Criptografia de chave pública
Entender a criptografia de chave pública nos switches
A criptografia descreve as técnicas relacionadas aos seguintes aspectos da segurança das informações:
Privacidade ou confidencialidade
Integridade dos dados
Autenticação
Não observação ou nãorepudiação de origem — a nãorepudiação da origem significa que os signers não podem afirmar que não assinaram uma mensagem enquanto afirmam que sua chave privada permanece em segredo. Em alguns esquemas de nãorepudiação usados em assinaturas digitais, um temporizador é anexado à assinatura digital, de modo que mesmo que a chave privada seja exposta, a assinatura permanece válida. As chaves públicas e privadas são descritas no texto a seguir.
Na prática, os métodos criptográficos protegem os dados transferidos de um sistema para outro por redes públicas criptografando os dados usando uma chave de criptografia. A criptografia de chave pública (PKC), usada em switches Ethernet da Série EX da Juniper Networks, usa um par de chaves de criptografia: uma chave pública e uma chave privada. As chaves públicas e privadas são criadas simultaneamente usando o mesmo algoritmo de criptografia. A chave privada é mantida por um usuário secretamente e a chave pública é publicada. Os dados criptografados com uma chave pública só podem ser descriptografados com a chave privada correspondente e vice-versa. Quando você gera um par de chaves público/privado, o switch salva automaticamente o par-chave em um arquivo na loja de certificados, do qual ele é usado posteriormente em comandos de solicitação de certificados. O par-chave gerado é salvo como certificate-id. Priv.
O tamanho padrão da chave RSA e DSA é de 1024 bits. Se você estiver usando o Protocolo de Inscrição de Certificados Simples (SCEP), o sistema operacional Junos (Junos OS) da Juniper Networks oferece suporte apenas ao RSA.
Infraestrutura de chave pública (PKI) e certificados digitais
A infraestrutura de chave pública (PKI) permite a distribuição e o uso das chaves públicas em criptografia de chave pública com segurança e integridade. O PKI gerencia as chaves públicas usando certificados digitais. Um certificado digital fornece um meio eletrônico de verificar a identidade de um indivíduo, uma organização ou um serviço de diretório que pode armazenar certificados digitais.
Um PKI normalmente consiste em uma Autoridade de Registro (RA) que verifica as identidades das entidades, autoriza suas solicitações de certificados e gera pares-chave assimétricos únicos (a menos que as solicitações de certificados dos usuários já contenham chaves públicas); e uma Autoridade de Certificados (CA) que emite certificados digitais correspondentes para as entidades solicitantes. Opcionalmente, você pode usar um Repositório de Certificados que armazena e distribui certificados e uma lista de revogação de certificados (CRL) identificando os certificados que não são mais válidos. Cada entidade que possua a chave pública autêntica de uma CA pode verificar os certificados emitidos por essa CA.
As assinaturas digitais exploram o sistema criptográfico de chave pública da seguinte forma:
Um remetente assina dados digitalmente aplicando uma operação criptográfica, envolvendo sua chave privada, em uma digestão dos dados.
A assinatura resultante é anexada aos dados e enviada ao receptor.
O receptor obtém o certificado digital do remetente, que fornece a chave pública do remetente e a confirmação do link entre sua identidade e a chave pública. O certificado do remetente é frequentemente anexado aos dados assinados.
O receptor confia neste certificado ou tenta verificar. O receptor verifica a assinatura dos dados usando a chave pública contida no certificado. Essa verificação garante a autenticidade e a integridade dos dados recebidos.
Como uma alternativa ao uso de um PKI, uma entidade pode distribuir sua chave pública diretamente para todos os verificadores de assinatura em potencial, desde que a integridade da chave seja protegida. O switch faz isso usando um certificado auto-assinado como um contêiner para a chave pública e a identidade da entidade correspondente.
Veja também
Entendendo certificados auto-assinados em switches da Série EX
Quando você inicia um Switch Ethernet da Série EX da Juniper Networks com a configuração padrão de fábrica, o switch gera um certificado auto-assinado, permitindo acesso seguro ao switch através do protocolo Secure Sockets Layer (SSL). O protocolo de transferência de hipertexto sobre a Camada de Soquetes Seguros (HTTPS) e o gerenciamento de rede XML sobre a Camada de Soquetes Seguros (XNM-SSL) são os dois serviços que podem fazer uso dos certificados autoassinados.
Os certificados autoassinados não fornecem segurança adicional, assim como os gerados pelas Autoridades de Certificados (CAs). Isso porque um cliente não pode verificar se o servidor ao qual ele ou ela se conectou é o anunciado no certificado.
Os switches fornecem dois métodos para gerar um certificado autoassinado:
Geração automática
Nesse caso, o criador do certificado é o switch. Um certificado autoassinado gerado automaticamente (também chamado de "gerado pelo sistema") é configurado no switch por padrão.
Depois que o switch é inicializado, ele verifica a presença de um certificado auto-assinado gerado automaticamente. Se ele não encontrar um, o switch gera um e o salva no sistema de arquivos.
Um certificado auto-assinado gerado automaticamente pelo switch é semelhante a uma chave de host SSH. Ele é armazenado no sistema de arquivos, não como parte da configuração. Ele persiste quando o switch é reinicializado, e é preservado quando um
request system snapshotcomando é emitido.O switch usa o seguinte nome diferenciado para o certificado gerado automaticamente:
" NÚMERO de série CN=<device>, sistema CN=gerado, CN=auto-assinado"
Se você excluir o certificado auto-assinado gerado pelo sistema no switch, o switch gera um certificado autoassinado automaticamente.
Geração manual
Nesse caso, você cria o certificado auto-assinado para o switch. A qualquer momento, você pode usar o CLI para gerar um certificado autoassinado. Certificados autoassinados gerados manualmente são armazenados no sistema de arquivos, não como parte da configuração.
Os certificados autoassinados são válidos por cinco anos a partir do momento em que são gerados. Quando expira a validade de um certificado autoassinado gerado automaticamente, você pode elimine-o do switch para que o switch gere um novo certificado autoassinado.
Certificados autoassinados gerados pelo sistema e certificados autoassinados gerados manualmente podem coexistir no switch.
Gerando certificados autoassinados manualmente em switches (procedimento de CLI)
Os switches da Série EX permitem que você gere certificados personalizados autoassinados e os armazene no sistema de arquivos. O certificado gerado manualmente pode coexistir com o certificado autoassinado gerado automaticamente no switch. Para permitir um acesso seguro ao switch por SSL, você pode usar o certificado autoassinado gerado pelo sistema ou um certificado gerado manualmente.
Para gerar certificados autoassinados manualmente, você deve preencher as seguintes tarefas:
Gerando um par-chave público-privado nos switches
Um certificado digital tem um par de chave criptográfica associado que é usado para assinar o certificado digitalmente. O par de chaves criptográficas é composto por uma chave pública e uma chave privada. Quando você gera um certificado auto-assinado, você deve fornecer um par de chaves público-privada que pode ser usado para assinar o certificado auto-assinado. Portanto, você deve gerar um par de chaves público-privadas antes de poder gerar um certificado autoassinado.
Para gerar um par-chave público-privado:
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
Opcionalmente, você pode especificar o algoritmo de criptografia e o tamanho da chave de criptografia. Se você não especificar o algoritmo de criptografia e o tamanho da chave da criptografia, os valores padrão são usados. O algoritmo de criptografia padrão é RSA, e o tamanho padrão da criptografia é de 1024 bits.
Após a geração do par-chave público-privado, o switch exibe o seguinte:
generated key pair certificate-id-name, key size 1024 bits
Geração de certificados autoassinados em switches
Para gerar o certificado auto-assinado manualmente, inclua o nome de identificação do certificado, o assunto do nome distinto (DN), o nome de domínio, o endereço IP do switch e o endereço de e-mail do titular do certificado:
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
O certificado gerado é armazenado no sistema de arquivos do switch. O certificado de identificação especificado por você ao gerar o certificado é um identificador único que você pode usar para habilitar os serviços HTTPS ou XNM-SSL.
Para verificar se o certificado foi gerado e carregado corretamente, entre no show security pki local-certificate comando operacional.
Exclusão de certificados autoassinados (procedimento de CLI)
Você pode excluir um certificado auto-assinado que é gerado automaticamente ou manualmente a partir do switch da Série EX. Quando você elimina o certificado auto-assinado gerado automaticamente, o switch gera um novo certificado autoassinado e o armazena no sistema de arquivos.
Para excluir o certificado gerado automaticamente e seu par-chave associado do switch:
user@switch> clear security pki local-certificate system-generated
Para excluir um certificado gerado manualmente e seu par-chave associado do switch:
user@switch> clear security pki local-certificate certificate-id certificate-id-name
Para excluir todos os certificados gerados manualmente e seus pares-chave associados do switch:
user@switch> clear security pki local-certificate all
Habilitação de serviços HTTPS e XNM-SSL em switches usando certificados autoassinados (procedimento de CLI)
Você pode usar o certificado autoassinado gerado pelo sistema ou um certificado autoassinado gerado manualmente para permitir o gerenciamento da Web de serviços HTTPS e XNM-SSL.
Para habilitar serviços HTTPS usando o certificado autoassinado gerado automaticamente:
[edit] user@switch# set system services web-management https system-generated-certificate
Para habilitar serviços HTTPS usando um certificado autoassinado gerado manualmente:
[edit] user@switch# set system services web-management https pki-local-certificate certificate-id-name
Nota:O valor do certificate-id-name deve corresponder ao nome especificado quando você gerou o certificado autoassinado manualmente.
Para habilitar serviços XNM-SSL usando um certificado autoassinado gerado manualmente:
[edit] user@switch# set system services xnm-ssl local-certificate certificate-id-name
Nota:O valor do certificate-id-name deve corresponder ao nome especificado quando você gerou o certificado autoassinado manualmente.