Junos OS 中的 PKI
了解需要 PKI 的 Junos OS 应用和 PKI 的基本元素。
PKI 应用概述
Junos OS 在以下领域使用公钥/私钥:
-
SSH/SCP,用于基于命令行界面 [CLI] 的安全管理
-
安全套接字层 (SSL),用于基于 Web 的安全管理和用于用户身份验证的基于 https 的 Webauth
-
IPsec VPN 隧道的互联网密钥交换 (IKE)
注意以下几点:
-
目前,Junos OS 仅支持使用公钥基础架构 (PKI) 证书进行公钥验证的 IKE。
-
SSH 和 SCP 专门用于系统管理,并且依赖于使用带外指纹进行公钥身份绑定和验证。本主题不介绍有关 SSH 的详细信息。
Junos OS 中 PKI 的基本要素
Junos OS 支持三种特定类型的 PKI 对象:
-
私钥/公钥对
-
证书
-
本地证书 — 本地证书包含瞻博网络设备的公钥和身份信息。瞻博网络设备拥有关联的私钥。此证书是基于来自瞻博网络设备的证书请求生成的。
-
挂起的证书 — 挂起的证书包含密钥对和身份信息,这些信息在PKCS10证书请求中生成并手动发送到证书颁发机构(CA)。当瞻博网络设备等待来自 CA 的证书时,现有对象(密钥对和证书请求)将被标记为证书请求或挂起的证书。
-
CA证书 — 当证书由CA颁发并加载到Junos OS设备中时,挂起的证书将被新生成的本地证书取代。加载到设备中的所有其他证书都被视为 CA 证书。
-
-
证书撤消列表 (CRL)
关于证书,请注意以下几点:
-
当 Junos OS 设备在多个管理域中具有 VPN 时,通常会使用本地证书。
-
除了 Junos OS 映像和系统的常规配置之外,所有 PKI 对象都存储在单独的持久内存分区中。
-
每个 PKI 对象在创建时都有一个唯一的名称或证书 ID,并保留该 ID,直到删除为止。您可以使用
show security pki local-certificate命令查看证书 ID。 -
在大多数情况下,无法从设备复制证书。设备上的私钥只能在该设备上生成,切勿从该设备查看或保存私钥。因此,Junos OS 设备不支持 PKCS12 文件(其中包含带有公钥和关联私钥的证书)。
-
CA 证书验证 IKE 对等方收到的证书。如果证书有效,则会在 CRL 中进行验证,以查看证书是否已被吊销。
每个 CA 证书都包含一个 CA 配置文件配置,用于存储以下信息:
-
CA 身份,通常是 CA 的域名
-
用于将证书请求直接发送到 CA 的电子邮件地址
-
吊销设置:
-
撤销检查启用/禁用选项
-
在 CRL 下载失败时禁用吊销检查。
-
CRL 分发点 (CDP) 的位置(用于手动 URL 设置)
-
CRL 刷新间隔
-
-