Junos OS 中的 PKI 简介
本主题介绍 Junos OS 中公钥基础架构 (PKI) 的基本元素,包括 PKI 的组件、证书生命周期管理和互联网密钥交换 (IKE) 中的用法,并包括以下部分:
印尼共产党的基本原理
Junos OS 是瞻博网络的单一操作系统,提供以下功能:
功能强大的操作系统和丰富的 IP 服务工具包。
无与伦比的 IP 可靠性和安全性,可确保高效、可预测的 IP 基础架构。
瞻博网络防火墙/IP 安全 (IPsec) VPN 平台(包括 SSG 产品系列)增强了安全性和 VPN 功能。
有关数字证书的更多详细信息, 请参阅以下网址 : https://www.juniper.net/documentation/software/junos/。
有关加密、RSA 和 PKI 的信息,请访问 网站 http://www.rsasecurity.com/rsalabs。
有关 PKI 相关技术术语的列表,请参阅 PKI 相关术语表。
PKI 应用程序概述
Junos OS 在以下方面使用公钥/私钥:
SSH/SCP(用于基于安全命令行界面 [CLI] 的管理)
安全套接字层 (SSL)(用于基于 Web 的安全管理和用于用户身份验证的基于 https 的 Webauth)
互联网密钥交换 (IKE)(用于 IPsec VPN 隧道)
请注意以下几点:
目前 Junos OS 仅支持 IKE(使用公钥基础架构 (PKI) 证书进行公钥验证)。
目前不支持使用 SSL 进行身份绑定。本主题中包含有关 SSL 的简短部分。有关详细信息,请参阅 有关使用 SSL 和 IPsec/IKE 方法的概述。
SSH 和 SCP 专门用于系统管理,依赖于使用带外指纹进行公钥身份绑定和验证。本主题不介绍有关 SSH 的详细信息。
用于在 Junos OS 中管理 PKI 的组件
在 Junos OS 中管理 PKI 需要以下组件:
CA 证书和颁发机构配置
本地证书,包括设备标识(例如:IKE ID 类型和值)以及私钥和公钥
通过证书吊销列表 (CRL) 进行证书验证
Junos OS 中 PKI 的基本元素
Junos OS 支持三种特定类型的 PKI 对象:
私钥/公钥对
证书
本地证书 — 本地证书包含瞻博网络设备的公钥和身份信息。瞻博网络设备拥有关联的私钥。此证书是根据来自瞻博网络设备的证书请求生成的。
待处理证书 — 待处理证书包含密钥对和身份信息,这些信息生成到 PKCS10 证书请求中并手动发送到证书颁发机构 (CA)。当瞻博网络设备等待来自 CA 的证书时,现有对象(密钥对和证书请求)将被标记为证书请求或待处理证书。
注意:Junos OS 9.0 及更高版本支持通过 SCEP 自动发送证书请求。有关详细信息,请参阅 附录 D:简单证书注册协议 。
CA 证书 — 当证书由 CA 颁发并加载到 Junos OS 设备中时,挂起的证书将替换为新生成的本地证书。加载到设备的所有其他证书都被视为 CA 证书。
证书吊销列表 (CRL)
请注意有关证书的以下几点:
当 Junos OS 设备在多个管理域中具有 VPN 时,通常使用本地证书。
除 Junos OS 映像和系统的常规配置外,所有 PKI 对象都存储在单独的持久内存分区中。
每个 PKI 对象在创建时都有一个唯一的名称或证书 ID,并在删除之前一直保持该 ID。您可以使用命令
show security pki local-certificate
查看证书 ID。在大多数情况下,无法从设备复制证书。设备上的私钥必须仅在该设备上生成,并且永远不应从该设备查看或保存。因此,Junos OS 设备不支持 PKCS12 文件(其中包含带有公钥的证书和关联的私钥)。
CA 证书验证 IKE 对等方收到的证书。如果证书有效,则会在 CRL 中进行验证,以查看证书是否已吊销。
每个 CA 证书都包含一个存储以下信息的 CA 配置文件配置:
CA 身份,通常是 CA 的域名
用于将证书请求直接发送到 CA 的电子邮件地址
吊销设置:
吊销检查启用/禁用选项
在 CRL 下载失败时禁用吊销检查。
CRL 分发点 (CDP) 的位置(用于手动 URL 设置)
CRL 刷新间隔
Junos OS 支持多个本地证书,具体取决于设备大小。有关详细信息,请参阅 附录 A:常见问题 解答。
表 1 提供了有关可能的 PKI 对象及其平均大小的信息。
PKI 对象 |
平均尺寸 |
---|---|
私钥/公钥对 |
1 KB |
本地证书 |
2 KB |
CA 证书 |
2 KB |
CA 颁发机构配置 |
500 字节 |
CRL(平均大小是一个变量,取决于该特定 CA 已吊销的证书数量) |
300 字节,高达 2 MB+ |
例子:
计算闪存要求:
假设 Junos OS 设备中存在以下设置:
平均 CRL 为 10 KB
一个本地证书、一个 CA 证书和 CA 颁发机构配置
CRL 的闪存要求 =
2 KB(本地证书)+ 1 KB(密钥对)+ 2 KB(CA 证书)+ 0.5(CA 颁发机构配置)+ 10 (CRL) = 15.5 KB