cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
2233
Visitas
0
ÚTIL
0
Comentarios
tomy.tim
VIP
VIP

cisco_system.png

 

Esta semana estuve haciendo una actualización de algunos equipos que no estaban registrados en el Radius NPS y observé que algunos equipos de la familia IOS C2960X Software (C2960X-UNIVERSALK9-M), tenían ssh v1 por lo que procedí a habilitarlo a ssh v2 para que fuera más seguro que la versión anterior y me encontré con un error Please create RSA keys to enable SSH & of atleast 768 bits for SSH v2 al querer migrarlo.

Buscando alguna solución en la red encontré varias siendo una de ellas la mejor y a continuación os explico.

Revisando mi configuración me di cuenta de que el switch ya tenía varias claves RSA generadas, y SSH v1 está usando algún par de claves que no permite ejecutar SSHv2, pero nuestro par de claves recién creado (1024) tiene un nombre diferente. En este caso, lo mejor es eliminar los pares de claves RSA existentes.

Anteriormente, SSH estaba vinculado a las primeras claves RSA que se generaban (es decir, SSH se activaba cuando se generaba el primer par de claves RSA). El comportamiento sigue existiendo, pero utilizando el comando ip ssh rsa keypair-name, se puede superar este comportamiento.

Si se configura el comando ip ssh rsa keypair-name con un nombre de par de claves, se habilitará SSH si el par de claves existe, o se habilitará SSH si el par de claves se genera posteriormente.

Si utiliza este comando para habilitar SSH, no se verá obligado a configurar un nombre de host y un nombre de dominio, lo cual era necesario en la versión 1 de SSH del software Cisco IOS. En el siguiente ejemplo verás mejor en detalle de lo que estoy explicando.

ALMERIA2(config)#ip ssh version 2
Please create RSA keys to enable SSH (and of atleast 768 bits for SSH v2).

Troubleshooting

ALMERIA2#sh crypto key mypubkey rsa
% Key pair was generated at: 10:22:19 Brasil Apr 20 2015
Key name: tomytim.com
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00ALMERIA24DB1 8B2E0057
<--- ommited --->
% Key pair was generated at: 08:10:17 Spain Apr 27 2015
Key name: TP-self-signed-3281278976
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00D878E2
<--- ommited --->
% Key pair was generated at: 11:06:00 Spain Sep 26 2017
Key name: switch-key
Key type: RSA KEYS
Storage Device: private-config
Usage: Signature Key
Key is not exportable. Redundancy enabled.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00ALMERIA2B18D
<--- ommited --->
% Key pair was generated at: 11:06:01 Spain Sep 26 2017
Key name: switch-key

Key type: RSA KEYS
Storage Device: private-config
Usage: Encryption Key
Key is not exportable. Redundancy enabled.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00B995C2
<--- ommited --->
% Key pair was generated at: 11:10:54 Spain Jan 21 2020
Key name: ALMERIA2.gob.es
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00ADD223
<--- ommited --->
% Key pair was generated at: 15:39:23 Spain Jul 27 2022
Key name: tomytim.com.server
Key type: RSA KEYS
Temporary key
Usage: Encryption Key
Key is not exportable.
Key Data:
307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00C8306D 0424E769
<--- ommited --->
ALMERIA2#

Solution

ALMERIA2#ip ssh rsa keypair-name tomytim.com

 

Una vez que libere las claves podrá migrar a ssh v2 sin ningún problema. Recordando que debe utilizar este comando para el RSA diferente del nombre actual del switch y si es necesario aplicar el comando crypto key generate rsa y generar las claves de cifrado para proteger la sesión ssh, seleccione How many bits in the modulus [512]: 1024. Personalmente no apliqué este comando pero por la lectura que hice hay casos que necesitas ejecutarlos.

ALMERIA2#conf t
ALMERIA2(config)#
ip ssh ver 2
ALMERIA2(config)#
do show ip ssh
SSH Enabled - version 2.0
Authentication methods:publickey,keyboard-interactive,password
Authentication Publickey Algorithms:x509v3-ssh-rsa,ssh-rsa
Hostkey Algorithms:x509v3-ssh-rsa,ssh-rsa
Encryption Algorithms:aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
MAC Algorithms:hmac-sha1,hmac-sha1-96
Authentication timeout: 120 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
IOS Keys in SECSH format(ssh-rsa, base64 encoded): switch-key
<--- ommited --->

 

Conclusión

Para mi caso esto fue más que suficiente para dar solución, sin embargo tenemos varias soluciones para resolver este tipo de problema. Eso es todo por ahora amigos. Un gran abrazo y si te gusta deja un like.

Saludos!!!

Por favor, recuerde calificar las publicaciones útiles haciendo clic en "like" abaixo.

 

 

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: