Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Infraestrutura de chave pública (PKI)

Este tópico descreve a visão geral da infraestrutura de chave pública e inclui as seguintes seções:

Introdução ao PKI

A infraestrutura de chave pública (PKI) fornece uma maneira de verificar a identidade de um site remoto usando um certificado digital. O PKI usa uma autoridade de certificado (CA) para validar suas informações e assiná-la com uma assinatura digital de forma que nem suas informações nem a assinatura possam ser modificadas. Uma vez assinadas, as informações se tornam um certificado digital. Os dispositivos que recebem um certificado digital podem verificar as informações no certificado validando a assinatura usando criptografia de chave pública.

A infraestrutura de chave pública (PKI) oferece uma infraestrutura para o gerenciamento de certificados digitais e consiste em:

  • Autoridade de registro (RA) que verifica as identidades das entidades, autoriza suas solicitações de certificado e gera pares de chave assimétricos exclusivos (a menos que as solicitações de certificado dos usuários já contenham chaves públicas)

  • Autoridade de Certificados (CA) que emite certificados digitais correspondentes para as entidades solicitantes.

  • Uma lista de revogação de certificados (CRL) que identifica os certificados que não são mais válidos. Cada entidade que possua a chave pública autêntica de uma CA pode verificar os certificados emitidos por essa CA.

Certificado digital

Um certificado digital é um arquivo eletrônico que verifica a identidade do titular do certificado para proteger os dados trocados online. Os certificados digitais fornecem uma maneira de autenticar usuários por meio de um terceiro confiável chamado autoridade de certificado (CA). A CA valida a identidade de um titular de certificado e "assina" o certificado para atestá-lo que não foi forjado ou alterado. Alternativamente, você pode usar um certificado auto-assinado para atesta sua identidade.

Um par-chave é um elemento crítico de uma implementação de certificado digital. A chave pública está incluída no certificado digital local e a chave privada é usada para descriptografar dados recebidos de seus pares.

Os certificados têm uma vida útil finita e são definidos por um tempo de partida e um tempo de término. O certificado fica inválido quando o tempo de vida expira. Quando o certificado expira, é necessária uma renovação de certificado ou uma nova solicitação de certificado.

Autoridade de certificados

A CA é uma organização de terceiros confiável que cria, inscreve, valida e revoga certificados digitais. O CA garante a identidade do usuário e emite chaves públicas e privadas para criptografia e descriptografia de mensagens (codificação e decodificação). Uma CA também gera listas de revogação de certificados (CRLs) que são listas de certificados revogados.

Par de chaves privadas/públicas

Ao configurar um PKI, você deve incluir chaves públicas e privadas que são geradas em pares e vinculadas matematicamente.

Ao solicitar o certificado, você deve incluir a chave pública na solicitação de inscrição do certificado. A chave pública será incluída no certificado concedido e a chave privada será mantida no dispositivo de solicitação. Uma mensagem criptografada com a chave pública pode ser descriptografada usando a chave privada correspondente. O par de chaves público-privado também é usado para criar assinaturas digitais.

Opções de inscrição de certificados

Você pode solicitar um certificado digital ca on-line ou manualmente:

  • Inscrição manual de certificado — este processo inclui a geração de uma solicitação PKCS10, envio à autoridade de certificado (CA), recuperação do certificado assinado e carregamento manual do certificado no dispositivo Junos OS como certificado local.

  • Inscrição de certificado on-line — você pode usar o Protocolo de Gerenciamento de Certificados versão 2 (CMPv2) ou o Protocolo de Inscrição de Certificados Simples (SCEP) para a inscrição de certificados on-line.

Opções de revogação de certificados

  • Lista de revogação de certificados (ou CRL)— A Autoridade de Certificados (CA) publica periodicamente uma lista de certificados revogados usando uma lista de revogação de certificados (CRL). O CRL contém a lista de certificados digitais com números de série que foram cancelados antes da data de expiração.

  • Protocolo de status de certificado on-line (OCSP)— O OCSP é usado para verificar o status de revogação dos certificados X509. O OCSP fornece status de revogação em certificados em tempo real e é útil em situações sensíveis ao tempo, como transações bancárias e negociações de ações

Tipos de solicitação de certificado

A infraestrutura de chave pública (PKI) permite que os usuários se autenticam usando certificados digitais emitidos pela CA. O PKI usa X.509, Public Key Cryptography Standards (PKCS) para definir os formatos padrão para certificados e seu uso. No PKI, um candidato usa uma solicitação de assinatura de certificado (CSR) para solicitar um certificado digital a uma autoridade de certificado (CA). A solicitação pode estar em um dos padrões:

  • Padrão de criptografia de chave pública # (PKCS#) (PKCS7, PKCS10, PKCS11, PKCS12)

  • x509-signaturere.

Assinaturas de certificados e verificação

Um certificado digital é um meio eletrônico para verificar sua identidade por meio de um terceiro confiável, conhecido como autoridade de certificado (CA). Alternativamente, você pode usar um certificado auto-assinado para atesta sua identidade.

O servidor CA que você usa pode ser propriedade e operado por uma CA independente ou por sua própria organização, nesse caso você se torna seu próprio CA. Se você usar um CA independente, você deve entrar em contato com eles para os endereços de seus servidores ca e lista de revogação de certificados (CRL) (para obter certificados e CRLs) e para as informações que eles exigem ao enviar solicitações de certificados pessoais. Quando você é seu próprio CA, você mesmo determina essas informações.

A CA que emite um certificado usa um algoritmo de hash para gerar uma digestão e, em seguida, "assina" o certificado criptografando a digestão com sua chave privada. O resultado é uma assinatura digital. A CA então disponibiliza o certificado assinado digitalmente para download para a pessoa que o solicitou. Figura 1 ilustra esse processo.

O destinatário do certificado gera outra digestão aplicando o mesmo algoritmo de hash ao arquivo de certificado e, em seguida, usa a chave pública da CA para descriptografar a assinatura digital. Comparando a digestão descriptografada com a digestão gerada, o destinatário pode confirmar a integridade da assinatura da CA e, por extensão, a integridade do certificado de acompanhamento. Figura 1 ilustra esse processo.

Um certificado é considerado válido se a assinatura digital puder ser verificada e o número de série do certificado não estiver listado em uma lista de revogação de certificados.

Figura 1: Verificação de assinatura digital Verificação de assinatura digital

Quando as assinaturas do algoritmo de assinatura digital (DSA) são usadas, o algoritmo de hash SHA-1 é usado para gerar a digestão. Quando as assinaturas de Rivest-Shamir-Adleman (RSA) são usadas, o SHA-1 é o algoritmo de hash padrão usado para gerar a digestão; você pode especificar o algoritmo de hash SHA-256 com a opção digest dos request security pki generate-certificate-request comandos ou request security pki local-certificate generate-self-signed comandos. Quando as assinaturas do algoritmo de assinatura digital da Curva Elíptica (ECDSA) são usadas, o algoritmo de hash SHA-256 é usado para assinaturas da ECDSA-256 e o algoritmo de hash SHA-384 é usado para assinaturas da ECDSA-384.

A partir do Junos OS Release 18.1R3, o algoritmo de hash padrão que é usado para validar certificados PKI autoassinados gerados automaticamente e manualmente é o Secure Hash Algorithm 256 (SHA-256). Antes do Junos OS Release 18.1R3, o SHA-1 é usado como algoritmo de hash padrão.

Validação de certificados

Para verificar a confiabilidade de um certificado, você deve ser capaz de rastrear um caminho de autoridades certificados de certificados (CAs) desde aquele que emite seu certificado local até a autoridade raiz de um domínio ca. A infraestrutura de chave pública (PKI) refere-se à estrutura hierárquica de confiança necessária para a implementação bem-sucedida da criptografia de chave pública.

Figura 2 mostra a estrutura de uma autoridade de certificado de domínio único com vários níveis de hierarquia.

Figura 2: Hierarquia de confiança PKI — domínio da CAHierarquia de confiança PKI — domínio da CA

Se os certificados forem usados exclusivamente dentro de uma organização, essa organização pode ter seu próprio domínio de CA no qual um CA da empresa emite e valida certificados para seus funcionários. Se essa organização mais tarde quiser que seus funcionários troquem seus certificados por certificados de outro domínio da CA (por exemplo, com funcionários de outra organização que tem seu próprio domínio de CA), os dois CAs podem desenvolver certificação cruzada, concordando em confiar na autoridade um do outro. Nesse caso, a estrutura PKI não se estende verticalmente, mas se estende horizontalmente. Veja Figura 3.

Figura 3: Certificação cruzadaCertificação cruzada
Tabela de histórico de liberação
Versão
Descrição
18.1R3
A partir do Junos OS Release 18.1R3, o algoritmo de hash padrão que é usado para validar certificados PKI autoassinados gerados automaticamente e manualmente é o Secure Hash Algorithm 256 (SHA-256). Antes do Junos OS Release 18.1R3, o SHA-1 é usado como algoritmo de hash padrão.