证书管理概述
通常,用户根据其用户名和密码从应用程序或系统访问资源。您还可以使用证书对各种服务器和用户之间的会话进行身份验证和授权。通过安全套接字层 (SSL) 连接进行的基于证书的身份验证是最安全的身份验证类型。证书可以存储在智能卡、USB 令牌或计算机的硬盘驱动器上。用户通常刷智能卡以登录到系统,而无需输入其用户名和密码。
Junos Space 网络管理平台附带默认的基于密码的身份验证模式。管理员可以使用默认凭据登录到 Junos Space 平台。Junos Space 平台允许您使用基于证书的身份验证,从 Junos Space 网络管理平台版本 15.2R1 开始,还可以使用基于 X.509 参数的身份验证来对用户进行身份验证。可以从“管理”工作区中“修改应用程序设置”页上的“用户”部分配置这些身份验证模式。
默认情况下,Junos Space Platform 使用自签名 SSL 证书。但是,如果您需要使用自己的自定义证书,则可以上传 X.509 或 PKCS#12 格式的自定义证书。使用完整的证书验证模式,将在登录过程中验证整个 X.509 证书,您必须为所有用户上载用户证书。
在基于 X.509 参数的身份验证期间,您最多可以为每个用户指定四个在登录过程中验证的 X.509 证书参数。使用基于 X.509 参数的身份验证,可以避免将新用户的证书上传到 Junos Space 平台。Junos Space 平台从创建用户时加载的证书中提取现有用户的参数值。可以在“管理”工作区中“修改应用程序设置”页上的“X509 证书参数”部分中定义 X.509 证书参数。
一次仅支持一种身份验证模式,并且所有用户都使用所选的身份验证模式进行身份验证。
有关 Junos Space 平台上身份验证模式、自定义 Junos Space 服务器证书、用户证书、证书颁发机构 (CA) 证书、证书吊销列表 (CRL) 以及证书到期和无效条件的工作流程的信息,请参阅以下部分。
身份验证模式工作流
为不同的身份验证模式建立 SSL 连接的步骤如下:
基于用户名和密码的身份验证:
客户端请求访问 Junos Space 服务器。
Junos Space 服务器向客户端提供其证书。
客户端验证服务器的证书。
如果证书验证成功,则客户端将其用户名和密码发送到服务器。
服务器验证客户端的凭据。
如果验证成功,则服务器将授予对客户端请求的受保护资源的访问权限。
基于证书的身份验证:
客户端请求访问 Junos Space 服务器。
Junos Space 服务器向客户端提供其证书。
客户端验证服务器的证书。
如果证书验证成功,则客户端将其证书发送到服务器。
服务器验证客户端的证书。
如果验证成功,则服务器将授予对客户端请求的受保护资源的访问权限。
如果验证不成功,Junos Space 平台将向用户显示登录失败页面。
基于 X509 证书参数的身份验证:
客户端请求访问 Junos Space 服务器。
Junos Space 服务器向客户端提供其 X.509 证书。
客户端验证服务器的 X.509 证书。
如果证书验证成功,则客户端将其证书发送到服务器。
服务器从客户端的 X.509 证书中提取指定的值,并使用 Junos Space 平台数据库中的值验证这些值。
如果验证成功,则服务器将授予对客户端请求的受保护资源的访问权限。
如果验证不成功,Junos Space 平台将向用户显示登录失败页面。
使用完全基于证书或基于证书参数的身份验证时,如果用于登录的智能卡或安全卡(包含证书和私钥)被拔出或从客户端系统中移除,会话将终止。
自定义 Junos Space 服务器证书
默认情况下,Junos Space 网络管理平台使用自签名 SSL 证书。但是,如果您需要使用自己的自定义证书,请转到 “管理>平台证书 ”页面,然后在“平台证书”页面上上传自定义 X.509 或 PKCS#12 证书。
X.509 是定义数字证书的广泛使用的标准。通常,在 X.509 中,证书和密钥是分开存储的。私钥可以是加密的,也可以是未加密的。尽管密码是可选的,但如果私钥已加密,则密码是必需的。
个人信息交换语法标准 (PKCS) #12 格式是 Windows 操作系统中广泛使用的数字证书格式。该标准指定了一种可移植格式,用于在一个可加密文件中存储或传输用户的私钥、证书和密码短语。
有关上传自定义证书的说明,请参阅 在 Junos Space 服务器上安装自定义 SSL 证书。
证书属性
表 1 列出了证书中常见的属性。
证书属性 |
描述 |
---|---|
|
“OID.1.2.840.113549.1.9.1”是用于标识此签名算法的 ASN.1 对象标识符。“user1@10.205.57.195”是证书所有者的电子邮件地址。 |
|
证书所有者的公用名 |
|
证书所有者所属单位部门的名称 例如,由瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “ |
|
证书所有者所属的组织 例如,由瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “ |
|
证书所有者的位置 例如,由瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “ |
|
证书所有者的居住州 例如,由瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “ |
|
证书所有者的居住国家/地区 例如,由瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “ |
|
“OID.1.2.840.113549.1.9.1”是用于标识此签名算法的 ASN.1 对象标识符。“user1@10.205.57.195”是颁发者的电子邮件地址。 |
|
证书颁发者的公用名 它是系统的 IP 地址。公用名 (CN) 必须与此证书颁发者的主机名匹配。通常,它应该是颁发者的主机名。 |
|
证书颁发者所属的组织单位的名称 例如,由瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “ |
|
证书颁发者所属的组织 例如,由瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “ |
|
证书颁发者的位置 例如,由瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “ |
|
证书颁发者的居住州 例如,由瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “ |
|
证书颁发者的居住国 例如,由瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “ |
|
证书颁发机构用于签署证书的算法 例如,由瞻博网络签名的 Junos Space 网络管理平台 SSL 证书可以包含此属性的 “ |
|
证书的序列号 |
|
证书生效日期 |
|
证书失效的日期 |
用户证书
如果使用基于证书的身份验证模式,则需要为每个用户上传相应的证书,以便 Junos Space 服务器对用户进行身份验证。您可以在创建用户时或通过修改用户设置将证书与用户关联。若要将证书与现有用户关联,请转到“ 基于角色的访问控制”>“用户帐户”>“选择用户”> “修改用户”页。
有关上传用户证书的说明,请参阅 上传用户证书。
CA 证书和 CRL
证书颁发机构 (CA) 证书或根证书用于验证用户证书。根证书的私钥用于签署用户证书,然后继承根证书的可信度。
证书吊销列表 (CRL) 由 CA 维护,是该 CA 在其计划的到期日期之前颁发和吊销的证书的列表,以及吊销原因。CA 可能出于各种原因吊销证书,例如证书中指定的用户可能不再有权使用该密钥、证书中指定的密钥可能已泄露、另一个证书正在替换当前证书等。
有关上传 CA 证书或 CRL 的说明,请参阅 上传 CA 证书和证书吊销列表。
更改用户身份验证模式
您可以从 Junos Space 用户界面或 VIP 节点的 CLI 将身份验证模式从基于用户名和密码更改为基于证书或基于 X.509 证书参数。在更改身份验证模式之前,必须将证书颁发机构 (CA) 证书和个人证书或用户证书(Junos Space 服务器证书可选)上载到 Junos Space 服务器。Junos Space Platform 会在上传所有证书之前对其进行验证。不会上载无效或格式不正确的证书。
更改身份验证模式时,将自动终止所有现有用户会话(更改身份验证模式的当前管理员的会话除外),并强制用户注销。从一种身份验证模式切换到另一种身份验证模式时,无需重新启动 Junos Space 平台。
有关更改身份验证模式的说明,请参阅 更改用户身份验证模式。
证书到期
如果 X.509 Junos Space 服务器证书计划在当前日期起的 30 天内过期,则每次管理员登录时,Junos Space 平台都会显示一条警告消息。例如:Your platform certificate is going to expire on May 24, 2015. Space will automatically use default certificate if your certificate will expire within 1 day. Change platform certificate using "Administration > Platform Certificate" page. Would you like to change it now?
以管理员身份执行以下操作之一:
上传新证书 - 选择 管理>平台证书 ,然后从上传证书区域上传证书。Junos Space Platform 会删除旧用户证书,然后开始使用新上传的证书。
使用默认证书 - 选择 管理>平台证书 ,然后单击当前平台证书区域中 的使用默认证书 。
当 X.509 Junos Space 服务器证书计划在一天后过期时,Junos Space 平台将使用默认的自签名证书。在安装过程中创建的自签名 Junos Space 平台 SSL 证书的有效期为 5 年。
如果用户证书计划在自当前日期起 30 天内过期,则如果用户已使用基于证书的身份验证模式登录,Junos Space Platform 将显示一条警告消息。更多信息,请参考 上传用户证书。
无效的用户证书
由于以下原因,用户证书可能变得无效:
证书已过期。
证书将在一天内过期。
证书仅在以后有效。
证书与私钥不匹配。
证书或私钥文件已损坏。
Junos Space 服务器中存在相同的证书。
如果用户尝试使用无效或过期的证书登录,Junos Space Platform 将显示登录失败页面,并显示以下错误消息: No user mapped for this certificate
。