Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PSK の回転

概要 PSKをローテーションすることは、キーが侵害された場合にネットワークに露出するリスクを減らすためのベスト プラクティスです。この情報を使用して、PSK ローテーションの利点とキーのローテーション手順を理解します。

PSK ローテーションとは、通常はスケジュールに基づいて、古い暗号化キーを新しい暗号化キーに置き換える方法です。PSK を定期的にローテーションすることで、鍵が侵害された場合にネットワークが公開される時間を短縮できます。PSK ローテーションは、特に IoT デバイスで、デバイスごとにキーを割り当てる場合に推奨されます。

PSK の特定の側面と機能には、Access Assuranceサブスクリプションが必要です。詳細については、「 Access Assuranceの追加オプション 」を参照してください。

PSK を登録または更新するときに、キーの有効期限、またはキーが有効な期間を設定することができます。同様に、ユーザーとデバイスの両方に対して自動PSKローテーションをスケジュールできます。キーのローテーションが発生すると、キー自体のみが変更されます。IoT デバイスの既存の接続が中断されることはなく、PSK に関連付けられている VLAN、ロールなどは変わりません。

PSK が作成または更新されたとき、ユーザーへの電子メール通知を有効にすることができます。このオプションは、組織レベル (組織>事前共有キー) またはサイト レベル (サイト>事前共有キー) で有効にできます。また、組織レベルの PSK の有効期限が近づいていることをユーザーに通知するように電子メールリマインダーを構成することもできます。リマインダーは、[ 組織>事前共有キー ] ページまたは [組織>クライアントのオンボード ] ページからのみ設定できることに注意してください。

名目上の参加を希望するワイヤレスユーザーの場合は、PSKローテーションをスケジュールし、電子メールで処理できます。ユーザーには、SSIDの新しいパスフレーズと有効期限、QRコードが自動的に送信されるため、ユーザーは新しいPSKを使用して簡単に更新と再接続を行うことができます。

図 1: PSK のステータスと回転 PSK Status and Rotation

PSK を手動で回転させる

次の手順では、古いキー (既存のすべてのプロパティと関連付けを含む) を複製し、ユーザーを複製に切り替えてから、元のキーを削除して使用できないようにすることで、PSK を手動でローテーションします。回転はユーザーに対して透過的です。

PSK を手動で回転させるには、次の手順に従います。

  1. Mist ポータルから、[組織] > [無線>事前共有キー ] を選択し、ローテーションする PSK の [キー名] を選択します。

  2. ページの上部に表示される [ その他 ] ボタンをクリックします (キー名を選択して [複製] を選択すると表示されます)。

  3. 開いた [事前共有キーの複製] ページで、[元のキーの変更]、[サフィックスの追加] の順に選択します。

  4. [サフィックスの追加] フィールドに「-old」と入力します。

  5. [新しいキー オプション] で、[ 新しいパスフレーズの作成] を選択し、パスフレーズの文字数を設定します。

  6. [ 複製 ] をクリックして、キーのコピーを作成します。

[事前共有キー] ページに戻ると、新しいキーと古いキーが表示されます。どちらもアクティブで、どちらか一方をクリックすると、クライアントの数(現在から前の時間)を確認できます。

これで、新しいパスフレーズでクライアントを再構成できます。古い PSK にアクティブなクライアントがなくなったら(つまり、すべてのクライアントが新しい PSK に移動されたら)、古いキーを手動で削除するか、期限切れにすることができます。