证书管理概述
通常,用户可以根据用户名和密码访问来自应用程序或系统的资源。您还可以使用证书对各种服务器和用户之间的会话进行身份验证和授权。安全套接字层 (SSL) 连接上基于证书的身份验证是最安全的身份验证类型。证书可以存储在智能卡、USB 令牌或计算机硬盘驱动器上。用户通常会刷卡以登录系统,而不会输入其用户名和密码。
Junos Space 网络管理平台随附了基于密码的默认身份验证模式。管理员可使用默认凭据登录 Junos Space 平台。Junos Space 平台允许您使用基于证书的身份验证以及 Junos Space 网络管理平台版本 15.2R1 以及基于 X.509 参数的身份验证来验证用户。这些认证模式可从管理工作区修改应用程序设置页面上的用户部分进行配置。
默认情况下,Junos Space 平台使用自签名的 SSL 证书。但是,如果您需要使用自己的自定义证书,可以以 X.509 或 PKCS#12 格式上传自定义证书。在完整的证书验证模式下,整个 X.509 证书将在登录过程中进行验证,并且您必须为所有用户上传用户证书。
在基于 X.509 参数的身份验证期间,您可以为每个用户指定在登录过程中验证的最多四个 X.509 证书参数。借助基于 X.509 参数的身份验证,您可以避免将新用户的证书上传到 Junos Space 平台。Junos Space 平台从创建用户时加载的证书中提取现有用户的参数值。您可以在管理工作区修改应用程序设置页面上的 X509-证书-参数部分中定义 X.509 证书参数。
一次仅支持一种身份验证模式,并且所有用户均使用所选身份验证模式进行身份验证。
有关身份验证模式的工作流程、自定义 Junos Space 服务器证书、用户证书、证书授权机构 (CA) 证书、证书撤销列表 (CRL) 以及 Junos Space 平台上的证书到期和无效条件的信息,请参阅以下部分。
身份验证模式 工作流程
为不同身份验证模式建立 SSL 连接的步骤如下:
基于用户名和密码的身份验证:
客户端请求访问 Junos Space 服务器。
Junos Space 服务器向客户端展示其证书。
客户端会验证服务器的证书。
如果证书验证成功,则客户端将其用户名和密码发送至服务器。
服务器将验证客户端的凭据。
如果验证成功,服务器将授予对客户端请求的受保护资源的访问权限。
基于证书的身份验证:
客户端请求访问 Junos Space 服务器。
Junos Space 服务器向客户端展示其证书。
客户端会验证服务器的证书。
如果验证证书成功,则客户端将其证书发送至服务器。
服务器将验证客户端的证书。
如果验证成功,服务器将授予对客户端请求的受保护资源的访问权限。
如果验证不成功,Junos Space 平台将向用户显示登录故障页面。
X509 证书参数基于身份验证:
客户端请求访问 Junos Space 服务器。
Junos Space 服务器向客户端提供 X.509 证书。
客户端会验证服务器的 X.509 证书。
如果验证证书成功,则客户端将其证书发送至服务器。
服务器从客户端的 X.509 证书中提取指定值,并使用 Junos Space 平台数据库中的值验证这些值。
如果验证成功,服务器将授予对客户端请求的受保护资源的访问权限。
如果验证不成功,Junos Space 平台将向用户显示登录故障页面。
使用基于证书的完整参数或基于证书的身份验证时,如果用于登录的智能或安全卡(包含证书和私有密钥)从客户端系统中拔下或移除,会话将终止。
自定义 Junos Space 服务器证书
默认情况下,Junos Space 网络管理平台使用自签名的 SSL 证书。但是,如果您需要使用自己的自定义证书,请转至 管理>平台证书 页面,并在平台证书页面上上传自定义 X.509 或 PKCS#12 证书。
X.509 是定义数字证书的广泛使用标准。通常,在 X.509 中,证书和密钥单独存储。私有密钥可以加密或不加密。虽然通言是可选的,但如果私有密钥加密,则是必需的。
个人信息交换语法标准 (PKCS) #12 格式是 Windows 操作系统中数字证书的广泛使用格式。此标准指定了在一个可加密文件中存储或传输用户私有密钥、证书和密码的便携式格式。
有关上传自定义证书的说明,请参阅 在 Junos Space 服务器上安装自定义 SSL 证书。
证书属性
表 1 列出了您在证书中通常看到的属性。
证书属性 |
描述 |
---|---|
|
“OID.1.2.840.113549.1.9.1”是用于识别此签名算法的 ASN.1 对象标识符。“user1@10.205.57.195”是证书所有者的电子邮件地址。 |
|
证书所有者的通用名称 |
|
证书所有者所属的组织单位名称 例如,瞻博网络签署的 Junos Space 网络管理平台 SSL 证书包含此属性的“ |
|
证书所有者所属的组织 例如,瞻博网络签署的 Junos Space 网络管理平台 SSL 证书包含此属性的“ |
|
证书所有者的位置 例如,瞻博网络签署的 Junos Space 网络管理平台 SSL 证书包含此属性的“ |
|
证书所有者的居住状态 例如,瞻博网络签署的 Junos Space 网络管理平台 SSL 证书包含此属性的“ |
|
证书所有者的居住国 例如,瞻博网络签署的 Junos Space 网络管理平台 SSL 证书包含此属性的“ |
|
“OID.1.2.840.113549.1.9.1”是用于识别此签名算法的 ASN.1 对象标识符。“user1@10.205.57.195”是发行人的电子邮件地址。 |
|
证书发行器的通用名称 它是系统的 IP 地址。通用名称 (CN) 必须与此证书的发行方的主机名匹配。一般来说,它应该是发行器的主机名。 |
|
证书颁发方所属的组织单位名称 例如,瞻博网络签署的 Junos Space 网络管理平台 SSL 证书包含此属性的“ |
|
证书颁发人所属的组织 例如,瞻博网络签署的 Junos Space 网络管理平台 SSL 证书包含此属性的“ |
|
证书发行人的位置 例如,瞻博网络签署的 Junos Space 网络管理平台 SSL 证书包含此属性的“ |
|
证书发行者的居住状态 例如,瞻博网络签署的 Junos Space 网络管理平台 SSL 证书包含此属性的“ |
|
证书颁发人居住国 例如,瞻博网络签署的 Junos Space 网络管理平台 SSL 证书包含此属性的“ |
|
证书授权机构用于签署证书的算法 例如,瞻博网络签署的 Junos Space 网络管理平台 SSL 证书可以包含此属性的“ |
|
证书的序列号 |
|
证书的有效日期 |
|
证书失效的日期 |
用户证书
如果采用基于证书的身份验证模式,则对于每个用户,您需要上传 Junos Space 服务器的相应证书才能对用户进行身份验证。在创建用户或修改用户设置时,您可以将证书与用户相关联。要将证书与现有用户相关联,请转至 基于角色的访问控制>用户帐户> 选择用户>修改用户 页面。
有关上传用户证书的说明,请参阅 上传用户证书。
CA 证书和 CRL
认证授权机构 (CA) 证书或根证书用于验证用户证书。root 证书的私钥用于签署用户证书,然后继承 root 证书的可信性。
由 CA 维护的证书撤销列表 (CRL) 是该 CA 在其计划到期日期之前发出和撤销的证书清单,以及撤销的原因。CA 可能会因各种原因撤销证书,例如证书中指定的用户可能不再有权使用密钥、证书中指定的密钥可能遭到入侵、另一个证书正在更换当前证书等。
有关上传 CA 证书或 CRL 的说明,请参阅 上传 CA 证书和证书撤销列表。
更改用户身份验证模式
您可以根据 Junos Space 用户界面或 VIP 节点的 CLI 将身份验证模式从基于用户名和密码更改为基于证书或 X.509 证书参数。在更改身份验证模式之前,您必须将认证授权机构 (CA) 证书和个人或用户证书(Junos Space 服务器证书是可选证书)上传到 Junos Space 服务器。Junos Space 平台会在所有证书上传之前对它们进行验证。未上传无效或形成不良的证书。
当身份验证模式发生变化时,除当前正在更改认证模式的管理员之外,所有现有用户会话将自动终止,用户被迫注销。从一种身份验证模式切换到另一种身份验证模式时,您无需重新启动 Junos Space 平台。
有关更改身份验证模式的说明,请参阅 更改用户身份验证模式。
证书到期
当 X.509 Junos Space 服务器证书计划自当前日期起的 30 天内到期时,每次管理员登录时,Junos Space 平台都会显示警告消息。例如:Your platform certificate is going to expire on May 24, 2015. Space will automatically use default certificate if your certificate will expire within 1 day. Change platform certificate using "Administration > Platform Certificate" page. Would you like to change it now?
作为管理员,执行以下操作之一:
上传新证书 — 选择 管理>平台证书 ,然后从上传证书区域上传证书。Junos Space 平台删除旧用户证书,并开始使用新上传的证书。
使用默认证书 — 选择 管理>平台证书 并在当前平台证书区域单击 使用默认证书 。
当 X.509 Junos Space 服务器证书计划在一天内到期时,Junos Space 平台将开始使用默认自签名证书。在安装期间创建的自签名 Junos Space 平台 SSL 证书的有效期为五年。
当用户证书计划在从当前日期起的 30 天内到期时,如果用户使用基于认证的身份验证模式登录,Junos Space 平台将显示警告消息。有关更多信息,请参阅 上传用户证书。
无效用户证书
由于以下原因,用户证书可能无效:
证书已过期。
证书将在一天内到期。
证书将在以后才有效。
证书与私有密钥不匹配。
证书或私有密钥文件被损坏。
Junos Space 服务器中也存在相同的证书。
如果用户尝试使用无效或过期的证书登录,Junos Space 平台将显示登录失败页面,其中包含以下错误消息: No user mapped for this certificate
.