Nesta página
Acesso seguro à Web para gerenciamento remoto
Você pode gerenciar um dispositivo da Juniper Networks remotamente por meio da interface J-Web. Para permitir acesso seguro à Web, os dispositivos da Juniper Networks oferecem suporte a HTTP sobre Secure Sockets Layer (HTTPS). Você pode habilitar o acesso HTTP ou HTTPS em interfaces e portas específicas no dispositivo conforme necessário. Leia este tópico para obter informações.
Visão geral segura do acesso web
Você pode gerenciar um dispositivo da Juniper Networks remotamente por meio da interface J-Web. Para se comunicar com o dispositivo, a interface J-Web usa o Hypertext Transfer Protocol (HTTP). O HTTP permite acesso fácil à Web, mas sem criptografia. Os dados transmitidos entre o navegador da Web e o dispositivo por meio de HTTP são vulneráveis a interceptações e ataques. Para permitir acesso seguro à Web, os dispositivos da Juniper Networks oferecem suporte a HTTP sobre Secure Sockets Layer (HTTPS). Você pode habilitar o acesso HTTP ou HTTPS em interfaces e portas específicas, conforme necessário.
O dispositivo da Juniper Networks usa o protocolo Secure Sockets Layer (SSL) para fornecer gerenciamento seguro de dispositivos por meio da interface Web. A SSL usa uma tecnologia de chave público-privada que requer uma chave privada pareada e um certificado de autenticação para fornecer o serviço SSL. A SSL criptografa a comunicação entre seu dispositivo e o navegador da Web com uma chave de sessão negociada pelo certificado de servidor SSL.
Um certificado SSL inclui a identificação de informações como uma chave pública e uma assinatura feita por uma autoridade de certificado (CA). Ao acessar o dispositivo pelo HTTPS, um SSL autentica o servidor e o cliente e inicia uma sessão segura. Se as informações não corresponderem ou o certificado expirar, você não poderá acessar o dispositivo por meio de HTTPS.
Sem criptografia SSL, a comunicação entre seu dispositivo e o navegador é enviada ao ar livre e pode ser interceptada. Recomendamos que você habilite o acesso HTTPS em suas interfaces WAN.
O acesso HTTP é habilitado por padrão nas interfaces de gerenciamento integradas. Por padrão, o acesso HTTPS é suportado em qualquer interface com um certificado de servidor SSL.
Consulte também
Gerando certificados SSL para acesso seguro à Web (firewalls da Série SRX)
Para gerar um certificado SSL usando o comando:openssl
Gerando certificados SSL a serem usados para acesso seguro à Web (switch da Série EX)
Você pode configurar acesso seguro à Web para um switch da Série EX. Para permitir acesso seguro à Web, você deve gerar um certificado de Camada de Sockets Seguro (SSL) digital e, em seguida, habilitar o acesso HTTPS no switch.
Para gerar um certificado SSL:
Você pode usar a página de configuração J-Web para instalar o certificado SSL no switch. Para fazer isso, copie o arquivo que contém o certificado do sistema BSD ou Linux para o switch. Em seguida, abra o arquivo, copie seu conteúdo e cole-os na caixa de certificados na página de configuração de acesso seguro J-Web.
Você também pode usar a seguinte declaração de CLI para instalar o certificado SSL no switch:
[edit] user@switch# set security certificates local my-signed-cert load-key-file my-certificate.pem
Para obter mais informações sobre a instalação de certificados, veja Exemplo: Configuração do acesso seguro à Web.
Consulte também
Gerando automaticamente um certificado SSL auto-assinado
Para gerar um certificado SSL auto-assinado em dispositivos da Juniper Networks:
Geração manual de certificados SSL auto-assinados
Para gerar manualmente um certificado SSL auto-assinado em dispositivos da Juniper Networks:
Exclusão de certificados autoassinados (procedimento CLI)
Você pode excluir um certificado auto-assinado que é gerado automaticamente ou manualmente a partir do switch da Série EX. Ao excluir o certificado autoassinado gerado automaticamente, o switch gera um novo certificado autoassinado e o armazena no sistema de arquivos.
Para excluir o certificado gerado automaticamente e seu par-chave associado do switch:
user@switch> clear security pki local-certificate system-generated
Para excluir um certificado gerado manualmente e seu par-chave associado do switch:
user@switch> clear security pki local-certificate certificate-id certificate-id-name
Para excluir todos os certificados gerados manualmente e seus pares-chave associados do switch:
user@switch> clear security pki local-certificate all
Entendendo certificados auto-assinados em switches da Série EX
Quando você inicia um switch de ethernet da Série EX da Juniper Networks com a configuração padrão de fábrica, o switch gera um certificado auto-assinado, permitindo acesso seguro ao switch através do protocolo Secure Sockets Layer (SSL). O protocolo de transferência de hipertexto sobre a camada de sockets seguros (HTTPS) e o gerenciamento de rede XML sobre a camada secure sockets (XNM-SSL) são os dois serviços que podem fazer uso dos certificados auto-assinados.
Os certificados auto-assinados não fornecem segurança adicional, assim como os gerados pelas Autoridades de Certificados (CAs). Isso ocorre porque um cliente não pode verificar se o servidor ao qual ele ou ela se conectou é o anunciado no certificado.
Os switches fornecem dois métodos para gerar um certificado autoassinado:
Geração automática
Neste caso, o criador do certificado é o switch. Um certificado autoassinado gerado automaticamente (também chamado de "gerado pelo sistema") é configurado no switch por padrão.
Após a inicialização do switch, ele verifica a presença de um certificado autoassinado gerado automaticamente. Se não encontrar um, o switch gera um e o salva no sistema de arquivos.
Um certificado auto-assinado que é gerado automaticamente pelo switch é semelhante a uma chave de host SSH. Ele é armazenado no sistema de arquivos, não como parte da configuração. Ele persiste quando o switch é reiniciado, e é preservado quando um comando é emitido.
request system snapshot
O switch usa o seguinte nome distinto para o certificado gerado automaticamente:
“ CN=<device serial number>, CN=system generated, CN=self-signed”
Se você excluir o certificado auto-assinado gerado pelo sistema no switch, o switch gera automaticamente um certificado autoassinado.
Geração manual
Neste caso, você cria o certificado auto-assinado para o switch. A qualquer momento, você pode usar a CLI para gerar um certificado autoassinado. Os certificados auto-assinados gerados manualmente são armazenados no sistema de arquivos, não como parte da configuração.
Os certificados auto-assinados são válidos por cinco anos a partir do momento em que são gerados. Quando expira a validade de um certificado auto-assinado gerado automaticamente, você pode deletá-lo do switch para que o switch gere um novo certificado autoassinado.
Certificados autoassinados gerados pelo sistema e certificados autoassinados gerados manualmente podem coexistir no switch.
Geração manual de certificados autoassinados em switches (procedimento CLI)
Os switches da Série EX permitem que você gere certificados autoassinados personalizados e os armazene no sistema de arquivos. O certificado gerado manualmente pode coexistir com o certificado autoassinado gerado automaticamente no switch. Para permitir um acesso seguro ao switch por SSL, você pode usar o certificado autoassinado gerado pelo sistema ou um certificado gerado manualmente.
Para gerar certificados autoassinar manualmente, você deve realizar as seguintes tarefas:
Gerando um par de chaves público-privado em switches
Um certificado digital tem um par de chave criptográfica associado que é usado para assinar o certificado digitalmente. O par de chaves criptográficas compreende uma chave pública e uma chave privada. Ao gerar um certificado autoassinado, você deve fornecer um par de chaves público-privado que pode ser usado para assinar o certificado autoassinado. Portanto, você deve gerar um par de chaves público-privado antes de poder gerar um certificado autoassinado.
Para gerar um par de chaves público-privado:
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
Opcionalmente, você pode especificar o algoritmo de criptografia e o tamanho da chave de criptografia. Se você não especificar o algoritmo de criptografia e o tamanho da chave da criptografia, os valores padrão são usados. O algoritmo de criptografia padrão é RSA, e o tamanho padrão da chave de criptografia é de 1024 bits.
Após a geração do par chave público-privado, o switch exibe o seguinte:
generated key pair certificate-id-name, key size 1024 bits
Gerando certificados autoassinados em switches
Para gerar o certificado auto-assinado manualmente, inclua o nome de ID do certificado, o assunto do nome distinto (DN), o nome de domínio, o endereço IP do switch e o endereço de e-mail do titular do certificado:
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
O certificado gerado por você está armazenado no sistema de arquivos do switch. A ID do certificado que você especificou ao gerar o certificado é um identificador exclusivo que você pode usar para habilitar os serviços HTTPS ou XNM-SSL.
Para verificar se o certificado foi gerado e carregado corretamente, entre no comando operacional.show security pki local-certificate
Exemplo: Configuração do acesso seguro à Web
Este exemplo mostra como configurar o acesso seguro à Web em seu dispositivo.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Você pode habilitar o acesso HTTPS em interfaces especificadas. Se você habilitar o HTTPS sem especificar uma interface, o HTTPS será habilitado em todas as interfaces.
Visão geral
Neste exemplo, você importa o certificado SSL que você gerou como uma chave nova e privada no formato PEM. Em seguida, você habilita o acesso HTTPS e especifica o certificado SSL a ser usado para autenticação. Por fim, você especifica a porta como 8443 em que o acesso HTTPS deve ser habilitado.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de hierarquia e, em seguida, entrar no modo de configuração.[edit]
commit
set security certificates local new load-key-file /var/tmp/new.pem set system services web-management https local-certificate new port 8443
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.Use o editor de CLI no modo de configuraçãohttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar o acesso seguro à Web em seu dispositivo:
Importe o certificado SSL e a chave privada.
[edit security] user@host# set certificates local new load-key-file /var/tmp/new.pem
Habilite o acesso HTTPS e especifique o certificado e a porta SSL.
[edit system] user@host# set services web-management https local-certificate new port 8443
Resultados
A partir do modo de configuração, confirme sua configuração entrando no comando.show security
Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security certificates { local { new { "-----BEGIN RSA PRIVATE KEY-----\nMIICXQIBAAKBgQC/C5UI4frNqbi qPwbTiOkJvqoDw2YgYse0Z5zzVJyErgSg954T\nEuHM67Ck8hAOrCnb0YO+SY Y5rCXLf4+2s8k9EypLtYRw/Ts66DZoXI4viqE7HSsK\n5sQw/UDBIw7/MJ+OpA ... KYiFf4CbBBbjlMQJ0HFudW6ISVBslONkzX+FT\ni95ddka6iIRnArEb4VFCRh+ e1QBdp1UjziYf7NuzDx4Z\n -----END RSA PRIVATE KEY-----\n-----BEGIN CERTIFICATE----- \nMIIDjDCCAvWgAwIBAgIBADANBgkqhkiG9w0BAQQ ... FADCBkTELMAkGA1UEBhMCdXMx\nCzAJBgNVBAgTAmNhMRIwEAYDVQQHEwlzdW5ue HB1YnMxDTALBgNVBAMTBGpucHIxJDAiBgkqhkiG\n9w0BCQEWFW5iaGFyZ2F2YUB fLUYAnBYmsYWOH\n -----END CERTIFICATE-----\n"; ## SECRET-DATA } } }
Se você terminar de configurar o dispositivo, entre no modo de configuração.commit
Verificação
Confirme se a configuração está funcionando corretamente.
Verificando a configuração de um certificado SSL
Propósito
Verifique a configuração do certificado SSL.
Ação
A partir do modo operacional, entre no comando.show security
Verificando uma configuração de acesso seguro
Propósito
Verifique a configuração de acesso seguro.
Ação
A partir do modo operacional, entre no comando.show system services
A saída de amostra a seguir exibe os valores de amostra para acesso seguro à Web:
[edit] user@host# show system services web-management { http; https { port 8443; local-certificate new; } }