MACsec-Schlüssel rotieren

Auf dieser Seite wird beschrieben, wie Sie Schlüssel für MACsec für Cloud Interconnect rotieren.

So rotieren Sie Schlüssel:

1. Erstellen Sie einen neuen Schlüssel mit einem Startdatum nach dem der vorhandenen Schlüssel.
2. Fügen Sie den neuen Schlüssel zu Ihrem lokalen Router hinzu.
3. Warten Sie auf die Startzeit des neuen Schlüssels.
4. Prüfen Sie, ob der neue Schlüssel aktiv ist.
5. Löscht den ältesten Schlüssel.

Sie können bis zu fünf vorinstallierte Schlüssel mit von Ihnen festgelegten Startzeiten erstellen. Die Startzeiten der Schlüssel müssen in aufsteigender Reihenfolge angegeben werden und nicht innerhalb von sechs Stunden nach Startzeit des vorherigen Schlüssels. Um einen Schlüssel, den Sie nicht mehr verwenden möchten, zu rotieren, entfernen Sie den Schlüssel.

Vorinstallierte Schlüssel laufen nicht ab. Wenn Sie mehr als einen Schlüssel konfigurieren, muss für alle Schlüssel eine Startzeit konfiguriert sein.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) für Ihr Projekt zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Abrufen von MACsec-Schlüsseln benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Wenn Sie benutzerdefinierte Rollen verwenden möchten, muss Ihre benutzerdefinierte Rolle zum Verwalten von MACsec für Cloud Interconnect die IAM-Berechtigung compute.interconnects.getMacsecConfig enthalten.

Optional: Startzeit des vorhandenen Schlüssels aktualisieren

Wenn Sie einen Schlüssel ohne Startzeit haben und versuchen, einen neuen Schlüssel zu erstellen, zeigt Cloud Interconnect einen Fehler an. Wählen Sie eine der folgenden Optionen, um die Startzeit für den vorhandenen Schlüssel festzulegen:

gcloud compute interconnects macsec update-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time=START_TIME

Neuen Schlüssel erstellen

1. Wählen Sie eine der folgenden Optionen aus, um einen neuen Schlüssel hinzuzufügen:

   Console

   1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

      Zu „Physische Verbindungen“

   2. Wählen Sie die Verbindung aus, die Sie ändern möchten.

   3. Wechseln Sie auf dem Tab MACsec zum Abschnitt MACsec und klicken Sie auf MACsec.

   4. Klicken Sie auf Schlüssel hinzufügen.

   5. Geben Sie die Details des vorinstallierten Schlüssels an:

      • Schlüsselname: Ein Name für den Schlüssel. Dieser Name wird in der Google Cloud Console angezeigt und von der gcloud CLI verwendet, um auf den Schlüssel zu verweisen, z. B. psk-2.

      • Startzeit: Die Zeit, ab der der Schlüssel gültig ist. Achten Sie darauf, dass die Startzeit des neuen vorinstallierten Schlüssels mindestens sechs Stunden nach der Startzeit des vorherigen Schlüssels liegt.

   6. Klicken Sie auf Schlüssel hinzufügen, um weitere vorinstallierte Schlüssel hinzuzufügen. Aufeinanderfolgende vorinstallierte Schlüssel müssen eine Startzeit von mindestens sechs Stunden haben.

   7. Klicken Sie auf Senden.

   gcloud

   gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
       --key-name=KEY_NAME \
       --start-time="START_TIME"
   

   Ersetzen Sie Folgendes:

   • INTERCONNECT_CONNECTION_NAME: den Namen Ihrer Cloud Interconnect-Verbindung
   • KEY_NAME: Ein Name für den Schlüssel.
   • START_TIME: die Zeit, ab der dieser Schlüssel gültig ist, im ISO 8601-Format, z. B. 2023-07-01T21:00:01.000Z

   Als Best Practice empfehlen wir, eine Startzeit für alle Schlüssel festzulegen, die Sie für MACsec für Cloud Interconnect erstellen.

2. Wählen Sie eine der folgenden Optionen aus, um vorhandene Schlüssel aufzulisten und den neuen Schlüssel für den Verbindungsverknüpfungsschlüssel (CAK) sowie den Schlüsselnamen der Verbindungsverknüpfung (CKN) zu notieren:

   Console

   1. Suchen Sie im Abschnitt Vorinstallierte Schlüssel den Namen des vorinstallierten Schlüssels, den Sie hinzugefügt haben, und klicken Sie dann auf Ansehen. In einem Fenster werden der Schlüssel für die Verbindungsverknüpfung (CAK) und der Schlüsselname der Verbindungsverknüpfung (CKN) angezeigt. Klicken Sie neben einem der Werte auf content_copyKopieren, um den Wert in die Zwischenablage Ihres Computers zu kopieren.

   2. Klicken Sie auf Schließen.

   gcloud

   gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
   

   Die Ausgabe sieht in etwa so aus:

   preSharedKeys:
   - name: key1
     ckn: 0101010189abcdef...0123456789abcdef
     cak: 0123456789abcdef...0123456789abcdef
     startTime: 2023-07-01T12:12:12Z
   - name: key2
     ckn: 0202020289abcdef...0123456789abcdef
     cak: 0123456889abcdef...0123456789abcdef
     startTime: 2023-08-01T12:12:12Z
   

   In diesem Beispiel ist key2 der neu hinzugefügte Schlüssel.

3. Fügen Sie der Konfiguration Ihres lokalen Routers die Werte für Startzeit, CAK und CKN des neuen Schlüssels hinzu.

Die Edge-Router von Google verwenden den Schlüssel mit der neuesten Startzeit und wechseln automatisch mit dem Fortschritt der Zeit zum nächsten Schlüssel. Alle konfigurierten Schlüssel haben unendliche Ablaufzeiten. Dies bedeutet, dass Sie zur Durchführung einer Schlüsselrotation den alten Schlüssel entfernen müssen, den Sie nicht mehr verwenden möchten.

Aktiven Schlüssel prüfen

Gehen Sie folgendermaßen vor:

1. Wählen Sie eine der folgenden Optionen aus, um vorhandene Schlüssel aufzulisten:

   Console

   1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

      Zu „Physische Verbindungen“

   2. Wählen Sie die Verbindung aus, die Sie sehen möchten.

   3. Auf dem Tab MACsec werden im Abschnitt MACsec alle vorinstallierten Schlüssel für diese Verbindung aufgelistet.

   gcloud

   gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
   

   Die Ausgabe sieht in etwa so aus:

   preSharedKeys:
   - name: key1
     ckn: 0101010189abcdef...0123456789abcdef
     cak: 0123456789abcdef...0123456789abcdef
     startTime: 2023-07-01T12:12:12Z
   - name: key2
     ckn: 0202020289abcdef...0123456789abcdef
     cak: 0123456889abcdef...0123456789abcdef
     startTime: 2023-08-01T12:12:12Z
   

   Notieren Sie sich den CKN-Wert für den Schlüssel, der vor dem letzten Schlüssel aufgeführt ist.

2. Wählen Sie eine der folgenden Optionen aus, um zu prüfen, ob der aktive Schlüssel aufgeführt ist, bevor Sie den alten Schlüssel entfernen:

   Console

   • Überprüfen Sie im Abschnitt Vorinstallierte Schlüssel, ob der neue Schlüssel den Schlüsselstatus Aktiv, wird verwendet angibt.

   gcloud

   gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME
   

   Die Ausgabe sieht in etwa so aus:

   bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
   bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
   links:
   - circuitId: LOOP-0
     googleDemarc: fake-local-demarc-0
     lacpStatus:
       googleSystemId: '00:11:22:33:44:55'
       neighborSystemId: '55:44:33:22:11:00'
       state: ACTIVE
     macsec:
       ckn: 0202020289abcdef...0123456789abcdef
       operational: true
     operationalStatus: LINK_OPERATIONAL_STATUS_UP
     receivingOpticalPower:
       state: OK
       value: -2.49
     transmittingOpticalPower:
       state: OK
       value: -0.88
   macAddress: 00:11:22:33:44:55
   

   Mit dem Befehl gcloud compute interconnects get-diagnostics wird der CKN-Wert des aktiven Schlüssels angezeigt. Wenn Sie mehr als einen Schlüssel konfiguriert haben, wird der Schlüssel mit der letzten Startzeit als aktiver Schlüssel gewählt. Die Edge-Router von Google lehnen alle neuen MACsec-Sitzungen ab, die versuchen, ältere Schlüssel zu verwenden.

Alten Schlüssel entfernen

Als Vorsichtsmaßnahme verhindert MACsec für Cloud Interconnect, dass der letzte aktive Schlüssel entfernt wird.

Führen Sie die folgenden Schritte aus, um den alten Schlüssel zu entfernen:

1. Entfernen Sie den alten Schlüssel aus der Konfiguration Ihres lokalen Routers. Dadurch wird sichergestellt, dass der alte Schlüssel nicht von Ihrem lokalen Router verwendet wird, bevor Sie den alten Schlüssel aus Cloud Interconnect löschen.

2. Wählen Sie eine der folgenden Optionen aus, um den alten Schlüssel aus Ihrer Cloud Interconnect-Verbindungskonfiguration zu entfernen:

   Console

   1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

      Zu „Physische Verbindungen“

   2. Wählen Sie die Verbindung aus, die Sie sehen möchten.

   3. Gehen Sie auf dem Tab MACsec zu MACsec, wählen Sie den zu löschenden Schlüssel aus und klicken Sie auf MACsec.

   4. Überprüfen Sie im Abschnitt Vorinstallierte Schlüssel, ob der neue Schlüssel den Schlüsselstatus Aktiv, wird verwendet hat und ob der Schlüssel, den Sie löschen wollten, nicht mehr aufgeführt wird.

   gcloud

   1. Führen Sie dazu diesen Befehl aus:

      gcloud compute interconnects macsec remove-key INTERCONNECT_CONNECTION_NAME \
          --key-name=KEY_NAME
      

      Ersetzen Sie Folgendes:

      • INTERCONNECT_CONNECTION_NAME: den Namen Ihrer Cloud Interconnect-Verbindung
      • KEY_NAME: der Name des Schlüssels

   2. Führen Sie den folgenden Befehl aus, um zu prüfen, ob Sie den richtigen Schlüssel entfernt haben:

      gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
      

      Die Ausgabe sieht in etwa so aus:

      preSharedKeys:
      - name: key2
        ckn: 0202020289abcdef...0123456789abcdef
        cak: 0123456889abcdef...0123456789abcdef
        startTime: 2023-08-01T12:12:12Z
      

Nächste Schritte

• Fehlerbehebung bei MACsec
• MACsec-Status anzeigen
• MACsec-Schlüssel abrufen