Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

公钥加密

了解交换机上的公钥加密

加密技术介绍了与信息安全的以下几个方面相关的技术:

  • 隐私或机密性

  • 数据完整性

  • 认证

  • 不否认或不否认原产地 — 原产地不可否认意味着签名者不能声称他们没有签署消息,同时声称他们的私钥仍然是秘密的。在数字签名中使用的一些非拒绝方案中,将一个时间戳附加到数字签名上,这样即使私有密钥被公开,签名也仍然有效。以下文本中介绍了公钥和私钥。

实际上,加密方法通过使用加密密钥对数据进行加密,从而保护通过公共网络从一个系统传输到另一个系统的数据。在瞻博网络 EX 系列以太网交换机上使用的公钥加密 (PKC) 使用一对加密密钥:公钥和私钥。公共密钥和私有密钥使用相同的加密算法同时创建。私钥由用户秘密持有,公钥公布。使用公钥加密的数据只能使用相应的私钥解密,反之亦然。生成公钥/私有密钥对时,交换机会自动将密钥对保存在证书存储中的文件中,随后在证书请求命令中使用该密钥对。生成的密钥对保存为 certificate-idpriv。

注意:

默认 RSA 和 DSA 密钥大小为 1024 位。如果您使用简单证书注册协议 (SCEP),瞻博网络 Junos 操作系统 (Junos OS) 仅支持 RSA。

公钥基础架构 (PKI) 和数字证书

公钥基础架构 (PKI) 允许在公钥加密中以安全性和完整性分配和使用公钥。PKI 使用数字证书管理公共密钥。数字证书提供电子方式来验证可以存储数字证书的个人、组织或目录服务的身份。

PKI 通常由注册授权机构 (RA) 组成,该机构可验证实体的身份、授权其证书请求并生成唯一的不对称密钥对(除非用户的证书请求已包含公共密钥);以及为请求实体颁发相应数字证书的证书授权机构 (CA)。或者,您可以使用存储和分配证书的证书存储库以及用于识别不再有效的证书的证书撤销列表 (CRL)。每个拥有 CA 正宗公钥的实体都可以验证该 CA 颁发的证书。

数字签名利用公钥加密系统,如下所示:

  1. 发送方通过在数据摘要上应用涉及其私钥的加密操作,以数字方式签署数据。

  2. 生成的签名连接到数据并发送至接收方。

  3. 接收方获取发送方的数字证书,该证书提供发送方的公钥以及其身份与公共密钥之间链路的确认。发送方的证书通常附加到已签名的数据。

  4. 接收方可以信任此证书或尝试验证此证书。接收方使用证书中包含的公钥来验证数据上的签名。此验证可确保收到的数据的真实性和完整性。

作为使用 PKI 的替代项,只要密钥的完整性得到保护,实体就可以将其公钥直接分配给所有潜在的签名验证者。交换机使用自签名证书作为公共密钥和相应实体身份的容器来执行此操作。

了解 EX 系列交换机上的自签名证书

使用出厂默认配置初始化瞻博网络 EX 系列以太网交换机时,交换机将生成自签名证书,允许通过安全套接字层 (SSL) 协议安全访问交换机。安全套接字层 (HTTPS) 和 XML 安全套接字层 (XNM-SSL) 上的超文本传输协议是可使用自签名证书的两种服务。

注意:

自签名证书不会像证书颁发机构 (CA) 生成的证书那样提供额外的安全性。这是因为客户端无法验证他或她连接到的服务器是否为证书中播发的服务器。

这些交换机提供了两种生成自签名证书的方法:

  • 自动生成

    在这种情况下,证书的创建者是交换机。默认情况下,交换机上将配置自动生成的(也称为“系统生成”)自签名证书。

    交换机初始化后,它会检查是否存在自动生成的自签名证书。如果未找到,交换机将生成一个并在文件系统中保存。

    交换机自动生成的自签名证书类似于 SSH 主机密钥。它存储在文件系统中,而不是配置的一部分。重新启动交换机时,它会一直存在,并在发出命令时 request system snapshot 将其保留。

    交换机对自动生成的证书使用以下区分名称:

    “ CN=<设备序列号>,生成的 CN=system,CN=自签名”

    如果删除交换机上的系统生成的自签名证书,交换机将自动生成自签名证书。

  • 手动生成

    在这种情况下,您可以为交换机创建自签名证书。您可以随时使用 CLI 生成自签名证书。手动生成的自签名证书存储在文件系统中,而不是配置的一部分。

自签名证书自生成之时起的有效期为五年。自动生成的自签名证书的有效性到期后,可从交换机中删除,以便交换机生成新的自签名证书。

系统生成的自签名证书和手动生成的自签名证书可在交换机上共存。

在交换机上手动生成自签名证书(CLI 过程)

EX 系列交换机允许您生成自签名证书并将其存储在文件系统中。手动生成的证书可与交换机上自动生成的自签名证书共存。要通过 SSL 实现对交换机的安全访问,您可以使用系统生成的自签名证书或手动生成的证书。

要手动生成自签名证书,您必须完成以下任务:

在交换机上生成公钥密钥对

数字证书具有关联的加密密钥对,用于以数字方式签名证书。加密密钥对包含公钥和私钥。生成自签名证书时,必须提供可用于签署自签名证书的公私密钥对。因此,您必须先生成公钥-私钥对,然后才能生成自签名证书。

要生成公钥-私钥对:

注意:

或者,您可以指定加密算法和加密密钥的大小。如果未指定加密算法和加密密钥大小,则使用默认值。默认加密算法为 RSA,默认加密密钥大小为 1024 位。

生成公钥-私钥对后,交换机将显示以下内容:

在交换机上生成自签名证书

要手动生成自签名证书,请包括证书 ID 名称、尊贵名称 (DN) 的主题、域名、交换机的 IP 地址以及证书持有者的电子邮件地址:

您生成的证书存储在交换机的文件系统中。生成证书时指定的证书 ID 是可用于启用 HTTPS 或 XNM-SSL 服务的唯一标识符。

要验证证书是否生成并正确加载,请输入 show security pki local-certificate 操作命令。

删除自签名证书(CLI 过程)

您可以删除从 EX 系列交换机自动或手动生成的自签名证书。删除自动生成的自签名证书时,交换机将生成新的自签名证书并将其存储在文件系统中。

  • 要从交换机中删除自动生成的证书及其关联密钥对:

  • 要从交换机中删除手动生成的证书及其相关密钥对:

  • 要从交换机中删除所有手动生成的证书及其相关密钥对:

使用自签名证书在交换机上启用 HTTPS 和 XNM-SSL 服务(CLI 过程)

您可以使用系统生成的自签名证书或手动生成的自签名证书来启用 Web 管理 HTTPS 和 XNM-SSL 服务。

  • 要使用自动生成的自签名证书启用 HTTPS 服务:

  • 要使用手动生成的自签名证书启用 HTTPS 服务:

    注意:

    在手动生成自签名证书时,必须匹配指定的名称的值 certificate-id-name

  • 要使用手动生成的自签名证书启用 XNM-SSL 服务:

    注意:

    在手动生成自签名证书时,必须匹配指定的名称的值 certificate-id-name