Cisco Secure Firewall ASA シリーズコマンドリファレンス、I ～ R コマンド

java-trustpoint（廃止）

指定したトラストポイントの場所から PKCS12 証明書およびキー関連情報を使用するように WebVPN Java オブジェクト署名機能を設定するには、webvpn コンフィギュレーションモードで java-trustpoint コマンドを使用します。Java オブジェクト署名のトラストポイントを削除するには、このコマンドの no 形式を使用します。

java-trustpointtrustpoint

no java-trustpoint

構文の説明


トラストポイント	crypto ca import コマンドで設定したトラストポイントの場所を指定します。

コマンドデフォルト

デフォルトでは、Java オブジェクト署名のトラストポイントは none に設定されています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
webvpn コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.1(2)	このコマンドが追加されました。
9.17(1)	Web VPN のサポートが終了したため、このコマンドは廃止されました。

使用上のガイドライン

トラストポイントは、認証局（CA）または ID キーペアを表します。java-trustpoint コマンドの場合、指定したトラストポイントにはアプリケーション署名エンティティの X.509 証明書、その証明書に対応する RSA 秘密鍵、ルート CA までの認証局チェーンを含める必要があります。通常は、crypto ca import コマンドを使用して PKCS12 形式のバンドルをインポートします。PKCS12 バンドルは、信頼できる CA 認証局から入手するか、openssl といったオープンソースツールを使用して既存の X.509 証明書と RSA 秘密キーから手動で作成できます。

（注）

アップロードされた証明書は、パッケージ（CSD パッケージなど）に組み込まれた Java オブジェクトの署名には使用できません。

例

次に、最初に新しいトラストポイントを設定してから、そのトラストポイントを WebVPN Java オブジェクト署名用に設定する例を示します。


ciscoasa(config)# crypto ca import mytrustpoint pkcs12 mypassphrase
Enter the base 64 encoded PKCS12.
End with the word “quit” on a line by itself.
[ PKCS12 data omitted ]
quit
INFO: Import PKCS12 operation completed successfully.
ciscoasa(config)#

次に、WebVPN Java オブジェクトに署名する新しいトラストポイントを設定する例を示します。


ciscoasa(config)# webvpn
ciscoasa(config)# java-trustpoint mytrustpoint
ciscoasa(config)#

コマンド	説明
crypto ca import	PKCS12 データを使用してトラストポイントの証明書とキーペアをインポートします。

join-failover-group

コンテキストをフェールオーバーグループに割り当てるには、コンテキストコンフィギュレーションモードで join-failover-group コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

join-failover-groupgroup_num

no join-failover-group group_num

構文の説明


`group_num`	フェールオーバーグループの番号を指定します。

コマンドデフォルト

フェールオーバーグループ 1。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
コンテキストコンフィギュレーション	対応	対応	—	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

管理コンテキストは、常にフェールオーバーグループ 1 に割り当てられます。フェールオーバーグループとコンテキストアソシエーションを表示するには、show context detail コマンドを使用できます。

コンテキストをフェールオーバーグループに割り当てる前に、failover group コマンドを使用して、フェールオーバーグループをシステムコンテキスト内に作成する必要があります。このコマンドは、コンテキストがアクティブ状態になっているユニット上で入力します。デフォルトでは、未割り当てのコンテキストは、フェールオーバーグループ 1 のメンバーになっています。そのため、コンテキストがまだフェールオーバーグループに割り当てられていない場合は、フェールオーバーグループ 1 がアクティブ状態になっているユニット上で、このコマンドを入力する必要があります。

システムからフェールオーバーグループを削除するには、事前に no join-failover-group コマンドを使用して、フェールオーバーグループからコンテキストをすべて削除しておく必要があります。

例

次に、ctx1 というコンテキストをフェールオーバーグループ 2 に割り当てる例を示します。


ciscoasa(config)# context ctx1
ciscoasa(config-context)# join-failover-group 2
ciscoasa(config-context)# exit

コマンド	説明
context	指定したコンテキストのコンテキストコンフィギュレーションモードを開始します。
failover group	Active/Active フェールオーバーのためのフェールオーバーグループを定義します。
show context detail	コンテキストの詳細情報（名前、クラス、インターフェイス、フェールオーバーグループアソシエーション、およびコンフィギュレーションファイルの URL など）を表示します。

jumbo-frame reservation

ジャンボフレームをサポート対象のモデルで有効にするには、グローバルコンフィギュレーションモードで jumbo-frame reservation コマンドを使用します。ジャンボフレームを無効にするには、このコマンドの no 形式を使用します。

（注）

この設定を変更した場合は、ASA のリブートが必要です。

jumbo-frame reservation

no jumbo-frame reservation

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

ジャンボフレームの予約は、ASA ハードウェア、ASA 仮想、および ISA 3000 では、デフォルトで無効になっています。

ジャンボフレームは、他のモデルではデフォルトでサポートされています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
8.1(1)	このコマンドが ASA 5580 に追加されました。
8.2(5)/8.4(1)	ASA 5585-X のサポートが追加されました。
8.6(1)	ASA 5512-X ～ ASA 5555-X のサポートが追加されました。
9.3(2)	ASA 5506-X のサポートが追加されました。
9.3(3)	ASA 5508-X および 5516-X のサポートが追加されました。

使用上のガイドライン

この手順は、ASA ハードウェアモデル、ISA 3000、および ASA 仮想にのみ適用できます。その他のモデルは、デフォルトでジャンボフレームをサポートしています。

ジャンボフレームは、8GB RAM 未満の ASAv5 および ASAv10 ではサポートされません。

ジャンボフレームとは、標準的な最大値 1518 バイト（レイヤ 2 ヘッダーおよび VLAN タギングの 18 バイトを含む）より大きく、9216 バイトまでのイーサネットパケットのことです。mtu コマンドは payload 値のみを指定するため、9216 バイトのジャンボフレームについては MTU が 9198（ヘッダーの場合は 9216 ～ 18 バイト）になるように設定する必要があります。

ジャンボフレームをサポートするには追加のメモリが必要となるため、アクセスリストなどの他の機能の最大使用量が制限される可能性があります。

ジャンボフレームは管理 n /n インターフェイスではサポートされません。

ジャンボフレームを送信する必要のある各インターフェイスの MTU を、デフォルト値の 1500 より大きい値に設定してください。たとえば、mtu コマンドを使用して値を 9198 に設定します。ASASM では、デフォルトでジャンボフレームがサポートされるため、 jumbo-frame reservation コマンドを設定する必要はありません。MTU の値の設定だけ行ってください。

また、ジャンボフレームを使用する場合は、TCP の最大セグメントサイズ（MSS）の値を設定してください。MSS は、MTU より 120 バイト小さい値に設定する必要があります。たとえば、MTU を 9000 に設定した場合、MSS は 8880 に設定する必要があります。MSS は、sysopt connection tcpmss コマンドで設定できます。

フェールオーバーペアでジャンボフレームがサポートされるようにするには、プライマリユニットとセカンダリユニットの両方をリブートする必要があります。ダウン時間を回避するには、次の手順を実行します。

アクティブユニットでコマンドを発行します。
アクティブユニットで実行コンフィギュレーションを保存します。
プライマリユニットとセカンダリユニットを 1 つずつリブートします。

例

次に、ジャンボフレームの予約をイネーブルにし、コンフィギュレーションを保存して ASA をリロードする例を示します。


ciscoasa(config)# jumbo-frame reservation
WARNING: this command will take effect after the running-config is saved
and the system has been rebooted. Command accepted. 
ciscoasa(config)# write memory
Building configuration...
Cryptochecksum: 718e3706 4edb11ea 69af58d0 0a6b7cb5 
70291 bytes copied in 3.710 secs (23430 bytes/sec)
[OK]
ciscoasa(config)# reload
Proceed with reload? [confirm] Y

コマンド	説明
mtu	インターフェイスの最大伝送単位を指定します。
show jumbo-frame reservation	jumbo-frame reservation コマンドの現在の設定を表示します。

kcd-server

クライアントレス SSL リモートアクセス VPN の Kerberos Constrained Delegation（KCD）を設定するには、webvpn コンフィギュレーションモードで kcd-server コマンドを使用します。KCD を無効にするには、このコマンドの no 形式を使用します。

kcd-server aaa-server-group_name username user_id password password [ validate-server-certificate ]

no kcd-server

構文の説明


username	管理者またはサービスレベル特権を持つ Active Directory ユーザーを指定して、デバイスをドメインに追加します。
パスワード	ユーザーのパスワードを指定します。
validate-server-certificate	（任意）ドメインを結合するときにサーバー証明書およびサーバーの ID を検証するように ASA に指示します。このオプションを省略すると、システムはドメインコントローラが有効であると見なします。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
webvpn コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.4(1)	このコマンドが追加されました。
9.15(1)	validate-server-certificate キーワードが追加されました。

使用上のガイドライン

Active Directory ドメインに参加できるように ASA を設定するには、webvpn コンフィギュレーションモードで kcd-server コマンドを使用します。ドメインコントローラの名前とレルムは aaa-server-groupname コマンドで指定します。AAA サーバーグループのタイプは Kerberos サーバーにする必要があります。username オプションと password オプションは、管理者特権を持つユーザーには対応しませんが、ドメインコントローラのサービスレベル特権を持つユーザーに対応する必要があります。既存の設定を表示するには、show webvpn kcd コマンドを使用します。

ASA 環境の Kerberos Constrained Delegation（KCD）は、ケルベロスで保護されているすべての Web サービスへのシングルサインオン（SSO）アクセスをクライアントレス SSL リモートアクセス VPN ユーザーに提供します。ユーザーの代わりに ASA でログイン情報（サービスチケット）を管理し、そのチケットを使用してサービスに対してユーザーを認証します。

kcd-server コマンドを機能させるために、ASA はソースドメイン（ASA が常駐するドメイン）とターゲットまたはリソースドメイン（Web サービスが常駐するドメイン）間の信頼関係を確立する必要があります。ASA は、サービスにアクセスするリモートアクセスユーザーの代わりに、ソースから宛先ドメインへの認証パスを横断し、必要なチケットを取得します。

このパスのことをクロスレルム認証と呼びます。クロスレルム認証の各フェーズにおいて、ASA は特定のドメインのクレデンシャルおよび後続ドメインとの信頼関係に依存しています。

また、KCD の設定では、ドメインコントローラを DNS サーバー（たとえば、DefaultDNS グループ）として設定し、ドメインコントローラが到達できるインターフェイスで DNS ルックアップをイネーブルにする必要があります。

例

次に、KCD の設定例を示します。ドメインコントローラは 10.1.1.10（内部インターフェイスで到達可能）、ドメイン名は PRIVATE.NET です。また、ドメインコントローラのサービスアカウントのユーザー名は dcuser、パスワードは dcuser123! です。


----Enable a DNS lookup by configuring the DNS server and Domain name --------------
ciscoasa
(config)# 
dns domain-lookup inside
ciscoasa
(config)# 
dns server-group DefaultDNS
ciscoasa
(config-dns-server-group)# 
name-server 10.1.1.10
ciscoasa
(config-dns-server-group)# 
domain-name
private.net
----Configure the AAA server group with Server and Realm------------------------------
ciscoasa
(config)# 
aaa-server KerberosGroup protocol Kerberos
ciscoasa
(config-asa-server-group)# 
aaa-server KerberosGroup (inside) host 10.1.1.10
ciscoasa
(config-asa-server-group)# 
kerberos-realm PRIVATE.NET
----Enable KCD------------------------------
ciscoasa
(config)# 
webvpn
ciscoasa
(config-webvpn)# 
kcd-server KerberosGroup username dcuser password dcuser123! 
validate-server-certificate

コマンド	説明
aaa-server	AAA サーバーコンフィギュレーションモードを開始します。このモードでは、AAA サーバーのパラメータを設定できます。
aaa-server host	AAA サーバーホストコンフィギュレーションモードを開始します。このモードでは、ホストに固有の AAA サーバーパラメータを設定できます。
show aaa kerberos	Kerberos チケットを表示します。
show webvpn kcd	KCD 設定を表示します。

keepout

（ASA のメンテナンスまたはトラブルシューティングの実行中に）新しいユーザーセッションのログインページではなく、管理者定義のメッセージを表示するには、webvpn コンフィギュレーションモードで keepout コマンドを使用します。以前に設定された立ち入り禁止ページを削除するには、このコマンドの no 形式を使用します。

keepout

no keepout string

構文の説明


`string`	二重引用符で囲んだ英数字ストリング。

コマンドデフォルト

立ち入り禁止ページはありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
webvpn コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。

使用上のガイドライン

このコマンドがイネーブルにされると、クライアントレスの WebVPN ポータルページが使用不可になります。ポータルのログインページではなく、ポータルが使用不可であることを通知する管理者定義メッセージが表示されます。クライアントレスアクセスは無効にし、AnyConnect アクセスは許可するには、keepout コマンドを使用します。また、このコマンドを使用して、メンテナンス中のためポータルが使用不可であることを示すこともできます。

（注）

HostScan がインストールされている場合、立ち入り禁止機能は、ASA が Cisco Secure Desktop ポータルなどのページを開くことを停止しません。Cisco Secure Desktop ポートを回避するには、HostScan をアンインストールする必要があります。

例

次に、立ち入り禁止ページを設定する例を示します。


ciscoasa
(config)# 
webvpn
ciscoasa
(config-webvpn)#
 keepout “The system is unavailable until 7:00 a.m. EST.”
ciscoasa(config-webvpn)#

コマンド	説明
webvpn	webvpn コンフィギュレーションモードを開始します。このモードではクライアントレス SSL VPN 接続の属性を設定できます。

kerberos-realm

このケルベロスサーバーのレルム名を指定するには、AAA サーバーホストコンフィギュレーションモードで kerberos-realm コマンドを使用します。レルム名を削除するには、このコマンドの no 形式を使用します。

kerberos-realmstring

no kerberos-realm

構文の説明

string

大文字と小文字が区別される最大 64 文字の英数字ストリング。ストリングにスペースは使用できません。

（注）

Kerberos レルム名では数字と大文字だけを使用します。ASA では、string 引数に小文字のアルファベットを使用できますが、小文字は大文字に変換されません。大文字だけを使用してください。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
AAA サーバーホストコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、Kerberos サーバに対してのみ有効です。

Microsoft Windows の set USERDNSDOMAIN コマンドをケルベロスレルムの Windows 2000 Active Directory サーバー上で実行する場合は、 string 引数の値をこのコマンドの出力と一致させる必要があります。次の例では、EXAMPLE.COM が Kerberos レルム名です。


C:\>set USERDNSDOMAIN
USERDNSDOMAIN=EXAMPLE.COM

string 引数には、数字と大文字のアルファベットのみを使用する必要があります。kerberos-realm コマンドでは、大文字と小文字が区別されます。また、ASA では小文字は大文字に変換されません。

例

次のシーケンスは、AAA サーバーホストの設定に関するコンテキストでケルベロスレルムを「EXAMPLE.COM」に設定するための kerberos-realm コマンドを示しています。


ciscoasa
(config)# aaa-server svrgrp1 protocol kerberos
ciscoasa
(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
ciscoasa
(config-aaa-server-host)# timeout 9
ciscoasa
(config-aaa-server-host)# retry 7
ciscoasa
(config-aaa-server-host)# kerberos-realm EXAMPLE.COM
ciscoasa
(config-aaa-server-host)# 
exit
ciscoasa
(config)#

コマンド	説明
aaa-server host	AAA サーバーホストコンフィギュレーションサブモードを開始し、ホスト固有の AAA サーバーパラメータを設定できるようにします。
clear configure aaa-server	すべての AAA コマンドステートメントをコンフィギュレーションから削除します。
show running-config aaa-server	すべての AAA サーバー、特定のサーバーグループ、特定のグループ内の特定のサーバー、または特定のプロトコルの AAA サーバー統計情報を表示します。

key（AAA サーバーホスト）

AAA サーバーに対して NAS を認証するために使用されるサーバーシークレットの値を指定するには、AAA サーバーホストコンフィギュレーションモードで key コマンドを使用します。AAA サーバーホストコンフィギュレーションモードには、AAA サーバープロトコルコンフィギュレーションモードからアクセスできます。キーを削除するには、このコマンドの no 形式を使用します。

key [ 0 | 8 ] key

no key

構文の説明


`key`	最大 127 文字の英数字キーワード。オプションで、キーの前に暗号化を示す番号を追加できます。 0 は、キーは暗号化されないことを意味します。これがデフォルトです。 8 は、キーが AES で暗号化された Base64 ハッシュであることを意味します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
AAA サーバーホストコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

key の値は、127 文字までの英数字で構成されているキーワードで、TACACS+ サーバー上のキーと同じ値にします。大文字と小文字は区別されます。127 を超える文字は無視されます。このキーは、クライアントとサーバーの間でやり取りするデータを暗号化するために使用されます。キーは、クライアントシステムとサーバーシステムの両方で同一である必要があります。キーにスペースは使用できませんが、その他の特殊文字は使用できます。キー（サーバーシークレット）の値で、ASA が AAA サーバーに対して認証されます。

このコマンドは、RADIUS サーバーと TACACS+ サーバーに対してのみ有効です。

例

次に、ホスト「1.2.3.4」に「srvgrp1」という TACACS+ AAA サーバーを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、キーを「myexclusivemumblekey」に設定する例を示します。


ciscoasa
(config)# aaa-server svrgrp1 protocol tacacs+
ciscoasa
(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
ciscoasa
(config-aaa-server-host)# timeout 9
ciscoasa
(config-aaa-server-host)# retry-interval 7
ciscoasa
(config-aaa-server-host)# key myexclusivemumblekey

コマンド	説明
aaa-server host	AAA サーバーホストコンフィギュレーションモードを開始します。このモードでは、ホストに固有の AAA サーバーパラメータを設定できます。
clear configure aaa-server	すべての AAA コマンドステートメントをコンフィギュレーションから削除します。
show running-config aaa-server	AAA サーバーの設定を表示します。

key（クラスタグループ）

クラスタ制御リンクの制御トラフィックの認証キーを設定するには、クラスタグループコンフィギュレーションモードで key コマンドを使用します。キーを削除するには、このコマンドの no 形式を使用します。

key shared_secret

no key [ shared_secret ]

構文の説明


shared_secret	共有秘密を 1 ～ 63 文字の ASCII 文字列に設定します。共有秘密は、キーを生成するために使用されます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、データパストラフィック（接続状態アップデートや転送されるパケットなど）には影響しません。データパストラフィックは、常にクリアテキストとして送信されます。

例

次に、共有秘密を設定する例を示します。


ciscoasa(config)# cluster group cluster1
ciscoasa(cfg-cluster)# key chuntheunavoidable

コマンド	説明
clacp system-mac	スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバースイッチとの間で EtherChannel のネゴシエーションを行います。
cluster group	クラスタに名前を付け、クラスタコンフィギュレーションモードを開始します。
cluster-interface	クラスタ制御リンクインターフェイスを指定します。
cluster interface-mode	クラスタインターフェイスモードを設定します。
conn-rebalance	接続の再分散をイネーブルにします。
console-replicate	スレーブユニットからマスターユニットへのコンソール複製をイネーブルにします。
enable (cluster group)	クラスタリングをイネーブルにします。
health-check	クラスタのヘルスチェック機能（ユニットのヘルスモニタリングおよびインターフェイスのヘルスモニタリングを含む）をイネーブルにします。
key	クラスタ制御リンクの制御トラフィックの認証キーを設定します。
local-unit	クラスタメンバーに名前を付けます。
mtu cluster-interface	クラスタ制御リンクインターフェイスの最大伝送ユニットを指定します。
priority (cluster group)	マスターユニット選定のこのユニットのプライオリティを設定します。

key chain

IGP ピアを認証するためのローテーションキーを設定するには、グローバルコンフィギュレーションモードで key chain コマンドを使用します。構成を削除するには、このコマンドの no 形式を使用します。

key chain key-chain-name key key-id key-string { 0 | 8 } key-string-text cryptographic-algorithm md5 [ accept-lifetime [ local | start-time ] [ duration { duration value | infinite | end-time } ]

no key chain key-chain-name key key-id key-string { 0 | 8 } key-string-text cryptographic-algorithm md5 [ accept-lifetime [ local | start-time ] [ duration { duration value | infinite | end-time } ]

構文の説明


key-chain-name	OSPFv2 認証用に設定するキーチェーンの名前。
key-id	キーチェーン内の固有識別子。有効な範囲は 1 ～ 255 です。
0	暗号化されていないパスワードが続くことを指定します。
8	暗号化されたパスワードが後に続くことを指定します。
key-string-text	キー id のパスワード。文字列には、プレーンテキストまたは暗号化された値を使用できます。
md5	サポートされている暗号化アルゴリズム。md5 のみがサポートされています。
accept-lifetime	（任意）別のデバイスとのキー交換時にデバイスがそのキーを受け入れる期間。
send-lifetime	（任意）別のデバイスとのキー交換時にデバイスがそのキーを送信する期間。

コマンドデフォルト

受け入れまたは送信のライフタイムが指定されていない場合は、デフォルトで常にアクティブになります。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	×

コマンド履歴


リリース	変更内容
9.12(1)	このコマンドが追加されました。

使用上のガイドライン

key chain コマンドを使用して、インターフェイスの OSPFv2 認証で使用されるキーチェーンを設定します。key id 、key string, 、および cryptographic-algorithm コマンドを入力する必要があります。accept and send lifetimes を入力して、キーのローテーションをスケジュールします。ライフタイム変数は、セキュアなキーロールオーバーを処理するのに便利です。デバイスはキーのライフタイムを使用して、特定の期間にキーチェーン内のどのキーがアクティブになるかを判断します。ライフタイムが指定されていない場合、キーチェーン認証は、タイムラインを使用しない MD5 認証と同様に機能します。キーチェーンの設定を削除するには、no key chain を使用します。

例

次の例は、キーチェーンの設定コマンドを示しています。


ciscoasa(config)# key chain CHAIN1
ciscoasa(config-keychain)# key 1 
ciscoasa(config-keychain-key)# key-string 0 CHAIN1KEY1STRING
ciscoasa(config-keychain-key)# cryptographic-algorithm md5 
ciscoasa(config-keychain-key)# accept-lifetime 11:22:33 1 SEP 2018 infinite
 
ciscoasa(config-keychain-key)#

例

次の例は、実行中のキーチェーン設定の出力を示しています。


ciscoasa# show running key chain 
key chain CHAIN2
 key 1
  key-string KEY1CHAIN2
  cryptographic-algorithm md5
 key 2
  accept-lifetime 11:00:12 Sep 1 2018 11:12:12 Sep 1 2018
  cryptographic-algorithm md5
key chain CHAIN1
 key 1
  key-string CHAIN1KEY1STRING
  accept-lifetime 11:22:33 Sep 1 2018 duration -1
  cryptographic-algorithm md5
ciscoasa# show runing key chain CHAIN1
key chain CHAIN1
 key 1
  key-string CHAIN1KEY1STRING
  accept-lifetime 11:22:33 Sep 1 2018 duration -1
  cryptographic-algorithm md5
ciscoasa#

コマンド	説明
show key chain	設定されたキーチェーンを表示します。
show running key chain	現在アクティブなキーチェーンの詳細を表示します。
clear configure key chain	設定されているキーチェーンを削除します。

key config-key password-encryption

暗号キーの生成に使用するマスターパスフレーズを設定し、プレーンテキストのパスワードを暗号化形式で安全に保存するには、グローバルコンフィギュレーションモードで key config-key password-encryption コマンドを使用します。パスフレーズで暗号化されたパスワードを復号化するには、このコマンドの no 形式を使用します。

key config-key password-encryption passphrase [ old_passphrase ]

no key config-key password-encryption passphrase

構文の説明


passphrase	パスフレーズの長さは、8 ～ 128 文字にする必要があります。パスフレーズには、バックスペースと二重引用符を除くすべての文字を使用できます。コマンドにパスフレーズを入力しないと、入力を求めるプロンプトが表示されます。インタラクティブプロンプトを使用してパスワードを入力し、パスワードがコマンド履歴バッファに記録されないようにします。
old_passphrase	パスフレーズを変更する場合は、以前のパスフレーズを入力します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
8.3(1)	このコマンドが追加されました。

使用上のガイドライン

マスターパスフレーズを使用する機能としては、次のものがあります。

OSPF
EIGRP
VPN ロードバランシング
VPN (リモートアクセスおよびサイトツーサイト)
フェールオーバー
AAA サーバー
Logging
共有ライセンス

パスワードの暗号化をトリガーするには、key config-key password-encrypt コマンドと password encryption aes コマンドの両方を任意の順序で入力する必要があります。write memory と入力して、暗号化されたパスワードをスタートアップコンフィギュレーションに保存します。そうしないと、スタートアップコンフィギュレーション内のパスワードが表示されることがあります。マルチコンテキストモードでは、システム実行スペースに write memory all を使用してすべてのコンテキストの設定を保存します。

このコマンドを実行できるのは、コンソール、SSH、HTTPS 経由の ASDM などによるセキュアセッションにおいてのみです。

暗号化されたパスワードがプレーンテキストパスワードに変換されるため、no key config-key password-encrypt コマンドは注意して使用してください。パスワードの暗号化がサポートされていないソフトウェアバージョンにダウングレードするときは、このコマンドの no 形式を使用できる場合があります。

フェールオーバーがイネーブルであっても、フェールオーバー共有キーが設定されていない場合に、マスターパスフレーズを変更すると、エラーメッセージが表示されます。このメッセージには、マスターパスフレーズの変更がプレーンテキストとして送信されないよう、フェールオーバー共有キーを入力する必要があることが示されます。

Active/Standby フェールオーバーでパスワードの暗号化を有効化または変更すると、write standby が実行され、アクティブな構成がスタンバイユニットに複製されます。この複製が行われない場合、スタンバイユニットの暗号化されたパスワードは、同じパスフレーズを使用している場合でも異なるものになります。構成を複製することで、構成が同じであることが保証されます。Active/Standby フェールオーバーの場合は、手動で write standby を入力する必要があります。write standby は、Active/Active モードでトラフィックの中断を引き起こす場合があります。これは、新しい構成が同期される前に、セカンダリユニットで構成が消去されるためです。failover active group 1 および failover active group 2 コマンドを使用してプライマリ ASA ですべてのコンテキストをアクティブにし、write standby を入力してから、no failover active group 2 コマンドを使用してセカンダリユニットにグループ 2 コンテキストを復元する必要があります。

write erase コマンドに続いて reload コマンドを使用すると、マスターパスフレーズを紛失した場合はそのマスターパスフレーズとすべての設定が削除されます。

例

次に、暗号キーの生成に使用するパスフレーズを設定し、パスワード暗号化をイネーブルにする例を示します。


ciscoasa
(config)#
 key config-key password-encryption
Old key: bumblebee
New key: haverford
Confirm key: haverford
ciscoasa(config)# password encryption aes
ciscoasa(config)# write memory

コマンド	説明
password encryption aes	パスワードの暗号化をイネーブルにします。
write erase	reload コマンドを続いて使用すると、マスターパスフレーズが紛失された場合にパスフレーズを削除します。

key-hash

オンボードのセキュアコピー（SCP）クライアントのサーバーに対するハッシュ SSH ホストキーを手動で追加するには、サーバーコンフィギュレーションモードで key-hash コマンドを使用します。サーバーコンフィギュレーションモードにアクセスするには、まず ssh pubkey-chain コマンドを入力します。キーを削除するには、このコマンドの no 形式を使用します。

key-hash { md5 | sha256 } fingerprint

no key-hash { md5 | sha256 } fingerprint

構文の説明


fingerprint	ハッシュキーを入力します。
{md5 \| sha256}	使用するハッシュのタイプ（MD5 または SHA-256）を設定します。ASA の構成では、常に SHA-256 が使用されます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
サーバーコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.1(5)	このコマンドが追加されました。

使用上のガイドライン

オンボードの SCP クライアントを使用して、ASA との間でファイルをコピーすることができます。ASA は接続先の各 SCP サーバーの SSH ホストキーを保存します。必要に応じて、ASA データベースから手動でサーバーとそのキーを追加または削除できます。

各サーバーについて、SSH ホストの key-string （公開キー）または key-hash （ハッシュ値）を指定できます。key-hash では、すでにハッシュされているキーを入力します（MD5 または SHA-256 キーを使用）。たとえば、show コマンドの出力からコピーしたキーを入力します。

例

次に、10.86.94.170 にあるサーバのすでにハッシュされているホストキーを追加する例を示します。


ciscoasa(config)# ssh pubkey-chain
ciscoasa(config-ssh-pubkey-chain)# server 10.86.94.170
ciscoasa(config-ssh-pubkey-server)# key-hash sha256 65:d9:9d:fe:1a:bc:61:aa:64:9d:fc:ee:99:87:38:df:a8:8e:d9:e9:ff:42:de:e8:8d:2d:bf:a9:2b:85:2e:19

コマンド	説明
copy	ASA との間でファイルをコピーします。
key-hash	ハッシュ SSH ホストキーを入力します。
key-string	公開 SSH ホストキーを入力します。
ssh pubkey-chain	ASA のデータベースに格納されるサーバーとそのキーを手動で追加または削除します。
ssh stricthostkeycheck	オンボードのセキュアコピー（SCP）クライアントの SSH ホストキーのチェックをイネーブルにします。

keypair

証明する公開キーのキーペアを指定するには、クリプト CA トラストポイントコンフィギュレーションモードで keypair コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

[no] keypair name | [ rsa modulus | 2048 | 4096 ] | [ ecdsa elliptic-curve 256 | 384 | 521 ] | [ eddsa edwards-curve Ed25519 ]

構文の説明


`name`	CMP 以外の登録用のキーペアの名前を指定します。
rsa	CMP の手動登録と自動登録用の RSA キーを生成します。
ecdsa	CMP の手動登録と自動登録用の ECDSA キーを生成します。
eddsa	CMP の手動登録と自動登録用の EdDSA キーを生成します。

コマンドデフォルト

デフォルト設定では、キーペアは含まれません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クリプト CA トラストポイントコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.7(1)	新しい EDCSA と RSA のキーペアが追加されました。
9.16(1)	2048 ビットより小さい RSA キーサイズの証明書のサポートが削除されました。したがって、RSA モジュラスオプションは、2048 ビット以上の値を表示するように変更されました。新しい EdDSA キーペアが追加されました。

例

次に、central トラストポイントのクリプト CA トラストポイントコンフィギュレーションモードを開始し、central トラストポイント用に証明するキーペアを指定する例を示します。


ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# keypair exchange

keysize

ユーザー証明書の登録で、ローカルの認証局（CA）サーバーによって生成される公開キーと秘密鍵のサイズを指定するには、CA サーバーコンフィギュレーションモードで keysize コマンドを使用します。キーサイズをデフォルトの 1024 ビットの長さにリセットするには、このコマンドの no 形式を使用します。

keysizesize

no keysize

構文の説明


`size`	キーのサイズ（ビット単位）。サイズは次のいずれかになります。 512 768 1024 2048 4096

コマンドデフォルト

デフォルトでは、このキーペアの各キーの長さは 1024 ビットです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
CA サーバーコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。
9.13(1)	このコマンドは削除されました。

例

次に、ローカル CA サーバーによってユーザー用に生成される、公開キーと秘密キーのすべてのキーペアのキーのサイズを 2048 ビットに指定する例を示します。


ciscoasa(config)# crypto ca server
ciscoasa
(config-ca-server)
)# keysize 2048
ciscoasa
(config-ca-server)
#

次に、ローカル CA サーバーによってユーザー用に生成される、公開キーと秘密キーのすべてのキーペアのキーのサイズを、デフォルトの 1024 ビットの長さにリセットする例を示します。


ciscoasa(config)# crypto ca server
ciscoasa
(config-ca-server)
# no keysize
ciscoasa
(config-ca-server)
#

keysize server

ローカルの認証局（CA）サーバーによって生成される公開キーと秘密鍵のサイズを指定し、CA のキーペアのサイズを設定するには、CA サーバーコンフィギュレーションモードで keysize server コマンドを使用します。キーサイズをデフォルトの 1024 ビットの長さにリセットするには、このコマンドの no 形式を使用します。

keysize server size

no keysize server

構文の説明


`size`	キーのサイズ（ビット単位）。サイズは次のいずれかになります。 512 768 1024 2048 4096

コマンドデフォルト

デフォルトでは、このキーペアの各キーの長さは 1024 ビットです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
CA サーバーコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。
9.13(1)	このコマンドは削除されました。

例

次に、CA 証明書のキーサイズを 2048 ビットに指定する例を示します。


ciscoasa(config)# crypto ca server
ciscoasa
(config-ca-server)
)# keysize server 2048
ciscoasa
(config-ca-server)
#

次に、CA 証明書のキーサイズをデフォルトの 1024 ビットにリセットする例を示します。


ciscoasa(config)# crypto ca server
ciscoasa
(config-ca-server)
# no keysize server
ciscoasa
(config-ca-server)
#

key-string

オンボードのセキュアコピー（SCP）クライアントのサーバーに対するパブリック SSH ホストキーを手動で追加するには、サーバーコンフィギュレーションモードで key-string コマンドを使用します。サーバーコンフィギュレーションモードにアクセスするには、まず ssh pubkey-chain コマンドを入力します。このコマンドを入力すると、キーストリングを入力するプロンプトが表示されます。ストリングが構成に保存されると、SHA-256 を使用してハッシュされ、key-hash コマンドとして保存されます。したがって、ストリングを削除するときは、no key-hash コマンドを使用します。

key-string key_string

構文の説明


key_string	公開キーを入力します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
サーバーコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.1(5)	このコマンドが追加されました。

使用上のガイドライン

オンボードの SCP クライアントを使用して、ASA との間でファイルをコピーすることができます。ASA は接続先の各 SCP サーバーの SSH ホストキーを保存します。必要に応じて、ASA データベースから手動でサーバーとそのキーを追加または削除できます。

各サーバーについて、SSH ホストの key-string （公開キー）または key-hash （ハッシュ値）を指定できます。key_string はリモートピアの Base64 で符号化された RSA 公開キーです。オープン SSH クライアントから（言い換えると .ssh/id_rsa.pub ファイルから）公開キー値を取得できます。Base64 で符号化された公開キーを送信した後、SHA-256 によってそのキーがハッシュされます。

例

次に、10.7.8.9 にあるサーバーのホストストリングキーを追加する例を示します。


ciscoasa(config)# ssh pubkey-chain
ciscoasa(config-ssh-pubkey-chain)# server 10.7.8.9
ciscoasa(config-ssh-pubkey-server)# key-string
Enter the base 64 encoded RSA public key.
End with the word "exit" on a line by itself
ciscoasa(config-ssh-pubkey-server-string)# c1:b1:30:29:d7:b8:de:6c:97:77:10:d7:46:41:63:87
ciscoasa(config-ssh-pubkey-server-string)# exit

次に、保存されたハッシュキーを表示する例を示します。


ciscoasa(config-ssh-pubkey-server)# show running-config ssh
ssh scopy enable
ssh stricthostkeycheck
ssh pubkey-chain
  server 10.7.8.9
    key-hash sha256 65:d9:9d:fe:1a:bc:61:aa:64:9d:fc:ee:99:87:38:df:a8:8e:d9:e9:ff:42:de:e8:8d:2d:bf:a9:2b:85:2e:19

kill

Telnet セッションを終了するには、特権 EXEC モードで kill コマンドを使用します。

killtelnet_id

構文の説明


`telnet_id`	Telnet セッションの ID を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

kill コマンドを使用すると、Telnet セッションを終了できます。Telnet セッションの ID を表示するには、who コマンドを使用します。Telnet セッションを終了すると、ASA は警告を表示することなく、すべてのアクティブなコマンドを終了して接続をドロップします。

例

次に、ID「2」の Telnet セッションを終了する例を示します。最初に、who コマンドを入力して、アクティブな Telnet セッションのリストを表示します。次に、kill 2 コマンドを入力して、ID「2」の Telnet セッションを終了します。


ciscoasa# who
2: From 10.10.54.0
 
ciscoasa# kill 2

コマンド	説明
crypto ca server	CA サーバーコンフィギュレーションモードのコマンドセットへのアクセスを提供し、ローカル CA の設定と管理ができるようにします。
issuer-name	認証局証明書のサブジェクト名 DN を指定します。
subject-name-default	CA サーバーが発行するすべてのユーザー証明書でユーザー名とともに使用される汎用的なサブジェクト名 DN を指定します。

コマンド	説明
crypto ca server	CA サーバーコンフィギュレーションモードのコマンドセットへのアクセスを提供し、ローカル CA の設定と管理ができるようにします。
issuer-name	認証局証明書のサブジェクト名 DN を指定します。
keysize	ユーザー証明書のキーペアのサイズを指定します。
subject-name-default	CA サーバーが発行するすべてのユーザー証明書でユーザー名とともに使用される汎用的なサブジェクト名 DN を指定します。

コマンド	説明
crypto ca trustpoint	クリプト CA トラストポイントコンフィギュレーションモードを開始します。
crypto key generate dsa	DSA キーを生成します。
crypto key generate rsa	RSA キーを生成します。
default enrollment	登録パラメータをデフォルト値に戻します。

コマンド	説明
telnet	ASA への Telnet アクセスを設定します。
who	アクティブな Telnet セッションのリストを表示します。

Cisco Secure Firewall ASA シリーズ コマンドリファレンス、I ～ R コマンド

偏向のない言語

翻訳について

検索結果

章のタイトル： j – k

j – k

java-trustpoint（廃止）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

join-failover-group

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

jumbo-frame reservation

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

kcd-server

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

keepout

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

kerberos-realm

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

key（AAA サーバー ホスト）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

key（クラスタ グループ）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

key chain

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

例

関連コマンド

key config-key password-encryption

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

key（AAA サーバーホスト）

コマンドデフォルト

コマンドモード

key（クラスタグループ）

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード