Jun 11, 2019 SW1 ( config)# crypto key generate rsa. How many bits in the modulus 512: 1024% Generating 1024 bit RSA keys, keys will be non-exportableOK Set the size of key to 1024 bits. If your Cisco Switch is running an older version of Cisco IOS image, then it is extremely recommended that you upgrade to latest Cisco IOS.
今日はSSHの設定方法を勉強します。
まだまだTelnet接続を使用している環境も多いと思いますが、世の中的にはManagementアクセスもよりセキュアにする方向に向かっているので、Telnetは割愛しました。
Catalystに192.168.1.1を設定し、SSHによるリモートアクセスを確認します。
The following example shows how to encrypt the RSA key 'pki1-72a.cisco.com.' Thereafter, the show crypto key mypubkey rsa command is issued to verify that the RSA key is. Cisco IOS Security Command Reference: Commands A to C, Cisco IOS XE Release 3SE (Catalyst 3850 Switches) 1. Crypto key generate rsa. TogenerateRivest,Shamir,andAdelman(RSA)keypairs,usethecryptokeygeneratersacommandinglobal configurationmode.
IPの設定とインターフェースの開放
ログインUsernameとPasswordを作成し、vtyに設定。接続方法をSSHに限定。
ホスト名、ドメイン名の設定、RSA鍵の作成
SSHv2に限定
特権パスワードの設定
UsernameとPasswordはコンソール接続、リモート接続で共通のものを
username secret コマンドで設定します。password コマンドでも設定できますが、セキュリティ上username secret を使用することが推奨されます。この辺りは前回書きました。http://qiita.com/jinnai73/items/a240bf2bc1325b46edfe パスワードを作成したら login local コマンドでlineに適用します。Telnet接続を禁止するため、transport input コマンドでsshでのログインのみ許可します。
続いてSSH接続に必要なRSA鍵を作成します。RSA鍵を確認するコマンドは
show crypto key mypubkey rsa です。
Cisco 3560 Switch Crypto Key Generate Rsa
何も入っていませんね。鍵を生成するコマンドは
crypto key generate rsa ですが、生成する前提としてスイッチのFQDN、つまりホストとドメイン名が決まっている必要があります。デフォルトではドメイン名が設定されていないため、以下のようなエラーが出ます。
ドメイン名の設定は
ip domain-name コマンド、確認はshow hosts で行えます。
それではホスト名とドメイン名を設定しましょう。
設定できました。これでRSA鍵も生成可能になります。
crypto key generate rsa コマンドで生成、鍵長は2048 bitを指定します。
警告メッセージにもある通り、2048 bitでは約1分ほど時間がかかりますが、2016年現在1024 bit以下のRSAは(少なくともインターネット上では)使わない方が良いというのは異論が無いところでしょう。
この時点でSSHでの接続が可能になります。テストのため自分自身に接続してみましょう。
できました。sshのv1はセキュリティに問題があるため禁止しましょう。一度ログアウトして、sshをv2に限定したのちに、v1での接続ができないことを確認します。
うまくできています。この状態ではSSHアクセスした後に特権モードに入ろうとしてもできないため、
enable secret で特権パスワードの設定もしておきましょう。
思ったよりボリュームが増えてしまいました。明日ももう少し、機器管理を勉強しようと思います。
Use this command to generate RSA key pairs for your Cisco device (such as a router). keys are generated in pairs–one public RSA key and one private RSA key.
If your router already has RSA keys when you issue this command, you will be warned and prompted to replace the existing keys with new keys.
NOTE: Before issuing this command, ensure that your router has a hostname and IP domain name configured (with the hostname and ipdomain-name commands).
You will be unable to complete the cryptokeygeneratersacommand without a hostname and IP domain name. (This situation is not true when you generate only a named key pair.)
Here are the steps to Enable SSH and Crypto Key setup : 2 config must requried for SSH1 Setup Local VTY line User ID and password
router (Config) # Line VTY 0 15
router (Config-line)# login local
router (Config-line)# Exit
!!! create local login ID/Pass
router (Config)# username [loginid] password [cisco]
router (Config)# username loginid1 password cisco1
2. router (Config)# ip domain-name example.com
router (Config)# crypto key generate rsa
how many bits in the modulus [512] :1024
router (Config)# ip ssh version2
router (Config)# CTRL Z
This command is not saved in the router configuration; however, the RSA keys generated by this command are saved in the private configuration in NVRAM (which is never displayed to the user or backed up to another device) the next time the configuration is written to NVRAM.
Crypto Key Generate Rsa Cisco Switch For Windows 7Modulus Length
When you generate RSA keys, you will be prompted to enter a modulus length. The longer the modulus, the stronger the security. However, a longer modules take longer to generate (see the table below for sample times) and takes longer to use.
The size of Key Modulus range from 360 to 2048. Choosing modulus greater than 512 will take longer time.
Crypto Key Generate Rsa Ssh
Cisco IOS software does not support a modulus greater than 4096 bits. A length of less than 512 bits is normally not recommended. In certain situations, the shorter modulus may not function properly with IKE, so we recommend using a minimum modulus of 2048 bits.
Crypto Key Generate Rsa Cisco Switch DownloadSyntax Description : Optional Strings to embed with SSH Crypto keyCrypto Key Generate Rsa 2048
Cisco Crypto Key Generate Rsa
Comments are closed.
|
AuthorWrite something about yourself. No need to be fancy, just an overview. ArchivesCategories |