Visão geral do gerenciamento de certificados
Normalmente, os usuários têm acesso a recursos de um aplicativo ou sistema com base em seu nome de usuário e senha. Você também pode usar certificados para autenticar e autorizar sessões entre vários servidores e usuários. A autenticação baseada em certificados em uma conexão Secure Sockets Layer (SSL) é o tipo mais seguro de autenticação. Os certificados podem ser armazenados em uma placa inteligente, um símbolo USB ou no disco rígido de um computador. Os usuários normalmente roubam sua placa inteligente para fazer login no sistema sem digitar seu nome de usuário e senha.
A Junos Space Network Management Platform é enviada com o modo padrão de autenticação baseada em senha. Os administradores podem usar as credenciais padrão para fazer login na Junos Space Platform. A Junos Space Platform permite que você use a autenticação baseada em certificados e da Junos Space Network Management Platform Release 15.2R1 em diante, autenticação baseada em parâmetros X.509 também para autenticar usuários. Esses modos de autenticação podem ser configurados a partir da seção de usuário na página De configurações de aplicativos modificados no espaço de trabalho da administração.
Por padrão, a Junos Space Platform usa um certificado SSL auto-assinado. No entanto, se você precisar usar seu próprio certificado personalizado, você pode enviar seu certificado personalizado no formato X.509 ou PKCS nº 12. Com o modo completo de validação de certificados, todo o certificado X.509 é validado durante o processo de login e você deve enviar certificados de usuário para todos os usuários.
Durante a autenticação baseada em parâmetros X.509, você pode especificar até quatro parâmetros de certificado X.509 por usuário que são validados durante o processo de login. Com a autenticação baseada em parâmetros X.509, você pode evitar o carregamento de certificados para novos usuários na Junos Space Platform. A Junos Space Platform extrai os valores dos parâmetros para usuários existentes dos certificados carregados quando os usuários foram criados. Você pode definir os parâmetros do certificado X.509 na seção X509-Certificate-Parameters na página De configurações de aplicativos modificados no espaço de trabalho da administração.
Apenas um modo de autenticação é suportado de cada vez e todos os usuários são autenticados usando o modo de autenticação selecionado.
Veja as seções a seguir para obter informações sobre fluxo de trabalho para modos de autenticação, certificados de servidor Junos Space personalizados, certificados de usuário, certificados de autoridade de certificados (CA), listas de revogação de certificados (CRL) e condições de expiração de certificados e invalidez na Junos Space Platform.
Fluxo de trabalho dos modos de autenticação
As etapas para estabelecer uma conexão SSL para os diferentes modos de autenticação são as seguintes:
Autenticação baseada em nome de usuário e senha:
Um cliente solicita acesso ao servidor Junos Space.
O servidor Junos Space apresenta seu certificado ao cliente.
O cliente verifica o certificado do servidor.
Se a verificação do certificado for bem sucedida, o cliente enviará seu nome de usuário e senha para o servidor.
O servidor verifica as credenciais do cliente.
Se a verificação for bem sucedida, o servidor concede acesso ao recurso protegido solicitado pelo cliente.
Autenticação baseada em certificados:
Um cliente solicita acesso ao servidor Junos Space.
O servidor Junos Space apresenta seu certificado ao cliente.
O cliente verifica o certificado do servidor.
Se a verificação do certificado for bem sucedida, o cliente enviará seu certificado para o servidor.
O servidor verifica o certificado do cliente.
Se a verificação for bem sucedida, o servidor concede acesso ao recurso protegido solicitado pelo cliente.
Se a verificação não tiver sucesso, a Junos Space Platform exibe uma página de falha de login para o usuário.
Autenticação baseada em parâmetros do certificado X509:
Um cliente solicita acesso ao servidor Junos Space.
O servidor Junos Space apresenta seu certificado X.509 ao cliente.
O cliente verifica o certificado X.509 do servidor.
Se a verificação do certificado for bem sucedida, o cliente enviará seu certificado para o servidor.
O servidor extrai os valores especificados do certificado X.509 do cliente e valida os valores com os do banco de dados da Junos Space Platform.
Se a verificação for bem sucedida, o servidor concede acesso ao recurso protegido solicitado pelo cliente.
Se a verificação não tiver sucesso, a Junos Space Platform exibe uma página de falha de login para o usuário.
Ao usar a autenticação completa baseada em certificados ou com base em parâmetros, a sessão é terminada se a placa inteligente ou segura (contendo o certificado e a chave privada) usada para fazer login estiver desconectada ou removida do sistema do cliente.
Certificados personalizados do Junos Space Server
Por padrão, a Junos Space Network Management Platform usa um certificado SSL auto-assinado. No entanto, se você precisar usar seu próprio certificado personalizado, acesse a página do Certificado de Plataforma > administração e carregue seu certificado X.509 ou PKCS 12 personalizado na página do Certificado de Plataforma.
O X.509 é um padrão amplamente utilizado para definir certificados digitais. Normalmente, em X.509, o certificado e a chave são armazenados separadamente. A chave privada pode ser criptografada ou não criptografada. Embora uma senha seja opcional, é necessário se a chave privada for criptografada.
O formato Syntax Standard (PKCS) 12 é um formato amplamente utilizado para certificados digitais no sistema operacional Windows. Este padrão especifica um formato portátil para armazenar ou transportar as chaves privadas, certificados e senhas de um usuário em um arquivo criptografado.
Para obter instruções para carregar seu certificado personalizado, consulte Instalar um certificado SSL personalizado no Junos Space Server.
Atributos de certificado
A Tabela 1 lista os atributos que você costuma ver em um certificado.
Atributo de certificado |
Descrição |
|---|---|
|
"OID.1.2.840.113549.1.9.1" é o identificador de objetos ASN.1 usado para identificar este algoritmo de assinatura. "user1@10.205.57.195" é o endereço de e-mail do proprietário do certificado. |
|
Nome comum do proprietário do certificado |
|
Nome da unidade organizacional à qual o proprietário do certificado pertence Por exemplo, o certificado SSL da Junos Space Network Management Platform assinado pela Juniper Networks contém " |
|
Organização à qual o proprietário do certificado pertence Por exemplo, o certificado SSL da Junos Space Network Management Platform assinado pela Juniper Networks contém " |
|
Localização do proprietário do certificado Por exemplo, o certificado SSL da Junos Space Network Management Platform assinado pela Juniper Networks contém " |
|
Estado de residência do proprietário do certificado Por exemplo, o certificado SSL da Junos Space Network Management Platform assinado pela Juniper Networks contém " |
|
País de residência do proprietário do certificado Por exemplo, o certificado SSL da Junos Space Network Management Platform assinado pela Juniper Networks contém " |
|
"OID.1.2.840.113549.1.9.1" é o identificador de objetos ASN.1 usado para identificar este algoritmo de assinatura. "user1@10.205.57.195" é o endereço de e-mail do emissor. |
|
Nome comum do emissor de certificados É o endereço IP do sistema. O nome comum (CN) deve corresponder ao nome de host do emissor deste certificado. Em geral, deve ser o nome de host do emissor. |
|
Nome da unidade organizacional à qual o emissor de certificados pertence Por exemplo, o certificado SSL da Junos Space Network Management Platform assinado pela Juniper Networks contém " |
|
Organização à qual o emissor de certificados pertence Por exemplo, o certificado SSL da Junos Space Network Management Platform assinado pela Juniper Networks contém " |
|
Localização do emissor de certificados Por exemplo, o certificado SSL da Junos Space Network Management Platform assinado pela Juniper Networks contém " |
|
Estado de residência do emissor de certificados Por exemplo, o certificado SSL da Junos Space Network Management Platform assinado pela Juniper Networks contém " |
|
País de residência do emissor de certificados Por exemplo, o certificado SSL da Junos Space Network Management Platform assinado pela Juniper Networks contém " |
|
Algoritmo usado pela Autoridade de Certificados para assinar o certificado Por exemplo, o certificado SSL da Junos Space Network Management Platform assinado pela Juniper Networks pode conter " |
|
Número de série do certificado |
|
Data em que o certificado se torna válido |
|
Data em que o certificado se torna inválido |
Certificados de usuário
Se você usa o modo de autenticação baseado em certificados, então para cada usuário você precisa carregar o certificado correspondente para o servidor Junos Space para autenticar o usuário. Você pode associar um certificado a um usuário quando cria o usuário ou modificando as configurações do usuário. Para associar um certificado a um usuário existente, acesse o Controle de acesso baseado em funções > contas de usuário > Selecione um usuário > modifique a página do usuário .
Para obter instruções para carregar um certificado de usuário, consulte o upload de um certificado de usuário.
Certificados e CRLs de CA
Um certificado de autoridade de certificação (CA) ou o certificado raiz são usados para verificar um certificado de usuário. A chave privada do certificado raiz é usada para assinar os certificados de usuário, que herdam a confiabilidade do certificado raiz.
Uma lista de revogação de certificados (CRL), que é mantida por um CA, é uma lista de certificados que foram emitidos e revogados por esse CA antes de sua data de validade agendada, juntamente com os motivos para a revogação. Uma CA pode revogar um certificado por vários motivos, como o usuário especificado no certificado pode não ter mais autoridade para usar a chave, a chave especificada no certificado pode ter sido comprometida, outro certificado está substituindo o certificado atual e assim por diante.
Para obter instruções para carregar certificados de CA ou CRLs, consulte o upload de um certificado ca e uma lista de revogação de certificados.
Alterando o modo de autenticação do usuário
Você pode alterar o modo de autenticação do nome de usuário e baseado em senha para parâmetro de certificado ou X.509 baseado na interface de usuário do Junos Space ou da CLI do nó VIP. Você deve enviar os certificados da autoridade de certificação (CA) e os certificados pessoais ou de usuário (o certificado do servidor Junos Space é opcional) para o servidor Junos Space antes de mudar o modo de autenticação. A Junos Space Platform verifica todos os certificados antes de serem carregados. Certificados inválidos ou mal formados não são carregados.
Quando o modo de autenticação é alterado, todas as sessões de usuário existentes, exceto a do administrador atual que está mudando o modo de autenticação, são terminadas automaticamente e os usuários são forçados a fazer login. Você não precisa reiniciar a Junos Space Platform quando mudar de um modo de autenticação para outro.
Para obter instruções para mudar os modos de autenticação, consulte os modos de autenticação de usuários em constante mudança.
Expiração de certificado
Quando o certificado de servidor X.509 Junos Space está programado para expirar dentro de 30 dias a partir da data atual, a Junos Space Platform exibe uma mensagem de aviso cada vez que o administrador faz login. Por exemplo:Your platform certificate is going to expire on May 24, 2015. Space will automatically use default certificate if your certificate will expire within 1 day. Change platform certificate using "Administration > Platform Certificate" page. Would you like to change it now?
Como administrador, realize uma das seguintes ações:
Carregue um novo certificado — Selecione o certificado de plataforma > administração e carregue o certificado na área do Certificado de upload. A Junos Space Platform exclui o certificado de usuário antigo e começa a usar o certificado recém-carregado.
Use o certificado padrão — Selecione o certificado de plataforma > administração e clique em Certificado de padrão de uso na área do certificado da plataforma atual.
Quando o certificado de servidor X.509 Junos Space está programado para expirar em um dia, a Junos Space Platform começa a usar o certificado autoassinado padrão. O certificado SSL da Junos Space Platform auto-assinado criado durante a instalação tem uma validade de cinco anos.
Quando um certificado de usuário está programado para expirar dentro de 30 dias a partir da data atual, a Junos Space Platform exibe uma mensagem de aviso se o usuário tiver logado usando o modo de autenticação baseado em certificação. Para obter mais informações, consulte o upload de um certificado de usuário.
Certificados de usuário inválidos
Um certificado de usuário pode se tornar inválido pelos seguintes motivos:
O certificado está expirado.
O certificado expira em um dia.
O certificado só será válido posteriormente.
O certificado não corresponde à chave privada.
O certificado ou o arquivo chave privado estão quebrados.
O mesmo certificado existe no servidor Junos Space.
Se um usuário tentar fazer login com um certificado inválido ou vencido, a Junos Space Platform exibe uma página de falha de login com a seguinte mensagem de erro: No user mapped for this certificate.