Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Infraestrutura de chaves públicas (PKI)

Este tópico descreve a visão geral da infraestrutura de chave pública e inclui as seguintes seções:

Introdução ao PKI

A infraestrutura de chave pública (PKI) fornece uma maneira de verificar a identidade de um site remoto usando um certificado digital. O PKI usa uma autoridade de certificado (CA) para validar suas informações e as assinar com uma assinatura digital de forma que nem suas informações nem a assinatura possam ser modificadas. Uma vez assinadas, as informações se tornam um certificado digital. Os dispositivos que recebem um certificado digital podem verificar as informações no certificado validando a assinatura usando criptografia de chave pública.

A infraestrutura de chave pública (PKI) oferece uma infraestrutura para o gerenciamento de certificados digitais e consiste em:

  • Autoridade de registro (RA) que verifica as identidades das entidades, autoriza suas solicitações de certificados e gera pares de chave assimétricos exclusivos (a menos que as solicitações de certificado dos usuários já contenham chaves públicas)

  • Autoridade de certificados (CA) que emite certificados digitais correspondentes para as entidades solicitantes.

  • Uma lista de revogação de certificados (CRL) que identifica os certificados que não são mais válidos. Cada entidade que possua a chave pública autentica de uma CA pode verificar os certificados emitidos por essa CA.

Certificado digital

Um certificado digital é um arquivo eletrônico que verifica a identidade do titular do certificado para proteger os dados trocados on-line. Os certificados digitais fornecem uma maneira de autenticar usuários por meio de um terceiro confiável chamado autoridade de certificado (CA). A CA valida a identidade de um titular de certificado e "assina" o certificado para atestar que ele não foi forjado ou alterado. Alternativamente, você pode usar um certificado auto-assinado para atestar sua identidade.

Um par chave é um elemento crítico da implementação de um certificado digital. A chave pública está incluída no certificado digital local e a chave privada é usada para descriptografar dados recebidos de pares.

Os certificados têm uma vida útil finita e são definidos por um horário de início e um fim. O certificado fica inválido quando o tempo de vida expira. Quando o certificado expira, é necessária uma renovação de certificado ou uma nova solicitação de certificado.

Autoridade de certificados

A CA é uma organização de terceiros confiável que cria, inscreve, valida e revoga certificados digitais. A CA garante a identidade do usuário e emite chaves públicas e privadas para criptografia e descriptografia de mensagens (codificação e decodificação). Um CA também gera listas de revogação de certificados (CRLs) que são listas de certificados revogados.

Par de chaves privadas/públicas

Ao configurar um PKI, você deve incluir chaves públicas e privadas que são geradas em pares e vinculadas matematicamente.

Ao solicitar o certificado, você deve incluir a chave pública na solicitação de inscrição do certificado. A chave pública será incluída no certificado concedido e a chave privada é mantida no dispositivo de solicitação. Uma mensagem criptografada com a chave pública pode ser descriptografada usando a chave privada correspondente. O par chave público-privado também é usado para criar assinaturas digitais.

Opções de inscrição de certificados

Você pode solicitar um certificado digital da CA on-line ou manualmente:

  • Inscrição manual de certificados — esse processo inclui a geração de uma solicitação PKCS10, envio à autoridade de certificado (CA), recuperação do certificado assinado e carregamento manual do certificado no dispositivo Junos OS como certificado local.

  • Inscrição em certificados on-line — Você pode usar o Protocolo de Gerenciamento de Certificados versão 2 (CMPv2) ou o Protocolo de Inscrição de Certificados Simples (SCEP) para a inscrição on-line de certificados.

Opções de revogação de certificados

  • Lista de revogação de certificados (ou CRL)— A autoridade do certificado (CA) publica periodicamente uma lista de certificados revogados usando uma lista de revogação de certificados (CRL). O CRL contém a lista de certificados digitais com números de série que foram cancelados antes da data de validade.

  • Online Certificate Status Protocol (OCSP) — O OCSP é usado para verificar o status de revogação dos certificados X509. O OCSP fornece status de revogação dos certificados em tempo real e é útil em situações sensíveis ao tempo, como transações bancárias e negociações de ações

Tipos de solicitação de certificados

A infraestrutura de chaves públicas (PKI) permite que os usuários se autenticam usando certificados digitais emitidos pela CA. O PKI usa X.509, Public Key Cryptography Standards (PKCS) para definir os formatos padrão para certificados e seu uso. No PKI, um candidato usa uma solicitação de assinatura de certificado (CSR) para solicitar um certificado digital a uma autoridade de certificado (CA). A solicitação pode estar em um dos padrões:

  • Padrão de criptografia de chave pública # (PKCS#) (PKCS7, PKCS10, PKCS11, PKCS12)

  • x509 assinaturas.

Assinaturas e verificação de certificados

Um certificado digital é um meio eletrônico para verificar sua identidade por meio de um terceiro confiável, conhecido como autoridade de certificado (CA). Alternativamente, você pode usar um certificado auto-assinado para atestar sua identidade.

O servidor ca que você usa pode ser propriedade e operado por uma CA independente ou por sua própria organização, nesse caso você se torna seu próprio CA. Se você usa um CA independente, deve entrar em contato com eles para os endereços de seus servidores ca e lista de revogação de certificados (CRL) (para obter certificados e CRLs) e para as informações que eles exigem ao enviar solicitações de certificados pessoais. Quando você é seu próprio CA, você mesmo determina essas informações.

A CA que emite um certificado usa um algoritmo de hash para gerar uma digestão e, em seguida, "assina" o certificado criptografando a digestão com sua chave privada. O resultado é uma assinatura digital. A CA então disponibiliza o certificado assinado digitalmente para download para a pessoa que o solicitou. ilustra esse processo.Figura 1

O destinatário do certificado gera outra digestão aplicando o mesmo algoritmo de hash no arquivo do certificado e, em seguida, usa a chave pública da CA para descriptografar a assinatura digital. Comparando a digestão descriptografada com a digestão gerada, o destinatário pode confirmar a integridade da assinatura da CA e, por extensão, a integridade do certificado que acompanha. ilustra esse processo.Figura 1

Um certificado é considerado válido se a assinatura digital puder ser verificada e o número de série do certificado não estiver listado em uma lista de revogação de certificados.

Figura 1: Verificação de assinatura digitalVerificação de assinatura digital

Quando as assinaturas do algoritmo de assinatura digital (DSA) são usadas, o algoritmo de hash SHA-1 é usado para gerar a digestão. Quando as assinaturas de Rivest-Shamir-Adleman (RSA) são usadas, o SHA-1 é o algoritmo de hash padrão usado para gerar a digestão; você pode especificar o algoritmo de hash SHA-256 com a opção dos comandos ou comandos .digestrequest security pki generate-certificate-requestrequest security pki local-certificate generate-self-signed Quando as assinaturas do algoritmo de assinatura digital da curva elíptica (ECDSA) são usadas, o algoritmo de hash SHA-256 é usado para assinaturas da ECDSA-256 e o algoritmo de hash SHA-384 é usado para assinaturas da ECDSA-384.

A partir do Junos OS Release 18.1R3, o algoritmo de hash padrão que é usado para validar certificados PKI autoassinados gerados automaticamente e manualmente é o Secure Hash Algorithm 256 (SHA-256). Antes do Junos OS Release 18.1R3, o SHA-1 é usado como algoritmo de hash padrão.

Validação de certificados

Para verificar a confiabilidade de um certificado, você deve ser capaz de rastrear um caminho de autoridades de certificados (CAs) desde aquele que emite seu certificado local até a autoridade raiz de um domínio ca. A infraestrutura de chave pública (PKI) refere-se à estrutura hierárquica de confiança necessária para a implementação bem-sucedida da criptografia de chave pública.

Figura 2 mostra a estrutura de uma autoridade de certificado de domínio único com vários níveis de hierarquia.

Figura 2: Hierarquia PKI de confiança — domínio caHierarquia PKI de confiança — domínio ca

Se os certificados forem usados apenas dentro de uma organização, essa organização pode ter seu próprio domínio de CA no qual um CA da empresa emite e valida certificados para seus funcionários. Se essa organização mais tarde quiser que seus funcionários troquem seus certificados com certificados de outro domínio da CA (por exemplo, com funcionários de outra organização que tenha seu próprio domínio de CA), os dois CAs podem desenvolver certificações cruzadas concordando em confiar na autoridade um do outro. Neste caso, a estrutura PKI não se estende verticalmente, mas se estende horizontalmente. Veja .Figura 3

Figura 3: Certificação cruzadaCertificação cruzada

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
18.1R3
A partir do Junos OS Release 18.1R3, o algoritmo de hash padrão que é usado para validar certificados PKI autoassinados gerados automaticamente e manualmente é o Secure Hash Algorithm 256 (SHA-256). Antes do Junos OS Release 18.1R3, o SHA-1 é usado como algoritmo de hash padrão.