Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

PSK の回転

PSK のローテーションは、キーが侵害された場合にネットワークへの露出を減らすためのベスト プラクティスです。この情報を使用して、PSK 回転の利点とキーの回転に必要な手順を理解します。

PSKローテーションとは、通常、スケジュールに基づいて、古い暗号化キーを新しい暗号化キーに置き換えることです。PSKを定期的にローテーションすることで、キーが侵害された場合にネットワークが公開される時間が短縮されます。PSK のローテーションは、特に IoT デバイスの場合や、デバイスごとにキーを割り当てる場合にお勧めします。

PSKの特定の側面と機能には、Access Assuranceサブスクリプションが必要です。詳細については、「 Access Assuranceの追加オプション 」を参照してください。

PSK 回転

PSK ローテーションは、ユーザーとデバイスの両方で使用できます。キーのローテーションが発生すると、キー自体のみが変更されます。IoT デバイスの既存の接続が中断されることはなく、PSK に関連付けられている VLAN、ロールなどは変更されません。

PSK を作成または更新するときに、キーの有効期限、またはキーが有効である期間を設定できます。

また、PSK が作成または更新されたときに、ユーザーへの電子メール通知を有効にすることもできます。組織レベル(組織>事前共有キー)またはサイトレベル(サイト>事前共有キー)で行います。また、組織レベルのPSKの有効期限が近づいていることをユーザーに通知する電子メールリマインダーを設定することもできます。リマインダーは、[ 組織>事前共有キー ] ページまたは [組織>クライアントのオンボーディング ] ページからのみ設定できます。

名目上の参加が必要なワイヤレス ユーザーの場合は、PSK ローテーションをスケジュールし、電子メールで処理できます。ユーザーには、SSIDの新しいパスフレーズと有効期限、QRコードが自動的に送信されるため、ユーザーは新しいPSKを使用して簡単に更新および再接続できます。

図 1:PSK のステータスと回転 PSK Status and Rotation

PSKを手動で回転させる

PSK の回転はユーザーに対して透過的です。PSK を手動でローテーションする場合は、まず古いキー (既存のすべてのプロパティと関連付けを含む) を複製してから、ユーザーを複製に切り替えます。完了したら、元のPSKを取り外して使用できないようにします。

PSK を手動で回転させるには:

  1. Mist ポータルから [ Organization > Wireless > Pre-Shared Keys ] を選択し、ローテーションする PSK の [Key Name] を選択します。

  2. ページの上部に表示される [ 詳細 ] ボタンをクリックします (キー名を選択して [複製] を選択すると表示されます)。

  3. 開いた [Duplicate Pre-Shared Keys] ページで、[ Modify Original Keys ] を選択し、次に [Add Suffix] を選択します。

  4. サフィックスの追加 」フィールドに「 -old」と入力します。

  5. [新しいキー オプション] で [新しい atp レルムの作成パスフレーズ ] を選択し、パスフレーズの文字数を設定します。

  6. 複製 」をクリックして、キーのコピーを作成します。

[Pre-Shared Keys] ページに戻ると、新しいキーと古いキーが表示されます。どちらもアクティブで、どちらかをクリックすると、クライアントの数 (現在から前の時間まで) が表示されます。

これで、新しいパスフレーズでクライアントを再設定できます。古い PSK にアクティブなクライアントがなくなった場合(つまり、すべてのクライアントが新しい PSK に移動された場合)、古いキーを手動で削除するか、期限切れにすることができます。