Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Certificados digitais autoassinados

Um certificado autoassinado é um certificado assinado pela mesma entidade que a criou e não por uma Autoridade de Certificados (CA). O Junos OS fornece dois métodos para gerar um certificado auto-assinado de geração automática e geração manual.

Entendendo certificados autoassinados

Um certificado autoassinado é um certificado assinado por seu criador e não por uma Autoridade de Certificados (CA).

Certificados autoassinados permitem o uso de serviços baseados em SSL (Secure Sockets Layer) sem exigir que o usuário ou administrador realize a tarefa considerável de obter um certificado de identidade assinado por um CA.

Os certificados autoassinados não fornecem segurança adicional, assim como os gerados pelos CAs. Isso porque um cliente não pode verificar se o servidor ao qual ele ou ela se conectou é o anunciado no certificado.

O Junos OS fornece dois métodos para gerar um certificado autoassinado:

  • Geração automática

    Nesse caso, o criador do certificado é o dispositivo Juniper Networks. Um certificado autoassinado gerado automaticamente é configurado no dispositivo por padrão.

    Depois que o dispositivo é inicializado, ele verifica a presença de um certificado auto-assinado gerado automaticamente. Se ele não encontrar um, o dispositivo gera um e o salva no sistema de arquivos.

  • Geração manual

    Nesse caso, você cria o certificado auto-assinado para o dispositivo.

    A qualquer momento, você pode usar o CLI para gerar um certificado autoassinado. Esses certificados também são usados para ter acesso a serviços SSL.

Os certificados autoassinados são válidos por cinco anos a partir do momento em que foram gerados.

Um certificado autoassinado gerado automaticamente permite o uso de serviços baseados em SSL sem exigir que o administrador obtenha um certificado de identidade assinado por um CA.

Um certificado autoassinado gerado automaticamente pelo dispositivo é semelhante a uma chave de host Secure Shell (SSH). Ele é armazenado no sistema de arquivos, não como parte da configuração. Ele persiste quando o dispositivo é reinicializado, e é preservado quando um request system snapshot comando é emitido.

Um certificado auto-assinado que você gera manualmente permite o uso de serviços baseados em SSL sem exigir que você obtenha um certificado de identidade assinado por um CA. Um certificado autoassinado gerado manualmente é um exemplo de um certificado local de infraestrutura de chave pública (PKI). Como acontece com todos os certificados locais PKI, certificados autoassinados gerados manualmente são armazenados no sistema de arquivos.

Exemplo: Gerando um par de chaves público-privadas

Este exemplo mostra como gerar um par de chaves público-privadas.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Neste exemplo, você gera um par de chaves público-privado chamado ca-ipsec.

Configuração

Procedimento

Procedimento passo a passo

Para gerar um par-chave público-privado:

  • Crie um par chave de certificado.

Verificação

Após a geração do par-chave público-privado, o dispositivo da Juniper Networks exibe o seguinte:

Exemplo: Gerando certificados autoassinados manualmente

Este exemplo mostra como gerar certificados autoassinados manualmente.

Requisitos

Antes de começar, gere um par de chaves públicos privados. Consulte certificados digitais.

Visão geral

Para um certificado autoassinado gerado manualmente, você especifica o DN quando o cria. Para um certificado autoassinado gerado automaticamente, o sistema fornece a DN, identificando-se como o criador.

Neste exemplo, você gera um certificado autoassinado com o endereço de e-mail como mholmes@example.net. Você especifica um certificado-id de self-cert ser mencionado pelo gerenciamento web, que se refere a um exemplo: Gerando um par-chave público-privado do mesmo certificado-id.

Configuração

Procedimento

Procedimento passo a passo

Para gerar o certificado autoassinado manualmente:

  1. Crie o certificado auto-assinado.

Verificação

Para verificar se o certificado foi devidamente gerado e carregado, entre no comando do show security pki local-certificate modo operacional.

Usando certificados autoassinados gerados automaticamente (procedimento de CLI)

Após a inicialização do dispositivo, ele verifica a presença de um certificado autoassinado. Se um certificado auto-assinado não estiver presente, o dispositivo gera automaticamente um.

Você pode adicionar a seguinte declaração à sua configuração se quiser usar o certificado autoassinado gerado automaticamente para fornecer acesso a serviços HTTPS:

O dispositivo usa o seguinte nome diferenciado para o certificado gerado automaticamente:

Use o seguinte comando para especificar que o certificado auto-assinado gerado automaticamente deve ser usado para serviços HTTPS de gerenciamento da Web:

Use o seguinte comando operacional para excluir o certificado auto-assinado gerado automaticamente:

Depois de excluir o certificado auto-assinado gerado pelo sistema, o dispositivo gera automaticamente um novo e o salva no sistema de arquivos.