Completare i seguenti passi per configurare Secure Shell (SSH) sul firewall PIX:

1. Prima di connettersi al PIX tramite SSH, devono essere rispettati questi prerequisiti:

• Il PIX deve avere installata la versione 5.2 o successiva
• Il PIX deve possedere una licenza VPN Data Encryption Standard (DES), come indicato nell'output del comando show version. Riferirsi a Product License Registration per richiedere una licenza DES

2. Una volta soddisfatti tutti i requisiti, inserire questi comandi nel PIX:

hostname domain-name
!— Generate a key for the SSH encryption to use.
ca generate rsa key 1024
!— Allow the desired host to connect to the PIX on the interface specified.
ssh ip_address mask interface
!— Save your configuration.
ca save all
write memory

This is an example:

hostname mypix
domain-name cisco.com
ca generate rsa key 1024
ssh 10.0.0.0 255.255.255.0 inside
ca save all
write memory

Nota: l'username di default per l'autenticazione locale SSH è PIX.

Occasionalmente, quando vengono forniti un username ed una password al client SSH appare e scompare una finestra SSH. Per risolvere il problema, inserire il comando ca zeroize rsa che rimuove ogni chiave RSA esistente sul PIX. Inserire quindi lo stesso comando ancora una volta per rigenerare le chiavi RSA.

Se il PIX è configurato per il port forwarding con il comando statico, per la porta 22, allora la configurazione dell'SSH sul PIX non funziona.

Nei PIX versione 7.0 e successive questo è il comando necessario per generare una chiave RSA:

crypto key generate rsa [usage-keys | general-keys] [label key-pair-label] [modulus size] [noconfirm

Questo comando va inserito in global configuration mode.