Configuração de certificados digitais para um ES PIC
Os certificados digitaisfornecem uma maneira de autenticar usuários por meio de um terceiro confiável chamado autoridade de certificado (CA). A CA valida a identidade de um titular de certificado e "assina" o certificado para atestar que ele não foi forjado ou alterado.
Para definir a configuração de certificado digital para uma interface de serviço de criptografia, inclua as seguintes declarações nos [edit security certificates] níveis de hierarquia e [edit security ike] hierarquia:
[edit security] certificates { cache-size bytes; cache-timeout-negative seconds; certification-authority ca-profile-name { ca-name ca-identity; crl filename; encoding (binary | pem); enrollment-url url-name; file certificate-filename; ldap-url url-name; } enrollment-retry attempts; local certificate-filename { certificate-key-string; load-key-file URL key-file-name; } maximum-certificates number; path-length certificate-path-length; } ike { policy ike-peer-address { description policy; encoding (binary | pem); identity identity-name; local-certificate certificate-filename; local-key-pair private-public-key-file; mode (aggressive | main); pre-shared-key (ascii-text key | hexadecimal key); proposals [ proposal-names ]; } }
As tarefas para configurar certificados digitais para ES PICs são:
Configuração das propriedades da autoridade de certificados para um ES PIC
A CA é uma organização de terceiros confiável que cria, inscreve, valida e revoga certificados digitais.
Para configurar uma autoridade de certificado e suas propriedades para um PIC ES, inclua as seguintes declarações no nível de [edit security certificates] hierarquia:
[edit security certificates] certification-authority ca-profile-name { ca-name ca-identity; crl filename; encoding (binary | pem); enrollment-url url-name; file certificate-filename; ldap-url url-name; }
ca-profile-name é o nome do perfil da CA.
As tarefas para configurar as propriedades da CA são:
- Especificando o nome da autoridade do certificado
- Configuração da lista de revogação de certificados
- Configurando o tipo de codificação que seu CA oferece suporte
- Especificando uma URL de inscrição
- Especificando um arquivo para ler o certificado digital
- Especificando uma URL LDAP
Especificando o nome da autoridade do certificado
Se você estiver se inscrevendo em um CA usando protocolos simples de inscrição de certificados (SCEP), você precisa especificar o nome ca (identidade ca) que é usado na solicitação do certificado, além da URL para o servidor SCEP.
Para especificar o nome da identidade ca, inclua a ca-name declaração no nível de [edit security certificates certification-authority ca-profile-name] hierarquia:
[edit security certificates certification-authority ca-profile-name] ca-name ca-identity;
ca-identity especifica a identidade ca para usar na solicitação do certificado. Normalmente é o nome de domínio da CA.
Configuração da lista de revogação de certificados
Uma lista de revogação de certificados (CRL) contém uma lista de certificados digitais que foram cancelados antes da data de validade. Quando um peer participante usa um certificado digital, ele verifica a assinatura e a validade do certificado. Ele também adquire o CRL emitido mais recentemente e verifica se o número de série do certificado não está nesse CRL.
Para configurar a lista de revogação do certificado ca, inclua a crl declaração e especifique o arquivo do qual ler o CRL no [edit security certificates certification-authority ca-profile-name] nível de hierarquia:
[edit security certificates certification-authority ca-profile-name] crl filename;
Configurando o tipo de codificação que seu CA oferece suporte
Por padrão, a codificação é definida como binária. A codificação especifica o formato de arquivo usado para as declarações e local-key-pair declaraçõeslocal-certificate. Por padrão, o formato binário (regras de codificação distintas) é habilitado. O e-mail aprimorado para a privacidade (PEM) é um formato codificado com base em ASCII 64. Verifique com seu CA para determinar quais formatos de arquivo ele suporta.
Para configurar o formato de arquivo que seu CA oferece suporte, inclua a encoding declaração e especifique um formato binário ou PEM no nível de [edit security certificates certification-authority ca-profile-name] hierarquia:
[edit security certificates certification-authority ca-profile-name] encoding (binary | pem);
Especificando uma URL de inscrição
Você especifica o local da CA onde seu roteador ou switch envia solicitações de inscrição de certificados baseadas em SCEP. Para especificar a localização do CA nomeando a URL ca, inclua a enrollment-url declaração no nível de [edit security certificates certification-authority ca-profile-name] hierarquia:
[edit security certificates certification-authority ca-profile-name] enrollment-url url-name;
url-name é a localização da CA. O formato é http://ca-name, onde ca-name está o nome de DNS de host ca ou endereço IP.
Especificando um arquivo para ler o certificado digital
Para especificar o arquivo do qual ler o certificado digital, inclua a file declaração e especifique o nome de arquivo do [edit security certificates certification-authority ca-profile-name] certificado no nível de hierarquia:
[edit security certificates certification-authority ca-profile-name] file certificate-filename;
Especificando uma URL LDAP
Se seu CA armazena seu CRL atual em seu servidor Lightweight Directory Access Protocol (LDAP), você pode verificar opcionalmente sua lista de CRL ca antes de usar um certificado digital. Se o certificado digital aparecer no CA CRL, seu roteador ou switch não poderá usá-lo. Para acessar seu CA CRL, inclua a ldap-url declaração no [edit security certificates certification-authority ca-profile-name] nível hierárquico:
[edit security certificates certification-authority ca-profile-name] ldap-url url-name;
url-name é o nome do servidor LDAP da autoridade de certificação. O formato é ldap://server-name, onde server-name está o nome de DNS de host ca ou endereço IP.
Configurando o tamanho do cache
Por padrão, o tamanho do cache é de 2 megabytes (MB). Para configurar o tamanho total do cache para certificados digitais, inclua a cache-size declaração no nível de [edit security certificates] hierarquia:
[edit security certificates] cache-size bytes;
bytes é o tamanho do cache para certificados digitais. A faixa pode ser de 64 a 4.294.967.295 bytes.
Recomendamos que você limite o tamanho do seu cache a 4 MB.
Configurando o cache negativo
O cache negativo armazena resultados negativos e reduz o tempo de resposta para respostas negativas. Ele também reduz o número de mensagens que são enviadas para o servidor remoto. Manter um estado de cache negativo permite que o sistema devolva rapidamente uma condição de falha quando uma tentativa de busca é revarinada. Sem um estado de cache negativo, uma nova tentativa exigiria a falta de resposta do servidor remoto, embora o sistema já "saiba" que o servidor remoto não está respondendo.
Por padrão, o cache negativo é de 20 segundos. Para configurar o cache negativo, inclua a cache-timeout-negative declaração no nível de [edit security certificates] hierarquia:
[edit security certificates] cache-timeout-negative seconds;
seconds é o tempo para o qual um certificado de CA ou roteador com falha está presente no cache negativo. Ao procurar certificados com uma identidade ca correspondente (nome de domínio para certificados ou nome de domínio ca e serial para CRLs), o cache negativo é pesquisado primeiro. Se uma entrada for encontrada no cache negativo, a pesquisa falhará imediatamente.
Configurar um grande valor de cache negativo pode torná-lo suscetível a um ataque de negação de serviço (DoS).
Configurando o número de retries de inscrição
Por padrão, o número de retries de inscrição é definido para 0, um número infinito de retries. Para especificar quantas vezes um roteador ou switch reencerá uma solicitação de certificado, inclua a enrollment-retry declaração no nível de [edit security certificates] hierarquia:
[edit security certificates] enrollment-retry attempts;
attempts é o número de retries de inscrição (de 0 a 100).
Configurando o número máximo de certificados peer
Por padrão, o número máximo de certificados de peer a serem armazenados em cache é 1024. Para configurar o número máximo de certificados de peer a serem armazenados em cache, inclua a maximum-certificates declaração no nível de declaração da [edit security certificates] hierarquia:
[edit security certificates] maximum-certificates number;
number é o número máximo de certificados de peer a serem armazenados em cache. A faixa é de 64 a 4.294.967.295 certificados de peer.
Configurando o comprimento do caminho para a hierarquia de certificados
As autoridades de certificação podem emitir certificados para outros CAs. Isso cria uma hierarquia de certificação semelhante a uma árvore. O CA mais confiável da hierarquia é chamado de âncora de confiança. Às vezes, a âncora de confiança é o CA raiz, que geralmente é assinado por si mesmo. Na hierarquia, cada certificado é assinado pela CA imediatamente acima dele. Uma exceção é o certificado CA raiz, que normalmente é assinado pela própria CA raiz. Em geral, uma cadeia de vários certificados pode ser necessária, compreendendo um certificado do proprietário de chave pública (a entidade final) assinado por um CA, e certificados zero ou mais adicionais de CAs assinados por outros CAs. Essas cadeias, chamadas de caminhos de certificação, são necessárias porque um usuário de chave pública só é inicializado com um número limitado de chaves públicas garantidas da CA.
O comprimento do caminho refere-se a um caminho de certificados de um certificado para outro, com base na relação de um CA e seus "filhos". Ao configurar a path-length declaração, você especifica a profundidade máxima da hierarquia para validar um certificado do certificado de CA raiz confiável ao certificado em questão. Para obter mais informações sobre a hierarquia de certificados, consulte o perfil do certificado de infraestrutura de chaves públicas (CRL) RFC 3280, Internet X.509.
Por padrão, o comprimento máximo do caminho do certificado é definido para 15. A âncora raiz é 1.
Para configurar o comprimento do caminho, inclua a path-length declaração no nível de [edit security certificates] hierarquia:
[edit security certificates] path-length certificate-path-length;
certificate-path-length é o número máximo de certificados para o comprimento do caminho do certificado. A faixa é de 2 a 15 certificados.