Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

轮换 PSK

轮换 PSK 是在密钥泄露时减少网络暴露的最佳做法。使用此信息可了解 PSK 轮换的好处以及轮换密钥所涉及的步骤。

PSK 轮换是用新加密密钥替换旧加密密钥的做法,通常是按计划进行。定期轮换 PSK 可减少密钥泄露时网络暴露的时间。建议进行 PSK 轮换,尤其是对于 IoT 设备,并且如果按设备分配密钥。

PSK 的某些方面和功能需要订阅 Access Assurance。有关详细信息, 请参阅 Access Assurance 的其他选项

PSK 轮换

PSK 轮换对用户和设备均可用。发生密钥轮换时,只有密钥本身会更改。IoT 设备的现有连接不会中断,并且与 PSK 关联的任何 VLAN、角色等将保持不变。

创建或更新 PSK 时,您可以设置密钥的到期日期或密钥有效期。

您还可以在创建或更新 PSK 时为用户启用电子邮件通知。在组织级别(组织>预共享密钥)或站点级别(站点>预共享密钥)执行此作。您还可以配置电子邮件提醒,以通知用户组织级别 PSK 即将到期。请注意,您只能从 “组织>预共享密钥 ”页或 “组织>客户端载入 ”页设置提醒。

对于您可能希望名义上参与的无线用户,您可以安排 PSK 轮换并通过电子邮件处理。系统会自动向用户发送 SSID 的新密码和到期日期以及二维码,以便他们使用新的 PSK 方便地进行更新和重新连接。

图 1:PSK 状态和轮换 PSK Status and Rotation

手动旋转 PSK

PSK 轮换对用户是透明的。对于手动 PSK 轮换,首先复制旧密钥(包括所有现有属性和关联),然后将用户切换到副本。完成后,移除原始 PSK,使其无法再使用。

要手动旋转 PSK,请执行以下作:

  1. 在Mist门户中,选择 “组织>无线>预共享密钥” ,然后选择要轮换的 PSK 的密钥名称。

  2. 单击页面顶部显示的 “更多 ”按钮(当您选择密钥名称并选择 “复制”时,将显示该按钮)。

  3. 在打开的“复制预共享密钥”页中,选择 “修改原始密钥 ”,然后 选择“添加后缀”。

  4. “添加后缀 ”字段中,键入 -old

  5. 在“新建密钥选项”下,选择 “创建新密码短语 ”,然后设置密码短语的字符数。

  6. 单击 “复制 ”以创建密钥的副本。

返回“预共享密钥”页面,您将看到新旧密钥。两者都处于活动状态,您可以单击其中其中一个以查看客户端数量(当前到前一小时)。

现在,您可以使用新密码重新配置客户端。如果旧 PSK 上不再有活动客户端(即所有客户端都已移至新 PSK),您可以手动移除旧密钥或让它过期。