Certificados digitais e conjuntos de serviços

Para redes pequenas, o uso de chaves pré-compartilhadas em uma configuração IPSec é muitas vezes suficiente. No entanto, à medida que uma rede cresce, ela pode se tornar um desafio adicionar novas chaves pré-compartilhadas no roteador local e todos os pares IPSec novos e existentes. Uma solução para escalar uma rede IPSec é usar certificados digitais.

Uma implementação de certificado digital usa a infraestrutura de chave pública (PKI), que exige que você gere um par chave que consiste em uma chave pública e uma chave privada. As chaves são criadas com um gerador de números aleatórios e são usadas para criptografar e descriptografar dados. Em redes que não usam certificados digitais, um dispositivo habilitado para IPSec criptografa dados com a chave privada e os pares IPSec descriptografam os dados com a chave pública.

Com certificados digitais, o processo de compartilhamento chave requer um nível adicional de complexidade. Primeiro, você e seus pares IPSec solicitam uma autoridade de certificado (CA) para enviar um certificado de CA que contenha a chave pública da CA. Em seguida, você solicita à CA a inscrição de um certificado digital local que contenha sua chave pública e algumas informações adicionais. Quando a CA processa sua solicitação, ela assina seu certificado local com a chave privada da CA. Em seguida, você instala o certificado ca e o certificado local em seu roteador local e carrega o certificado ca nos dispositivos remotos antes que você possa estabelecer túneis IPSec com seus pares.

Quando você solicita um relacionamento de peering com um peer IPSec, o peer recebe uma cópia do seu certificado local. Como o peer já tem o certificado ca carregado, ele pode usar a chave pública da CA contida no certificado ca para descriptografar seu certificado local que foi assinado pela chave privada do CA. Como resultado, o peer agora tem uma cópia da sua chave pública. O peer criptografa dados com sua chave pública antes de enviar para você. Quando o roteador local recebe os dados, ele descriptografa os dados com a sua chave privada.

No Junos OS, você deve implementar as seguintes etapas para poder usar inicialmente certificados digitais:

• Configure um perfil de CA para solicitar ca e certificados digitais locais — o perfil contém o nome e URL da AUTORIDADE DE CA ou registro (RA), bem como algumas configurações de temporizante de nova tentativa.

• Configure o suporte à lista de revogação de certificados — uma lista de revogação de certificados (CRL) contém uma lista de certificados cancelados antes da data de validade. Quando um peer participante usa um CRL, o CA adquire o CRL emitido mais recentemente e verifica a assinatura e a validade do certificado digital de um peer. Você pode solicitar e carregar CRLs manualmente, configurar um servidor LDAP para lidar com o processamento de CRL automaticamente ou desativar o processamento de CRL que é habilitado por padrão.

• Solicite um certificado digital da CA — a solicitação pode ser feita on-line ou manualmente. As solicitações de certificados digitais de CA on-line usam o formato protocolo de inscrição de certificados simples (SCEP). Se você solicitar o certificado ca manualmente, você também deve carregar o certificado manualmente.

• Gere um par de chaves privadas/públicas — a chave pública está incluída no certificado digital local e a chave privada é usada para descriptografar dados recebidos de pares.

• Gere e inscreva um certificado digital local — o certificado local pode ser processado on-line usando SCEP ou gerado manualmente no formato Public-Key Cryptography Standards nº 10 (PKCS-10). Se você criar a solicitação de certificado local manualmente, você também deve carregar o certificado manualmente.

• Aplique o certificado digital em uma configuração de IPSec — Para ativar um certificado digital local, você configura a proposta do IKE de usar certificados digitais em vez de chaves pré-compartilhadas, consultar o certificado local na política de IKE e identificar o CA no conjunto de serviços.

Opcionalmente, você pode fazer o seguinte:

• Configure o certificado digital para reenrollar automaticamente — a partir do Junos OS Release 8.5, você pode configurar o reenrollamento automático para certificados digitais.

• Monitore eventos de certificados digitais e exclua certificados e solicitações — Você pode emitir comandos de modo operacional para monitorar túneis IPSec estabelecidos usando certificados digitais e excluir certificados ou solicitações.

Para obter mais detalhes sobre o gerenciamento de certificados digitais, configurá-los em um conjunto de serviços IPSec e monitorá-los e liberá-los, veja usando certificados digitais para IPsec e exemplo: AS PIC IKE Dynamic SA com configuração de certificados digitais.

O PIC de serviços adaptativos oferece suporte a dois tipos de conjuntos de serviços quando você configura túneis IPSec. Como eles são usados para diferentes finalidades, é importante saber as diferenças entre esses tipos de conjunto de serviços.

• Conjunto de serviços de próximo salto — oferece suporte a protocolos de roteamento dinâmico multicast e multicast (como OSPF) por IPSec. Os conjuntos de serviços de próximo salto permitem que você use interfaces lógicas internas e externas no PIC de serviços adaptativos para se conectar com várias instâncias de roteamento. Eles também permitem o uso da tradução de endereços de rede (NAT) e recursos de firewall stateful. No entanto, os conjuntos de serviços de próximo salto não monitoram o tráfego do mecanismo de roteamento por padrão e exigem a configuração de vários conjuntos de serviços para oferecer suporte ao tráfego de várias interfaces.

• Conjunto de serviços de interface — aplicado a uma interface física e semelhante a um filtro de firewall stateless. Eles são fáceis de configurar, podem suportar tráfego de várias interfaces e podem monitorar o tráfego do mecanismo de roteamento por padrão. No entanto, eles não podem suportar protocolos de roteamento dinâmicos ou tráfego multicast pelo túnel IPSec.

Em geral, recomendamos que você use conjuntos de serviços de próximo salto porque eles suportam protocolos de roteamento e multicast sobre o túnel IPSec, eles são mais fáceis de entender, e a tabela de roteamento toma decisões de encaminhamento sem intervenção administrativa.