Junos OS 中的 PKI

PKI 应用概述

Junos OS 在以下领域使用公钥和私钥：

• SSH 和 SCP，实现基于 CLI 的安全管理

• 用于基于 Web 的安全管理的 SSL 和用于用户身份验证的基于 https 的 Webauth

• IPsec VPN 隧道的 IKE。

注意以下几点：

• 目前，Junos OS 仅支持使用 PKI 证书进行公钥验证的 IKE。

• SSH 和 SCP 专门用于系统管理。Junos OS 使用 OOB 指纹进行公钥身份绑定和验证。

Junos OS 中 PKI 的基本要素

Junos OS 支持三种特定类型的 PKI 对象。

表 1：Junos OS 中的 PKI 元素

PKI 的要素	描述
私钥和公钥对	私钥和公钥对是用于安全通信的基本组件。 公钥：公钥用于加密数据。它已发布，可以在不影响安全性的情况下与他人共享。使用公钥加密的数据只能使用相应的私钥解密。 私钥：私钥用于解密使用公钥加密的数据。它是保密的，不应与任何人共享。 通过使用私钥和公钥对，瞻博网络设备可以建立安全连接，并保护通过公共网络传输的数据。
证书	本地证书 — 本地证书包含瞻博网络设备的公钥和身份信息。瞻博网络设备拥有关联的私钥。此证书是根据设备的证书请求生成的。 挂起的证书 — 挂起的证书包含一个密钥对和身份信息，这些信息将生成为 PKCS10 证书请求中并手动发送到 CA。当瞻博网络设备等待来自 CA 的证书时，现有对象（密钥对和证书请求）将被标记为证书请求或挂起的证书。 CA 证书 — 当证书由 CA 颁发并加载到 Junos OS 设备中时，挂起的证书将替换为新生成的本地证书。加载到设备中的所有其他证书都被视为 CA 证书。
CRL	PKI 中的 CRL 是带有时间戳的数字证书列表，其中包含已被 CA 吊销的数字证书。此列表由 CA 签署，并定期提供给参与的同行。在 Junos OS 中，您可以配置 CRL，以确保在证书被吊销时不使用证书。

证书

关于证书，请注意以下几点：

• 当 Junos OS 设备在多个管理域中具有 VPN 时，通常会使用本地证书。

• 除了 Junos OS 映像和系统的常规配置之外，所有 PKI 对象都存储在单独的持久内存分区中。

• 每个 PKI 对象在创建时都有一个唯一的名称或证书 ID，并保留此 ID，直到删除为止。您可以使用 show security pki local-certificate 命令查看证书 ID。

• 在大多数情况下，无法从设备复制证书。设备上的私钥只能在该设备上生成，切勿从该设备查看或保存私钥。Junos OS 设备不支持 PKCS12 文件。

• CA 证书验证 IKE 对等方收到的证书。如果证书有效，则会在 CRL 中进行验证，以查看证书是否已被吊销。

  每个 CA 证书都包含一个 CA 配置文件配置，用于存储以下信息：

  • CA 身份，通常是 CA 的域名

  • 用于将证书请求直接发送到 CA 的电子邮件地址

  • 吊销设置：

    • 吊销检查启用和禁用选项

    • 在 CRL 下载失败时禁用吊销检查

    • CRL 分发点 （CDP） 的位置（用于手动 URL 设置）

    • CRL 刷新间隔