Registrieren eines Zertifikats
Erfahren Sie, wie Sie verschiedene PKI-Zertifikate registrieren und verwalten.
Eine Zertifizierungsstelle stellt digitale Zertifikate aus, die dazu beitragen, eine sichere Verbindung zwischen zwei Endpunkten durch Zertifikatsvalidierung herzustellen. In den folgenden Themen wird beschrieben, wie Zertifizierungsstellenzertifikate online oder lokal mithilfe von SCEP konfiguriert werden.
Online-Registrierung digitaler Zertifikate: Konfigurationsübersicht
Sie können entweder CMPv2 oder SCEP verwenden, um digitale Zertifikate zu registrieren. So registrieren Sie ein Zertifikat online:
Generieren Sie ein Schlüsselpaar auf dem Gerät. Weitere Informationen finden Sie unter Selbstsignierte digitale Zertifikate.
Erstellen Sie ein Zertifizierungsstellenprofil oder Profile, die Informationen enthalten, die für eine Zertifizierungsstelle spezifisch sind. Siehe Beispiel: Konfigurieren eines Zertifizierungsstellenprofils.
Registrieren Sie nur für SCEP das Zertifizierungsstellenzertifikat. Weitere Informationen finden Sie unter Online-Registrieren eines Zertifizierungsstellenzertifikats mithilfe von SCEP.
Registrieren Sie das lokale Zertifikat bei der Zertifizierungsstelle, deren Zertifizierungsstellenzertifikat Sie zuvor geladen haben. Siehe Beispiel: Online-Registrieren eines lokalen Zertifikats mithilfe von SCEP.
Konfigurieren Sie die automatische erneute Registrierung. Siehe Beispiel: Verwenden von SCEP zum automatischen Erneuern eines lokalen Zertifikats.
Registrierung des Zertifikats
- Online-Registrierung für CA-Zertifikate
- Lokale Zertifikatanforderungen
- CMPv2- und SCEP-Zertifikatsregistrierung
- Beispiel: Manuelles Generieren einer CSR für das lokale Zertifikat
- Beispiel: Manuelles Laden von CA- und lokalen Zertifikaten
- Konfigurieren von PKI und SSL-Weiterleitungsproxy zur Authentifizierung von Benutzern
- Konfigurieren von digitalen Zertifikaten für Adaptive Services Interfaces
Online-Registrierung für CA-Zertifikate
Mit SCEP können Sie Ihr Juniper Networks-Gerät so konfigurieren, dass es online ein CA-Zertifikat erhält und die Online-Registrierung für die angegebene Zertifikats-ID startet. Der öffentliche Schlüssel der Zertifizierungsstelle überprüft Zertifikate von Remote-Peers.
Lokale Zertifikatanforderungen
Wenn Sie eine lokale Zertifikatanforderung erstellen, generiert das Gerät ein EE-Zertifikat im PKCS #10-Format aus einem Schlüsselpaar, das Sie zuvor mit derselben Zertifikats-ID generiert haben.
Ein Antragstellername ist der lokalen Zertifikatanforderung in Form eines allgemeinen Namens (CN), einer Organisationseinheit (OU), eines Organisationsnamens (O), eines Ortes (L), eines Bundeslandes (ST), eines Landes (C) und einer Domänenkomponente (DC) zugeordnet. Darüber hinaus wird ein SAN in der folgenden Form zugeordnet:
-
IP-Adresse
-
E-Mail-Adresse
-
FQDN
Geben Sie den Antragstellernamen im DN-Format in Anführungszeichen an, einschließlich der Domänenkomponente (DC), des allgemeinen Namens (CN), der Seriennummer (SN), des Namens der Organisationseinheit (OU), des Organisationsnamens (O), des Ortes (L), des Bundeslandes (ST) und des Landes (C).
Einige Zertifizierungsstellen unterstützen eine E-Mail-Adresse nicht als Domänennamen in einem Zertifikat. Wenn Sie keine E-Mail-Adresse in die lokale Zertifikatanforderung aufnehmen, können Sie keine E-Mail-Adresse als lokale IKE-ID verwenden, wenn Sie das Gerät als dynamischen Peer konfigurieren. Stattdessen können Sie einen FQDN verwenden (wenn er sich im lokalen Zertifikat befindet), oder Sie können das Feld für die lokale ID leer lassen. Wenn Sie keine lokale ID für einen dynamischen Peer angeben, geben Sie die hostname.domain-name dieses Peers auf dem Gerät am anderen Ende des IPsec-Tunnels in das Feld Peer-ID ein.
CMPv2- und SCEP-Zertifikatsregistrierung
Abhängig von Ihrer Bereitstellungsumgebung können Sie entweder CMPv2 oder SCEP für die Onlinezertifikatregistrierung verwenden. In diesem Thema werden einige der grundlegenden Unterschiede zwischen den beiden Protokollen beschrieben.
In Tabelle 1 werden die Unterschiede zwischen den Protokollen für die CMPv2- und SCEP-Zertifikatregistrierung beschrieben.
Attribut |
CMPv2 |
SCEP |
|---|---|---|
Unterstützte Zertifikatstypen: |
DSA, ECDSA und RSA |
Nur RSA |
Unterstützte Standards |
RFCs 4210 und 4211 |
Ietf-Entwurf |
Zertifikatregistrierung, Wiederregistrierungsanforderungen und Antworten unterscheiden sich zwischen CMPv2 und SCEP. Mit CMPv2 gibt es keinen separaten Befehl zum Registrieren von CA-Zertifikaten. Mit SCEP registrieren Sie Zertifizierungsstellenzertifikate mit dem request security pki ca-certificate enroll Befehl und geben das Zertifizierungsstellenprofil an. Ein Zertifizierungsstellenprofil muss entweder mit CMPv2 oder SCEP konfiguriert werden.
Beispiel: Manuelles Generieren einer CSR für das lokale Zertifikat
Dieses Beispiel zeigt, wie Sie eine CSR manuell generieren.
Anforderungen
Generieren Sie einen öffentlichen und einen privaten Schlüssel. Weitere Informationen finden Sie unter Selbstsignierte digitale Zertifikate.
Überblick
In diesem Beispiel generieren Sie eine Zertifikatanforderung mit der Zertifikats-ID eines öffentlich-privaten Schlüsselpaars, das Sie zuvor generiert haben (ca-ipsec). Anschließend geben Sie den Domänennamen (example.net) und den zugehörigen allgemeinen Namen (abc) an. Der Zertifikatsantrag wird im PEM-Format angezeigt.
Kopieren Sie die generierte Zertifikatanforderung und fügen Sie sie in das entsprechende Feld auf der Website der Zertifizierungsstelle ein, um ein lokales Zertifikat zu erhalten (in der Dokumentation des Zertifizierungsstellenservers finden Sie dazu, wo die Zertifikatanforderung eingefügt werden soll). Wenn der PKCS #10-Inhalt angezeigt wird, werden auch der MD5-Hash und der SHA-1-Hash der PKCS #10-Datei angezeigt.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So generieren Sie ein lokales Zertifikat manuell:
-
Geben Sie die Zertifikat-ID, den Domänennamen und den allgemeinen Namen an.
user@host> request security pki generate-certificate-request certificate-id ca-ipsec domain-name example.net subject CN=abc
Verifizierung
Um die CSR anzuzeigen, geben Sie den show security pki certificate-request detail Befehl ein.
Certificate identifier: ca-ipsec Certificate version: 1 Issued to: CN = abc Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:da:ea:cd:3a:49:1f:b7:33:3c:c5:50:fb:57 de:17:34:1c:51:9b:7b:1c:e9:1c:74:86:69:a4:36:77:13:a7:10:0e 52:f4:2b:52:39:07:15:3f:39:f5:49:d6:86:70:4b:a6:2d:73:b6:68 39:d3:6b:f3:11:67:ee:b4:40:5b:f4:de:a9:a4:0e:11:14:3f:96:84 03:3c:73:c7:75:f5:c4:c2:3f:5b:94:e6:24:aa:e8:2c:54:e6:b5:42 c7:72:1b:25:ca:f3:b9:fa:7f:41:82:6e:76:8b:e6:d7:d2:93:9b:38 fe:fd:71:01:2c:9b:5e:98:3f:0c:ed:a9:2b:a7:fb:02:03:01:00:01 Fingerprint: 0f:e6:2e:fc:6d:52:5d:47:6e:10:1c:ad:a0:8a:4c:b7:cc:97:c6:01 (sha1) f8:e6:88:53:52:c2:09:43:b7:43:9c:7a:a2:70:98:56 (md5)
Beispiel: Manuelles Laden von CA- und lokalen Zertifikaten
In diesem Beispiel wird gezeigt, wie Zertifizierungsstellen- und lokale Zertifikate manuell geladen werden.
Anforderungen
Bevor Sie beginnen:
-
Generieren Sie ein öffentlich-privates Schlüsselpaar. Weitere Informationen finden Sie unter Selbstsignierte digitale Zertifikate.
-
Erstellen Sie ein CA-Profil. Siehe Zertifizierungsstelle
Das Zertifizierungsstellenprofil ist nur für das Zertifizierungsstellenzertifikat und nicht für das lokale Zertifikat erforderlich.
-
Generieren Sie eine Zertifikatsanforderung. Siehe Beispiel: Manuelles Generieren einer CSR für das lokale Zertifikat und Senden an den CA-Server.
Überblick
In diesem Beispiel laden Sie die Zertifikate local.cert und ca.cert herunter und speichern die Zertifikate im Verzeichnis /var/tmp/auf dem Gerät.
Nachdem Sie Zertifikate von einer Zertifizierungsstelle heruntergeladen haben, übertragen Sie Zertifikate auf das Gerät (z. B. mithilfe von FTP).
Anschließend können Sie die folgenden Zertifikatsdateien auf ein Gerät laden, auf dem Junos OS ausgeführt wird:
Ein lokales oder EE-Zertifikat, das Ihr lokales Gerät identifiziert. Dieses Zertifikat ist Ihr öffentlicher Schlüssel.
Ein CA-Zertifikat, das den öffentlichen Schlüssel der CA enthält.
Eine Zertifikatsperrliste, die alle Zertifikate auflistet, die von der Zertifizierungsstelle gesperrt wurden.
Sie können mehrere EE-Zertifikate auf das Gerät laden.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So laden Sie die Zertifikatsdateien auf ein Gerät:
Laden Sie das lokale Zertifikat.
[edit] user@host> request security pki local-certificate load certificate-id local.cert filename /var/tmp/local.cert
Laden Sie das CA-Zertifikat.
[edit] user@host> request security pki ca-certificate load ca-profile ca-profile-ipsec filename /var/tmp/ca.cert
Untersuchen Sie den Fingerabdruck des CA-Zertifikats. Wenn es für dieses Zertifizierungsstellenzertifikat korrekt ist, wählen Sie Ja aus, um es zu akzeptieren.
Verifizierung
Um zu überprüfen, ob die Zertifikate ordnungsgemäß geladen wurden, geben Sie die show security pki local-certificate Befehle und show security pki ca-certificate im Betriebsmodus ein.
Fingerprint: e8:bf:81:6a:cd:26:ad:41:b3:84:55:d9:10:c4:a3:cc:c5:70:f0:7f (sha1) 19:b0:f8:36:e1:80:2c:30:a7:31:79:69:99:b7:56:9c (md5) Do you want to load this CA certificate ? [yes,no] (no) yes
Konfigurieren von PKI und SSL-Weiterleitungsproxy zur Authentifizierung von Benutzern
Nicht-Domänenbenutzer können PKI so konfigurieren, dass die Integrität, Vertraulichkeit und Authentizität des Datenverkehrs überprüft wird. PKI umfasst digitale Zertifikate, die von der Zertifizierungsstelle ausgestellt wurden, Gültigkeits- und Ablaufdaten von Zertifikaten, Details zum Zertifikatbesitzer und -aussteller sowie Sicherheitsrichtlinien.
Für alle Nicht-Domänenbenutzer oder Domänenbenutzer auf einem Nicht-Domänencomputer gibt der Administrator ein Captive Portal an, um den Benutzer zur Durchführung der Firewallauthentifizierung zu zwingen (wenn die Firewall das Captive Portal für den Datenverkehrstyp unterstützt). Nachdem der Benutzer einen Namen und ein Kennwort eingegeben und die Firewall-Authentifizierung bestanden hat, ruft das Gerät Benutzer- oder Gruppeninformationen zur Firewall-Authentifizierung ab und kann die Firewall-Richtlinie des Benutzers erzwingen, um den Benutzer entsprechend zu steuern. Wenn die IP-Adresse oder Benutzerinformationen nicht im Ereignisprotokoll verfügbar sind, kann sich der Benutzer zusätzlich zum Captive Portal erneut beim Windows-PC anmelden, um einen Ereignisprotokolleintrag zu generieren. Anschließend generiert das System den Authentifizierungseintrag des Benutzers entsprechend.
Damit das Gerät die Benutzer über HTTPs authentifizieren kann, müssen die Benutzer den SSL-Weiterleitungsproxy konfigurieren und aktivieren. Sie müssen ein lokales Zertifikat generieren, ein SSL-Beendigungsprofil und ein SSL-Proxyprofil hinzufügen und in der Sicherheitsrichtlinie auf das SSL-Proxyprofil verweisen. Wenn der SSL-Weiterleitungsproxy nicht aktiviert ist, kann die Firewall Benutzer, die HTTPS verwenden, nicht authentifizieren, aber für Benutzer, die HTTP, FPT und Telnet verwenden, kann die Authentifizierung wie erwartet durchgeführt werden.
So generieren Sie PKI und aktivieren SSL-Proxy:
Generieren Sie ein PKI-Schlüsselpaar aus öffentlichem und privatem Schlüssel für ein lokales digitales Zertifikat.
user@host# request security pki generate-key-pair certificate-id ssl-inspect-ca size 2048 type rsa
Generieren Sie manuell ein selbstsigniertes Zertifikat für den angegebenen DN.
user@host# request security pki local-certificate generate-self-signed certificate-id ssl-inspect-ca domain-name www.mycompany.net subject "CN=www.mycompany.com,OU=IT,O=MY COMPANY,L=Sunnyvale,ST=CA,C=US" email security-admin@mycompany.net
Definieren Sie das Zugriffsprofil, das für SSL-Terminierungsdienste verwendet werden soll.
user@host# set services ssl termination profile for_userfw server-certificate ssl-inspect-ca
Konfigurieren Sie das geladene Zertifikat als root-ca im SSL-Proxyprofil.
user@host# set services ssl proxy profile ssl-inspect-profile root-ca ssl-inspect-ca
Geben Sie die
ignore-server-auth-failureOption an, wenn Sie nicht die gesamte Zertifizierungsstellenliste importieren und keine verworfenen Sitzungen wünschen.user@host# set services ssl proxy profile ssl-inspect-profile actions ignore-server-auth-failure
Fügen Sie ein SSL-Beendigungsprofil zu Sicherheitsrichtlinien hinzu.
user@host# set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication user-firewall ssl-termination-profile for_userfw
Bestätigen Sie die Konfiguration.
user@hot# commit
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
Im Abschnitt Plattformspezifisches Verhalten der SSL-Terminierungsdienste finden Sie Hinweise zu Ihrer Plattform.
Konfigurieren von digitalen Zertifikaten für Adaptive Services Interfaces
Bei der Implementierung digitaler Zertifikate wird die PKI verwendet, für die Sie ein Schlüsselpaar generieren müssen, das aus einem öffentlichen und einem privaten Schlüssel besteht. Die Schlüssel werden mit einem Zufallszahlengenerator erstellt und dienen zum Ver- und Entschlüsseln von Daten. In Netzwerken, die keine digitalen Zertifikate verwenden, verschlüsselt ein IPsec-fähiges Gerät Daten mit dem privaten Schlüssel, und IPsec-Peers entschlüsseln die Daten mit dem öffentlichen Schlüssel.
Bei digitalen Zertifikaten erfordert der Prozess der gemeinsamen Nutzung von Schlüsseln eine zusätzliche Komplexitätsstufe. Zunächst fordern Sie und Ihre IPsec-Peers an, dass eine Zertifizierungsstelle Ihnen ein Zertifizierungsstellenzertifikat sendet, das den öffentlichen Schlüssel der Zertifizierungsstelle enthält. Als Nächstes fordern Sie die Zertifizierungsstelle auf, Ihnen ein lokales digitales Zertifikat zuzuweisen, das den öffentlichen Schlüssel und einige zusätzliche Informationen enthält. Wenn die Zertifizierungsstelle Ihre Anforderung verarbeitet, signiert sie Ihr lokales Zertifikat mit dem privaten Schlüssel der Zertifizierungsstelle. Anschließend installieren Sie das CA-Zertifikat und das lokale Zertifikat in Ihrem Router und laden die CA in Remotegeräte, bevor Sie IPsec-Tunnel mit Ihren Peers einrichten können.
Für digitale Zertifikate unterstützt das Junos OS VeriSign-, Entrust-, Cisco Systems- und Microsoft Windows-Zertifizierungsstellen für die Adaptive Services (AS)- und Multiservices-PICs.
Die folgenden Aufgaben ermöglichen Ihnen das Implementieren digitaler Zertifikate.
- Konfigurieren der Eigenschaften der Zertifizierungsstelle
- Konfigurieren der Zertifikatsperrliste
- Digitale Zertifikate verwalten
- Konfigurieren der automatischen erneuten Registrierung eines Routerzertifikats
Konfigurieren der Eigenschaften der Zertifizierungsstelle
Eine Zertifizierungsstelle ist eine vertrauenswürdige Drittanbieterorganisation, die digitale Zertifikate erstellt, registriert, validiert und widerruft.
Um eine Zertifizierungsstelle und ihre Eigenschaften für die AS- und Multiservices-PICs zu konfigurieren, schließen Sie die folgenden Anweisungen auf Hierarchieebene [edit security pki] ein:
[edit security pki] ca-profile ca-profile-name { ca-identity ca-identity; enrollment { url url-name; retry number-of-attempts; retry-interval seconds; } }
Aufgaben zum Konfigurieren der CA-Eigenschaften sind:
- Geben Sie den Namen des CA-Profils an
- Angeben einer Registrierungs-URL
- Angeben der Registrierungseigenschaften
Geben Sie den Namen des CA-Profils an
Das Zertifizierungsstellenprofil enthält den Namen und die URL der Zertifizierungsstelle oder RA sowie einige Einstellungen für den Wiederholungs-Timer. CA-Zertifikate, die von Entrust, VeriSign, Cisco Systems und Microsoft ausgestellt wurden, sind kompatibel.
Um den Namen des CA-Profils anzugeben, fügen Sie die ca-profile statement auf der [edit security pki] Sicherheitsstufe ein:
[edit security pki] ca-profile ca-profile-name;
Außerdem müssen Sie den Namen der CA-Identität angeben, die in der Zertifikatanforderung verwendet wird. Bei diesem Namen handelt es sich in der Regel um den Domänennamen. Um den Namen der CA-Identität anzugeben, fügen Sie die ca-identity Anweisung auf der folgenden [edit security pki ca-profile ca-profile-name] Ebene ein:
[edit security pki ca-profile ca-profile-name]
ca-identity ca-identity;
Angeben einer Registrierungs-URL
Sie geben den Speicherort der Zertifizierungsstelle an, an den Ihr Router die SCEP-basierten Zertifikatregistrierungsanforderungen senden soll. Um den Speicherort der Zertifizierungsstelle durch Benennung der Zertifizierungsstellen-URL anzugeben, schließen Sie die url Anweisung auf der [edit security pki enrollment] Hierarchieebene ein:
[edit security pki ca-profile ca-profile-name enrollment]
url url-name;
url-name ist der Standort der Zertifizierungsstelle. Das Format ist http://CA_name, wobei CA_name der DNS-Name oder die IP-Adresse des CA-Hosts ist.
Angeben der Registrierungseigenschaften
Sie können angeben, wie oft einem Router eine Zertifikatsanforderung erneut gesendet wird und wie lange der Router zwischen den Registrierungsversuchen warten soll (in Sekunden).
Standardmäßig ist die Anzahl der Registrierungswiederholungen auf 0 festgelegt, was einer unendlichen Anzahl von Wiederholungen entspricht. Um anzugeben, wie oft einem Router eine Zertifikatsanforderung erneut gesendet wird, fügen Sie die retry number-of-attempts Anweisung auf der [edit security pki ca-profile ca-profile-name enrollment] Hierarchieebene ein:
[edit security pki ca-profile ca-profile-name enrollment]
retry number-of-attempts;
Der Bereich für number-of-attempts liegt zwischen 0 und 100.
Wenn Sie die Zeitspanne in Sekunden angeben möchten, die ein Router zwischen den Registrierungsversuchen warten soll, fügen Sie die retry-interval seconds Anweisung auf der [edit security pki ca-profile ca-profile-name enrollment] Hierarchieebene ein:
[edit security pki ca-profile ca-profile-name enrollment]
retry-interval seconds;
Der Bereich für seconds reicht von 0 bis 3600.
Konfigurieren der Zertifikatsperrliste
Aufgaben zum Konfigurieren der Zertifikatsperrliste sind:
- Angeben einer LDAP-URL
- Konfigurieren des Intervalls zwischen CRL-Aktualisierungen
- Außerkraftsetzen der Zertifikatüberprüfung, wenn der CRL-Download fehlschlägt
Angeben einer LDAP-URL
Sie können die URL für den LDAP-Server angeben, auf dem Ihre Zertifizierungsstelle die aktuelle Zertifikatsperrliste speichert. Wenn die Zertifizierungsstelle den Zertifikatverteilungspunkt (Certificate Distribution Point, CDP) in das digitale Zertifikat einschließt, müssen Sie keine URL für den LDAP-Server angeben. Die CDP ist ein Feld innerhalb des Zertifikats, das Informationen zum Abrufen der Zertifikatsperrliste für das Zertifikat enthält. Der Router verwendet diese Informationen, um die Zertifikatsperrliste automatisch herunterzuladen.
Konfigurieren Sie eine LDAP-URL, wenn Sie eine andere als die im Zertifikat angegebene CDP verwenden möchten. Jede LDAP-URL, die Sie konfigurieren, hat Vorrang vor der im Zertifikat enthaltenen CDP.
Sie können bis zu drei URLs für jedes Zertifizierungsstellenprofil konfigurieren.
Wenn der LDAP-Server ein Kennwort für den Zugriff auf die Zertifikatsperrliste benötigt, müssen Sie die password Anweisung einschließen.
Um den Router so zu konfigurieren, dass er die CRL vom LDAP-Server abruft, fügen Sie die url Anweisung ein, und geben Sie den URL-Namen auf der [edit security pki ca-profile ca-profile-name revocation-check crl] Hierarchieebene an:
[edit security pki ca-profile ca-profile-name revocation-check crl]
url {
url-name;
}
url-name ist der Name des LDAP-Servers der Zertifizierungsstelle. Das Format ist ldap://server-name, wobei server-name der DNS-Name oder die IP-Adresse des CA-Hosts angegeben ist.
Um anzugeben, dass ein Kennwort für den Zugriff auf die Zertifikatsperrliste verwendet werden soll, schließen Sie die password Anweisung auf der [edit security pki ca-profile ca-profile-name revocation-check crl url] Hierarchieebene ein:
[edit security pki ca-profile ca-profile-name revocation-check crl url] password password;
password ist das geheime Kennwort, das der LDAP-Server für den Zugriff benötigt.
Konfigurieren des Intervalls zwischen CRL-Aktualisierungen
Standardmäßig beträgt das Zeitintervall zwischen CRL-Updates 24 Stunden. Um die Zeitspanne zwischen CRL-Aktualisierungen zu konfigurieren, schließen Sie die refresh-interval Anweisung auf der [edit security pki ca-profile ca-profile-name revocation-check crl] Hierarchieebene ein:
[edit security pki ca-profile ca-profile-name revocation-check crl]
refresh-interval number-of-hours;
Der Bereich für die Anzahl der Stunden reicht von 0 bis 8784.
Außerkraftsetzen der Zertifikatüberprüfung, wenn der CRL-Download fehlschlägt
Wenn der Router entweder nicht auf die LDAP-URL zugreifen oder keine gültige Zertifikatsperrliste abrufen kann, schlägt die Zertifikatsüberprüfung standardmäßig fehl, und der IPsec-Tunnel wird nicht eingerichtet. Um dieses Verhalten außer Kraft zu setzen und die Authentifizierung des IPsec-Peers zuzulassen, wenn die Zertifikatsperrliste nicht heruntergeladen wird, schließen Sie die disable on-download-failure Anweisung auf der [edit security pki ca-profile ca-profile-name revocation-check crl] Hierarchieebene ein:
[edit security pki ca-profile ca-profile-name revocation-check crl] disable on-download-failure;
Digitale Zertifikate verwalten
Nachdem Sie das Zertifizierungsstellenprofil konfiguriert haben, können Sie ein Zertifizierungsstellenzertifikat von der vertrauenswürdigen Zertifizierungsstelle anfordern. Als Nächstes müssen Sie ein öffentliches/privates Schlüsselpaar generieren. Wenn das Schlüsselpaar verfügbar ist, können Sie entweder online oder manuell ein lokales Zertifikat generieren.
Aufgaben zum Verwalten digitaler Zertifikate sind:
- Anfordern eines digitalen CA-Zertifikats für AS- und Multiservices-PICs
- Generieren eines öffentlichen/privaten Schlüsselpaars
- Generieren und Registrieren eines lokalen digitalen Zertifikats
Anfordern eines digitalen CA-Zertifikats für AS- und Multiservices-PICs
Informationen zum Konfigurieren eines Zertifizierungsstellenprofils finden Sie unter Konfigurieren der Eigenschaften der Zertifizierungsstelle.
In diesem Beispiel wird das Zertifikat online registriert und automatisch auf dem Router installiert.
user@host> request security pki ca-certificate enroll ca-profile entrust
Received following certificates: Certificate: C=us, O=juniper Fingerprint:00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10 Certificate: C=us, O=juniper, CN=First Officer Fingerprint:bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17 Certificate: C=us, O=juniper, CN=First Officer Fingerprint:46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f Do you want to load the above CA certificate ? [yes,no] (no) yes
Wenn Sie das Zertifizierungsstellenzertifikat direkt von der Zertifizierungsstelle abrufen (z. B. als E-Mail-Anlage oder Websitedownload), können Sie es mit dem request security pki ca-certificate load Befehl installieren. Weitere Informationen finden Sie im CLI-Explorer.
Generieren eines öffentlichen/privaten Schlüsselpaars
Nachdem Sie ein Zertifikat für ein AS PIC oder MS-PIC erhalten haben, müssen Sie einen öffentlich-privaten Schlüssel generieren, bevor Sie ein lokales Zertifikat generieren können. Der öffentliche Schlüssel ist im lokalen digitalen Zertifikat enthalten, und der private Schlüssel wird verwendet, um die von Peers empfangenen Daten zu entschlüsseln. Um ein öffentlich-privates Schlüsselpaar zu generieren, geben Sie den request security pki generate-key-pair certificate-id certificate-id-name Befehl aus.
Das folgende Beispiel zeigt, wie ein öffentlich-privater Schlüssel für ein AS PIC oder MS-PIC generiert wird:
user@host>request security pki generate-key-pair certificate-id local-entrust2 Generated key pair local-entrust2, key size 1024 bits
Generieren und Registrieren eines lokalen digitalen Zertifikats
Sie können lokale digitale Zertifikate entweder online oder manuell generieren und registrieren. Um ein lokales Zertifikat online zu generieren und zu registrieren, indem Sie das SCEP für ein AS PIC oder MS-PIC verwenden, geben Sie den request security pki local-certificate enroll Befehl aus. Um eine lokale Zertifikatsanforderung manuell im PKCS-10-Format zu generieren, geben Sie den request security pki generate-certificate-request Befehl ein.
Wenn Sie die lokale Zertifikatsanforderung manuell erstellen, müssen Sie das Zertifikat auch manuell laden. Um manuell ein Zertifikat in Ihrem Router zu installieren, geben Sie den Befehl request security pki local-certificate load ein.
Das folgende Beispiel zeigt, wie Sie eine lokale Zertifikatanforderung manuell generieren und zur Verarbeitung an die Zertifizierungsstelle senden:
user@host> request security pki generate-certificate-request certificate-id local-entrust2 domain-name router2.example.com filename entrust-req2 subject cn=router2.example.com
Generated certificate request -----BEGIN CERTIFICATE REQUEST----- MIIBoTCCAQoCAQAwGjEYMBYGA1UEAxMPdHAxLmp1bmlwZXIubmV0MIGfMA0GCSqG SIb3DQEBAQUAA4GNADCBiQKBgQCiUFklQws1Ud+AqN5DDxRs2kVyKEhh9qoVFnz+ Hz4c9vsy3B8ElwTJlkmIt2cB3yifB6zePd+6WYpf57Crwre7YqPkiXM31F6z3YjX H+1BPNbCxNWYvyrnSyVYDbFj8o0Xyqog8ACDfVL2JBWrPNBYy7imq/K9soDBbAs6 5hZqqwIDAQABoEcwRQYJKoZIhvcNAQkOMTgwNjAOBgNVHQ8BAf8EBAMCB4AwJAYD VR0RAQH/BBowGIIWdHAxLmVuZ2xhYi5qdW5pcGVyLm5ldDANBgkqhkiG9w0BAQQF AAOBgQBc2rq1v5SOQXH7LCb/FdqAL8ZM6GoaN5d6cGwq4bB6a7UQFgtoH406gQ3G 3iH0Zfz4xMIBpJYuGd1dkqgvcDoH3AgTsLkfn7Wi3x5H2qeQVs9bvL4P5nvEZLND EIMUHwteolZCiZ70fO9Fer9cXWHSQs1UtXtgPqQJy2xIeImLgw== -----END CERTIFICATE REQUEST----- Fingerprint: 0d:90:b8:d2:56:74:fc:84:59:62:b9:78:71:9c:e4:9c:54:ba:16:97 (sha1) 1b:08:d4:f7:90:f1:c4:39:08:c9:de:76:00:86:62:b8 (md5)
Die vertrauenswürdige Zertifizierungsstelle signiert das lokale Zertifikat digital und sendet es an Sie zurück. Kopieren Sie die Zertifikatsdatei in den Router, und laden Sie das Zertifikat:
user@host> request security pki local-certificate load filename /tmp/router2-cert certificate-id local-entrust2 Local certificate local-entrust2 loaded successfully
Der Name der Datei, die Ihnen von der Zertifizierungsstelle gesendet wird, stimmt möglicherweise nicht mit dem Namen der Zertifikats-ID überein. Der certificate-id Name muss jedoch immer mit dem Namen des Schlüsselpaars übereinstimmen, das Sie für den Router generiert haben.
Nachdem die lokalen Zertifikate und die Zertifizierungsstellenzertifikate geladen wurden, können Sie in Ihrer IPsec-Konfiguration auf Zertifikate verweisen. Wenn Sie Standardwerte in den AS- und Multiservices-PICs verwenden, müssen Sie keinen IPsec-Vorschlag oder eine IPsec-Richtlinie konfigurieren. Sie müssen jedoch einen IKE-Vorschlag konfigurieren, der die Verwendung digitaler Zertifikate angibt, auf den IKE-Vorschlag verweisen und das Zertifikat in einer IKE-Richtlinie suchen sowie das Zertifizierungsstellenprofil auf den Dienstsatz anwenden.
Konfigurieren der automatischen erneuten Registrierung eines Routerzertifikats
Verwenden Sie die auto-re-enrollment Anweisung, um die automatische erneute Registrierung eines angegebenen vorhandenen Routerzertifikats vor dem vorhandenen Ablaufdatum zu konfigurieren. Mit dieser Funktion wird das Routerzertifikat automatisch erneut registriert. Bei der erneuten Registrierung wird die Zertifizierungsstelle aufgefordert, ein neues Routerzertifikat mit einem neuen Ablaufdatum auszustellen. Das Datum der automatischen erneuten Registrierung wird durch die folgenden Parameter bestimmt:
re-enroll-trigger-time– Der Prozentsatz der Differenz zwischen dem Startdatum/der Startzeit des Router-Zertifikats (Zeitpunkt der Generierung des Zertifikats) und dem Gültigkeitszeitraum. Wirdre-enroll-trigger-timeverwendet, um anzugeben, wie lange die automatische erneute Registrierung vor Ablauf initiiert werden soll.validity-period– Die Anzahl der Tage nach der Ausstellung, nach denen das Router-Zertifikat abläuft, wie bei der Generierung eines Zertifikats festgelegt.
Standardmäßig ist diese Funktion nur aktiviert, wenn sie explizit konfiguriert ist. Dies bedeutet, dass ein Zertifikat, für das die automatische erneute Registrierung nicht konfiguriert ist, an seinem normalen Ablaufdatum abläuft.
Die ca-profile Anweisung gibt an, welche Zertifizierungsstelle kontaktiert wird, um das ablaufende Zertifikat erneut zu registrieren. Dies ist die Zertifizierungsstelle, die das ursprüngliche Routerzertifikat ausgestellt hat.
Die challenge-password Anweisung stellt der ausstellenden Zertifizierungsstelle das Kennwort des Routerzertifikats zur Verfügung, das vom Administrator festgelegt und normalerweise von der SCEP-Registrierungswebseite der Zertifizierungsstelle abgerufen wird. Das Passwort ist 16 Zeichen lang.
Optional kann das Schlüsselpaar des Routerzertifikats mithilfe der re-generate-keypair Anweisung neu generiert werden.
Um die Eigenschaften für die automatische erneute Registrierung zu konfigurieren, schließen Sie die folgenden Anweisungen auf Hierarchieebene [edit security pki] ein:
[edit security pki] auto-re-enrollment { certificate-id { ca-profile ca-profile-name; challenge-password password; re-enroll-trigger-time-percentage percentage; re-generate-keypair; validity-period days; } }
percentage ist der Prozentsatz für die Zeit des Triggers für die erneute Registrierung. Der Bereich kann zwischen 1 und 99 Prozent liegen.
days ist die Anzahl der Tage für den Gültigkeitszeitraum. Der Bereich kann zwischen 1 und 4095 liegen.
Aufgaben zum Konfigurieren der automatischen erneuten Registrierung von Zertifikaten sind:
- Geben Sie die Zertifikats-ID an
- Angeben des CA-Profils
- Geben Sie das Challenge-Passwort an
- Angeben der Triggerzeit für die erneute Registrierung
- Angeben des Schlüsselpaars "Neugenerieren"
- Geben Sie den Gültigkeitszeitraum an
Geben Sie die Zertifikats-ID an
Verwenden Sie die certificate-id Anweisung, um den Namen des Routerzertifikats anzugeben, das für die automatische Neuregistrierung konfiguriert werden soll. Um die Zertifikats-ID anzugeben, schließen Sie die Anweisung auf der [edit security pki auto-re-enrollment] Hierarchieebene ein:
[edit security pki auto-re-enrollment] certificate-id certificate-name;
Angeben des CA-Profils
Verwenden Sie die Anweisung ca-profile , um den Namen des Zertifizierungsstellenprofils aus dem Routerzertifikat anzugeben, das zuvor durch die Zertifikat-ID angegeben wurde. Um das CA-Profil anzugeben, fügen Sie die Anweisung auf der [edit security pki auto-re-enrollment certificate-id certificate-name] Hierarchieebene ein:
[edit security pki auto-re-enrollment certificate-id certificate-name] ca-profile ca-profile-name;
Für den Referenzgeber ca-profile muss eine Registrierungs-URL auf Hierarchieebene [edit security pki ca-profile ca-profile-name enrollment url] konfiguriert sein.
Geben Sie das Challenge-Passwort an
Das Abfragekennwort wird von der durch die PKI-Zertifikats-ID angegebenen Zertifizierungsstelle für die erneute Registrierung und Sperrung verwendet. Um das Abfragekennwort anzugeben, fügen Sie die folgende Anweisung auf Hierarchieebene [edit security pki auto-re-enrollment certificate-id certificate-name] ein:
[edit security pki auto-re-enrollment certificate-id certificate-name] challenge-password password;
Angeben der Triggerzeit für die erneute Registrierung
Verwenden Sie die re-enroll-trigger-time Anweisung, um den Prozentsatz des Gültigkeitszeitraums vor Ablauf festzulegen, bei dem die erneute Registrierung erfolgt. Um die Triggerzeit für die erneute Registrierung anzugeben, fügen Sie die folgende Anweisung auf Hierarchieebene [edit security pki auto-re-enrollment certificate-id certificate-name] ein:
[edit security pki auto-re-enrollment certificate-id certificate-name] re-enroll-trigger-time percentage;
percentage ist der Prozentsatz für die Zeit des Triggers für die erneute Registrierung. Der Bereich kann zwischen 1 und 99 Prozent liegen.
Angeben des Schlüsselpaars "Neugenerieren"
Wenn ein neu generiertes Schlüsselpaar konfiguriert wird, wird während der erneuten Registrierung ein neues Schlüsselpaar generiert. Bei erfolgreicher erneuter Registrierung ersetzen ein neues Schlüsselpaar und ein neues Zertifikat das alte Zertifikat und Schlüsselpaar. Um ein neues Schlüsselpaar zu generieren, fügen Sie die folgende Anweisung auf der [edit security pki auto-re-enrollment certificate-id certificate-name] Hierarchieebene ein:
[edit security pki auto-re-enrollment certificate-id certificate-name] re-generate-keypair;
Geben Sie den Gültigkeitszeitraum an
Die validity-period Anweisung gibt den Gültigkeitszeitraum des Routerzertifikats in Tagen an, in denen das angegebene Routerzertifikat gültig bleibt. Um den Gültigkeitszeitraum anzugeben, fügen Sie die Anweisung auf der [edit security pki auto-re-enrollment certificate-id certificate-name] Hierarchieebene ein:
[edit security pki auto-re-enrollment certificate-id certificate-name] validity-period days;
days ist die Anzahl der Tage für den Gültigkeitszeitraum. Der Bereich kann zwischen 1 und 4095 liegen.
Registrieren eines Zertifizierungsstellenzertifikats mit SCEP
- Online-Registrieren eines Zertifizierungsstellenzertifikats mithilfe von SCEP
- Beispiel: Online-Registrieren eines lokalen Zertifikats mithilfe von SCEP
- Beispiel: Verwenden von SCEP zum automatischen Erneuern eines lokalen Zertifikats
Online-Registrieren eines Zertifizierungsstellenzertifikats mithilfe von SCEP
Bevor Sie beginnen:
Generieren Sie ein öffentliches und ein privates Schlüsselpaar.
Erstellen Sie ein CA-Profil.
So registrieren Sie ein Zertifizierungsstellenzertifikat online:
Rufen Sie das CA-Zertifikat online mithilfe von SCEP ab.
user@host> request security pki ca-certificate enroll ca-profile ca-profile-ipsec
Der Befehl wird synchron verarbeitet, um den Fingerabdruck des empfangenen Zertifizierungsstellenzertifikats bereitzustellen.
Fingerprint: e6:fa:d6:da:e8:8d:d3:00:e8:59:12:e1:2c:b9:3c:c0:9d:6c:8f:8d (sha1) 82:e2:dc:ea:48:4c:08:9a:fd:b5:24:b0:db:c3:ba:59 (md5) Do you want to load the above CA certificate ? [yes,no]
Vergewissern Sie sich, dass das richtige Zertifikat geladen ist. Das CA-Zertifikat wird nur geladen, wenn Sie an der CLI-Eingabeaufforderung etwas eingeben yes .
Weitere Informationen zum Zertifikat, wie z. B. die Bitlänge des Schlüsselpaars, finden Sie mit dem Befehl
show security pki ca-certificate.
Beispiel: Online-Registrieren eines lokalen Zertifikats mithilfe von SCEP
In diesem Beispiel wird gezeigt, wie ein lokales Zertifikat mithilfe von SCEP online registriert wird.
Anforderungen
Bevor Sie beginnen:
Generieren Sie ein öffentliches und ein privates Schlüsselpaar. Weitere Informationen finden Sie unter Selbstsignierte digitale Zertifikate.
Konfigurieren Sie ein CA-Profil. Siehe Beispiel: Konfigurieren eines Zertifizierungsstellenprofils.
Registrieren Sie für SCEP das Zertifizierungsstellenzertifikat. Weitere Informationen finden Sie unter Online-Registrieren eines Zertifizierungsstellenzertifikats mithilfe von SCEP.
Überblick
In diesem Beispiel konfigurieren Sie Ihr Juniper Networks-Gerät so, dass es online ein lokales Zertifikat erhält, und starten die Online-Registrierung für die angegebene Zertifikats-ID mit SCEP. Den URL-Pfad zum CA-Server geben Sie im CA-Profilnamen ca-profile-ipsecan.
Mit dem request security pki local-certificate enroll scep Befehl starten Sie die Online-Registrierung für die angegebene Zertifikats-ID. Ab Junos OS Version 15.1X49-D40 und Junos OS Version 17.3R1 wird das scep Schlüsselwort unterstützt und ist erforderlich. Sie müssen den Namen des CA-Profils (z. B. ca-profile-ipsec), die Zertifikat-ID für ein zuvor generiertes Schlüsselpaar (z. B qqq. ) und die folgenden Informationen angeben:
-
Das Abfragekennwort, das vom CA-Administrator für die Zertifikatregistrierung und erneute Registrierung bereitgestellt wird.
Die RFC8894 besagt, dass das Abfragekennwort optional ist, wenn ein vorhandenes Zertifikat eine Verlängerungsanforderung signiert. Das Challenge-Passwort ist nicht zwingend erforderlich. Sie können die Konfiguration auch ohne Abfragekennwort bestätigen.
Mindestens einer der folgenden Werte:
Der Domänenname zur Identifizierung des Zertifikatbesitzers in IKE-Aushandlungen,
qqq.example.netz. B. .Die Identität des Zertifikatbesitzers für die IKE-Aushandlung mit der E-Mail-Anweisung, z. B
qqq@example.net. .Die IP-Adresse, wenn das Gerät für eine statische IP-Adresse konfiguriert ist,
10.10.10.10z. B. .
Geben Sie den Antragstellernamen im DN-Format in Anführungszeichen an, einschließlich der Domänenkomponente (DC), des allgemeinen Namens (CN), der Seriennummer (SN), des Namens der Organisationseinheit (OU), des Organisationsnamens (O), des Ortes (L), des Bundeslandes (ST) und des Landes (C).
Nachdem Sie die Gerätezertifikate abgerufen haben und die Onlineregistrierung für die Zertifikat-ID beginnt, wird der Befehl asynchron verarbeitet.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So registrieren Sie ein lokales Zertifikat online:
Geben Sie das CA-Profil an.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment url path-to-ca-server
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Initiieren Sie den Registrierungsprozess, indem Sie den Befehl für den Betriebsmodus ausführen.
user@host> request security pki local-certificate enroll scep ca-profile ca-profile-ipsec certificate-id qqq challenge-password ca-provided-password domain-name qqq.example.net email qqq@example.net ip-address 10.10.10.10 subject DC=example, CN=router3, SN, OU=marketing, O=example, L=sunnyvale, ST=california, C=us
Wenn Sie im Betrefffeld SN ohne Seriennummer definieren, dann wird die Seriennummer direkt vom Gerät ausgelesen und dem CSR hinzugefügt.
Ab Junos OS Version 19.4R2 wird eine Warnmeldung ECDSA Keypair not supported with SCEP for cert_id <certificate id> angezeigt, wenn Sie versuchen, ein lokales Zertifikat mit einem ECDSA-Schlüssel bei SCEP zu registrieren, da der ECDSA-Schlüssel von SCEP nicht unterstützt wird.
Verifizierung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl show security pki ein.
Beispiel: Verwenden von SCEP zum automatischen Erneuern eines lokalen Zertifikats
Sie können entweder CMPv2 oder SCEP verwenden, um digitale Zertifikate zu registrieren. In diesem Beispiel wird gezeigt, wie die lokalen Zertifikate mithilfe von SCEP automatisch erneuert werden.
Anforderungen
Bevor Sie beginnen:
Holen Sie sich ein Zertifikat entweder online oder manuell. Weitere Informationen finden Sie unter Digitale Zertifikate.
Rufen Sie ein lokales Zertifikat ab. Siehe Beispiel: Online-Registrieren eines lokalen Zertifikats mithilfe von SCEP.
Überblick
Sie können das Gerät so aktivieren, dass Zertifikate, die Sie durch die Online-Registrierung erworben oder manuell geladen haben, automatisch erneuert werden. Die automatische Zertifikatserneuerung erspart Ihnen die Notwendigkeit, Zertifikate auf dem Gerät zu erneuern, bevor das Zertifikat abläuft, und trägt dazu bei, dass gültige Zertifikate jederzeit erhalten bleiben.
Die automatische Zertifikatserneuerung ist standardmäßig deaktiviert. Sie können die automatische Zertifikaterneuerung aktivieren und das Gerät so konfigurieren, dass es automatisch eine Anforderung zur erneuten Registrierung eines Zertifikats sendet, bevor es abläuft. Sie können angeben, wann die Anforderung zur erneuten Registrierung des Zertifikats gesendet werden soll. Der Auslöser für die erneute Registrierung ist der Prozentsatz der Gültigkeitsdauer des Zertifikats, der vor Ablauf verbleibt. Wenn die Verlängerungsanforderung z. B. gesendet werden soll, wenn die verbleibende Lebensdauer des Zertifikats 10 % beträgt, konfigurieren Sie 10 für den Auslöser für die erneute Registrierung.
Damit die automatische Zertifikaterneuerung funktioniert, stellen Sie sicher, dass das Gerät den Zertifizierungsstellenserver erreichen kann und das Zertifikat während des Verlängerungsvorgangs auf dem Gerät verbleibt. Darüber hinaus müssen Sie auch sicherstellen, dass die Zertifizierungsstelle, die das Zertifikat ausstellt, denselben DN zurückgeben kann. Die Zertifizierungsstelle darf den Antragstellernamen oder die alternative Antragstellernamenerweiterung im neuen Zertifikat nicht ändern.
Sie können die automatische Erneuerung von SCEP-Zertifikaten entweder für alle SCEP-Zertifikate oder für jedes Zertifikat aktivieren und deaktivieren. Sie verwenden den set security pki auto-re-enrollment scep Befehl, um die erneute Registrierung des Zertifikats zu aktivieren und zu konfigurieren. In diesem Beispiel geben Sie die Zertifikats-ID des Zertifizierungsstellenzertifikats als ca-ipsec an und legen den dem Zertifikat zugeordneten Namen des Zertifizierungsstellenprofils auf ca-profile-ipsecfest. Sie legen das Abfragekennwort für das Zertifizierungszertifikat auf das vom Zertifizierungsstellenadministrator bereitgestellte Abfragekennwort fest. Dieses Kennwort muss mit dem zuvor für die Zertifizierungsstelle konfigurierten Kennwort identisch sein. Außerdem legen Sie den Prozentsatz für den Auslöser für die erneute Aufnahme auf fest 10. Bei der automatischen Neuregistrierung verwendet das Gerät von Juniper Networks standardmäßig das vorhandene Schlüsselpaar. Eine gute Sicherheitspraxis besteht darin, ein neues Schlüsselpaar für die erneute Registrierung neu zu generieren. Um ein neues Schlüsselpaar zu generieren, verwenden Sie den re-generate-keypair Befehl.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So aktivieren und konfigurieren Sie die erneute Registrierung des lokalen Zertifikats:
Verwenden Sie den folgenden Befehl, um die erneute Registrierung des Zertifikats zu aktivieren und zu konfigurieren.
[edit] user@host# set security pki auto-re-enrollment scep certificate-id ca-ipsec ca-profile-name ca-profile-ipsec challenge-password ca-provided-password re-enroll-trigger-time-percentage 10 re-generate-keypair
Ab Junos OS Version 15.1X49-D40 und Junos OS Version 17.3R1 wird das
scepSchlüsselwort unterstützt und ist erforderlich.Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Verifizierung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl für den show security pki local-certificate detail Betriebsmodus ein.
Online-Registrieren eines Zertifizierungsstellenzertifikats mit CMPv2
Der request security pki local-certificate enroll cmpv2 Befehl verwendet CMPv2, um ein lokales digitales Zertifikat online zu registrieren. Mit diesem Befehl werden sowohl Endentitäts- als auch Zertifizierungsstellenzertifikate basierend auf der Konfiguration des Zertifizierungsstellenservers geladen. Sie müssen das Zertifizierungsstellenprofil vor der Registrierung von Zertifizierungsstellenzertifikaten erstellen, da die Registrierungs-URL aus dem Zertifizierungsstellenprofil extrahiert wird.
In diesem Thema wird die Zertifikatregistrierung mit dem CMPv2-Protokoll beschrieben.
- Meldungen zur Zertifikatregistrierung und erneuten Registrierung
- EE-Zertifikat mit CA-Zertifikat des Ausstellers
- EE-Zertifikat mit CA-Zertifikatskette
Meldungen zur Zertifikatregistrierung und erneuten Registrierung
Das CMPv2-Protokoll umfasst hauptsächlich Vorgänge zum Registrieren und erneuten Registrieren von Zertifikaten. Der Zertifikatregistrierungsprozess umfasst Initialisierungsanforderungs- und Initialisierungsantwortmeldungen, während die erneute Zertifikatregistrierung Schlüsselaktualisierungsanforderungs- und Schlüsselaktualisierungsantwortnachrichten umfasst.
Der CMPv2-Server antwortet mit einer Initialisierungsantwort (IP). Die Antwort enthält das EE-Zertifikat sowie optionale CA-Zertifikate. Sie können die Nachrichtenintegrität und die Authentizität der Nachrichteninitialisierungsantwort mithilfe von Shared-Secret-Informationen gemäß RFC 4210 überprüfen. Sie können die Initialisierungsantwort auch mit dem öffentlichen Schlüssel der Ausstellerzertifizierungsstelle überprüfen. Bevor Sie ein EE-Zertifikat erneut registrieren, muss ein gültiges Zertifizierungsstellenzertifikat auf dem Gerät registriert sein.
Die Initialisierungsantwort oder die Schlüsselaktualisierungsantwort kann ein Ausstellerzertifizierungsstellenzertifikat oder eine Kette von Zertifizierungsstellenzertifikaten enthalten. Die in den Antworten empfangenen Zertifizierungsstellenzertifikate werden als vertrauenswürdige Zertifizierungsstellenzertifikate behandelt und auf dem empfangenden Gerät gespeichert, wenn die vertrauenswürdige Zertifizierungsstelle gespeichert ist. Diese CA-Zertifikate werden später für die Validierung von EE-Zertifikaten verwendet.
Die erneute Registrierung von Zertifizierungsstellenzertifikaten wird nicht unterstützt. Wenn ein Zertifizierungsstellenzertifikat abläuft, müssen Sie die Registrierung des aktuellen Zertifizierungsstellenzertifikats aufheben und es erneut registrieren.
EE-Zertifikat mit CA-Zertifikat des Ausstellers
In einem einfachen Szenario enthält die Initialisierungsantwortnachricht möglicherweise nur ein EE-Zertifikat, in diesem Fall werden die Zertifizierungsstelleninformationen separat bereitgestellt. Das Zertifikat wird im EE-Zertifikatspeicher gespeichert.
Die Initialisierungsantwortnachricht kann sowohl ein EE-Zertifikat als auch ein selbstsigniertes Zertifikat einer Ausstellerzertifizierungsstelle enthalten. Das EE-Zertifikat wird zuerst im Zertifikatspeicher gespeichert, und dann wird das CA-Zertifikat überprüft. Wenn das Zertifizierungsstellenzertifikat gefunden wird und der Antragsteller-DN des Zertifizierungsstellenzertifikats in der Initialisierungsantwortmeldung mit dem Aussteller-DN des EE-Zertifikats übereinstimmt, wird das Zertifizierungsstellenzertifikat im Zertifizierungsstellenzertifikatspeicher für den Namen des Zertifizierungsstellenprofils gespeichert, der im CMPv2-Zertifikatregistrierungsbefehl angegeben ist. Wenn das Zertifizierungsstellenzertifikat bereits im Zertifizierungsstellenzertifikatspeicher vorhanden ist, wird keine Aktion ausgeführt.
EE-Zertifikat mit CA-Zertifikatskette
In vielen Bereitstellungen wird das EE-Zertifikat von einer Zwischenzertifizierungsstelle in einer Zertifikatskette ausgestellt. In diesem Fall kann die Initialisierungsantwortnachricht das EE-Zertifikat zusammen mit einer Liste der Zertifizierungsstellenzertifikate in der Kette enthalten. Die Zwischenzertifizierungsstellenzertifikate und die selbstsignierten Stammzertifizierungsstellenzertifikate sind alle erforderlich, um das EE-Zertifikat zu überprüfen. Die Zertifizierungsstellenkette kann auch erforderlich sein, um Zertifikate zu validieren, die von Peer-Geräten mit ähnlichen Hierarchien empfangen wurden. Im folgenden Abschnitt wird beschrieben, wie Zertifikate in der Zertifizierungsstellenkette gespeichert werden.
In Abbildung 1 enthält die Initialisierungsantwortnachricht das EE-Zertifikat und drei Zertifizierungsstellenzertifikate in einer Zertifikatkette.
In der obigen Abbildung wird das EE-Zertifikat im EE-Zertifikatspeicher gespeichert. Für jedes CA-Zertifikat ist ein CA-Profil erforderlich. Das CA-Zertifikat mit dem Betreff DN Sub11-CA ist die erste CA in der Kette und die Herausgeberin des EE-Zertifikats. Es wird im CA-Profil gespeichert, das mit dem CMPv2-Zertifikatregistrierungsbefehl angegeben wird.
Das Gerät überprüft das Vorhandensein der einzelnen verbleibenden Zertifizierungsstellenzertifikate in der Kette im Zertifizierungsstellenspeicher. Wenn ein Zertifizierungsstellenzertifikat nicht im Zertifizierungsstellenspeicher vorhanden ist, wird es gespeichert und ein Zertifizierungsstellenprofil dafür erstellt. Der neue Profilname der Zertifizierungsstelle wird mit den am wenigsten signifikanten 16 Ziffern der Seriennummer des Zertifizierungsstellenzertifikats erstellt. Wenn die Seriennummer länger als 16 Ziffern ist, werden die wichtigsten Ziffern über 16 Ziffern abgeschnitten. Wenn die Seriennummer kürzer als 16 Ziffern ist, werden die verbleibenden höchstwertigen Ziffern mit 0s aufgefüllt. Wenn die Seriennummer z. B. 11111000100010001000 ist, lautet 1000100010001000der CA-Profilname . Wenn die Seriennummer 10001000 lautet, lautet 0000000010001000der CA-Profilname .
Es ist möglich, dass mehrere Seriennummern von Zertifikaten die gleichen niederwertigsten 16 Ziffern haben können. In diesem Fall wird an den Profilnamen angefügt, -00 um einen eindeutigen CA-Profilnamen zu erstellen. Zusätzliche CA-Profilnamen werden erstellt, indem die angehängte Zahl von -01 bis zu -99erhöht wird. Die Namen von Zertifizierungsstellenprofilen können z. B. , 1000100010001000-00und 1000100010001000-01sein1000100010001000.
Installieren Sie ein digitales Zertifikat auf Ihrem Router
Ein digitales Zertifikat ist ein elektronisches Mittel zur Überprüfung Ihrer Identität durch einen vertrauenswürdigen Dritten, der als CA bezeichnet wird. Alternativ können Sie ein selbstsigniertes Zertifikat verwenden, um Ihre Identität zu bestätigen. Der von Ihnen verwendete Zertifizierungsstellenserver kann im Besitz einer unabhängigen Zertifizierungsstelle oder Ihrer eigenen Organisation sein und von dieser betrieben werden. In diesem Fall werden Sie zu Ihrer eigenen Zertifizierungsstelle. Wenn Sie eine unabhängige Zertifizierungsstelle verwenden, müssen Sie sich an diese wenden, um die Adressen ihrer Zertifizierungsstellen- und Zertifikatsperrlistenserver (zum Abrufen von Zertifikaten und Zertifikatsperrlisten) und die Informationen zu erhalten, die sie beim Übermitteln persönlicher Zertifikatanforderungen benötigen. Wenn Sie Ihre eigene Zertifizierungsstelle sind, bestimmen Sie diese Informationen selbst. Die PKI stellt eine Infrastruktur für die digitale Zertifikatsverwaltung zur Verfügung.
Digitales Zertifikat manuell anfordern
Um digitale Zertifikate manuell zu erhalten, müssen Sie ein Zertifizierungsstellenprofil konfigurieren, ein Schlüsselpaar aus privat und öffentlich generieren, ein lokales Zertifikat erstellen und die Zertifikate auf den Router laden. Nachdem Sie die Zertifikate geladen haben, können sie in Ihrer IPsec-VPN-Konfiguration referenziert werden.
Das folgende Verfahren zeigt, wie Sie ein Zertifizierungsstellenprofil konfigurieren können:
Grundlegendes zum ACME-Protokoll
Erfahren Sie mehr über das ACME-Protokoll und wie Sie das Zertifikat registrieren.
- Was ist das ACME-Protokoll?
- Lokales Zertifikat mit Let's Encrypt-Server registrieren
- Lokales Zertifikat manuell erneut registrieren
- ACME-Konto löschen
Was ist das ACME-Protokoll?
Das ACME-Protokoll (Automated Certificate Management Environment) ist ein neuer PKI-Registrierungsstandard, der von mehreren PKI-Servern wie Let's Encrypt verwendet wird. Das Let's Encrypt-Zertifikat ermöglicht die kostenlose Verwendung von Webserver-Zertifikaten in Firewalls, die in Juniper Secure Connect und J-Web verwendet werden können. Das Junos OS registriert Let's Encrypt-Zertifikate automatisch alle 25 Tage erneut.
Das ACME-Protokoll ermöglicht die Registrierung von Zertifikaten vom Let's Encrypt-Server oder von ACME-fähigen Servern. Die Firewalls registrieren die Zertifikate vom Let's Encrypt-Server, und Juniper Secure Connect validiert die Zertifikate, ohne CA-Zertifikate zu kopieren und herunterzuladen.
Wenn Sie Let's Encrypt verwenden, stellen Sie sicher, dass der Let's Encrypt-Server in der Lage ist, den Domänennamen in die IP-Adresse der Firewallschnittstelle aufzulösen, wie in Abbildung 2 dargestellt. Der Let's Encrypt-Server muss in der Lage sein, die Firewall-Schnittstelle auf TCP-Port 80 zu erreichen. Während der Zertifikatsregistrierung aktiviert die Firewall diese eingehende Anforderung vorübergehend automatisch. Wenn Ihre Firewall oder ein Zwischengerät oder ein Router den TCP-Port 80 blockiert, schlägt die Zertifikatregistrierung fehl.
Die Firewall verwendet Port 443 für die ausgehende Kommunikation mit dem Let's Encrypt Server . Stellen Sie sicher, dass Ihre Netzwerksicherheitsrichtlinien diesen ausgehenden Datenverkehr zulassen. Die Kommunikation über Port 80 zum Let's Encrypt-Server wird für ausgehende Verbindungen von der Firewall nicht unterstützt.
Begrenzungen
-
Die dns-01- und die externe Kontobindung werden nicht unterstützt.
-
ACME kann nicht verwendet werden, wenn J-Web auf Port 80 lauscht
-
Platzhalterzertifikate werden nicht unterstützt, z. B
*.mydomain.com. ; Stattdessen können Sie mehrere DNS-Namen registrieren.
Lokales Zertifikat mit Let's Encrypt-Server registrieren
In diesem Beispiel wird gezeigt, wie das lokale Zertifikat mit Let's Encrypt registriert wird.
-
Geben Sie das CA-Profil an. Der ACME-Registrierungsprozess umfasst keine CRL-Überprüfung.
[edit] user@host# set security pki ca-profile ISRG_Root_X1 ca-identity ISRG_Root_X1 user@host# set security pki ca-profile ISRG_Root_X1 revocation-check disable user@host# set security pki ca-profile Lets_Encrypt ca-identity Lets_Encrypt user@host# set security pki ca-profile Lets_Encrypt enrollment url https://acme-v02.api.letsencrypt.org/directory
-
Bestätigen Sie die Konfiguration.
[edit] user@host# commit
-
Laden Sie das CA-Zertifikat.
[edit] user@host> request security pki ca-certificate load ca-profile ISRG_Root_X1 filename ISRG_Root_X1.pem
Informationen zum Herunterladen des ISRG_Root_X1.pem-Zertifikats finden Sie unter KB84991.
-
Erstellen Sie die ACME-Schlüssel-ID.
[edit] user@host> request security pki generate-key-pair size 2048 type rsa acme-key-id mydomain
-
Bereiten Sie die Registrierung des lokalen Zertifikats vor.
[edit] user@host> request security pki generate-key-pair size 2048 type rsa certificate-id service-mydomain
-
Registrieren Sie ein Zertifikat mit einem Domänennamen.
Wenn Sie Let's Encrypt verwenden, stellen Sie sicher, dass der Let's Encrypt-Server in der Lage ist, den Domänennamen in die IP-Adresse der Firewallschnittstelle aufzulösen, wie in Abbildung 2 dargestellt. Der Let's Encrypt-Server muss in der Lage sein, die Firewall-Schnittstelle auf TCP-Port 80 zu erreichen. Während der Zertifikatsregistrierung aktiviert die Firewall diese eingehende Anforderung vorübergehend automatisch. Wenn Ihre Firewall oder ein Zwischengerät oder ein Router den TCP-Port 80 blockiert, schlägt die Zertifikatregistrierung fehl.
Die Firewall verwendet Port 443 für die ausgehende Kommunikation mit dem Let's Encrypt Server . Stellen Sie sicher, dass Ihre Netzwerksicherheitsrichtlinien diesen ausgehenden Datenverkehr zulassen. Die Kommunikation über Port 80 zum Let's Encrypt-Server wird für ausgehende Verbindungen von der Firewall nicht unterstützt.
[edit] user@host> request security pki local-certificate enroll acme acme-key-id mydoamin certificate-id service-mydomain ca-profile Lets_Encrypt domain-name jweb.mydomain.com email jweb@acmejnpr.net letsencrypt-enrollment yes terms-of-service agree
Registrieren Sie ein Zertifikat mit mehreren Domänennamen.
[edit] user@host> request security pki local-certificate enroll acme acme-key-id mydomain certificate-id service-mydomain ca-profile Lets_Encrypt domain-name jweb.mydomain.com,remote-acess.mydomain.com email jweb@acmejnpr.net letsencrypt-enrollment yes terms-of-service agree
-
Sobald die Registrierung abgeschlossen ist, wird das ausgestellte Zertifikat in certificate-id service-mydomian geladen.
Lokales Zertifikat manuell erneut registrieren
So registrieren Sie ein lokales Zertifikat online erneut:
-
Initiieren Sie die Anforderung zur erneuten Registrierung.
[edit] user@host> request security pki local-certificate re-enroll acme acme-key-id mydomain certificate-id serice-mydomain ca-profile Lets_Encrypt re-generate-keypair
-
Sobald die erneute Registrierung abgeschlossen ist, wird das ausgestellte Zertifikat in certificate-id service-mydomian geladen.
ACME-Konto löschen
Um das ACME-Konto zu löschen, führen Sie den folgenden Schritt aus:
-
Geben Sie den folgenden Befehl ein.
[edit] user@host> clear security pki acme account acme-key-id mydomain ca-profile Lets_Encrypt
Sie können den ACME-Kontoschlüssel nur löschen, wenn der ACME durch die Registrierung aktiviert oder erstellt wurde.
Plattformspezifisches Verhalten der SSL-Terminierungsdienste
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
Verwenden Sie die folgende Tabelle, um plattformspezifische Verhaltensweisen für Ihre Plattform zu überprüfen:
| Plattformunterschied | |
|---|---|
| SRX-Serie |
|