Certificados digitais auto-assinados
Um certificado autografado é um certificado assinado pela mesma entidade que a criou e não por uma Autoridade de Certificado (CA). O Junos OS fornece dois métodos para gerar um certificado auto-assinado de geração automática e geração manual.
Entender certificados auto-assinados
Um certificado auto-assinado é um certificado assinado por seu criador e não por uma Autoridade de Certificados (CA).
Certificados auto-assinados permitem o uso de serviços baseados em SSL (Secure Sockets Layer) sem exigir que o usuário ou administrador realize a tarefa considerável de obter um certificado de identidade assinado por um CA.
Os certificados auto-assinados não fornecem segurança adicional, assim como os gerados pelos CAs. Isso ocorre porque um cliente não pode verificar se o servidor ao qual ele ou ela se conectou é o anunciado no certificado.
O Junos OS fornece dois métodos para gerar um certificado auto-assinado:
Geração automática
Nesse caso, o criador do certificado é o dispositivo Juniper Networks. Um certificado auto-assinado gerado automaticamente é configurado no dispositivo por padrão.
Após a inicialização do dispositivo, ele verifica a presença de um certificado auto-assinado gerado automaticamente. Se ele não encontrar um, o dispositivo gera um e o salva no sistema de arquivos.
Geração manual
Nesse caso, você cria o certificado auto-assinado para o dispositivo.
A qualquer momento, você pode usar a CLI para gerar um certificado auto-assinado. Esses certificados também são usados para ter acesso a serviços SSL.
Os certificados auto-assinados são válidos por cinco anos a partir do momento em que foram gerados.
Um certificado autografado gerado automaticamente permite o uso de serviços baseados em SSL sem exigir que o administrador obtenha uma certidão de identidade assinada por um CA.
Um certificado auto-assinado que é gerado automaticamente pelo dispositivo é semelhante a uma chave de host Secure Shell (SSH). Ele é armazenado no sistema de arquivos, não como parte da configuração. Ele persiste quando o dispositivo é reiniciado e é preservado quando um request system snapshot comando é emitido.
Um certificado auto-assinado que você gera manualmente permite o uso de serviços baseados em SSL sem exigir que você obtenha um certificado de identidade assinado por um CA. Um certificado autoassinado gerado manualmente é um exemplo de um certificado local de infraestrutura de chave pública (PKI). Como acontece com todos os certificados locais PKI, certificados autoassinados gerados manualmente são armazenados no sistema de arquivos.
Consulte também
Example: Gerando um par de chaves público-privada
Este exemplo mostra como gerar um par de chaves público-privada.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você gera um par de chaves público-privado chamado ca-ipsec.
Configuração
Procedimento
Procedimento passo a passo
Para gerar um par de chaves público-privado:
Crie um par de chaves de certificado.
user@host> request security pki generate-key-pair certificate-id ca-ipsec
Verificação
Após a geração do par-chave público-privado, o dispositivo da Juniper Networks exibe o seguinte:
generated key pair ca-ipsec, key size 1024 bits
Example: Gerando certificados auto-assinados manualmente
Este exemplo mostra como gerar certificados autoassinados manualmente.
Requisitos
Antes de começar, gere um par de chaves privadas públicas. Veja certificados digitais.
Visão geral
Para um certificado auto-assinado gerado manualmente, você especifica o DN quando o cria. Para um certificado auto-assinado gerado automaticamente, o sistema fornece a DN, identificando-se como o criador.
Neste exemplo, você gera um certificado auto-assinado com o endereço de e-mail como mholmes@example.net. Você especifica um certificado-id de self-cert ser mencionado pelo gerenciamento web, que se refere a um exemplo: Gerando um par de chaves público-privadas com o mesmo certificado de identificação.
Configuração
Procedimento
Procedimento passo a passo
Para gerar o certificado auto-assinado manualmente:
Crie o certificado auto-assinado.
user@host> request security pki local-certificate generate-self-signed certificate-id self-cert subject CN=abc domain-name example.net ip-address 1.2.3.4 email mholmes@example.net
Verificação
Para verificar se o certificado foi devidamente gerado e carregado, entre no comando do show security pki local-certificate modo operacional.
Usando certificados auto-assinados gerados automaticamente (procedimento de CLI)
Após a inicialização do dispositivo, ele verifica a presença de um certificado auto-assinado. Se um certificado auto-assinado não estiver presente, o dispositivo gera automaticamente um.
Você pode adicionar a seguinte declaração à sua configuração se quiser usar o certificado auto-assinado gerado automaticamente para fornecer acesso aos serviços HTTPS:
system {
services {
web-management {
http {
interface [ ... ];
} https {
system-generated-certificate;
interface [ ... ];
}
}
}
}
O dispositivo usa o seguinte nome distinto para o certificado gerado automaticamente:
“ CN=<device serial number>, CN=system generated, CN=self-signed”
Use o comando a seguir para especificar que o certificado auto-assinado gerado automaticamente deve ser usado para serviços HTTPS de gerenciamento da Web:
user@host# set system services web-management https system-generated-certificate
Use o seguinte comando operacional para excluir o certificado auto-assinado gerado automaticamente:
user@host# clear security pki local-certificate system-generated
Depois de excluir o certificado auto-assinado gerado pelo sistema, o dispositivo gera automaticamente um novo e o salva no sistema de arquivos.