Public Key auf HP Comware Switches
Guten Abend @all,
es geht um HPE Comware Switch der 5xxx Serie. Aktuell wird auf den Geräten die neuste Firmware und Hotfixes eingesetzt.
Aktuell erfolgt die Authentifizerung mit hilfe von Benutzername und Passwort. Auf Grund neuer Sicherheitsvorgaben soll die Authentifizierung auf Public Key umgestellt werden.
Die jeweilige Firmware unterstützt grundsätzlich die Länge von 4096 Bit.
In unseren Versuchen haben wir mit Hilfe von OpenSSL verschiedene Benutzer bzw. Testschlüssel erstellt.
Diese basieren auf RSA und haben eine Länge von 2048 und 4096.
Beim Versuch den Schlüssel mit der Länge von 4096 Bit hinzuzufügen, tritt ein Fehler auf.
Wiederholen wir den Vorgang mit den Schlüssel, der eine Länge von 2048 Bit hat, ist dies erfolgreich. Das Ganze selbstverständlich mit dem Befehl display public-key peer überprüft.
Der HPE Support ist bisher nicht sehr hilfreich. Liegt wohl daran, dass in absehbarer Zeit auch die kleinen Standorte auf Cisco Catalyst migriert werden.
Kann jemand einen Public Key mit einer Länge von 4096Bit auf seinen Switches erfolgreich hinzufügen?
Kann jemand das Verhalten bestätigen?
Gruß,
Dani
es geht um HPE Comware Switch der 5xxx Serie. Aktuell wird auf den Geräten die neuste Firmware und Hotfixes eingesetzt.
Aktuell erfolgt die Authentifizerung mit hilfe von Benutzername und Passwort. Auf Grund neuer Sicherheitsvorgaben soll die Authentifizierung auf Public Key umgestellt werden.
Die jeweilige Firmware unterstützt grundsätzlich die Länge von 4096 Bit.
[switch] public-key local create rsa
The local key pair already exists.
Confirm to replace it? [Y/N]:y
The range of public key modulus is (512 ~ 4096). In unseren Versuchen haben wir mit Hilfe von OpenSSL verschiedene Benutzer bzw. Testschlüssel erstellt.
Diese basieren auf RSA und haben eine Länge von 2048 und 4096.
Beim Versuch den Schlüssel mit der Länge von 4096 Bit hinzuzufügen, tritt ein Fehler auf.
[switch]public-key peer admin
Enter public key view. Return to system view with "peer-public-key end" command.
[switch-pkey-public-key-admin]000000077373682d727361000000030100010000020100bea3169d0ece69613951
...
[switch-pkey-public-key-admin]3fd89e1a8097b2ee6427b9010a4172190f496cbd5d9b4afa5b78bd4807ab3975ee
[switch-pkey-public-key-admin]6c9f7c76c53315
[switch-pkey-public-key-admin]peer-public-key end
Failed to decode the key code, because the key code is invalid.Der HPE Support ist bisher nicht sehr hilfreich. Liegt wohl daran, dass in absehbarer Zeit auch die kleinen Standorte auf Cisco Catalyst migriert werden.
Kann jemand einen Public Key mit einer Länge von 4096Bit auf seinen Switches erfolgreich hinzufügen?
Kann jemand das Verhalten bestätigen?
Gruß,
Dani
Antworten-
- Mehr
Auf Facebook teilen
Auf Twitter teilen4 Antworten
- LÖSUNG brammer schreibt am 06.03.2021 um 20:26:45 Uhr
- LÖSUNG Dani schreibt am 06.03.2021 um 21:22:17 Uhr
- LÖSUNG brammer schreibt am 06.03.2021 um 21:50:06 Uhr
- LÖSUNG Dani schreibt am 07.03.2021 um 15:03:19 Uhr
- LÖSUNG brammer schreibt am 06.03.2021 um 21:50:06 Uhr
- LÖSUNG Dani schreibt am 06.03.2021 um 21:22:17 Uhr
LÖSUNG 06.03.2021 um 20:26 Uhr
Hallo,
@Dani,
Wenn ich mir die Config Beispiele von hpe so ansehen können die 4096 nicht....
https://techhub.hpe.com/eginfolib/networking/docs/switches/YA-YB/15-18/5 ...
sieht eher so aus als sei bei 2048 bit schluss.
Ist zwar vom 2017... aber aktuellere Daten finde ich nicht...
brammer
@Dani,
Wenn ich mir die Config Beispiele von hpe so ansehen können die 4096 nicht....
https://techhub.hpe.com/eginfolib/networking/docs/switches/YA-YB/15-18/5 ...
sieht eher so aus als sei bei 2048 bit schluss.
Ist zwar vom 2017... aber aktuellere Daten finde ich nicht...
brammer
LÖSUNG 06.03.2021, aktualisiert um 21:22 Uhr
Abend @brammer,
ist das der korrekte Link? Weil der Befehlsatz in dem Dokument ist für HP(E) Procurve/Aruba und nicht für HPE Comware.
Bei Procurve/Aruba konnten wir die Keys mit der Länge von 4096 Bit problemlos hinzufügen.
Gruß,
Dani
ist das der korrekte Link? Weil der Befehlsatz in dem Dokument ist für HP(E) Procurve/Aruba und nicht für HPE Comware.
Bei Procurve/Aruba konnten wir die Keys mit der Länge von 4096 Bit problemlos hinzufügen.
Gruß,
Dani
LÖSUNG 06.03.2021 um 21:50 Uhr
Nabend,
@Dani,
Wenn ich es richtig weiss ist der Unterschied nur in der Namensgebung der Switche, aber die Software ist seit 2018 quasi dieselbe.
Wenn der switch 4096 nimmt, aber nicht verarbeiten kann, dann kann man das positiv interpretieren... er soll es irgendwann auch können
Was macht er wenn du 8192 verwendest? nimmt er den Wert?
brammer
@Dani,
Wenn ich es richtig weiss ist der Unterschied nur in der Namensgebung der Switche, aber die Software ist seit 2018 quasi dieselbe.
Wenn der switch 4096 nimmt, aber nicht verarbeiten kann, dann kann man das positiv interpretieren... er soll es irgendwann auch können
Was macht er wenn du 8192 verwendest? nimmt er den Wert?
brammer
LÖSUNG 07.03.2021, aktualisiert um 21:48 Uhr
Hallo @brammer,
die Portierung ist einseitig. Sprich Comware Befehle funktionieren auf Procurve/Aruba. Aber anders herum nicht.
Schlüssel mit einer Länge von 8192 Bit funktionieren auf beiden Firmware nicht.
Der HP Support meinte, wir sollen den Host Key zuerst auf 4096 umstellen und danach dem Import unseres Public Key nochmals versuchen. Klingt für mich irgendwie nicht logisch... zumal dadurch der Fingerprint sich ändert.😔
Gruß,
Dani
die Portierung ist einseitig. Sprich Comware Befehle funktionieren auf Procurve/Aruba. Aber anders herum nicht.
Schlüssel mit einer Länge von 8192 Bit funktionieren auf beiden Firmware nicht.
Der HP Support meinte, wir sollen den Host Key zuerst auf 4096 umstellen und danach dem Import unseres Public Key nochmals versuchen. Klingt für mich irgendwie nicht logisch... zumal dadurch der Fingerprint sich ändert.😔
Gruß,
Dani
