Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS 中的 PKI

SUMMARY 本主题介绍 Junos OS 中公钥基础架构 (PKI) 的基本元素。

公钥基础设施 (PKI) 支持公共加密密钥的分发和识别,使用户既能通过互联网等网络安全地交换数据,又能验证另一方的身份。

Junos OS 中的 PKI 简介

PKI 应用程序概述

Junos OS 在以下方面使用公钥/私钥:

  • SSH/SCP(用于基于安全命令行界面 [CLI] 的管理)

  • 安全套接字层 (SSL)(用于基于 Web 的安全管理和用于用户身份验证的基于 https 的 Webauth)

  • 互联网密钥交换 (IKE)(用于 IPsec VPN 隧道)

注:

请注意以下几点:

  • 目前 Junos OS 仅支持 IKE(使用公钥基础架构 (PKI) 证书进行公钥验证)。

  • SSH 和 SCP 专门用于系统管理,依赖于使用带外指纹进行公钥身份绑定和验证。本主题不介绍有关 SSH 的详细信息。

用于在 Junos OS 中管理 PKI 的组件

在 Junos OS 中管理 PKI 需要以下组件:

  • CA 证书和颁发机构配置

  • 包括设备标识的本地证书(示例:IKE ID 类型和值)以及私钥和公钥

  • 通过证书吊销列表 (CRL) 进行证书验证

Junos OS 中 PKI 的基本元素

Junos OS 支持三种特定类型的 PKI 对象:

  • 私钥/公钥对

  • 证书

    • 本地证书 — 本地证书包含瞻博网络设备的公钥和身份信息。瞻博网络设备拥有关联的私钥。此证书是根据来自瞻博网络设备的证书请求生成的。

    • 待处理证书 — 待处理证书包含密钥对和身份信息,这些信息生成到 PKCS10 证书请求中并手动发送到证书颁发机构 (CA)。当瞻博网络设备等待来自 CA 的证书时,现有对象(密钥对和证书请求)将被标记为证书请求或待处理证书。

      注:

      Junos OS 9.0 及更高版本支持通过 SCEP 自动发送证书请求。

    • CA 证书 — 当证书由 CA 颁发并加载到 Junos OS 设备中时,挂起的证书将替换为新生成的本地证书。加载到设备的所有其他证书都被视为 CA 证书。

  • 证书吊销列表 (CRL)

请注意有关证书的以下几点:

  • 当 Junos OS 设备在多个管理域中具有 VPN 时,通常使用本地证书。

  • 除 Junos OS 映像和系统的常规配置外,所有 PKI 对象都存储在单独的持久内存分区中。

  • 每个 PKI 对象在创建时都有一个唯一的名称或证书 ID,并在删除之前一直保持该 ID。您可以使用命令 show security pki local-certificate 查看证书 ID。

  • 在大多数情况下,无法从设备复制证书。设备上的私钥必须仅在该设备上生成,并且永远不应从该设备查看或保存。因此,Junos OS 设备不支持 PKCS12 文件(其中包含带有公钥的证书和关联的私钥)。

  • CA 证书验证 IKE 对等方收到的证书。如果证书有效,则会在 CRL 中进行验证,以查看证书是否已吊销。

    每个 CA 证书都包含一个存储以下信息的 CA 配置文件配置:

    • CA 身份,通常是 CA 的域名

    • 用于将证书请求直接发送到 CA 的电子邮件地址

    • 吊销设置:

      • 吊销检查启用/禁用选项

      • 在 CRL 下载失败时禁用吊销检查。

      • CRL 分发点 (CDP) 的位置(用于手动 URL 设置)

      • CRL 刷新间隔

Junos OS 中的 PKI 组件

本主题包含以下部分:

PKI 管理和实施

在 Junos OS 中进行基于证书的身份验证所需的最低 PKI 元素包括:

  • CA 证书和颁发机构配置。

  • 包含设备标识的本地证书(例如:IKE ID 类型和值)以及私钥和公钥

  • 通过 CRL 进行证书验证。

Junos OS 支持三种不同类型的 PKI 对象:

互联网密钥交换

对因特网密钥交换 (IKE) 会话中两个参与者之间发送的消息进行数字签名的过程与数字证书验证类似,但存在以下区别:

  • 发送方不是从 CA 证书进行摘要,而是从 IP 数据包有效负载中的数据进行摘要。

  • 参与者不使用 CA 的公钥-私钥对,而是使用发送方的公钥-私钥对。

受信任的 CA 组

证书颁发机构 (CA) 是负责颁发和吊销证书的受信任第三方。对于给定拓扑,您可以将多个 CA(CA 配置文件)分组到一个受信任的 CA 组中。这些证书用于在两个端点之间建立连接。要建立 IKE 或 IPsec,两个端点必须信任同一个 CA。如果任一端点无法使用其各自的受信任 CA (ca-profile) 或受信任 CA 组验证证书,则不会建立连接。

例如,有两个端点,端点 A 和端点 B 正在尝试建立安全连接。当终结点 B 向终结点 A 提供其证书时,终结点 A 将检查证书是否有效。端点 A 的 CA 验证端点 B 用于获得授权的签名证书。配置 OR trusted-ca-grouptrusted-ca,设备将仅使用此配置文件trusted-ca-group或下trusted-ca配置的 CA 配置文件来验证来自终结点 B 的证书。如果证书被验证为有效,则允许连接,否则连接将被拒绝。

好处:

  • 对于任何传入连接请求,仅验证该终结点的特定受信任 CA 颁发的证书。否则,授权将拒绝建立连接。

加密密钥处理概述

通过加密密钥处理,持久密钥存储在设备的内存中,而无需尝试更改它们。虽然潜在对手无法直接访问内部存储设备,但需要第二层防御的人可以对加密密钥进行特殊处理。启用后,加密密钥处理会在密钥未立即使用时加密密钥,在将密钥从一个内存位置复制到另一个内存位置时执行错误检测,并在密钥不再使用时用随机位模式覆盖密钥的内存位置。当密钥存储在设备的闪存中时,它们也会受到保护。启用加密密钥处理功能不会导致设备行为发生任何外部可观察到的变化,并且设备将继续与其他设备互操作。

加密管理员可以启用和禁用加密自检功能;但是,安全管理员可以修改加密自检功能的行为,例如配置定期自检或选择加密自检的子集。

以下永久密钥当前由 IKE 和 PKI 管理:

  • IKE 预共享密钥 (IKE PSK)

  • PKI 私钥

  • 手动 VPN 密钥

处理基于 TPM 的证书

SRX 系列防火墙提供的基于 TPM(基于可信平台模块)证书可确保设备的安全识别。从 Junos OS 24.2R1 版开始,您可以将基于 TPM 的证书与 SRX1600、SRX2300 和 SRX4300 系列防火墙配合使用。当您使用瞻博网络高级威胁防御云的高级反恶意软件 (AAMW) 检测等应用程序时,您可以使用基于 TPM 的证书进行证明,从而允许应用程序验证设备的合法性。若要了解有关 TPM 以及防火墙如何使用 PKI 管理基于 TPM 的证书的详细信息,请参阅 受信任的平台模块