Autenticação IKE (autenticação baseada em certificado)
Hierarquia multinível para autenticação de certificado
A autenticação baseada em certificado é um método de autenticação suportado nos firewalls da Série SRX durante a negociação de IKE. Em grandes redes, várias autoridades de certificação (CAs) podem emitir certificados de entidade final (EE) para seus respectivos dispositivos finais. É comum ter CAs separadas para locais, departamentos ou organizações individuais.
Quando uma hierarquia de nível único para autenticação baseada em certificado é empregada, todos os certificados EE na rede devem ser assinados pela mesma CA. Todos os dispositivos de firewall devem ter o mesmo certificado de CA registrado para validação de certificado de mesmo nível. A carga do certificado enviada durante a negociação do IKE contém apenas certificados EE.
Como alternativa, a carga do certificado enviada durante a negociação do IKE pode conter uma cadeia de certificados EE e CA. Uma cadeia de certificados é a lista de certificados necessários para validar o certificado EE de um peer. A cadeia de certificados inclui o certificado EE e todos os certificados de CA que não estão presentes no par local.
O administrador de rede precisa garantir que todos os pares que participam de uma negociação de IKE tenham pelo menos uma CA confiável comum em suas respectivas cadeias de certificados. A CA confiável comum não precisa ser a CA raiz. O número de certificados na cadeia, incluindo certificados para EEs e a CA mais alta da cadeia, não pode exceder 10.
A validação de um peer IKE configurado pode ser feita com um servidor de CA especificado ou grupo de servidores de CA. Com cadeias de certificados, a CA raiz deve corresponder ao grupo de CA confiável ou servidor de CA configurado na política de IKE.
Na hierarquia de CA de exemplo mostrada na Figura 1, a CA raiz é a CA confiável comum para todos os dispositivos na rede. A CA raiz emite certificados de CA para as CAs de engenharia e vendas, que são identificadas como Eng-CA e Sales-CA, respectivamente. A Eng-CA emite certificados de CA para as CAs de desenvolvimento e garantia de qualidade, que são identificadas como Dev-CA e Qa-CA, respectivamente. O Host-A recebe seu certificado EE do Dev-CA, enquanto o Host-B recebe seu certificado EE do Sales-CA.
baseada em certificado
Cada dispositivo final precisa ser carregado com os certificados de CA em sua hierarquia. O host-A deve ter certificados Root-CA, Eng-CA e Dev-CA; Os certificados Sales-CA e Qa-CA não são necessários. O Host-B deve ter certificados Root-CA e Sales-CA. Os certificados podem ser carregados manualmente em um dispositivo ou registrados usando o Processo de Registro de Certificado Simples (SCEP).
Cada dispositivo final deve ser configurado com um perfil de CA para cada CA na cadeia de certificados. A saída a seguir mostra os perfis de CA configurados no Host-A:
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url “www.example.net/scep/Eng/”;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url “www.example.net/scep/Dev/”;
}
}
}
A saída a seguir mostra os perfis de CA configurados no Host-B:
admin@host-B# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Sales-CA {
ca-identity Sales-CA;
enrollment {
url “www.example.net/scep/Sales/”;
}
}
}
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.