PKI no Junos OS

Visão geral dos aplicativos PKI

O Junos OS usa chaves públicas/privadas nas seguintes áreas:

• SSH/SCP (para uma interface segura de linha de comando [administração baseada em CLI])

• Camada secure sockets (SSL) (para administração segura baseada na Web e para webauto baseado em https para autenticação do usuário)

• Internet Key Exchange (IKE) (para túneis de VPN IPsec)

Componentes para administrar PKI no Junos OS

Os seguintes componentes são necessários para a administração do PKI no Junos OS:

• Configuração de certificados e autoridade da CA

• Certificados locais, incluindo a identidade dos dispositivos (exemplo: Tipo e valor de ID IKE) e chaves privadas e públicas

• Validação de certificados por uma lista de revogação de certificados (CRL)

Elementos básicos do PKI no Junos OS

O Junos OS oferece suporte a três tipos específicos de objetos PKI:

• Par de chave privada/pública

• Certificados

  • Certificado local — O certificado local contém as informações de chave pública e identidade para o dispositivo da Juniper Networks. O dispositivo da Juniper Networks possui a chave privada associada. Esse certificado é gerado com base em uma solicitação de certificado do dispositivo da Juniper Networks.

  • Certificado pendente — Um certificado pendente contém um par chave e informações de identidade que são geradas em uma solicitação de certificado PKCS10 e enviadas manualmente a uma autoridade de certificado (CA). Enquanto o dispositivo da Juniper Networks aguarda o certificado do CA, o objeto existente (par-chave e a solicitação do certificado) é marcado como uma solicitação de certificado ou certificado pendente.

    Nota:

    O Junos OS Release 9.0 e posterior oferece suporte ao envio automático de solicitações de certificados pelo SCEP.

  • Certificado ca — Quando o certificado é emitido pelo CA e carregado no dispositivo Junos OS, o certificado pendente é substituído pelo certificado local recém-gerado. Todos os outros certificados carregados no dispositivo são considerados certificados de CA.

• Listas de revogação de certificados (CRLs)

Observe os seguintes pontos sobre certificados:

• Os certificados locais geralmente são usados quando um dispositivo Junos OS tem VPNs em mais de um domínio administrativo.

• Todos os objetos PKI são armazenados em uma partição separada da memória persistente, além da imagem do Junos OS e da configuração geral do sistema.

• Cada objeto PKI tem um nome ou iD de certificado único dado a ele quando é criado e mantém essa ID até sua exclusão. Você pode visualizar o certificado-ID usando o comando.show security pki local-certificate

• Um certificado não pode ser copiado de um dispositivo na maioria das circunstâncias. A chave privada em um dispositivo deve ser gerada apenas nesse dispositivo, e ela nunca deve ser visualizada ou salva desse dispositivo. Assim, os arquivos PKCS12 (que contêm um certificado com a chave pública e a chave privada associada) não são suportados em dispositivos Junos OS.

• Os certificados de CA validam os certificados recebidos pelo peer IKE. Se o certificado for válido, então é verificado no CRL para ver se o certificado foi revogado.

  Cada certificado ca inclui uma configuração de perfil ca que armazena as seguintes informações:

  • Identidade ca, que normalmente é o nome de domínio do CA

  • Endereço de e-mail para o envio diretamente das solicitações de certificados ao CA

  • Configurações de revogação:

    • Opção de ativação/desativação da verificação de revogação

    • Desativação da verificação de revogação em caso de falha no download do CRL.

    • Localização do ponto de distribuição de CRL (CDP) (para configuração manual de URL)

    • Intervalo de atualização do CRL

Gerenciamento e implementação do PKI

Os elementos PKI mínimos necessários para autenticação baseada em certificados no Junos OS são:

• Certificados de CA e configuração de autoridade.

• Certificados locais, incluindo a identidade do dispositivo (exemplo: Tipo e valor de ID IKE) e chaves privadas e públicas

• Validação do certificado por meio de um CRL.

O Junos OS oferece suporte a três tipos diferentes de objetos PKI:

Internet Key Exchange (IKE)

O procedimento para a assinatura digital de mensagens enviadas entre dois participantes em uma sessão de Internet Key Exchange (IKE) é semelhante à verificação de certificado digital, com as seguintes diferenças:

• Em vez de fazer uma digestão do certificado ca, o remetente faz isso a partir dos dados na carga de pacote IP.

• Em vez de usar o par de chave público-privado da CA, os participantes usam o par de chave público-privado do remetente.

Grupo CA confiável

A Autoridade de Certificados (CA) é um terceiro confiável responsável pela emissão e revogação de certificados. Você pode agrupar vários CAs (perfis de CA) em um grupo de CA confiável para uma determinada topologia. Esses certificados são usados para estabelecer conexão entre dois endpoints. Para estabelecer IKE ou IPsec, ambos os endpoints devem confiar na mesma CA. Se algum dos endpoints não conseguir validar o certificado usando seu respectivo CA confiável (ca-profile) ou grupo de CA confiável, a conexão não será estabelecida.

Por exemplo, existem dois endpoints, endpoint A e endpoint B que estão tentando estabelecer uma conexão segura. Quando o endpoint B apresentar seu certificado de endpoint A, o endpoint A verificará se o certificado é válido. O CA do endpoint A verifica o certificado assinado que o endpoint B está usando para obter autorização. Quando ou estiver configurado, o dispositivo usará apenas os perfis de CA adicionados neste ou no perfil de CA configurado para validar o certificado proveniente do endpoint B. Se o certificado for verificado como válido, a conexão será permitida, caso contrário, a conexão será recusada.trusted-catrusted-ca-grouptrusted-ca-grouptrusted-ca

Benefícios:

• Para qualquer solicitação de conexão recebida, somente o certificado emitido por esse CA confiável específico desse endpoint é validado. Se não, a autorização rejeitará estabelecer a conexão.

Visão geral do manuseio de chaves criptográficas

Com o manuseio da chave criptográfica, as chaves persistentes são armazenadas na memória do dispositivo sem qualquer tentativa de alterá-las. Embora o dispositivo de memória interna não esteja diretamente acessível a um potencial adversário, aqueles que exigem uma segunda camada de defesa podem permitir o manuseio especial para chaves criptográficas. Quando habilitada, o manuseio da chave criptográfica criptografa chaves quando não está imediatamente em uso, realiza a detecção de erros ao copiar uma chave de um local de memória para outro e substitui a localização da memória de uma chave com um padrão de bit aleatório quando a chave não está mais em uso. As chaves também são protegidas quando são armazenadas na memória flash do dispositivo. Habilitar o recurso de manuseio de chave criptográfica não causa nenhuma mudança externamente observável no comportamento do dispositivo, e o dispositivo continua a interoperar com os outros dispositivos.

Um administrador criptográfico pode habilitar e desativar as funções de auto-teste criptográficas; no entanto, o administrador de segurança pode modificar o comportamento das funções de auto-teste criptográficas, configurando auto-testes periódicos ou selecionando um subconjunto de auto-testes criptográficos.

As seguintes chaves persistentes estão atualmente sob o gerenciamento do IKE e do PKI:

• Chaves pré-compartilhadas por IKE (PSKs IKE)

• Chaves privadas PKI

• Chaves VPN manuais