Zertifikatsmanagement – Übersicht
In der Regel erhalten Benutzer zugriff auf Ressourcen von einer Anwendung oder einem System auf der Grundlage ihres Benutzernamens und Kennworts. Sie können zertifikate auch zur Authentifizierung und Autorisierung von Sitzungen zwischen verschiedenen Servern und Benutzern verwenden. Die zertifikatbasierte Authentifizierung über eine Secure Sockets Layer (SSL)-Verbindung ist die sicherste Art der Authentifizierung. Die Zertifikate können auf einer Smartcard, einem USB-Token oder auf der Festplatte eines Computers gespeichert werden. Benutzer wischen in der Regel ihre Smartcard, um sich beim System anzumelden, ohne ihren Benutzernamen und ihr Passwort einzugeben.
Die Junos Space Network Management-Plattform wird mit dem standardmäßigen kennwortbasierten Authentifizierungsmodus ausgeliefert. Administratoren können sich mit den Standardanmeldeinformationen bei der Junos Space Platform anmelden. Mit der Junos Space-Plattform können Sie die zertifikatsbasierte Authentifizierung und ab Version 15.2R1 der Junos Space Network Management-Plattform auch die parameterbasierte X.509-Authentifizierung verwenden, um Benutzer zu authentifizieren. Diese Authentifizierungsmodi können im Abschnitt Benutzer auf der Seite Anwendungseinstellungen ändern im Verwaltungsarbeitsbereich konfiguriert werden.
Standardmäßig verwendet die Junos Space-Plattform ein selbstsigniertes SSL-Zertifikat. Wenn Sie jedoch Ihr eigenes benutzerdefiniertes Zertifikat verwenden müssen, können Sie Ihr benutzerdefiniertes Zertifikat im Format X.509 oder PKCS#12 hochladen. Mit dem vollständigen Zertifikatvalidierungsmodus wird das gesamte X.509-Zertifikat während des Anmeldevorgangs validiert und Sie müssen Benutzerzertifikate für alle Benutzer hochladen.
Während der parameterbasierten X.509-Authentifizierung können Sie bis zu vier X.509-Zertifikatparameter pro Benutzer angeben, die während des Anmeldevorgangs validiert werden. Mit der parameterbasierten X.509-Authentifizierung können Sie vermeiden, Zertifikate für neue Benutzer auf die Junos Space Platform hochzuladen. Junos Space Platform extrahiert die Werte der Parameter für vorhandene Benutzer aus den Zertifikaten, die beim Erstellen der Benutzer geladen wurden. Sie können die X.509-Zertifikatparameter im Abschnitt X509-Zertifikatsparameter auf der Seite Anwendungseinstellungen ändern im Arbeitsbereich Administration definieren.
Es wird jeweils nur ein Authentifizierungsmodus unterstützt, und alle Benutzer werden mithilfe des ausgewählten Authentifizierungsmodus authentifiziert.
In den folgenden Abschnitten finden Sie Informationen zum Workflow für Authentifizierungsmodi, benutzerdefinierten Junos Space-Serverzertifikaten, Benutzerzertifikaten, Zertifizierungsstellenzertifikaten (Ca), Zertifikatssperrlisten (Certificate Revocation Lists, CRL) sowie zum Ablauf- und Ungültigkeitszustand von Zertifikaten auf der Junos Space Platform.
Workflow für Authentifizierungsmodi
Die Schritte beim Aufbau einer SSL-Verbindung für die verschiedenen Authentifizierungsmodi sind wie folgt:
Benutzernamen- und Passwort-basierte Authentifizierung:
Ein Client fordert Zugriff auf den Junos Space-Server an.
Der Junos Space-Server legt dem Client sein Zertifikat vor.
Der Client überprüft das Zertifikat des Servers.
Wenn die Überprüfung des Zertifikats erfolgreich ist, sendet der Client seinen Benutzernamen und sein Kennwort an den Server.
Der Server überprüft die Anmeldedaten des Clients.
Wenn die Überprüfung erfolgreich ist, gewährt der Server Zugriff auf die vom Client angeforderte geschützte Ressource.
Zertifikatsbasierte Authentifizierung:
Ein Client fordert Zugriff auf den Junos Space-Server an.
Der Junos Space-Server legt dem Client sein Zertifikat vor.
Der Client überprüft das Zertifikat des Servers.
Wenn die Überprüfung des Zertifikats erfolgreich ist, sendet der Client sein Zertifikat an den Server.
Der Server überprüft das Zertifikat des Clients.
Wenn die Überprüfung erfolgreich ist, gewährt der Server Zugriff auf die vom Client angeforderte geschützte Ressource.
Wenn die Überprüfung nicht erfolgreich ist, zeigt die Junos Space-Plattform dem Benutzer eine Seite "Fehler bei der Anmeldung" an.
X509-zertifikatsparameterbasierte Authentifizierung:
Ein Client fordert Zugriff auf den Junos Space-Server an.
Der Junos Space-Server legt dem Client sein X.509-Zertifikat vor.
Der Client überprüft das X.509-Zertifikat des Servers.
Wenn die Überprüfung des Zertifikats erfolgreich ist, sendet der Client sein Zertifikat an den Server.
Der Server extrahiert die angegebenen Werte aus dem X.509-Zertifikat des Clients und validiert die Werte mit denen in der Junos Space Platform-Datenbank.
Wenn die Überprüfung erfolgreich ist, gewährt der Server Zugriff auf die vom Client angeforderte geschützte Ressource.
Wenn die Überprüfung nicht erfolgreich ist, zeigt die Junos Space-Plattform dem Benutzer eine Seite "Fehler bei der Anmeldung" an.
Bei Verwendung einer vollständigen zertifikatsbasierten oder auf Zertifikatsparametern basierenden Authentifizierung wird die Sitzung beendet, wenn die Smart- oder Secure Card (mit dem Zertifikat und dem privaten Schlüssel), die für die Anmeldung verwendet wird, vom Client-System entfernt wird.
Benutzerdefinierte Junos Space-Serverzertifikate
Standardmäßig verwendet die Junos Space Network Management-Plattform ein selbstsigniertes SSL-Zertifikat. Wenn Sie jedoch Ihr eigenes benutzerdefiniertes Zertifikat verwenden müssen, gehen Sie auf die Seite Administration > Plattformzertifikat , und laden Sie Ihr benutzerdefiniertes X.509- oder PKCS#12-Zertifikat auf die Seite Plattformzertifikat hoch.
X.509 ist ein weit verbreiteter Standard für die Definition digitaler Zertifikate. In der Regel werden das Zertifikat und der Schlüssel in X.509 separat gespeichert. Der private Schlüssel kann entweder verschlüsselt oder unverschlüsselt sein. Obwohl eine Passphrase optional ist, ist sie erforderlich, wenn der private Schlüssel verschlüsselt ist.
Das Format Personal Information Exchange Syntax Standard (PKCS) #12 ist ein weit verbreitetes Format für digitale Zertifikate im Windows-Betriebssystem. Dieser Standard gibt ein portierbares Format für die Speicherung oder den Transport der privaten Schlüssel, Zertifikate und Passphrasen eines Benutzers in einer verschlüsselten Datei an.
Anweisungen zum Hochladen Ihres benutzerdefinierten Zertifikats finden Sie unter Installieren eines benutzerdefinierten SSL-Zertifikats auf dem Junos Space-Server.
Zertifikatsattribute
Tabelle 1 listet die Attribute auf, die üblicherweise in einem Zertifikat angezeigt werden.
Zertifikatsattribut |
Beschreibung |
|---|---|
|
"OID.1.2.840.113549.1.9.1" ist die ASN.1-Objektkennung, die zur Identifizierung dieses Signaturalgorithmus verwendet wird. "user1@10.205.57.195" ist die E-Mail-Adresse des Zertifikatsbesitzers. |
|
Allgemeiner Name des Zertifikatsbesitzers |
|
Name der Organisationseinheit, zu der der Zertifikatsbesitzer gehört Das Junos Space Network Management Platform SSL-Zertifikat, das von Juniper Networks signiert wurde, enthält beispielsweise " |
|
Organisation, zu der der Zertifikatsbesitzer gehört Das Junos Space Network Management Platform SSL-Zertifikat, das von Juniper Networks signiert wurde, enthält beispielsweise " |
|
Standort des Zertifikatsbesitzers Das Junos Space Network Management Platform SSL-Zertifikat, das von Juniper Networks signiert wurde, enthält beispielsweise " |
|
Wohnsitz des Zertifikatsinhabers Das Junos Space Network Management Platform SSL-Zertifikat, das von Juniper Networks signiert wurde, enthält beispielsweise " |
|
Wohnsitzland des Zertifikatsinhabers Das Junos Space Network Management Platform SSL-Zertifikat, das von Juniper Networks signiert wurde, enthält beispielsweise " |
|
"OID.1.2.840.113549.1.9.1" ist die ASN.1-Objektkennung, die zur Identifizierung dieses Signaturalgorithmus verwendet wird. "user1@10.205.57.195" ist die E-Mail-Adresse des Emittenten. |
|
Gemeinsamer Name des Zertifikatsausstellers Es ist die IP-Adresse des Systems. Der Common Name (CN) muss mit dem Hostnamen des Ausstellers dieses Zertifikats übereinstimmen. Im Allgemeinen sollte es der Hostname des Emittenten sein. |
|
Name der Organisationseinheit, zu der der Zertifikatsausgeber gehört Das Junos Space Network Management Platform SSL-Zertifikat, das von Juniper Networks signiert wurde, enthält beispielsweise " |
|
Organisation, der der Zertifikatsausgeber angehört Das Junos Space Network Management Platform SSL-Zertifikat, das von Juniper Networks signiert wurde, enthält beispielsweise " |
|
Standort des Zertifikatsausgebers Das Junos Space Network Management Platform SSL-Zertifikat, das von Juniper Networks signiert wurde, enthält beispielsweise " |
|
Wohnsitz des Zertifikatsausgebers Das Junos Space Network Management Platform SSL-Zertifikat, das von Juniper Networks signiert wurde, enthält beispielsweise " |
|
Wohnsitzland des Zertifikatsausgebers Das Junos Space Network Management Platform SSL-Zertifikat, das von Juniper Networks signiert wurde, enthält beispielsweise " |
|
Algorithmus, der von der Zertifizierungsstelle zum Signieren des Zertifikats verwendet wird Das Junos Space Network Management Platform SSL-Zertifikat, das von Juniper Networks signiert wurde, kann beispielsweise " |
|
Seriennummer des Zertifikats |
|
Datum, an dem das Zertifikat gültig wird |
|
Datum, an dem das Zertifikat ungültig wird |
Benutzerzertifikate
Wenn Sie den zertifikatbasierten Authentifizierungsmodus verwenden, müssen Sie für jeden Benutzer das entsprechende Zertifikat für den Junos Space-Server hochladen, um den Benutzer zu authentifizieren. Sie können ein Zertifikat einem Benutzer zuordnen, wenn Sie den Benutzer erstellen, oder indem Sie die Benutzereinstellungen ändern. Wenn Sie ein Zertifikat einem vorhandenen Benutzer zuordnen möchten, gehen Sie zu rollenbasierte Zugriffssteuerung > Benutzerkonten > Benutzer auswählen > Seite Benutzer ändern .
Anweisungen zum Hochladen eines Benutzerzertifikats finden Sie unter Hochladen eines Benutzerzertifikats.
CA-Zertifikate und CRLs
Ein Zertifizierungsstellenzertifikat oder das Stammzertifikat wird verwendet, um ein Benutzerzertifikat zu überprüfen. Der private Schlüssel des Stammzertifikats wird verwendet, um die Benutzerzertifikate zu signieren, die dann die Vertrauenswürdigkeit des Stammzertifikats erben.
Eine Zertifikatssperrliste (Certificate Revocation List, CRL), die von einer Zertifizierungsstelle verwaltet wird, ist eine Liste von Zertifikaten, die von dieser Zertifizierungsstelle vor dem geplanten Ablaufdatum ausgestellt und widerrufen wurden, zusammen mit den Gründen für den Widerruf. Eine Zertifizierungsstelle kann ein Zertifikat aus verschiedenen Gründen widerrufen, z. B. wenn der im Zertifikat angegebene Benutzer möglicherweise nicht mehr berechtigt ist, den Schlüssel zu verwenden, der im Zertifikat angegebene Schlüssel wurde möglicherweise kompromittiert, ein anderes Zertifikat ersetzt das aktuelle Zertifikat usw.
Anweisungen zum Hochladen von CA-Zertifikaten oder CRLs finden Sie unter Hochladen eines CA-Zertifikats und einer Zertifikatssperrliste.
Ändern des Benutzerauthentifizierungsmodus
Sie können den Authentifizierungsmodus von Benutzername und Kennwort auf zertifikatsbasierten oder X.509-Zertifikatparameter ändern – basierend auf der Junos Space-Benutzeroberfläche oder über die CLI des VIP-Knotens. Sie müssen die Zertifizierungsstellenzertifikate (Certification Authority, CA) und die persönlichen oder Benutzerzertifikate (das Junos Space-Serverzertifikat ist optional) auf den Junos Space-Server hochladen, bevor Sie den Authentifizierungsmodus ändern. Die Junos Space Platform überprüft alle Zertifikate, bevor sie hochgeladen werden. Ungültige oder schlecht geformte Zertifikate werden nicht hochgeladen.
Wenn der Authentifizierungsmodus geändert wird, werden alle vorhandenen Benutzersitzungen mit Ausnahme des aktuellen Administrators, der den Authentifizierungsmodus ändert, automatisch beendet und die Benutzer müssen sich abmelden. Sie müssen die Junos Space-Plattform nicht neu starten, wenn Sie von einem Authentifizierungsmodus in einen anderen wechseln.
Anweisungen zum Ändern der Authentifizierungsmodi finden Sie unter Ändern der Benutzerauthentifizierungsmodi.
Ablauf des Zertifikats
Wenn das Junos Space-Serverzertifikat X.509 planmäßig innerhalb von 30 Tagen nach dem aktuellen Datum abläuft, zeigt die Junos Space-Plattform jedes Mal, wenn sich der Administrator anmeldet, eine Warnmeldung an. Zum Beispiel:Your platform certificate is going to expire on May 24, 2015. Space will automatically use default certificate if your certificate will expire within 1 day. Change platform certificate using "Administration > Platform Certificate" page. Would you like to change it now?
Führen Sie als Administrator eine der folgenden Aktionen aus:
Neues Zertifikat hochladen– Wählen Sie Administration > Plattformzertifikat aus und laden Sie das Zertifikat aus dem Bereich "Zertifikat hochladen" hoch. Junos Space Platform löscht das alte Benutzerzertifikat und beginnt mit der Verwendung des neu hochgeladenen Zertifikats.
Standardzertifikat verwenden– Wählen Sie Administration > Plattformzertifikat aus, und klicken Sie im Bereich Aktuelles Plattformzertifikat auf Standardzertifikat verwenden .
Wenn das X.509 Junos Space-Serverzertifikat an einem Tag abläuft, beginnt die Junos Space-Plattform mit der Verwendung des selbstsignierten Standardzertifikats. Das selbstsignierte Junos Space Platform SSL-Zertifikat, das während der Installation erstellt wurde, hat eine fünfjährige Gültigkeit.
Wenn ein Benutzerzertifikat innerhalb von 30 Tagen nach dem aktuellen Datum abläuft, zeigt die Junos Space-Plattform eine Warnmeldung an, wenn sich der Benutzer mit dem zertifizierungsbasierten Authentifizierungsmodus angemeldet hat. Weitere Informationen finden Sie unter Hochladen eines Benutzerzertifikats.
Ungültige Benutzerzertifikate
Ein Benutzerzertifikat kann aus den folgenden Gründen ungültig werden:
Das Zertifikat ist abgelaufen.
Das Zertifikat läuft innerhalb eines Tages ab.
Das Zertifikat ist erst später gültig.
Das Zertifikat entspricht nicht dem privaten Schlüssel.
Die Datei des Zertifikats oder des privaten Schlüssels ist defekt.
Dasselbe Zertifikat ist auf dem Junos Space-Server vorhanden.
Wenn ein Benutzer versucht, sich mit einem ungültigen oder abgelaufenen Zertifikat anzumelden, zeigt die Junos Space Platform eine Anmeldefehlerseite mit der folgenden Fehlermeldung an: No user mapped for this certificate