この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
このモジュールでは、キーチェーン管理の実装方法について説明します。 キーチェーン管理は、相互に信頼を確立する前に、キーなどの秘密を交換するすべてのエンティティに共有秘密を設定する、認証の一般的な方法です。 Cisco IOS XR ソフトウェアのルーティング プロトコルおよびネットワーク管理アプリケーションでは、ピアとの通信中におけるセキュリティ向上のために、認証が頻繁に使用されます。
リリース |
変更点 |
---|---|
リリース 3.7.2 |
この機能を追加しました。 |
適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 このコマンド リファレンスには、各コマンドに必要なタスク ID が含まれます。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。
システム クロックを変更すると、既存の設定におけるキーの有効性に影響を与えることに注意してください。
キーチェーン自体は関連性を持っていません。このため、キー(認証用)を使用してピアと通信する必要があるアプリケーションで使用される必要があります。キーチェーンは、ライフタイムに基づいてキーとロールオーバーを処理する、セキュリティの高いメカニズムを提供します。ボーダー ゲートウェイ プロトコル(BGP)、Open Shortest Path First(OSPF)、および Intermediate System-to-Intermediate System(IS-IS)では、キーチェーンを使用して認証用のヒットレス キー ロールオーバーを実装します。BGP は TCP 認証を使用します。この認証では、認証オプションを有効にし、キーチェーン用に設定された暗号化アルゴリズムに基づいたメッセージ認証コード(MAC)を送信します。BGP、OSPF、および IS-IS のキーチェーン設定の詳細については、を参照してください。
キーチェーン管理を実装するには、次の項で説明されているキーのライフタイムの概念を理解しておく必要があります。
セキュリティ方式としてキーを使用する場合は、キーのライフタイムを指定して、期限が切れた際には定期的にキーを変更する必要があります。 安定性を維持するには、各パーティがアプリケーションのキーを複数保存して同時に使用できるようにする必要があります。 キーチェーンは、同じピア、ピアのグループ、またはその両方を認証するために一括管理されている一連のキーです。
キーチェーン管理では、一連のキーをキーチェーンの下にまとめてグループ化し、キーチェーン内の各キーをライフタイムに関連付けます。
(注) |
ライフタイムが設定されていないキーはすべて無効と見なされるため、キーは設定中に拒否されます。 |
キーのライフタイムは、次のオプションによって定義されます。
キーチェーン内のそれぞれのキーの定義では、キーが有効な期間(ライフタイムなど)を指定する必要があります。 指定したキーのライフタイム期間中は、この有効なキーとともにルーティング更新パケットが送信されます。 キーが有効ではない期間はキーを使用できません。 このため、指定したキーチェーンでは、キーの有効期間を重複させて、有効なキーの不在期間をなくすことを推奨します。 有効なキーの不在期間が発生した場合、ネイバー認証は行われず、ルーティング更新は失敗します。
複数のキーチェーンを指定できます。
この項では、次の手順について説明します。
この作業では、キーチェーンの名前を設定します。
キーチェーンの名前を作成または変更できます。
1. configure
2. key chain key-chain-name
4. show key chain key-chain-name
キーチェーン設定が完了したら、キーを受け付ける許容値の設定の項を参照してください。
この作業では、キーを受け付ける許容値を設定し、キーチェーンによるアプリケーション(ルーティング プロトコルや管理プロトコルなど)のヒットレス キー ロールオーバーを容易にします。
1. configure
2. key chain key-chain-name
3. accept-tolerance value [infinite]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | key chain key-chain-name 例:
RP/0/RSP0/CPU0:router(config)# key chain isis-keys
|
キーチェーンの名前を作成します。 |
ステップ 3 | accept-tolerance value [infinite] 例:
RP/0/RSP0/CPU0:router(config-isis-keys)# accept-tolerance infinite
|
キーチェーンのキーを受け入れる際の許容値を設定します。 |
ステップ 4 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
この作業では、キーチェーンのキー ID を設定します。
キーチェーンのキーを作成または変更できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | key chain key-chain-name 例:
RP/0/RSP0/CPU0:router(config)# key chain isis-keys
|
キーチェーンの名前を作成します。 |
ステップ 3 | key key-id 例:
RP/0/RSP0/CPU0:router(config-isis-keys)# key 8
|
キーチェーンのキーを作成します。 キー ID 番号は 10 進数から 16 進数に変換され、コマンド モード サブプロンプトが作成されます。 |
ステップ 4 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
キーチェーンのキー ID を設定したら、キー文字列のテキストの設定の項を参照してください。
この作業では、キー文字列のテキストを設定します。
1. configure
2. key chain key-chain-name
3. key key-id
4. key-string [clear | password] key-string-text
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | key chain key-chain-name 例:
RP/0/RSP0/CPU0:router(config)# key chain isis-keys
|
キーチェーンの名前を作成します。 |
ステップ 3 | key key-id 例: RP/0/RSP0/CPU0:router(config-isis-keys)# key 8 RP/0/RSP0/CPU0:router(config-isis-keys-0x8)# |
キーチェーンのキーを作成します。 |
ステップ 4 | key-string [clear | password] key-string-text 例:
RP/0/RSP0/CPU0:router(config-isis-keys-0x8)# key-string password 8
|
キーのテキスト文字列を指定します。 |
ステップ 5 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
キー文字列のテキストを設定したら、アウトバウンド アプリケーションのトラフィックの認証ダイジェストを生成するキーの設定の項を参照してください。
この作業では、ローカル アプリケーションがリモート ピアを認証するための有効なキーを決定します。
1. configure
2. key chain key-chain-name
3. key key-id
4. accept-lifetime start-time [duration duration-value | infinite | end-time]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | key chain key-chain-name 例:
RP/0/RSP0/CPU0:router(config)# key chain isis-keys
|
キーチェーンの名前を作成します。 |
ステップ 3 | key key-id 例: RP/0/RSP0/CPU0:router(config-isis-keys)# key 8 RP/0/RSP0/CPU0:router(config-isis-keys-0x8)# |
キーチェーンのキーを作成します。 |
ステップ 4 | accept-lifetime start-time [duration duration-value | infinite | end-time] 例: RP/0/RSP0/CPU0:router(config-isis-keys-0x8)# accept-lifetime 1:00:00 october 24 2005 infinite |
(任意)クロック タイムの観点から、キーのライフタイムの有効性を指定します。 |
ステップ 5 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
この作業では、アウトバウンド アプリケーションのトラフィックの認証ダイジェストを生成するキーを設定します。
1. configure
2. key chain key-chain-name
3. key key-id
4. send-lifetime start-time [duration duration-value | infinite | end-time]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | key chain key-chain-name 例:
RP/0/RSP0/CPU0:router(config)# key chain isis-keys
|
キーチェーンの名前を作成します。 |
ステップ 3 | key key-id 例: RP/0/RSP0/CPU0:router(config-isis-keys)# key 8 RP/0/RSP0/CPU0:router(config-isis-keys-0x8)# |
キーチェーンのキーを作成します。 |
ステップ 4 | send-lifetime start-time [duration duration-value | infinite | end-time] 例: RP/0/RSP0/CPU0:router(config-isis-keys-0x8)# send-lifetime 1:00:00 october 24 2005 infinite |
(任意)キーチェーンの認証キーが有効に送信される設定期間を指定します。 クロック タイムの観点から、キーのライフタイムの有効性を指定できます。 さらに、start-time 値と次のいずれかの値を指定できます。 キーのライフタイムを設定する場合は、ネットワーク タイム プロトコル(NTP)または他の時刻同期方式を推奨します。 |
ステップ 5 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
この作業では、暗号化アルゴリズムを選択してキーチェーン設定に反映できます。
1. configure
2. key chain key-chain-name
3. key key-id
4. cryptographic-algorithm [HMAC-MD5 | HMAC-SHA1-12 | HMAC-SHA1-20 | MD5 | SHA-1]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | key chain key-chain-name 例: RP/0/RSP0/CPU0:router(config)# key chain isis-keys RP/0/RSP0/CPU0:router(config-isis-keys)# |
キーチェーンの名前を作成します。 |
ステップ 3 | key key-id 例: RP/0/RSP0/CPU0:router(config-isis-keys)# key 8 RP/0/RSP0/CPU0:router(config-isis-keys-0x8)# |
キーチェーンのキーを作成します。 |
ステップ 4 | cryptographic-algorithm [HMAC-MD5 | HMAC-SHA1-12 | HMAC-SHA1-20 | MD5 | SHA-1] 例:
RP/0/RSP0/CPU0:router(config-isis-keys-0x8)# cryptographic-algorithm MD5
|
暗号化アルゴリズムを選択します。 次のアルゴリズムのリストから選択できます。 ルーティング プロトコルは、それぞれ異なる暗号化アルゴリズムのセットをサポートしています。 |
ステップ 5 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
この項では、次の設定例について説明します。
次に、キーチェーン管理を設定する例を示します。
configure key chain isis-keys accept-tolerance infinite key 8 key-string mykey91abcd cryptographic-algorithm MD5 send-lifetime 1:00:00 june 29 2006 infinite accept-lifetime 1:00:00 june 29 2006 infinite end Uncommitted changes found, commit them? [yes]: yes show key chain isis-keys Key-chain: isis-keys/ - accept-tolerance -- infinite Key 8 -- text "1104000E120B520005282820" cryptographic-algorithm -- MD5 Send lifetime: 01:00:00, 29 Jun 2006 - Always valid [Valid now] Accept lifetime: 01:00:00, 29 Jun 2006 - Always valid [Valid now]
ここでは、キーチェーン管理の実装に関連する参考資料について説明します。
関連項目 |
ドキュメント名 |
---|---|
キーチェーン管理のコマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用上のガイドライン、および例 |
『Cisco ASR 9000 Series Aggregation Services Router System Security Command Reference』 のキーチェーン管理コマンド |
標準 |
タイトル |
---|---|
この機能でサポートが追加または変更された標準はありません。また、この機能で変更された既存の標準のサポートはありません。 |
— |
MIB |
MIB リンク |
---|---|
— | Cisco IOS XR ソフトウェアを使用して MIB を検出およびダウンロードするには、URL(http://cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml)にある Cisco MIB Locator を使用して、[Cisco Access Products] メニューでプラットフォームを選択します。 |
RFC |
タイトル |
---|---|
この機能でサポートが追加または変更された RFC はありません。 |
— |
説明 |
リンク |
---|---|
シスコのテクニカル サポート Web サイトには、数千ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクもあります。 Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。 |