MACsec-Schlüssel rotieren

Auf dieser Seite wird beschrieben, wie Sie Schlüssel für MACsec für Cloud Interconnect rotieren.

Führen Sie die folgenden Schritte aus, um Schlüssel zu rotieren:

1. Erstellen Sie einen neuen Schlüssel mit einem Startdatum nach dem der vorhandenen Schlüssel.
2. Fügen Sie den lokalen Schlüssel dem lokalen Router hinzu.
3. Warten Sie auf die Startzeit des neuen Schlüssels.
4. Prüfen Sie, ob der neue Schlüssel aktiv ist.
5. Löschen Sie den ältesten Schlüssel.

Sie können bis zu fünf vorinstallierte Schlüssel mit von Ihnen festgelegten Startzeiten erstellen. Die Startzeiten der Schlüssel müssen in aufsteigender Reihenfolge angegeben werden, also nicht innerhalb von sechs Stunden nach der Startzeit des vorherigen Schlüssels. Wenn Sie einen Schlüssel rotieren möchten, den Sie nicht mehr verwenden möchten, entfernen Sie den Schlüssel.

Vorinstallierte Schlüssel laufen nicht ab. Wenn Sie mehr als einen Schlüssel konfigurieren, muss für alle Schlüssel eine Startzeit konfiguriert sein.

Optional: Startzeit des vorhandenen Schlüssels aktualisieren

Wenn Sie einen Schlüssel ohne Startzeit haben und versuchen, einen neuen Schlüssel zu erstellen, zeigt Cloud Interconnect einen Fehler an. Legen Sie eine Startzeit für den vorhandenen Schlüssel fest, um dieses Problem zu beheben:

gcloud beta compute interconnects macsec update-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time=START_TIME

Ersetzen Sie Folgendes:

• INTERCONNECT_CONNECTION_NAME: der Name Ihrer Cloud Interconnect-Verbindung
• KEY_NAME: der Name des zu aktualisierenden Schlüssels
• START_TIME: die Zeit, ab der dieser Schlüssel gültig ist, im ISO 8601-Format, z. B. 2023-07-01T21:00:01.000Z

Neuen Schlüssel erstellen

Führen Sie die folgenden Schritte aus, um einen neuen Schlüssel zu erstellen:

1. Neuen Schlüssel hinzufügen:

   gcloud

   gcloud beta compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
       --key-name=KEY_NAME \
       --start-time="START_TIME"
   

   Ersetzen Sie Folgendes:

   • INTERCONNECT_CONNECTION_NAME: der Name Ihrer Cloud Interconnect-Verbindung
   • KEY_NAME: Ein Name für den Schlüssel.
   • START_TIME: die Zeit, ab der dieser Schlüssel gültig ist, im ISO 8601-Format, z. B. 2023-07-01T21:00:01.000Z

   Als Best Practice empfehlen wir, eine Startzeit für alle Schlüssel festzulegen, die Sie für MACsec für Cloud Interconnect erstellen.

2. Listen Sie die vorhandenen Schlüssel auf und notieren Sie sich den Verbindungsverknüpfungsschlüssel (CAK) und den Verbindungsverknüpfungsschlüsselname (CKN) für den neuen Schlüssel.

   gcloud

   gcloud beta compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
   

   Die Ausgabe sieht in etwa so aus:

   preSharedKeys:
   - name: key1
     ckn: 0101010189abcdef...0123456789abcdef
     cak: 0123456789abcdef...0123456789abcdef
     startTime: 2023-07-01T12:12:12Z
   - name: key2
     ckn: 0202020289abcdef...0123456789abcdef
     cak: 0123456889abcdef...0123456789abcdef
     startTime: 2023-08-01T12:12:12Z
   

   In diesem Beispiel ist key2 der neu hinzugefügte Schlüssel.

3. Fügen Sie der Konfiguration Ihres lokalen Routers die Startzeitswerte, CAK- und CKN-Werte des neuen Schlüssels hinzu.

Die Edge-Router von Google verwenden den Schlüssel mit der neuesten Startzeit und wechseln automatisch mit dem Fortschritt der Zeit zum nächsten Schlüssel. Alle konfigurierten Schlüssel haben unendliche Ablaufzeiten. Dies bedeutet, dass Sie zur Durchführung einer Schlüsselrotation den alten Schlüssel entfernen müssen, den Sie nicht mehr verwenden möchten.

Aktiven Schlüssel prüfen

Führen Sie die folgenden Schritte aus, um den aktiven Schlüssel zu überprüfen:

1. Listen Sie die vorhandenen Schlüssel auf.

   gcloud

   gcloud beta compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
   

   Die Ausgabe sieht in etwa so aus:

   preSharedKeys:
   - name: key1
     ckn: 0101010189abcdef...0123456789abcdef
     cak: 0123456789abcdef...0123456789abcdef
     startTime: 2023-07-01T12:12:12Z
   - name: key2
     ckn: 0202020289abcdef...0123456789abcdef
     cak: 0123456889abcdef...0123456789abcdef
     startTime: 2023-08-01T12:12:12Z
   

   Notieren Sie sich den CKN-Wert für den Schlüssel, der vor dem letzten Schlüssel aufgeführt ist.

2. Prüfen Sie, ob der aktive Schlüssel aufgeführt ist, bevor Sie den alten Schlüssel entfernen:

   gcloud

   gcloud beta compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME
   

   Die Ausgabe sieht in etwa so aus:

   bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
   bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
   links:
   - circuitId: LOOP-0
     googleDemarc: fake-local-demarc-0
     lacpStatus:
       googleSystemId: '00:11:22:33:44:55'
       neighborSystemId: '55:44:33:22:11:00'
       state: ACTIVE
     macsec:
       ckn: 0202020289abcdef...0123456789abcdef
       operational: true
     operationalStatus: LINK_OPERATIONAL_STATUS_UP
     receivingOpticalPower:
       state: OK
       value: -2.49
     transmittingOpticalPower:
       state: OK
       value: -0.88
   macAddress: 00:11:22:33:44:55
   

   Mit dem Befehl gcloud beta compute interconnects get-diagnostics wird der CKN-Wert des aktiven Schlüssels angezeigt. Wenn Sie mehr als einen Schlüssel konfiguriert haben, wird der Schlüssel mit der letzten Startzeit als aktiver Schlüssel gewählt. Die Edge-Router von Google lehnen alle neuen MACsec-Sitzungen ab, die versuchen, ältere Schlüssel zu verwenden.

Alten Schlüssel entfernen

Als Vorsichtsmaßnahme verhindert MACsec für Cloud Interconnect, dass Sie nicht den letzten aktiven Schlüssel oder den aktiven Schlüssel mit der neuesten Startzeit entfernen.

Führen Sie die folgenden Schritte aus, um den alten Schlüssel zu entfernen:

1. Entfernen Sie den alten Schlüssel aus der Konfiguration Ihres lokalen Routers. Dadurch wird sichergestellt, dass der alte Schlüssel nicht von Ihrem lokalen Router verwendet wird, bevor Sie den alten Schlüssel aus Cloud Interconnect löschen.

2. Entfernen Sie den alten Schlüssel aus Ihrer Cloud Interconnect-Verbindungskonfiguration:

   gcloud

   gcloud beta compute interconnects macsec remove-key INTERCONNECT_CONNECTION_NAME \
       --key-name=KEY_NAME
   

   Ersetzen Sie Folgendes:

   • INTERCONNECT_CONNECTION_NAME: der Name Ihrer Cloud Interconnect-Verbindung
   • KEY_NAME: der Name des Schlüssels

3. Prüfen Sie, ob Sie den richtigen Schlüssel entfernt haben:

   gcloud

   gcloud beta compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
   

   Die Ausgabe sieht in etwa so aus:

   preSharedKeys:
   - name: key2
     ckn: 0202020289abcdef...0123456789abcdef
     cak: 0123456889abcdef...0123456789abcdef
     startTime: 2023-08-01T12:12:12Z
   

Nächste Schritte

• Fehlerbehebung bei MACsec
• MACsec-Status anzeigen
• MACsec-Schlüssel abrufen