    Requisitos

    Não existem requisitos específicos para este documento.

    Componentes Utilizados

    As informações aqui são baseadas nesta versão de software:

    • Software Cisco IOS XE® versão 16.9

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Conventions

    Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

    Informações de Apoio

    O código do Cisco IOS Software Release 12.3(2)T introduz a funcionalidade que permite que o roteador criptografe a chave pré-compartilhada do Internet Security Association and Key Management Protocol (ISAKMP) em formato seguro tipo 6 em RAM não volátil, RAM não volátil (NVRAM). A chave pré-compartilhada a ser criptografada pode ser configurada como padrão, em um anel de chave ISAKMP, no modo agressivo, ou como a senha do grupo em um servidor Easy Virtual Private Network (EzVPN) ou na configuração do cliente. 

    Configurar

    Esta seção apresenta as informações que você pode usar para configurar os recursos descritos neste documento.

    Estes dois comandos foram introduzidos para habilitar a criptografia de chave pré-compartilhada:

    • key config-key password-encryption [chave primária]

    • aes de criptografia de senha

    A [primary key] é a senha/chave usada para criptografar todas as outras chaves na configuração do roteador com o uso de uma cifra simétrica AES (Advance Encryption Standard). A chave primária não é armazenada na configuração do roteador e não pode ser vista ou obtida de nenhuma forma enquanto estiver conectada ao roteador.

    Uma vez configurada, a chave primária é usada para criptografar qualquer chave nova ou atual na configuração do roteador. Se [primary key] não for especificado na linha de comando, o roteador solicita que o usuário insira a chave novamente para verificação. Se já existir uma chave, o usuário é solicitado a digitar primeiro a chave antiga. As chaves não são criptografadas até que você emita o comando password encryption aes.

    A chave primária pode ser alterada (embora isso não seja necessário, a menos que a chave tenha sido comprometida de alguma forma) com a chave config-key...  novamente com o novo comando [primary-key].  Todas as chaves criptografadas atuais na configuração do roteador são criptografadas novamente com a nova chave.

    Você pode excluir a chave primária ao emitir a chave de configuração no key.... No entanto, isso inutiliza todas as chaves configuradas atualmente na configuração do roteador (uma mensagem de aviso é exibida detalhando isso e confirmando a exclusão da chave primária). Como a chave primária não existe mais, as senhas tipo 6 não podem ser descriptografadas e usadas pelo roteador.

    note-icon

    Note: Por motivos de segurança, nem a remoção da chave primária nem a remoção do comando password encryption aes descriptografam as senhas na configuração do roteador. Quando as senhas são criptografadas, elas não são descriptografadas. As chaves criptografadas atuais na configuração ainda podem ser descriptografadas, desde que a chave primária não seja removida.

    Além disso, para ver as mensagens do tipo de depuração das funções de criptografia de senha, use o comando password logging no modo de configuração.

    Configurações

    Este documento usa estas configurações no roteador:

    Criptografar a chave pré-compartilhada atual 
    Router#show running-config 
Building configuration...
!
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 10.1.1.1
!
    <output omitted>
!
end

    Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#key config-key password-encrypt testkey123
Router(config)#password encryption aes
Router(config)#^Z
Router#
Router#show running-config 
Building configuration...
!
!
password encryption aes
!
!
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1
!
    <output omitted>
!
end
    Adicionar uma nova chave primária interativamente 
    Router(config)#key config-key password-encrypt 
New key: 
Confirm key: 
Router(config)#
    Modificar a Chave Primária Atual Interativamente 
    Router(config)#key config-key password-encrypt
 Old key: 
New key: 
Confirm key: 
Router(config)#
*Jan  7 01:42:12.299: TYPE6_PASS: Master key change heralded, re-encrypting the keys with the new primary key
    Excluir a chave primária 
    Router(config)#no key config-key password-encrypt 
WARNING: All type 6 encrypted keys will become unusable
Continue with primary key deletion ? [yes/no]: yes
Router(config)#

    Verificar

    No momento, não há procedimento de verificação disponível para esta configuração.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    4.0
    08-Dec-2025
    Recertificação
    1.0
    19-Jan-2006
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos