Cisco ASA SSH接続のトラブルシューティング¶
Unable to negotiate with [接続先IPアドレス] port 22: no matching host key type found. Their offer: ssh-rsa で接続できない¶
SHA-1アルゴリズムを使用したRSA署名が廃止されたSSHクライアントから、SSHホスト鍵がRSAで作成されたファイアウォールの管理CLIへSSH接続した際に上記のメッセージで接続が拒否されます。
一時的な対応としてはSSHクライアント側の設定を変更することができます。
恒久的な対応としてはファイアウォール上でSSHホスト鍵をECDSAで作成することができます。
ファイアウォール初期状態のSSHホスト鍵の仕様は契約時期によって異なっています。
ホスト鍵アルゴリズム(HostKeyAlgorithms) |
作成時期 |
|---|---|
ecdsa-sha2-nistp384 |
2025/03/13~ |
ssh-rsa |
~2025/03/13 |
コントロールパネルから「設定破棄」を行いますと、現在作成されるSSHホスト鍵の仕様で作成が行われます。
一時的な対応¶
SSHクライアント側の設定を変更することで一時的な対応ができます。
Ubuntu 22.04, 24.04 / VMware ESXi 8.0 での設定変更¶
SSH接続の際にオプションを追加することで接続ができるようになります。
ssh -o HostKeyAlgorithms=+ssh-rsa [管理ユーザー]@[接続先IPアドレス]
Red Hat Enterprise Linux 9 / AlmaLinux 9 / Rocky Linux 9 での設定変更¶
SSH接続の際にオプションを追加することでは対応できず、システム全体の暗号化ポリシーでSHA-1アルゴリズムを有効化することで接続ができるようになります。
The maximum number of management sessions for protocol ssh already exist. Please try again later. で接続できない¶
SSHセッションは1セキュリティコンテキストあたり最大2セッションまで接続できるという制限がございます。
こちらに抵触した際は上記のメッセージで接続が拒否されます。
時間をおいて再度試していただくか、管理GUIでの接続をお試しください。