{"id":1294,"date":"2009-03-08T20:05:41","date_gmt":"2009-03-08T19:05:41","guid":{"rendered":"http:\/\/security-planet.de\/?p=1294"},"modified":"2009-03-08T20:05:41","modified_gmt":"2009-03-08T19:05:41","slug":"generieren-von-crypto-keys","status":"publish","type":"post","link":"https:\/\/cyber-fi.net\/index.php\/2009\/03\/08\/generieren-von-crypto-keys\/","title":{"rendered":"Generieren von Crypto-Keys"},"content":{"rendered":"

\"router\"Ein Artikel in Cisco IOS Hints and Tricks<\/em><\/a> beschreibt einen Fehler, den vermutlich viele Leute schon begangen haben (ja, ich nat\u00fcrlich auch): Bei Problemen mit der SSH-Verbindung wurde zu schnell ein “crypto key generate rsa” eingegeben, um neue RSA-Keys zu erzeugen. Leider hat man vergessen, daran zu denken, da\u00df die zertifikatbasierten VPNs von den Schl\u00fcsseln abh\u00e4ngen.<\/p>\n

Gl\u00fccklicherweise kennt das IOS seit Version 12.2(8)T die M\u00f6glichkeit, jedem Key-Paar ein Label mitzugeben und diese damit f\u00fcr verschiedene Einsatzzwecke zu unterscheiden.
\nDabei wird der Befehl crypto key generate rsa<\/a><\/em> mit dem Parameter label<\/em> versehen:<\/p>\n

crypto key generate rsa modulus 2048 label MYLABEL<\/code><\/pre>\n
Dieses Key-Paar kann dann in einem PKI-Trustpoint<\/a> benutzt werden:<\/p>\n
crypto pki trustpoint MYCA\n enrollment ...\n rsakeypair MYLABEL<\/code><\/pre>\n
Wenn sp\u00e4ter ein unvorsichtiges “crypto key generate” eingegeben wird, kann das den f\u00fcr die VPN-Zertifikate verwendeten Keys nichts anhaben.<\/p>\n
Ein weiterer Vorteil ist, da\u00df beim n\u00e4chsten Wechsel der Zertifikate auch die Keys neu generiert werden k\u00f6nnen, ohne da\u00df sich der SSH-Fingerprint \u00e4ndert.<\/p>\n
Update:<\/strong> Mit ISRs hat das bisher immer gut funktioniert. Heute ging die Methode mit 1700er Routern und einem 12.4(15)T8 allerdings schief. Also aufpassen!<\/p>\n","protected":false},"excerpt":{"rendered":"
Ein Artikel in Cisco IOS Hints and Tricks beschreibt einen Fehler, den vermutlich viele Leute schon begangen haben (ja, ich nat\u00fcrlich auch): Bei Problemen mit der SSH-Verbindung wurde zu schnell ein “crypto key generate rsa” eingegeben, um neue RSA-Keys zu erzeugen. Leider hat man vergessen, daran zu denken, da\u00df die zertifikatbasierten VPNs von den Schl\u00fcsseln <\/p>\n
continue reading<\/a><\/div>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","footnotes":""},"categories":[5,7],"tags":[307,358,473,573,646],"class_list":["post-1294","post","type-post","status-publish","format-standard","hentry","category-cisco","category-cisco-security","tag-ios","tag-konfiguration","tag-pki","tag-ssh","tag-vpn"],"_links":{"self":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/1294","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/comments?post=1294"}],"version-history":[{"count":0,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/1294\/revisions"}],"wp:attachment":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/media?parent=1294"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/categories?post=1294"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/tags?post=1294"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}