Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

PKI im Überblick

Erfahren Sie mehr über PKI und PKI-Elemente in Junos OS und lernen Sie die Vorteile von PKI kennen.

Einführung in PKI

PKI bietet eine Möglichkeit, die Identität eines Remote-Standorts mithilfe eines digitalen Zertifikats zu überprüfen. PKI verwendet eine CA, um Ihre Informationen zu validieren und digital zu signieren. Dieser Prozess stellt sicher, dass weder Ihre Informationen noch die Signatur geändert werden können. Sobald Sie Ihre Informationen signieren, werden die Informationen zu einem digitalen Zertifikat. Geräte, die ein digitales Zertifikat erhalten, verifizieren die Informationen des Zertifikats, indem sie die Signatur mit Kryptografie mit öffentlichem Schlüssel validieren.

Die PKI besteht aus den folgenden Komponenten zur Verwaltung digitaler Zertifikate:

  • Registrierungsstelle: Überprüft die Identitäten von Entitäten, autorisiert ihre Zertifikatsanforderungen und generiert ein eindeutiges asymmetrisches Schlüsselpaar (es sei denn, die Zertifikatanforderungen der Benutzer enthalten bereits öffentliche Schlüssel).

  • CA: Stellt entsprechende digitale Zertifikate für die anfordernden Entitäten aus.

  • CRL: Identifiziert die Zertifikate, die nicht mehr gültig sind. Jede Entität, die den authentischen öffentlichen Schlüssel einer CA besitzt, kann die ausgestellten Zertifikate überprüfen.

Funktionsweise von PKI

PKI unterstützt die Verteilung und Identifizierung öffentlicher Verschlüsselungsschlüssel, sodass Benutzer sowohl Daten über Netzwerke wie das Internet sicher austauschen als auch die Identität der anderen Partei überprüfen können.

Abbildung 1 zeigt, wie die Authentifizierung zwischen zwei Benutzern mit dem öffentlichen und privaten Schlüssel erfolgt.

Abbildung 1: Public-Key-Infrastruktur

Digital certificate issuance and verification process in PKI. Sender requests certificate; RA verifies request; CA issues Certificate Public Key; sender signs data; recipient verifies signature using Certificate Public Key.
Tabelle 1: PKI-Komponenten

PKI-Schlüsselkomponenten

Beschreibung

CA

Eine vertrauenswürdige Drittanbieterorganisation, die digitale Zertifikate erstellt, registriert, validiert und widerruft. Die CA garantiert die Identität eines Benutzers und stellt öffentliche und private Schlüssel für die Verschlüsselung und Entschlüsselung von Nachrichten aus.

Registrierungsstelle (Registrierungsstelle)

Überprüft die Identitäten von Entitäten, autorisiert ihre Zertifikatanforderungen und generiert ein eindeutiges asymmetrisches Schlüsselpaar, es sei denn, die Zertifikatanforderungen der Benutzer enthalten bereits öffentliche Schlüssel.

Digitale Zertifikate

Elektronische Dokumente, die Informationen über die Entität enthalten, z. B. ein VPN-Gateway. Die CA signiert die digitalen Zertifikate, um ihre Authentizität und Integrität sicherzustellen.

Öffentliche und private Schlüssel

Ein Schlüsselpaar, das in der Public-Key-Kryptographie verwendet, gleichzeitig generiert und mathematisch verknüpft wird. Der öffentliche Schlüssel wird für die Verschlüsselung verwendet, während der private Schlüssel für die Entschlüsselung verwendet wird. Diese Schlüssel sind

IKE und PKI

Während der Einrichtung von IKE Phase 1 kann ein Zertifikat den Peer anhand von IP-Adresse, FQDN, Benutzer-FQDN (U-FQDN) oder DN identifizieren. Die CA fügt die IKE-ID dem Feld SubjectAlternativeName des Zertifikats hinzu.

Zertifikat LCM

Umfasst Phasen wie:

  • Generierung öffentlicher und privater Schlüssel

  • Angaben zur Identität

  • Einschreibung (Beantragung und Abruf)

  • Verwendung innerhalb von IKE

  • Zertifikatsvalidierung und Widerrufsprüfungen

  • Erneuerung des Zertifikats

Vorteile von PKI

  • Verbesserte Sicherheit: PKI bietet robuste Sicherheit durch die Verwendung einer asymmetrischen Kryptografie, die sicherer ist als die symmetrische Kryptografie. Die Verwendung von öffentlichen und privaten Schlüsseln stellt sicher, dass mit einem öffentlichen Schlüssel verschlüsselte Daten nur mit dem entsprechenden privaten Schlüssel entschlüsselt werden können.
  • Hierarchie der Vertrauensstellung: PKI richtet eine Vertrauenshierarchie durch die Verwendung von Zertifizierungsstellen, RAs und Zertifikatrepositorys ein. Diese Hierarchie stellt sicher, dass alle Entitäten innerhalb des Netzwerks einander auf der Grundlage ihrer Zertifikate und der CA, die sie ausgestellt hat, vertrauen.
  • Datenintegrität: Digitale Zertifikate, die von PKI ausgestellt werden, stellen die Integrität der Daten sicher, indem sie eine Möglichkeit bieten, die Authentizität des Absenders und der Daten selbst zu überprüfen. Diese Authentizitätsprüfung verhindert Manipulationen oder Veränderungen von Daten während der Übertragung.
  • Skalierbarkeit: PKI ist skalierbar und kann in großen Netzwerken mit mehreren Einheiten verwendet werden. Er unterstützt verschiedene Standards wie X.509 und Public Key Cryptography Standards (PKCS), wodurch er vielseitig einsetzbar und an verschiedene Netzwerkkonfigurationen anpassbar ist.
  • Einfache Verwaltung: Die Einrichtung einer PKI erfordert zwar eine gewisse Anfangskonfiguration, vereinfacht jedoch die Verwaltung digitaler Zertifikate und Schlüssel. Dies erleichtert die Verwaltung und Aufrechterhaltung sicherer Verbindungen im gesamten Netzwerk.

PKI-Terminologie

Tabelle 2: Terminologie
Beschreibung des Begriffs
PKI Ein Framework, das sichere, verschlüsselte Kommunikation und Dienste für digitale Signaturen ermöglicht.
CA Eine Entität, die digitale Zertifikate ausstellt.
Digitales Zertifikat Eine digitale Form der Identifizierung, die von einer CA ausgestellt wird und die Authentizität überprüft.
CRL Eine Liste der Zertifikate, die von einer CA vor ihrem Ablaufdatum widerrufen wurden.
Einschreibung Der Prozess des Anforderns und Empfangens eines digitalen Zertifikats von einer CA.
Schlüsselpaar Ein Paar kryptografischer Schlüssel (öffentlich und privat), die zur Ver- und Entschlüsselung verwendet werden.
Root-Zertifikat Das oberste Zertifikat in der Zertifikatkette, das von einem Stamm CA ausgestellt wurde.
Selbstsigniertes Zertifikat Ein Zertifikat, das von dem System signiert wird, das es erstellt, und nicht von einer vertrauenswürdigen CA, die es erstellt.
Privater Schlüssel Der geheime Teil des Schlüsselpaars, der bei der asymmetrischen Verschlüsselung verwendet wird.
Öffentlicher Schlüssel Der nicht geheime Teil des Schlüsselpaars, der bei der asymmetrischen Verschlüsselung verwendet wird.
Digitale Signatur Ein mathematisches Schema zur Überprüfung der Authentizität von digitalen Nachrichten oder Dokumenten.
Zertifikatskette Eine Abfolge von Zertifikaten, bei der jedes Zertifikat von der nachfolgenden CA signiert wird.