基于传输层安全的 NETCONF 会话 （TLS）

NETCONF 比 TLS 的优势

• 使用基于证书的交互身份验证实现设备远程管理

• 与通过 SSH 使用 NETCONF 相比，您能够更轻松地管理规模更大的网络

• 使用公钥基础架构为客户端和服务器提供基于 TLS 证书的交互身份验证

• 保护 NETCONF 消息的连接和交换

• 确保交换消息的数据完整性

基于 TLS 的 NETCONF 概述

您可以在某些 Junos 设备上通过传输层安全 （TLS） 建立网络配置协议 （NETCONF） 会话，以取代通过 SSH 建立 NETCONF 会话。TLS 是一种使用基于证书的交互身份验证的密码协议，可在两台设备之间提供安全可靠的连接。它是安全套接字层 （SSL） 协议的继任者。通过 TLS 建立 NETCONF 会话时，NETCONF 服务器充当 TLS 服务器，而 NETCONF 客户端则充当 TLS 客户端。

基于 TLS 的 NETCONF 会话比使用 SSH 的会话具有一些优势。SSH 使用凭据（用户名和密码）或密钥对客户端进行身份验证，而 TLS 则使用证书对客户端和服务器进行相互验证。证书可以提供有关客户端的更多信息，并且可用于将一台设备安全地验证到另一台设备。因此，虽然通过 SSH 进行的 NETCONF 会话适用于手动管理单个设备，但使用 TLS 的 NETCONF 会话可以实现安全的设备到设备通信，从而更好地管理和自动化大规模网络中的设备。

具有 Junos 设备的 NETCONF-over-TLS 会话具有以下要求：

• 支持 TLS 1.2 版的 NETCONF 客户端

• 服务器和客户端必须具有由证书颁发机构签署的 X.509 公钥证书

• Junos 公钥基础架构 （PKI） 必须加载相应的本地和 CA 证书

• Junos 设备为通过 TLS 的 NETCONF 配置，并为客户端定义默认或特定的证书到 NETCONF 用户名映射

• NETCONF 用户名与有效的 Junos OS 用户帐户对应

TLS 使用 X.509 数字证书进行服务器和客户端身份验证。数字证书是通过受信任的第三方（称为 证书颁发机构 （CA） 来验证您的身份的一种电子手段。证书颁发机构颁发数字证书，该证书可用于通过证书验证在两个端点之间建立安全连接。X.509 标准定义了证书的格式。要在受支持的 Junos 设备上通过 TLS 建立 NETCONF 会话，服务器和客户端都必须具有有效的 X.509 证书，并且证书必须由 CA 签名。自签名证书不能用于通过 TLS 建立 NETCONF 会话。

Junos OS PKI 提供用于数字证书管理的基础架构。要建立 TLS 连接，必须在 Junos OS PKI 中安装以下内容：

• NETCONF 服务器的本地证书及其中间 CA 证书

  注意：

  如果服务器证书链不包含中间 CA，则必须配置根 CA 证书。

• 验证 NETCONF 客户端证书或证书链所需的 NETCONF 客户端根 CA 证书

服务器验证客户端的身份并建立 TLS 连接后，必须先派生该客户端的 NETCONF 用户名，然后才能建立 NETCONF 会话。NETCONF 用户名是 Junos 用户帐户，其访问权限和权限将执行 NETCONF 操作。您可以配置客户端证书到 NETCONF 用户名映射列表，也可以配置默认的 NETCONF 用户名映射。当客户端证书与任何配置的客户端不匹配时，Junos OS 会使用默认映射。如果服务器提取了有效的 NETCONF 用户名，则会建立 NETCONF 会话。有关派生 NETCONF 用户名的更多信息，请参阅 了解 TLS 客户端到 NETCONF 用户名映射。

Junos 进程 tls 代理处理 TLS 连接。它会执行 TLS 握手，对流量进行加密和解密，确定 NETCONF 用户名，以及获取 NETCONF 用户的授权参数。tls 代理进程与管理流程 （mgd） 协同工作，以创建和管理 NETCONF 会话。NETCONF-over-TLS 会话工作流程在 NETCONF-over-TLS 连接工作流程中概述了。

有关基于 TLS 的 NETCONF 的更多信息，请参阅 RFC 7589， 通过传输层安全使用 NETCONF 协议 （TLS） 和交互 X.509 身份验证。

有关传输层安全协议的更多信息，请参阅 RFC 5246， 传输层安全 （TLS） 协议版本 1.2。

了解 TLS 客户端到 NETCONF 的用户名映射

NETCONF-over-TLS 客户端的已身份验证身份为 NETCONF 用户名。Junos 设备在此用户的帐户权限下执行 NETCONF 操作。您可以配置用于为个别客户端派生 NETCONF 用户名的方法，也可以定义一个默认方法，为与配置的客户端不匹配的客户端派生 NETCONF 用户名。

您可以在层次结构级别配置客户端证书与 NETCONF 用户名的 [edit system services netconf tls client-identity] 映射。您可以为每个客户端配置证书指纹和映射类型。如果客户端证书的指纹与配置的指纹匹配，Junos OS 将使用相应的映射类型来派生 NETCONF 用户名。每个客户端只能配置一个指纹，并且每个客户端的指纹必须唯一。例如：

配置的证书指纹使用 RFC 7407（ 用于 SNMP 配置的 YANG 数据模型）中定义的 x509c2n：tls 指纹格式。在这种格式中，第一个八位位组是散列算法标识符，其余八位位组是散列算法的结果。此处显示的散列算法标识符供参考，在 RFC 5246， 传输层安全 （TLS） 协议 1.2 版中定义。

• md5：1

• sha1： 2

• sha224： 3

• sha256： 4

• sha384： 5

• sha512： 6

您还可以在 [edit system services netconf tls default-client-identity] 层次结构级别上为 NETCONF 用户名配置默认映射。如果客户端证书的指纹与任何配置的客户端不匹配，Junos 设备将使用默认映射类型派生 NETCONF 用户名。

Junos 设备支持以下映射类型：

• san-dirname-cn- 使用为客户端证书中为 SubjectAltName （SAN） DirName 字段 （） 定义的通用名称 （DirName:/CNCN） 作为 NETCONF 用户名。

• specified-使用在同一层级的 username 语句中定义的 NETCONF 用户名。

服务器验证客户端身份并建立 TLS 连接后，会派生 NETCONF 用户名。它首先将每个配置的客户端的指纹与所呈现证书的指纹进行匹配。如果有匹配项，则使用相应的映射类型派生 NETCONF 用户名。如果配置的指纹与客户端证书的指纹不匹配，将使用默认映射类型派生 NETCONF 用户名。

服务器确定用户名后，会在本地或远程获取用户的授权。用户名必须在设备上本地定义，或者由轻量级目录访问协议 （LDAP） 服务器进行身份验证，然后服务器将其映射到 Junos 设备上本地定义的用户模板帐户。如果提取的用户名不是有效的本地或远程用户，则 TLS 连接将终止。

NETCONF-over-TLS 连接工作流程

Junos 设备充当 TLS 和 NETCONF 服务器。服务器侦听 TCP 端口 6513 上的传入 NETCONF-over-TLS 连接。NETCONF 客户端（也是 TLS 客户端）会与该端口上的服务器建立连接。

客户端和服务器请执行以下操作，以建立和利用 TLS 的 NETCONF 会话：

1. 客户端发送 TLS ClientHello 消息以发起 TLS 握手。

2. 服务器会发送一条 ServerHello 消息、服务器证书链以及一条证书请求消息，从客户端请求证书。

3. 客户端验证服务器的身份并发送客户端证书链。

4. 服务器使用已在服务器上预配置的客户端根 CA 验证客户端证书链。

5. 服务器为该客户端派生 NETCONF 用户名。

6. 如果 NETCONF 用户名有效，服务器将启动 NETCONF 会话，服务器和客户端交换 NETCONF <hello> 消息。

7. 客户端使用 NETCONF 用户的访问权限和权限执行 NETCONF 操作。

8. 客户端执行 <close-session> 操作以结束 NETCONF 会话，随后关闭 TLS 连接。

在以下情况下，服务器无法通过 TLS 建立 NETCONF 会话：

• 服务器或客户端证书已过期或已自签名。

• 客户端不提供证书。

• 客户端不会发送其中间 CA 证书。

• 服务器上未配置客户端的根 CA 证书。

• 服务器不能将客户端证书映射到已配置或默认的映射类型来派生 NETCONF 用户名。

• 服务器使用 san-dirname-cn 映射类型派生客户端的 NETCONF 用户名，但客户端的证书不会在相应字段中指定用户名。