自签名数字证书
了解自签名数字证书,并了解如何管理自签名数字证书。
自签名证书是由创建该证书的同一实体(而不是由证书颁发机构 (CA))签名的证书。Junos OS 提供了两种生成自签名证书的方法:自动生成和手动生成。
自签名证书
自签名证书是由其创建者(而不是由 CA)签名的证书。
自签名证书允许使用基于SSL的服务,而无需用户或管理员承担获取由CA签名的身份证书的艰巨任务。
自签名证书不像 CA 生成的证书那样提供额外的安全性,因为客户端无法验证连接到的服务器是否为证书中播发的服务器。自签名证书的有效期为五年。
Junos OS 提供了两种生成自签名证书的方法:
-
自动生成 – 瞻博网络设备会自动创建证书。默认情况下,设备上会配置自动生成的自签名证书。初始化设备后,它会检查是否存在自动生成的自签名证书。如果设备未找到,则会生成一个并将其保存在文件系统中。
设备自动生成的自签名证书类似于 SSH 主机密钥。它存储在文件系统中,而不是作为配置的一部分。它在设备重新启动时保留,并在发出命令时
request system snapshot保留。 -
手动生成 – 为瞻博网络设备创建自签名证书。您可以随时使用 CLI 生成自签名证书。这些证书还用于访问 SSL 服务。
手动生成的自签名证书是 PKI 本地证书的一个示例。与所有 PKI 本地证书一样,手动生成的自签名证书存储在文件系统中。
示例:生成公钥-私钥对
此示例说明如何生成公钥-私钥密钥对。
要求
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将生成一个名为 self-cert 的公钥-私钥对。
配置
程序
分步过程
要生成公钥-私钥密钥对:
-
创建证书密钥对。
user@host> request security pki generate-key-pair certificate-id self-cert
验证
生成公私密钥对后,瞻博网络设备将显示以下内容:
generated key pair ca-ipsec, key size 1024 bits
手动生成自签名 SSL 证书
要在瞻博网络设备上手动生成自签名 SSL 证书:
示例:手动生成自签名证书
此示例说明如何手动生成自签名证书。
要求
开始之前,请生成一个公钥私钥对。请参阅 数字证书。
概述
对于手动生成的自签名证书,请在创建时指定 DN。对于自动生成的自签名证书,系统会提供 DN,并将自己标识为创建者。
在此示例中,您将生成一个电子邮件地址为 mholmes@example.net的自签名证书。指定 Web 管理要引用的 self-cert 证书 ID。
配置
程序
分步过程
要手动生成自签名证书,请在作模式下输入以下命令:
user@host> request security pki local-certificate generate-self-signed certificate-id self-cert subject CN=abc domain-name example.net ip-address 172.16.3.4 email mholmes@example.net
要为 Web 管理 HTTPS 服务指定手动生成的自签名证书,请在配置模式下输入以下命令:
[edit] user@host# set system services web-management https local-certificate self-cert
验证
要验证证书是否正确生成和加载,请在作模式下输入以下命令:
user@host> show security pki local-certificate
Certificate identifier请注意显示的输出中有关 Issued to、 validity、 algorithm和keypair location详细信息的信息。
要验证与 Web 管理关联的证书,请在配置模式下输入以下命令:
user@host# show system services web-management https local-certificate
管理自动生成的自签名证书
初始化设备后,它会检查是否存在自签名证书。如果不存在自签名证书,设备会自动生成一个。如果设备重新启动,则会在启动时自动生成自签名证书。
要检查系统生成的证书,请在作模式下运行以下命令:
user@host> show security pki local-certificate system-generated
Certificate identifier请注意输出中的详细信息。它显示自动生成的证书的以下详细信息 DN:
-
CN = device serial number -
CN = system generated -
CN = self-signed
在配置模式下使用以下命令指定要用于 Web 管理 HTTPS 服务的自动生成的自签名证书:
[edit] user@host# set system services web-management https system-generated-certificate
使用以下作命令删除自动生成的自签名证书:
user@host# exit user@host> clear security pki local-certificate system-generated
删除系统生成的自签名证书后,设备会自动生成新证书并将其保存在文件系统中。
使用自签名证书在交换机上启用 HTTPS 和 XNM-SSL 服务 (CLI 过程)
您可以使用系统生成的自签名证书或手动生成的自签名证书在交换机上启用 Web 管理、HTTPS 和 XNM-SSL 服务。
使用以下命令通过自动生成的自签名证书启用 HTTPS 服务:
[edit] user@switch# set system services web-management https system-generated-certificate
使用以下命令通过手动生成的自签名证书启用 HTTPS 服务:
[edit] user@switch# set system services web-management https pki-local-certificate certificate-id-name
的 certificate-id-name 值必须与手动生成自签名证书时指定的名称匹配。
要使用手动生成的自签名证书启用 XNM-SSL 服务,请使用以下命令:
[edit] user@switch# set system services xnm-ssl local-certificate certificate-id-name
的 certificate-id-name 值必须与手动生成自签名证书时指定的名称匹配。