Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PKI(Junos OS

SUMMARY 本主题介绍其中公钥基础架构 (PKI) 的基本Junos OS。

公钥基础架构(PKI)支持分布式加密密钥的分发和识别,使用户能够安全地通过网络(例如 Internet)交换数据并验证另一方的身份。

PKI 介绍 (Junos OS

PKI 应用程序概述

该Junos OS以下方面使用公共/私钥:

  • SSH/SCP(用于命令行界面 [CLI] 管理)

  • 安全套接字层 (SSL)(用于基于 Web 的安全管理和基于 https 的 Webauth(用于用户身份验证)

  • 互联网密钥交换 (IKE)(适用于 IPsec VPN 隧道)

注:

请注意以下几点:

  • 目前Junos OS仅支持IKE(使用公钥基础架构 (PKI) 证书进行公开密钥验证)。

  • SSH 和 SCP 专用于系统管理,取决于对公钥身份绑定和验证使用带外指纹。本主题中不介绍有关 SSH 的详细信息。

用于管理多维 PKI 的组件Junos OS

在管理多租户中的 PKI 时,必须安装以下Junos OS:

  • 证书颁发机构证书和授权配置

  • 包括设备身份的本地证书(例如:IKE ID 类型和价值)以及私有密钥和公钥

  • 通过证书撤消列表 (CRL) 验证证书

PKI 的基本Junos OS

Junos OS三种特定类型的 PKI 对象:

  • 私有/公钥密钥对

  • 认证

    • 本地证书 - 本地证书包含此设备的公共密钥和瞻博网络信息。瞻博网络设备拥有相关联的私钥。此证书基于瞻博网络设备的证书申请生成。

    • 挂起证书 — 挂起的证书包含密钥对和身份信息,这些信息在 PKCS10 证书请求中生成并手动发送至证书授权机构 (证书颁发机构)。虽然瞻博网络设备等待来自 CA 的证书,但现有对象(密钥对和证书申请)被标记为证书申请或挂起证书。

      注:

      Junos OS版本 9.0 和更高版本支持通过 SCEP 自动发送证书请求。

    • 证书颁发机构证书 — 当证书由 证书颁发机构加载到 Junos OS设备中时,挂起的证书将被新生成的本地证书取代。加载到设备的其他所有证书都被视为证书颁发机构证书。

  • 证书撤消列表 (CRLS)

请注意有关证书的以下几点:

  • 当一个管理Junos OS具有 VPN 时,通常使用本地证书。

  • 除了常规映像和系统的常规配置之外,Junos OS PKI 对象都存储在单独的永久内存分区中。

  • 每个 PKI 对象在创建时都有一个唯一的名称或证书 ID,并一直维护该 ID 直到其删除。您可使用 命令查看证书 show security pki local-certificate ID。

  • 在大多数情况下,不能从设备复制证书。设备上必须仅在设备上生成私钥,并且不应从该设备查看或保存。因此,PKCS12 文件(包含带公钥和相关私钥的证书)在多台设备Junos OS。

  • 证书颁发机构证书将验证该对等方收到的IKE证书。如果证书有效,则 CRL 中对此证书进行验证,以查看证书是否已撤消。

    每个证书颁发机构证书都包括一个证书颁发机构配置文件配置,用于存储以下信息:

    • 证书颁发机构,通常是企业域的证书颁发机构

    • 将证书请求直接发送给证书颁发机构

    • 撤消设置:

      • 撤消检查启用/禁用选项

      • 在 CRL 下载失败时禁用撤消检查。

      • CRL 分布点 (CDP) 的位置(用于手动 URL 设置)

      • CRL 刷新间隔

PKI 组件Junos OS

本主题包括以下几节:

PKI 管理和实施

基于证书的身份验证所需的最少 PKI 元素在 Junos OS 中:

  • CA 证书和证书颁发机构配置。

  • 包括设备身份的本地证书(例如:IKE ID 类型和价值)以及私有密钥和公钥

  • 通过 CRL 进行证书验证。

Junos OS 支持三种不同类型的 PKI 对象:

互联网密钥交换

对在互联网密钥交换(IKE)会话中的两个参与者之间发送的消息进行数字签名的过程类似于数字证书验证,但存在以下差异:

  • 发件人不会从 CA 证书生成摘要,而是从 IP 数据包有效负载中的数据进行。

  • 参与方不会证书颁发机构公共密钥对,而是使用发送方的公钥-私钥对。

受信任的 CA 组

证书授权机构(CA)是受信任的第三方,负责颁发和吊销证书。您可以在一个受信任的 CA 组中将多个 Ca (CA 配置文件)分组为给定拓扑。这些证书用于在两个端点之间建立连接。要建立 IKE 或 IPsec,两个端点都必须信任同一个 CA。如果其中一个端点无法使用各自的信任 CA (CA 配置文件)或受信任的 CA 组来验证证书,则不建立连接。

例如,有两个端点,端点 A 和端点 B 正在尝试建立安全连接。当端点 B 向端点 A 显示其证书时,端点 A 将检查证书是否有效。端点 A 的 CA 将验证终结点 B 正在使用的签名证书以获得授权。配置trusted-catrusted-ca-group时,设备将仅使用此trusted-ca-group中添加的 ca 配置文件或下面trusted-ca配置的 Ca 配置文件来验证来自终结点 B 的证书。如果证书被验证为有效,则允许连接,否则连接将被拒绝。

优势:

  • 对于任何传入连接请求,只有由那个终结点的特定受信任 CA 颁发的证书得到验证。如果不是,则授权将拒绝建立连接。

加密密钥处理概述

使用加密密钥处理时,持久性密钥存储在设备的内存中,而不会尝试更改它们。尽管潜在的入侵者无法直接访问内部内存设备,但需要第二层防御的人员可以对加密密钥进行特殊处理。启用时,加密密钥处理会在不立即使用时对密钥进行加密,在将密钥从一个内存位置复制到另一个时执行错误检测,并在密钥不再使用时用随机位模式覆盖密钥的内存位置. 密钥存储在设备的闪存中时,它们也受到保护。启用加密密钥处理功能不会导致设备行为发生任何外部可见的变化,并且设备将继续与其他设备进行互操作。

加密管理员可以启用和禁用加密自我测试功能;但是,安全管理员可以修改加密自检功能的行为,例如配置定期自我测试或选择加密的自我测试子集。

以下永久密钥目前正在管理 IKE 和 PKI:

  • IKE 预先共享的密钥(IKE PSKs)

  • PKI 私钥

  • 手动 VPN 密钥