Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PKI no Junos OS

SUMMARY Este tópico descreve os elementos básicos da infraestrutura de chave pública (PKI) no Junos OS.

Uma infraestrutura de chave pública (PKI) oferece suporte à distribuição e identificação de chaves de criptografia pública, permitindo que os usuários troquem dados com segurança por redes como a Internet e verifiquem a identidade da outra parte.

Introdução ao PKI no Junos OS

Visão geral dos aplicativos PKI

O Junos OS usa chaves públicas/privadas nas seguintes áreas:

  • SSH/SCP (para uma interface segura de linha de comando [administração baseada em CLI])

  • Secure Sockets Layer (SSL) (para uma administração segura baseada na Web e para o webauth baseado em https para autenticação de usuários)

  • Internet Key Exchange (IKE) (para túneis IPsec VPN)

Nota:

Observe os seguintes pontos:

  • Atualmente, o Junos OS oferece suporte apenas a certificados IKE (usando infraestrutura de chave pública (PKI) para validação de chave pública.

  • O SSH e o SCP são usados exclusivamente para a administração do sistema e depende do uso de impressões digitais fora da banda para vinculação e validação de identidade de chave pública. Os detalhes sobre SSH não são abordados neste tópico.

Componentes para administrar PKI no Junos OS

Os seguintes componentes são necessários para a administração do PKI no Junos OS:

  • Configuração de certificados de CA e autoridade

  • Certificados locais, incluindo a identidade dos dispositivos (exemplo: Tipo e valor ID IKE) e chaves privadas e públicas

  • Validação de certificados por meio de uma lista de revogação de certificados (CRL)

Elementos básicos do PKI no Junos OS

O Junos OS oferece suporte a três tipos específicos de objetos PKI:

  • Par de chave privada/pública

  • Certificados

    • Certificado local — o certificado local contém as informações de chave pública e identidade do dispositivo Juniper Networks. O dispositivo da Juniper Networks possui a chave privada associada. Este certificado é gerado com base em uma solicitação de certificado do dispositivo Juniper Networks.

    • Certificado pendente — um certificado pendente contém um par chave e informações de identidade que são geradas em uma solicitação de certificado PKCS10 e enviadas manualmente a uma autoridade de certificado (CA). Enquanto o dispositivo da Juniper Networks aguarda o certificado do CA, o objeto existente (par-chave e a solicitação do certificado) é marcado como uma solicitação de certificado ou certificado pendente.

      Nota:

      O Junos OS Release 9.0 e posterior oferece suporte ao envio automático de solicitações de certificados por meio do SCEP.

    • Certificado ca — Quando o certificado é emitido pelo CA e carregado no dispositivo Junos OS, o certificado pendente é substituído pelo certificado local recém-gerado. Todos os outros certificados carregados no dispositivo são considerados certificados CA.

  • Listas de revogação de certificados (CRLs)

Observe os seguintes pontos sobre certificados:

  • Os certificados locais geralmente são usados quando um dispositivo Junos OS tem VPNs em mais de um domínio administrativo.

  • Todos os objetos PKI são armazenados em uma partição separada de memória persistente, além da imagem do Junos OS e da configuração geral do sistema.

  • Cada objeto PKI tem um nome ou certificado-ID único dado a ele quando é criado e mantém esse ID até sua exclusão. Você pode visualizar o certificado-ID usando o show security pki local-certificate comando.

  • Um certificado não pode ser copiado de um dispositivo na maioria das circunstâncias. A chave privada em um dispositivo deve ser gerada apenas nesse dispositivo, e ela nunca deve ser vista ou salva desse dispositivo. Assim, os arquivos PKCS12 (que contêm um certificado com a chave pública e a chave privada associada) não são suportados em dispositivos Junos OS.

  • Os certificados ca validam os certificados recebidos pelo peer IKE. Se o certificado for válido, é verificado no CRL para ver se o certificado foi revogado.

    Cada certificado ca inclui uma configuração de perfil ca que armazena as seguintes informações:

    • Identidade ca, que normalmente é o nome de domínio do CA

    • Endereço de e-mail para o envio das solicitações de certificado diretamente ao CA

    • Configurações de revogação:

      • Opção de ativação/desativação de verificação de revogação

      • Desativação da verificação de revogação em caso de falha no download do CRL.

      • Localização do ponto de distribuição de CRL (CDP) (para configuração manual de URL)

      • Intervalo de atualização de CRL

Componentes PKI no Junos OS

Este tópico inclui as seguintes seções:

Gerenciamento e implementação de PKI

Os elementos PKI mínimos necessários para a autenticação baseada em certificados no Junos OS são:

  • Configuração de certificados de CA e autoridade.

  • Certificados locais, incluindo a identidade do dispositivo (exemplo: Tipo e valor ID IKE) e chaves privadas e públicas

  • Validação de certificados por meio de CRL.

O Junos OS oferece suporte a três tipos diferentes de objetos PKI:

Internet Key Exchange (IKE)

O procedimento para assinatura digital de mensagens enviadas entre dois participantes em uma sessão de Internet Key Exchange (IKE) é semelhante à verificação de certificado digital, com as seguintes diferenças:

  • Em vez de digerir o certificado ca, o remetente faz isso a partir dos dados na carga de pacotes IP.

  • Em vez de usar o par de chaves público-privadas da CA, os participantes usam o par de chaves público-privada do remetente.

Grupo CA confiável

Uma Autoridade de Certificados (CA) é um terceiro confiável responsável pela emissão e revogação de certificados. Você pode agrupar vários CAs (perfis ca) em um grupo de CA confiável para uma determinada topologia. Esses certificados são usados para estabelecer conexão entre dois endpoints. Para estabelecer IKE ou IPsec, ambos os endpoints precisam confiar no mesmo CA. Se algum dos endpoints não conseguir validar o certificado usando seu respectivo CA confiável (ca-profile) ou um grupo de CA confiável, a conexão não estiver estabelecida.

Por exemplo, existem dois endpoints, endpoint A e endpoint B tentando estabelecer uma conexão segura. Quando o endpoint B apresenta seu certificado para endpoint A, o endpoint A verificará se o certificado é válido. O CA do endpoint A verifica o certificado assinado que o endpoint B está usando para obter autorização. Quando trusted-ca ou trusted-ca-group configurado, o dispositivo só usará os perfis de CA adicionados neste trusted-ca-group ou no perfil ca configurado trusted-ca para validar o certificado vindo do endpoint B. Se o certificado for verificado como válido, a conexão será permitida, caso contrário, a conexão será rejeitada.

Benefícios:

  • Para qualquer solicitação de conexão recebida, apenas o certificado emitido por esse CA confiável em particular desse endpoint é validado. Se não, a autorização rejeitará o estabelecimento da conexão.

Visão geral do tratamento de chaves criptográficas

Com o tratamento de chaves criptográficas, as chaves persistentes são armazenadas na memória do dispositivo sem qualquer tentativa de alterá-las. Embora o dispositivo de memória interna não seja diretamente acessível a um potencial adversário, aqueles que precisam de uma segunda camada de defesa podem habilitar o tratamento especial para chaves criptográficas. Quando habilitada, o tratamento de chaves criptográficas criptografa chaves quando não está imediatamente em uso, realiza a detecção de erros ao copiar uma chave de um local de memória para outro e substitui a localização da memória de uma chave com um padrão de bit aleatório quando a chave não está mais em uso. As chaves também são protegidas quando armazenadas na memória flash do dispositivo. Habilitar o recurso de tratamento de chave criptográfica não causa nenhuma mudança no comportamento do dispositivo externamente observável, e o dispositivo continua a interoperar com os outros dispositivos.

Um administrador criptográfico pode habilitar e desativar as funções de auto-teste criptográficas; no entanto, o administrador de segurança pode modificar o comportamento das funções de auto-teste criptográficos, configurando auto-testes periódicos ou selecionando um subconjunto de auto-testes criptográficos.

As seguintes chaves persistentes estão atualmente sob o gerenciamento de IKE e PKI:

  • Chaves pré-compartilhadas IKE (PSKs IKE)

  • Chaves privadas PKI

  • Chaves VPN manuais