受信任的平台模块概述

基于 TPM 的证书的好处

• 提供信任。有助于在不安全的数字世界中建立高级安全性。

• 提供机密性。发送的数据经过加密，仅对服务器和客户端可见。

• 提供完整性。确保数据在传输过程中未被修改。

传统的SSL/TLS证书如何工作？

安全套接字层 （SSL） 是一种允许加密的协议。它有助于保护和验证客户端和服务器之间的通信。它还可以保护不安全网络上的电子邮件、VoIP 和其他通信。SSL 也称为传输层安全性 （TLS）。

在不安全的 HTTP 连接中，黑客可以轻松拦截客户端和服务器之间的消息。SSL 证书使用公钥/私钥对系统来启动 HTTPS 协议。因此，SSL证书使用户和客户端能够进行安全连接。SSL/TLS 的工作原理是：

• 从 TLS 握手开始的安全通信。通信双方打开安全连接并交换公钥。
• 在 TLS 握手期间，双方将生成会话密钥。会话密钥对 TLS 握手后的所有通信进行加密和解密。
• 不同的会话密钥对每个新会话中的通信进行加密。
• TLS 可确保服务器端的用户或用户与之交互的网站是他们声称的身份。
• TLS 还可确保数据未被更改，因为消息验证代码 （MAC） 包含在传输中。

当签名的SSL证书保护网站时，它证明该组织已与受信任的第三方验证并验证了其身份。当浏览器信任 CA 时，浏览器现在也信任该组织的身份。

检查网站是否安装了 SSL 的最简单方法是查看网站 URL 是否以“HTTPS：”开头。如果网站在服务器上安装了SSL证书，请单击地址栏中的挂锁图标，查看证书信息。

防火墙如何使用 PKI 管理基于 TPM 的证书

通过瞻博网络 ATP 云使用高级反恶意软件检测 （AAMWD） 等应用时，可以使用基于 TPM 的证书进行证明，从而允许应用验证设备的合法性。防火墙使用 PKID 进程管理基于 TPM 的证书。对基于 TPM 的证书使用 PKID 进程时，请注意以下事项：

• 在设备启动和重启操作期间，防火墙使用 PKID 进程加载基于 TPM 的证书。

• 设备根据设备的本地证书列表中基于 TPM 的证书 ID（称为 idev-id 证书 ID）加载证书和私钥句柄。若要查看基于 TPM 的证书 ID（称为 idev-id），请使用 show security pki node-local local-certificate certificate-id idev-id 命令。

• 不应使用命令 request security pki node-local local-certificate verify certificate-id idev-id 验证 idev-id 证书 ID。验证不会通过，因为证书 ID 的 CA 证书 idev-id 在防火墙上不可用。当您尝试使用命令进行验证时，您会注意到一条错误消息 local certificate verification can't performed for IDev-ID certificate as the CA cert for the same is not available 。

AAMWD 和 SSL/TLS 如何使用基于 TPM 的证书

在 SRX 系列防火墙上使用瞻博网络 ATP 云的 AAMW 检测 （AAMWD） 等应用程序必须使用 TPM 刻录证书进行其所有设备标识和身份验证，而不是传统证书。这有助于使用新的 TPM 证书与云服务器建立经过客户端身份验证的安全 SSL 连接。这适用于 AAMWD 建立的控制和数据平面 （SSL-I）/TLS 连接。云服务器使用在 SSL 握手中共享的 TPM 公钥确认 TPM 私钥的真实性。设备标识信息是共享 TPM 证书的一部分。

配置 SSL 初始化 （SSL-I） 配置文件时，PKID 端要求在启动/重新启动时针对特定证书 ID 加载 TPM 证书和私钥句柄。您可以使用此证书配置 SSL-I 配置文件。AAMWD 可将此证书用于 TLS 连接。SSL-我需要在数据平面端进行更改，才能使用 TPM 芯片对 AAMWD TLS 连接进行签名/验证。SSL-I 通过客户端身份验证向 ATP 云提供 SSL 客户端功能。SSL-I 模式需要使用 TPM 证书/私钥支持。之前，SSL-I 使用文件系统本地证书和私钥。

从 Junos OS 24.2R1 版开始，您可以在两种模式下使用 SSL-I：

• 具有 TPM 证书/密钥的 SSL-I

• 带有文件系统证书/密钥的 SSL-I

您可以使用set services ssl initiation profile profile-name crypto-hardware-offload命令配置tpm该选项。