Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Acesso seguro à Web para gerenciamento remoto

Você pode gerenciar um dispositivo da Juniper Networks remotamente por meio da interface J-Web. Para permitir acesso seguro à Web, os dispositivos da Juniper Networks oferecem suporte a HTTP sobre Secure Sockets Layer (HTTPS). Você pode habilitar o acesso HTTP ou HTTPS em interfaces e portas específicas no dispositivo conforme necessário. Leia este tópico para obter informações.

Visão geral segura do acesso web

Você pode gerenciar um dispositivo da Juniper Networks remotamente por meio da interface J-Web. Para se comunicar com o dispositivo, a interface J-Web usa o Hypertext Transfer Protocol (HTTP). O HTTP permite acesso fácil à Web, mas sem criptografia. Os dados transmitidos entre o navegador da Web e o dispositivo por meio de HTTP são vulneráveis a interceptações e ataques. Para permitir acesso seguro à Web, os dispositivos da Juniper Networks oferecem suporte a HTTP sobre Secure Sockets Layer (HTTPS). Você pode habilitar o acesso HTTP ou HTTPS em interfaces e portas específicas, conforme necessário.

O dispositivo da Juniper Networks usa o protocolo Secure Sockets Layer (SSL) para fornecer gerenciamento seguro de dispositivos por meio da interface Web. A SSL usa uma tecnologia de chave público-privada que requer uma chave privada pareada e um certificado de autenticação para fornecer o serviço SSL. A SSL criptografa a comunicação entre seu dispositivo e o navegador da Web com uma chave de sessão negociada pelo certificado de servidor SSL.

Um certificado SSL inclui a identificação de informações como uma chave pública e uma assinatura feita por uma autoridade de certificado (CA). Ao acessar o dispositivo pelo HTTPS, um SSL autentica o servidor e o cliente e inicia uma sessão segura. Se as informações não corresponderem ou o certificado expirar, você não poderá acessar o dispositivo por meio de HTTPS.

Sem criptografia SSL, a comunicação entre seu dispositivo e o navegador é enviada ao ar livre e pode ser interceptada. Recomendamos que você habilite o acesso HTTPS em suas interfaces WAN.

O acesso HTTP é habilitado por padrão nas interfaces de gerenciamento integradas. Por padrão, o acesso HTTPS é suportado em qualquer interface com um certificado de servidor SSL.

Consulte também

Gerando certificados SSL para acesso seguro à Web (firewalls da Série SRX)

Para gerar um certificado SSL usando o comando:openssl

  1. Insira-se na CLI.openssl O comando gera um certificado SSL auto-assinado no formato de e-mail aprimorado para privacidade (PEM).openssl Ele escreve o certificado e uma chave privada RSA de 1024 bits não criptografada para o arquivo especificado.
    Nota:

    Execute esse comando em um dispositivo LINUX ou UNIX porque os gateways de serviços da Juniper Networks não suportam o comando.openssl

    Substitua pelo nome de um arquivo no qual você deseja que o certificado SSL seja escrito, por exemplo .filenamenew.pem

  2. Quando solicitado, digite as informações apropriadas no formulário de identificação. Por exemplo, digite o nome do país.US
  3. Exibir o conteúdo do arquivo .new.pem

    cat new.pem

    Copie o conteúdo deste arquivo para instalar o certificado SSL.

Gerando certificados SSL a serem usados para acesso seguro à Web (switch da Série EX)

Você pode configurar acesso seguro à Web para um switch da Série EX. Para permitir acesso seguro à Web, você deve gerar um certificado de Camada de Sockets Seguro (SSL) digital e, em seguida, habilitar o acesso HTTPS no switch.

Para gerar um certificado SSL:

  1. Insira o comando a seguir em sua interface de linha de comando SSH em um sistema BSD ou Linux no qual está instalado.opensslopenssl O comando gera um certificado SSL auto-assinado no formato de e-mail aprimorado para privacidade (PEM).openssl Ele escreve o certificado e uma chave privada RSA de 1024 bits não criptografada para o arquivo especificado.

    % openssl req –x509 –nodes –newkey rsa:1024 –keyout filename.pem -out filename.pem

    onde está o nome de um arquivo no qual você deseja que o certificado SSL seja escrito, por exemplo .filenamemy-certificate

  2. Quando solicitado, digite as informações apropriadas no formulário de identificação. Por exemplo, digite o nome do país.US
  3. Exibir o conteúdo do arquivo que você criou.

    cat my-certificate.pem

Você pode usar a página de configuração J-Web para instalar o certificado SSL no switch. Para fazer isso, copie o arquivo que contém o certificado do sistema BSD ou Linux para o switch. Em seguida, abra o arquivo, copie seu conteúdo e cole-os na caixa de certificados na página de configuração de acesso seguro J-Web.

Você também pode usar a seguinte declaração de CLI para instalar o certificado SSL no switch:

Para obter mais informações sobre a instalação de certificados, veja Exemplo: Configuração do acesso seguro à Web.

Consulte também

Gerando automaticamente um certificado SSL auto-assinado

Para gerar um certificado SSL auto-assinado em dispositivos da Juniper Networks:

  1. Estabeleça conectividade básica.
  2. Reinicialize o sistema. O certificado auto-assinado é gerado automaticamente na hora do inicialização.
  3. Especifique sob o gerenciamento da Web de HTTPS.system-generated-certificate

Geração manual de certificados SSL auto-assinados

Para gerar manualmente um certificado SSL auto-assinado em dispositivos da Juniper Networks:

  1. Estabeleça conectividade básica.
  2. Se você tiver acesso de login raiz, você pode gerar manualmente o certificado autoassinado usando os seguintes comandos:
    Nota:

    Ao gerar o certificado, você deve especificar o assunto, endereço de e-mail e nome de domínio ou endereço ip.

  3. Para verificar se o certificado foi gerado e carregado corretamente, entre no comando operacional e especifique sob o gerenciamento da Web de HTTPS.show security pki local-certificate local-certificate

Exclusão de certificados autoassinados (procedimento CLI)

Você pode excluir um certificado auto-assinado que é gerado automaticamente ou manualmente a partir do switch da Série EX. Ao excluir o certificado autoassinado gerado automaticamente, o switch gera um novo certificado autoassinado e o armazena no sistema de arquivos.

  • Para excluir o certificado gerado automaticamente e seu par-chave associado do switch:

  • Para excluir um certificado gerado manualmente e seu par-chave associado do switch:

  • Para excluir todos os certificados gerados manualmente e seus pares-chave associados do switch:

Entendendo certificados auto-assinados em switches da Série EX

Quando você inicia um switch de ethernet da Série EX da Juniper Networks com a configuração padrão de fábrica, o switch gera um certificado auto-assinado, permitindo acesso seguro ao switch através do protocolo Secure Sockets Layer (SSL). O protocolo de transferência de hipertexto sobre a camada de sockets seguros (HTTPS) e o gerenciamento de rede XML sobre a camada secure sockets (XNM-SSL) são os dois serviços que podem fazer uso dos certificados auto-assinados.

Nota:

Os certificados auto-assinados não fornecem segurança adicional, assim como os gerados pelas Autoridades de Certificados (CAs). Isso ocorre porque um cliente não pode verificar se o servidor ao qual ele ou ela se conectou é o anunciado no certificado.

Os switches fornecem dois métodos para gerar um certificado autoassinado:

  • Geração automática

    Neste caso, o criador do certificado é o switch. Um certificado autoassinado gerado automaticamente (também chamado de "gerado pelo sistema") é configurado no switch por padrão.

    Após a inicialização do switch, ele verifica a presença de um certificado autoassinado gerado automaticamente. Se não encontrar um, o switch gera um e o salva no sistema de arquivos.

    Um certificado auto-assinado que é gerado automaticamente pelo switch é semelhante a uma chave de host SSH. Ele é armazenado no sistema de arquivos, não como parte da configuração. Ele persiste quando o switch é reiniciado, e é preservado quando um comando é emitido.request system snapshot

    O switch usa o seguinte nome distinto para o certificado gerado automaticamente:

    “ CN=<device serial number>, CN=system generated, CN=self-signed”

    Se você excluir o certificado auto-assinado gerado pelo sistema no switch, o switch gera automaticamente um certificado autoassinado.

  • Geração manual

    Neste caso, você cria o certificado auto-assinado para o switch. A qualquer momento, você pode usar a CLI para gerar um certificado autoassinado. Os certificados auto-assinados gerados manualmente são armazenados no sistema de arquivos, não como parte da configuração.

Os certificados auto-assinados são válidos por cinco anos a partir do momento em que são gerados. Quando expira a validade de um certificado auto-assinado gerado automaticamente, você pode deletá-lo do switch para que o switch gere um novo certificado autoassinado.

Certificados autoassinados gerados pelo sistema e certificados autoassinados gerados manualmente podem coexistir no switch.

Geração manual de certificados autoassinados em switches (procedimento CLI)

Os switches da Série EX permitem que você gere certificados autoassinados personalizados e os armazene no sistema de arquivos. O certificado gerado manualmente pode coexistir com o certificado autoassinado gerado automaticamente no switch. Para permitir um acesso seguro ao switch por SSL, você pode usar o certificado autoassinado gerado pelo sistema ou um certificado gerado manualmente.

Para gerar certificados autoassinar manualmente, você deve realizar as seguintes tarefas:

Gerando um par de chaves público-privado em switches

Um certificado digital tem um par de chave criptográfica associado que é usado para assinar o certificado digitalmente. O par de chaves criptográficas compreende uma chave pública e uma chave privada. Ao gerar um certificado autoassinado, você deve fornecer um par de chaves público-privado que pode ser usado para assinar o certificado autoassinado. Portanto, você deve gerar um par de chaves público-privado antes de poder gerar um certificado autoassinado.

Para gerar um par de chaves público-privado:

Nota:

Opcionalmente, você pode especificar o algoritmo de criptografia e o tamanho da chave de criptografia. Se você não especificar o algoritmo de criptografia e o tamanho da chave da criptografia, os valores padrão são usados. O algoritmo de criptografia padrão é RSA, e o tamanho padrão da chave de criptografia é de 1024 bits.

Após a geração do par chave público-privado, o switch exibe o seguinte:

Gerando certificados autoassinados em switches

Para gerar o certificado auto-assinado manualmente, inclua o nome de ID do certificado, o assunto do nome distinto (DN), o nome de domínio, o endereço IP do switch e o endereço de e-mail do titular do certificado:

O certificado gerado por você está armazenado no sistema de arquivos do switch. A ID do certificado que você especificou ao gerar o certificado é um identificador exclusivo que você pode usar para habilitar os serviços HTTPS ou XNM-SSL.

Para verificar se o certificado foi gerado e carregado corretamente, entre no comando operacional.show security pki local-certificate

Consulte também

Exemplo: Configuração do acesso seguro à Web

Este exemplo mostra como configurar o acesso seguro à Web em seu dispositivo.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Nota:

Você pode habilitar o acesso HTTPS em interfaces especificadas. Se você habilitar o HTTPS sem especificar uma interface, o HTTPS será habilitado em todas as interfaces.

Visão geral

Neste exemplo, você importa o certificado SSL que você gerou como uma chave nova e privada no formato PEM. Em seguida, você habilita o acesso HTTPS e especifica o certificado SSL a ser usado para autenticação. Por fim, você especifica a porta como 8443 em que o acesso HTTPS deve ser habilitado.

Topologia

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de hierarquia e, em seguida, entrar no modo de configuração.[edit]commit

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.Use o editor de CLI no modo de configuraçãohttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

Para configurar o acesso seguro à Web em seu dispositivo:

  1. Importe o certificado SSL e a chave privada.

  2. Habilite o acesso HTTPS e especifique o certificado e a porta SSL.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no comando.show security Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no modo de configuração.commit

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando a configuração de um certificado SSL

Propósito

Verifique a configuração do certificado SSL.

Ação

A partir do modo operacional, entre no comando.show security

Verificando uma configuração de acesso seguro

Propósito

Verifique a configuração de acesso seguro.

Ação

A partir do modo operacional, entre no comando.show system services A saída de amostra a seguir exibe os valores de amostra para acesso seguro à Web:

Tópicos relacionados