Autoridade de certificados
Um perfil de autoridade de certificado (CA) define todos os parâmetros associados a um certificado específico para estabelecer uma conexão segura entre dois endpoints. Os perfis especificam quais certificados usar, como verificar o status de revogação do certificado e como esse status restringe o acesso.
Configuração de um grupo de CA confiável
Esta seção descreve o procedimento para criar um grupo de CA confiável para uma lista de perfis de CA e excluir um grupo de CA confiável.
- Criação de um grupo de CA confiável para uma lista de perfis de CA
- Exclusão de um perfil de CA de um grupo de CA confiável
- Exclusão de um grupo de CA confiável
Criação de um grupo de CA confiável para uma lista de perfis de CA
Você pode configurar e atribuir um grupo de CA confiável para autorizar uma entidade. Quando um peer tenta estabelecer uma conexão com um cliente, somente o certificado emitido por esse CA confiável específico dessa entidade é validado. O dispositivo valida se o emissor do certificado e aquele que apresenta o certificado pertence à mesma rede cliente. Se o emissor e o apresentador pertencem à mesma rede cliente, então a conexão será estabelecida. Se não, a conexão não será estabelecida.
Antes de começar, você deve ter uma lista de todos os perfis de CA que deseja adicionar ao grupo de confiança.
Neste exemplo, estamos criando três perfis de CA nomeados, e associando os seguintes identificadores de CA e para os respectivos perfis.orgA-ca-profileorgB-ca-profileorgC-ca-profileca-profile1ca-profile2ca-profile3 Você pode agrupar todos os três perfis de CA para pertencer a um grupo de CA de confiança.orgABC-trusted-ca-group
Você pode configurar um máximo de 20 perfis de CA para um grupo de CA confiável.
Para visualizar os perfis de CA e os grupos de CA confiáveis configurados em seu dispositivo, execute o comando.show security pki
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
ca-profile orgC-ca-profile {
ca-identity ca-profile3;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile orgC-ca-profile ];
}
O comando exibe todos os perfis de CA agrupados sob o .show security pkiorgABC_trusted-ca-group
Exclusão de um perfil de CA de um grupo de CA confiável
Você pode excluir um perfil de CA específico em um grupo de CA confiável ou excluir o próprio grupo de CA confiável.
Por exemplo, se você quiser excluir um perfil de CA nomeado de um grupo de CA confiável, configurado em seu dispositivo conforme mostrado no tópico, execute as seguintes etapas:orgC-ca-profileorgABC-trusted-ca-groupConfiguração de um grupo de CA confiável
Para visualizar o ser excluído do comando, execute o comando.orgC-ca-profileorgABC-trusted-ca-group show security pki
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile ];
}
A saída não exibe o perfil, pois é excluído do grupo de CA confiável.orgC-ca-profile
Exclusão de um grupo de CA confiável
Uma entidade pode oferecer suporte a muitos grupos de CA confiáveis e você pode excluir qualquer grupo de CA confiável para uma entidade.
Por exemplo, se você quiser excluir um grupo de CA confiável nomeado , configurado em seu dispositivo conforme mostrado no tópico, execute as seguintes etapas:orgABC-trusted-ca-groupConfiguração de um grupo de CA confiável
Para ver o ser excluído da entidade, execute o comando.orgABC-trusted-ca-groupshow security pki
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
A saída não exibe a como ela é excluída da entidade.orgABC-trusted-ca-group
Entendendo os perfis da autoridade de certificados
Uma configuração de perfil de autoridade de certificado (CA) contém informações específicas para um CA. Você pode ter vários perfis de CA em um firewall da Série SRX. Por exemplo, você pode ter um perfil para orgA e outro para orgB. Cada perfil está associado a um certificado ca. Se você quiser carregar um novo certificado de CA sem remover o antigo, crie um novo perfil de CA (por exemplo, Microsoft-2008).
Começando pelo Junos OS Release 18.1R1, o servidor CA pode ser um servidor CA IPv6.
O módulo PKI oferece suporte ao formato de endereço IPv6 para permitir o uso de firewalls da Série SRX em redes onde o IPv6 é o único protocolo usado.
A CA emite certificados digitais, o que ajuda a estabelecer uma conexão segura entre dois endpoints por meio da validação do certificado. Você pode agrupar vários perfis de CA em um grupo de CA confiável para uma determinada topologia. Esses certificados são usados para estabelecer uma conexão entre dois endpoints. Para estabelecer IKE ou IPsec, ambos os endpoints devem confiar na mesma CA. Se algum dos endpoints não conseguir validar o certificado usando seu respectivo CA confiável (ca-profile) ou grupo de CA confiável, a conexão não será estabelecida. Um mínimo de um perfil de CA é obrigatório para criar um grupo de CA confiável e no máximo 20 CAs são permitidos em um grupo de CA confiável. Qualquer CA de um determinado grupo pode validar o certificado para esse endpoint específico.
A partir do Junos OS Release 18.1R1, a validação de um peer IKE configurado pode ser feita com um servidor CA ou grupo de servidores CA especificados. Um grupo de servidores CA confiáveis pode ser criado com a declaração de configuração no nível [] hierarquia; um ou vários perfis de CA podem ser especificados.trusted-ca-groupedit security pki O servidor CA confiável está vinculado à configuração de política de IKE para o nível de hierarquia de peer.edit security ike policy policy certificate
Se o perfil de proxy estiver configurado no perfil ca, o dispositivo se conecta ao host proxy em vez do servidor CA enquanto o registro, verificação ou revogação de certificados. O host proxy comunica-se com o servidor CA com as solicitações do dispositivo e, em seguida, transmite a resposta ao dispositivo.
O perfil de proxy ca oferece suporte a protocolos SCEP, CMPv2 e OCSP.
O perfil de proxy ca é suportado apenas em HTTP e não é suportado no protocolo HTTPS.
Consulte também
Exemplo: Configuração de um perfil de CA
Este exemplo mostra como configurar um perfil de CA.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você cria um perfil de CA chamado de identidade CA microsoft-2008.ca-profile-ipsec Em seguida, você cria um perfil de proxy para o perfil ca. A configuração especifica que o CRL seja atualizado a cada 48 horas, e o local para recuperar o CRL é .http://www.my-ca.com No exemplo, você define o valor da nova tentativa de inscrição para 20. (O valor de nova tentativa padrão é de 10.)
A votação automática de certificados é definida a cada 30 minutos. Se você configurar a nova tentativa apenas sem configurar um intervalo de nova tentativa, então o intervalo de nova tentativa padrão será de 900 segundos (ou 15 minutos). Se você não configurar uma nova tentativa ou um intervalo de nova tentativa, então não haverá votação.
Configuração
Procedimento
Procedimento passo a passo
Para configurar um perfil de CA:
Crie um perfil de CA.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 user@host#
Opcionalmente, configure o perfil de proxy para o perfil ca.
[edit] user@host# set security pki ca-profile ca-profile-ipsec proxy-profile px-profile
A infraestrutura de chave pública (PKI) usa o perfil de proxy configurado no nível do sistema. O perfil de proxy usado no perfil ca deve ser configurado na hierarquia.
[edit services proxy]Pode haver mais de um perfil de proxy configurado sob a hierarquia.[edit services proxy]Cada perfil de CA é referido ao perfil mais um desses proxys. Você pode configurar o host e a porta do perfil de proxy na hierarquia.[edit system services proxy]Crie uma verificação de revogação para especificar um método para verificar a revogação do certificado.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
Definir o intervalo de atualização, em horas, para especificar a frequência em que atualizar o CRL. Os valores padrão são o tempo de próxima atualização no CRL, ou 1 semana, se não for especificado um tempo de próxima atualização.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl refresh-interval 48 url http://www.my-ca.com/my-crl.crl
Especifique o valor da nova tentativa de inscrição.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry 20
Especifique o intervalo de tempo em segundos entre as tentativas de inscrever automaticamente o certificado ca on-line.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry-interval 1800
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira o comando.show security pki
Exemplo: Configuração de um endereço IPv6 como endereço fonte para um perfil de CA
Este exemplo mostra como configurar um endereço IPv6 como endereço fonte para um perfil de CA.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Neste exemplo, crie um perfil de CA chamado de identidade CA e defina o endereço fonte do perfil ca para ser um endereço IPv6, como .orgA-ca-profilev6-ca2001:db8:0:f101::1 Você pode configurar a URL de inscrição para aceitar um endereço IPv6.http://[2002:db8:0:f101::1]:/.../
Consulte também
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.