設定ファイルの暗号化と復号化

構成ファイルには、構成データおよび機密性の高いネットワーク情報を格納します。構成ファイルを暗号化すると、構成ファイルが格納する情報を保護できます。復号化とは、デバイス上の設定ファイルの暗号化を無効にし、すべての人がファイルを読み取り可能にすることを意味します。

注:

ジュニパーネットワークスのデバイスによっては、暗号化機能をご利用いただけない場合があります。これらの機能が1つ以上のデバイスで使用できない場合、このトピックで説明する Junos OS CLI暗号化関連のコマンドは非表示になっているか、機能していない可能性があります。詳細については、ハードウェアのマニュアルを参照してください。

構成ファイルの暗号化

ジュニパーネットワークスのデバイス上の設定ファイルを暗号化するには、暗号化キーが必要です。EEPROM で暗号鍵を設定し、ネットワークに適した暗号化プロセスを決定します。

暗号化キーを設定するには、次の表に示すように、運用モードで最も適切な request system set-encryption-key コマンドを選択します。

表 1: リクエストシステムは暗号化キーを設定 CLI コマンド
CLI コマンド	説明
`request system set-encryption-key`	暗号化キーを設定し、デフォルトのコンフィギュレーションファイルの暗号化を有効にします。カナダおよび米国版のオペレーティングシステム用のAES暗号化国際版オペレーティングシステムの DES 暗号化
`request system set-encryption-key algorithm des`	暗号化キーを設定し、DES による構成ファイルの暗号化を指定します。
`request system set-encryption-key unique`	暗号化キーを設定し、デバイスのシャーシシリアル番号を含む一意の暗号化キーを使用して、デフォルトのコンフィギュレーションファイルの暗号化を有効にします。一意のキーを使用して構成ファイルを暗号化すると、現在のデバイス上のファイルのみを復号化できます。暗号化設定ファイルを他のデバイスにコピーして復号化することはできません。
`request system set-encryption-key des unique`	暗号化キーを設定し、一意の暗号化キーを使用して DES による構成ファイルの暗号化を指定します。

デバイス上の構成ファイルを暗号化するには:

CLI で動作モードに入ります。
EEPROMで暗号化キーを設定し、暗号化プロセスを決定します。たとえば、 request system set-encryption-key コマンドを入力します。
プロンプトで、暗号化キーを入力します。暗号化キーは 6 文字以上にする必要があります。
2 つ目のプロンプトで、暗号化キーを再入力します。
CLIで設定モードを開きます。

構成ファイルの暗号化を有効にします。

設定をコミットして、暗号化プロセスを開始します。

構成ファイルの復号化

設定ファイルの復号化は、デバイス上でファイルの暗号化を無効にすることを意味し、すべての人がファイルを読み取ることができるようになります。

デバイス上のコンフィギュレーション・ファイルの暗号化を無効にするには:

CLI で動作モードに入ります。
デバイスの暗号化キーを入力して、このデバイスの構成ファイルを復号化する権限を確認します。
例：
2 つ目のプロンプトで、暗号化キーを再入力します。
CLIで設定モードを開きます。

構成ファイルの復号化を有効にします。

設定をコミットして、復号化プロセスを開始します。

暗号化キーの変更

暗号化キーを変更すると、コンフィギュレーションファイルは復号化され、新しい暗号化キーで再暗号化されます。

暗号化キーを変更するには:

CLI で動作モードに入ります。
EEPROMで新しい暗号化キーを設定し、暗号化プロセスを決定します。たとえば、 request system set-encryption-key コマンドを入力します。
プロンプトで、新しい暗号化キーを入力します。暗号化キーは 6 文字以上にする必要があります。
2 つ目のプロンプトで、新しい暗号化キーを再入力します。