Autenticação IKE (autenticação baseada em certificado)
Hierarquia multinível para autenticação de certificados
A autenticação baseada em certificados é um método de autenticação suportado em firewalls da Série SRX durante a negociação do IKE. Em redes de grande porte, várias autoridades de certificado (CAs) podem emitir certificados de entidade final (EE) para seus respectivos dispositivos finais. É comum ter CAs separados para locais, departamentos ou organizações individuais.
Quando uma hierarquia de nível único para autenticação baseada em certificados é empregada, todos os certificados EE da rede devem ser assinados pelo mesmo CA. Todos os dispositivos de firewall devem ter o mesmo certificado ca inscrito para validação de certificados de peer. A carga de pagamento do certificado enviada durante a negociação do IKE contém apenas certificados EE.
Como alternativa, a carga de pagamento do certificado enviada durante a negociação do IKE pode conter uma cadeia de certificados EE e CA. Uma cadeia de certificados é a lista de certificados necessários para validar o certificado EE de um peer. A cadeia de certificados inclui o certificado EE e quaisquer certificados de CA que não estejam presentes no peer local.
O administrador de rede precisa garantir que todos os colegas participantes de uma negociação de IKE tenham pelo menos uma CA confiável comum em suas respectivas cadeias de certificados. O CA confiável comum não precisa ser o CA raiz. O número de certificados da cadeia, incluindo certificados para EEs e o CA mais alto da cadeia, não pode exceder 10.
A partir do Junos OS Release 18.1R1, a validação de um peer IKE configurado pode ser feita com um servidor CA ou grupo de servidores CA especificados. Com cadeias de certificados, o CA raiz deve combinar com o grupo ca confiável ou servidor CA configurado na política de IKE
No exemplo da hierarquia de CA mostrada na Figura 1, o Root-CA é o CA confiável comum para todos os dispositivos da rede. A Root-CA emite certificados de CA para os CAs de engenharia e vendas, identificados como Eng-CA e Sales-CA, respectivamente. A Eng-CA emite certificados de CA para os CAs de desenvolvimento e garantia de qualidade, identificados como Dev-CA e Qa-CA, respectivamente. O Host-A recebe seu certificado EE da Dev-CA, enquanto o Host-B recebe seu certificado EE da Sales-CA.
Cada dispositivo final precisa ser carregado com os certificados ca em sua hierarquia. O Host-A deve ter certificados Root-CA, Eng-CA e Dev-CA; Os certificados de Vendas-CA e Qa-CA não são necessários. O Host-B deve ter certificados Root-CA e Sales-CA. Os certificados podem ser carregados manualmente em um dispositivo ou inscritos usando o Processo de Inscrição de Certificados Simples (SCEP).
Cada dispositivo final deve ser configurado com um perfil ca para cada CA na cadeia de certificados. A saída a seguir mostra os perfis de CA configurados no Host-A:
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url “www.example.net/scep/Eng/”;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url “www.example.net/scep/Dev/”;
}
}
}
A saída a seguir mostra os perfis de CA configurados no Host-B:
admin@host-B# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Sales-CA {
ca-identity Sales-CA;
enrollment {
url “www.example.net/scep/Sales/”;
}
}
}