Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Criar um novo blog
3139
Apresentações
10
Útil
0
Comentários

Please create RSA keys to enable SSH & of atleast 768 bits for SSH v2

tomy.tim
VIP Alumni
VIP Alumni
‎07-27-2022 05:50 PM

cisco_system.png

 Nesta semana estava fazendo uma atualização de algums equipamentos que não estavam registrados no Radius NPS e observei que algums equipamentos da familia IOS C2960X Software (C2960X-UNIVERSALK9-M), tinham ssh v1 sendo assim procedi a habilitar-lo a ssh v2 por ser mas seguro que la anterior versáo e me deparei com um erro Please create RSA keys to enable SSH & of atleast 768 bits for SSH v2 ao momento de querer migrar-lo.

Procurando alguma solução na rede encontrei varias sendo ums deles o melhor e seguidamente passo a explicar.

Revisando minha configuração observei que o switch já tinha varias chaves RSA generados, e o SSH v1 esta usando algum par de chaves que não permite executar o SSHv2, mas nosso par de chaves recém criados (1024) tem um nome diferente. Neste caso o melhor é apagar os pares de chaves RSA existentes.

Anteriormente, o SSH era ligado às primeiras chaves RSA que eram geradas (ou seja, o SSH era habilitado quando o primeiro par de chaves RSA era gerado). O comportamento ainda existe, mas usando o comando ip ssh rsa keypair-name, você pode superar esse comportamento.

Se você configurar o comando ip ssh rsa keypair-name com um nome de par de chaves, o SSH será ativado se o par de chaves existir, ou o SSH será ativado se o par de chaves for gerado mais tarde.

Se você usar este comando para ativar o SSH, você não será forçado a configurar um nome de host e um nome de domínio, o que era necessário no SSH Versão 1 do software Cisco IOS. No exemplo abaixo vai ver melhor ao detalhe do que estou explicando.

ALMERIA2(config)#ip ssh version 2
Please create RSA keys to enable SSH (and of atleast 768 bits for SSH v2).

Troubleshooting

ALMERIA2#sh crypto key mypubkey rsa
% Key pair was generated at: 10:22:19 Brasil Apr 20 2015
Key name: tomytim.com
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00ALMERIA24DB1 8B2E0057
<--- ommited --->
% Key pair was generated at: 08:10:17 Spain Apr 27 2015
Key name: TP-self-signed-3281278976
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00D878E2
<--- ommited --->
% Key pair was generated at: 11:06:00 Spain Sep 26 2017
Key name: switch-key
Key type: RSA KEYS
Storage Device: private-config
Usage: Signature Key
Key is not exportable. Redundancy enabled.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00ALMERIA2B18D
<--- ommited --->
% Key pair was generated at: 11:06:01 Spain Sep 26 2017
Key name: switch-key

Key type: RSA KEYS
Storage Device: private-config
Usage: Encryption Key
Key is not exportable. Redundancy enabled.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00B995C2
<--- ommited --->
% Key pair was generated at: 11:10:54 Spain Jan 21 2020
Key name: ALMERIA2.gob.es
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00ADD223
<--- ommited --->
% Key pair was generated at: 15:39:23 Spain Jul 27 2022
Key name: tomytim.com.server
Key type: RSA KEYS
Temporary key
Usage: Encryption Key
Key is not exportable.
Key Data:
307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00C8306D 0424E769
<--- ommited --->
ALMERIA2#

Solution

ALMERIA2#ip ssh rsa keypair-name tomytim.com

Assim que liberar as chaves vocë vai conseguir migrar para ssh v2 sem problema algùm. Lembrando que deve utilizar este comando para os RSA diferentes do nome atual do switch e caso seja necessário aplique o comando crypto key generate rsa e gerar as chaves de criptografia para proteger a sessão ssh,  selecionar How many bits in the modulus [512]: 1024.  Pessoalmente no apliquei esse comando màs pela leitura que fez hà casos que precisa executar-los.

ALMERIA2#conf t
ALMERIA2(config)#ip ssh ver 2
ALMERIA2(config)#do show ip ssh
SSH Enabled - version 2.0
Authentication methods:publickey,keyboard-interactive,password
Authentication Publickey Algorithms:x509v3-ssh-rsa,ssh-rsa
Hostkey Algorithms:x509v3-ssh-rsa,ssh-rsa
Encryption Algorithms:aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
MAC Algorithms:hmac-sha1,hmac-sha1-96
Authentication timeout: 120 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
IOS Keys in SECSH format(ssh-rsa, base64 encoded): switch-key
<--- ommited --->

Conclusão

Para meu caso esto foi mas que suficiente para dar solução, porém temos varias soluções para resolver este tipo de problema. Por agora isso é todo meus amigos. Grande abraço e já sabe se gosto deixa um like.

 

 

Rótulos:
Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Artigos populares
Customers Also Viewed These Support Documents