Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Aktualisieren eines Zertifikats

Lesen Sie dieses Thema, um die dynamische Aktualisierung von standardmäßigen vertrauenswürdigen CA-Zertifikaten auf Ihren Junos OS-Geräten zu verstehen und zu konfigurieren.

Dynamische Aktualisierung von Trusted-CA-Zertifikaten

Ein Junos OS-Gerät bietet eine Liste der vertrauenswürdigen Standardzertifikate der CA. Das Junos OS-Gerät verwaltet diese Zertifikate dynamisch. Sie können auch eine benutzerdefinierte Liste vertrauenswürdiger CA Zertifikate erstellen und CA Zertifikate in das Gerät laden. Sie müssen die benutzerdefinierten vertrauenswürdigen CA-Zertifikate jedoch manuell verwalten. Dieser Abschnitt konzentriert sich auf die dynamische Verwaltung von standardmäßigen vertrauenswürdigen CA-Zertifikaten.

Mit dynamischer Aktualisierung des standardmäßigen vertrauenswürdigen CA-Pakets,

  • Die Entfernung einer CA im Falle einer Kompromittierung wird automatisch erledigt.

  • Das Hinzufügen einer neuen CA zum standardmäßigen Paket für vertrauenswürdige CA erfolgt sofort, ohne dass auf die neue Version von Junos OS gewartet werden muss.

Prozesse, die an der dynamischen Aktualisierung des vertrauenswürdigen CA-Pakets beteiligt sind

Die dynamische Aktualisierung des standardmäßigen vertrauenswürdigen CA-Pakets umfasst die folgenden Prozesse:

  • Der Juniper CDN-Server (http://signatures.juniper.net/cacert) hostet die standardmäßigen vertrauenswürdigen CA-Zertifikate.

  • Der Server hostet eine signierte Kopie der Zieldatei und der Manifestdatei zusammen mit dem EE-Zertifikat, um die signierte Kopie dieser Dateien zu überprüfen. Die Zieldatei enthält eine Liste der vertrauenswürdigen Standardzertifikate der CA (default-trusted-ca-certs). Die Manifestdatei enthält die Revisionsnummer und das Datum des standardmäßigen Pakets für vertrauenswürdige CA.

  • Junos OS-Geräte laden die vertrauenswürdigen CA-Pakete standardmäßig automatisch herunter. Sie können entweder die standardmäßige oder die nicht standardmäßige Routinginstanz verwenden, um eine Verbindung mit dem Internet herzustellen und die standardmäßigen Zertifikate der vertrauenswürdigen CA herunterzuladen und zu aktualisieren.

  • Der PKI-Prozess, der die PKID verwendet, lädt das standardmäßige vertrauenswürdige CA-Paket (default-trusted-ca-certs) sicher vom CDN-Server auf das Gerät herunter.

    Die dynamische Aktualisierung von Zertifikaten der vertrauenswürdigen CA nimmt keine Änderungen an den zuvor geladenen ca-profile-group, manuell hinzugefügten CA-Zertifikaten und Zertifikaten vor, die Teil anderer vertrauenswürdiger Gruppen sind.

    Siehe Konfigurieren der dynamischen Aktualisierung von Zertifikaten vertrauenswürdiger CA.

  • Sobald Sie den ca-profile-group load Befehl ausgegeben haben, lädt der PKI-Prozess die standardmäßigen vertrauenswürdigen CA-Zertifikate im Hintergrund, wodurch die Blockierung der CLI aufgehoben wird, sodass Sie mit anderen Aufgaben fortfahren können.

  • Wenn keine ca-profile-group Verbindung zu default-trusted-ca-certsvorhanden ist, lädt PKI bei jedem regelmäßigen Abruf die neueste Kopie des vertrauenswürdigen CA-Pakets auf das Gerät herunter.

  • Wenn ein CA Zertifikat aus der Liste der vertrauenswürdigen CA gelöscht wird, stellt der PKI-Prozess sicher, dass alle Verweise auf das CA Zertifikat entfernt werden. Wenn Verweise im vorhanden trusted-ca-groupsind, enthält der PKI-Prozess nur die Verweise auf ca-profile Namen mit tatsächlichen CA-Zertifikaten, die bereits gelöscht wurden. Siehe Konfigurieren der dynamischen Aktualisierung von Zertifikaten vertrauenswürdiger CA.

  • Standardmäßig fragt der PKI-Prozess den CDN-Server alle 24 Stunden nach dem neuesten standardmäßigen vertrauenswürdigen CA-Paket ab und aktualisiert die Liste für alle Änderungen an den vertrauenswürdigen Zertifizierungsstellen im Paket. Wenn es Änderungen gibt, lädt der PKI-Prozess diese im Hintergrund. Sie können optional die Abrufdauer ändern und diesen automatischen Aktualisierungsprozess deaktivieren. Siehe Konfigurieren der dynamischen Aktualisierung von Zertifikaten vertrauenswürdiger CA.

Konfigurieren der dynamischen Aktualisierung von Zertifikaten der vertrauenswürdigen CA

Voraussetzungen

Bevor Sie die dynamische Aktualisierung von standardmäßigen vertrauenswürdigen CA-Zertifikaten konfigurieren, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:

  • Die Grundkonfiguration des Junos OS-Geräts ist abgeschlossen.

  • Ihr Junos OS-Gerät ist mit dem Juniper CDN-Server erreichbar. Sie können auch eine nicht standardmäßige Routinginstanz verwenden, um eine Verbindung mit dem Internet herzustellen und die standardmäßigen vertrauenswürdigen CA-Zertifikate herunterzuladen. Stellen Sie sicher, dass Sie die nicht standardmäßige Routinginstanz konfigurieren, bevor Sie die dynamische Aktualisierung vertrauenswürdiger CA-Zertifikate konfigurieren. Wenden Sie sich an den Juniper Vertrieb, um Details zum Juniper CDN-Server zu erfahren.

  • Stellen Sie für benutzerdefinierte CDN-Server sicher, dass Sie über die neuesten CA-Zertifikate und die URL verfügen. Die Konfiguration des benutzerdefinierten CDN-Servers liegt außerhalb des Rahmens dieses Themas.

Navigieren Sie basierend auf Ihren Anforderungen zu den folgenden Aufgaben, um die dynamische Aktualisierung des standardmäßigen Pakets für vertrauenswürdige CA zu konfigurieren.

Überprüfen Sie die Konnektivität zum CDN-Server.

Überblick

Verwenden Sie den folgenden Befehl, um die Konnektivität mit dem CDN-Server zu überprüfen und die standardmäßigen vertrauenswürdigen CA-Zertifikate herunterzuladen. Dieser Befehl lädt die Manifestdatei herunter und zeigt die Trusted-Ca-Bundle-Version an, die auf dem CDN-Server verfügbar ist.

Ausführliche Informationen zum Befehl finden Sie unter request security pki ca-certificate ca-profile-group default-trusted-ca-certs .

Konfiguration

  1. Geben Sie den folgenden Befehl ein, um die Konnektivität mit dem CDN-Server im Betriebsmodus des Junos OS-Geräts zu überprüfen.

Aktivieren des automatischen Downloads von Standardzertifikaten für vertrauenswürdige CA

Überblick

Juniper Networks aktualisiert regelmäßig die standardmäßigen Zertifikate der vertrauenswürdigen CA auf dem Juniper CDN-Server, und Sie können die Zertifikate auf das Junos OS-Gerät herunterladen. Der automatische Download von standardmäßigen vertrauenswürdigen CA-Zertifikaten ist auf dem Junos OS-Gerät standardmäßig aktiviert. Sie können die Konfiguration anpassen und die neuesten standardmäßigen vertrauenswürdigen CA-Zertifikate in bestimmten Intervallen laden. Die Standardperiodizität beträgt 24 Stunden, wenn Sie keinen Wert angeben. Wenn Sie den standardmäßigen Juniper CDN Server (http://signatures.juniper.net/cacert) verwenden, ist keine separate Konfiguration erforderlich.

In diesem Beispiel wird gezeigt, wie der automatische Download von standardmäßigen Zertifikaten für vertrauenswürdige CA auf einem Junos OS-Gerät mithilfe der Standardkonfigurationseinstellungen aktiviert wird. Ausführliche Informationen zur Konfigurationsanweisung finden Sie unter default-trusted-ca-certs (Sicherheit). Heruntergeladene vertrauenswürdige Standardzertifikate der CA werden automatisch im Hintergrund mit dem Befehl statement request security pki ca-certificate ca-profile-group load geladen. Sie müssen diesen Befehl nicht explizit ausführen, um die Zertifikate zu laden.

Konfiguration

Da der automatische Download von Standardzertifikaten für vertrauenswürdige CA standardmäßig aktiviert ist, ist keine separate Konfiguration erforderlich.

Standardzertifikate der vertrauenswürdigen CA automatisch herunterladen

Überblick

In diesem Beispiel geben Sie die folgende benutzerdefinierte Konfiguration an, während Sie den automatischen Download von benutzerdefinierten CA-Zertifikaten aktivieren:

  • Konfigurieren Sie das Junos OS-Gerät so, dass die standardmäßigen Zertifikate der vertrauenswürdigen CA alle 48 Stunden heruntergeladen und installiert werden.

  • Geben Sie den benutzerdefinierten CDN-Server an, der über die URL-signatures.example.net erreichbar ist.

  • Geben Sie die nicht standardmäßige Routinginstanz an, die den CDN-Server erreichen soll.

Ausführliche Informationen zur Konfigurationsanweisung finden Sie unter default-trusted-ca-certs (Sicherheit).

Konfiguration

Konfiguration

  1. Legen Sie die Periodizität von Download- und Ladevorgängen auf 48 Stunden fest. Die CLI lädt die Zertifikate automatisch auf das Junos OS-Gerät.

  2. Geben Sie die benutzerdefinierte URL an.

  3. Geben Sie die Routing-Instanz an.

  4. Bestätigen Sie die Konfiguration.

Vertrauenswürdige Standardzertifikate der CA manuell herunterladen

Überblick

Verwenden Sie den folgenden Befehl, um standardmäßige vertrauenswürdige CA-Zertifikate manuell vom CDN-Server auf das Junos OS-Gerät herunterzuladen. Dieser Befehl ist zusätzlich zum automatischen Download der standardmäßigen vertrauenswürdigen CA-Zertifikate in regelmäßigen Abständen verfügbar.

Ausführliche Informationen zum Befehl finden Sie unter request security pki ca-certificate ca-profile-group default-trusted-ca-certs .

Konfiguration

Konfiguration

  1. Geben Sie den folgenden Befehl aus, um die standardmäßigen Zertifikate der vertrauenswürdigen CA explizit aus dem Betriebsmodus des Junos OS-Geräts herunterzuladen.

Überprüfen Sie den Download-Status der standardmäßigen vertrauenswürdigen CA-Zertifikate

Überblick

Verwenden Sie die folgenden Befehle, um den Download-Status der standardmäßigen vertrauenswürdigen CA-Zertifikate auf dem Junos OS-Gerät vom CDN-Server zu überprüfen. Diese Befehle zeigen die Versionsnummer und das Versionsdatum an. Sie können sie verwenden, um die vorherige heruntergeladene Version und das Datum zu überprüfen.

Ausführliche Informationen zum Befehl finden Sie unter request security pki ca-certificate ca-profile-group default-trusted-ca-certs .

Konfiguration

Konfiguration

  1. Geben Sie den folgenden Befehl ein, um die auf dem Junos OS-Gerät verfügbare Versionsnummer und das Versionsdatum zu überprüfen.

  2. Verwenden Sie den folgenden Befehl, um standardmäßige vertrauenswürdige CA-Zertifikate zu laden:

Deaktivieren Sie den automatischen Download von Trusted-CA-Zertifikaten

Überblick

Der automatische Download ist standardmäßig aktiviert. Dieses Beispiel zeigt, wie Sie den automatischen Download von standardmäßigen vertrauenswürdigen CA-Zertifikaten deaktivieren, obwohl wir dies nicht empfehlen.

Ausführliche Informationen zur Konfigurationsanweisung finden Sie unter default-trusted-ca-certs (Sicherheit).

Konfiguration

Konfiguration

  1. Verwenden Sie den folgenden Befehl, um den automatischen Download von standardmäßigen vertrauenswürdigen CA-Zertifikaten zu deaktivieren.

  2. Bestätigen Sie die Konfiguration.