Configuração de certificados digitais
Visão geral dos certificados digitais
Um certificado digital fornece uma maneira de autenticar usuários por meio de um terceiro confiável chamado autoridade de certificado (CA). A CA valida a identidade de um titular de certificado e "assina" o certificado para atestá-lo que não foi forjado ou alterado.
Um certificado inclui as seguintes informações:
O nome distinto (DN) do proprietário. Uma DN é um identificador único e consiste em um nome totalmente qualificado, incluindo o nome comum (CN) do proprietário, a organização do proprietário e outras informações distintas.
A chave pública do proprietário.
A data em que o certificado foi emitido.
A data em que o certificado expira.
O nome ilustre da CA emissora.
A assinatura digital da CA emissora.
As informações adicionais em um certificado permitem que os destinatários decidam se aceitam o certificado. O destinatário pode determinar se o certificado ainda é válido com base na data de expiração. O destinatário pode verificar se a CA é confiável pelo site com base na CA de emissão.
Com um certificado, uma CA pega a chave pública do proprietário, assina essa chave pública com sua própria chave privada, e devolve isso ao proprietário como certificado. O destinatário pode extrair o certificado (contendo a assinatura do CA) com a chave pública do proprietário. Ao usar a chave pública da CA e a assinatura da CA no certificado extraído, o destinatário pode validar a assinatura do CA e o proprietário do certificado.
Ao usar certificados digitais, você primeiro envia uma solicitação para obter um certificado do seu CA. Em seguida, você configura certificados digitais e uma política de IKE de certificado digital. Por fim, você obtém um certificado assinado digitalmente por um CA.
Certificados sem um nome de assunto alternativo não são apropriados para serviços IPsec.
Obtendo um certificado de uma Autoridade de Certificado para um ES PIC
As autoridades de certificados (CAs) gerenciam solicitações de certificados e emitem certificados para os dispositivos de rede IPsec participantes. Quando você cria uma solicitação de certificado, você precisa fornecer as informações sobre o proprietário do certificado. As informações necessárias e seu formato variam entre as autoridades de certificados.
Os certificados usam nomes no formato X.500, um protocolo de acesso de diretório que fornece acesso lido e atualizado. Todo o nome é chamado de DN (nome distinto). Ele consiste em um conjunto de componentes, que muitas vezes inclui uma CN (nome comum), uma organização (O), uma unidade de organização (OU), um país (C), uma localidade (L) e assim por diante.
Para o registro dinâmico de certificados digitais, o Junos OS oferece suporte apenas ao Protocolo de Inscrição de Certificados Simples (SCEP).
Veja também
Solicitando um certificado ca digital para um ES PIC em um roteador da Série M ou Série T
Para uma interface de criptografia em um roteador da Série M ou série T, emita o seguinte comando para obter um certificado de chave pública de um CA. Os resultados são salvos no arquivo especificado no /var/etc/ikecert directory. A chave pública da CA verifica certificados de colegas remotos.
user@host> request security certificate enroll filename filename ca-name ca-name parameters parameters
Veja também
Exemplo: solicitar um certificado digital da CA
Especifique uma URL para o servidor SCEP e o nome da autoridade de certificação cujo certificado você deseja: mycompany.com. nome do arquivo 1 é o nome do arquivo que armazena o resultado. A saída, "Certificado de CA Recebido:" fornece a assinatura do certificado, o que permite verificar (offline) se o certificado é genuíno.
user@host> request security certificate enroll filename ca_verisign ca-file verisign ca-name xyzcompany url http://hostname/path/filename URL: http://hostname/path/filename name: example.com CA file: verisign Encoding: binary Certificate enrollment has started. To see the certificate enrollment status, check the key management process (kmd) log file at /var/log/kmd. <--------------
Inicialmente, cada roteador é inscrito manualmente com uma autoridade de certificados.
Veja também
Gerando um par de chaves privadas e públicas para certificados digitais para um ES PIC
Para gerar uma chave privada e pública, emita o seguinte comando:
user@host> request security key-pair name size key-size type ( rsa | dsa )
name especifica o nome do arquivo no qual armazenar as chaves públicas e privadas.
key-size podem ser 512, 1024, 1596 ou 2048 bytes. O tamanho padrão da chave é de 1024 bytes.
type pode ser rsa ou dsa. O padrão é RSA.
Quando você usa SCEP, o Junos OS só oferece suporte a RSA.
O exemplo a seguir mostra como gerar um par de chaves privadas e públicas:
user@host> request security key-pair batt Generated key pair, key size 1024, file batt Algorithm RSA