Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Selbstsignierte digitale Zertifikate

Erfahren Sie mehr über das selbstsignierte digitale Zertifikat und erfahren Sie, wie Sie ein selbstsigniertes digitales Zertifikat verwalten.

Ein selbstsigniertes Zertifikat ist ein Zertifikat, das von derselben Entität signiert wird, die es erstellt hat, und nicht von einer Zertifizierungsstelle (Certificate Authority, CA). Junos OS bietet zwei Methoden zum Generieren eines selbstsignierten Zertifikats: automatische Generierung und manuelle Generierung.

Selbstsignierte Zertifikate

Ein selbstsigniertes Zertifikat ist ein Zertifikat, das von seinem Ersteller und nicht von einer Zertifizierungsstelle signiert wird.

Selbstsignierte Zertifikate ermöglichen die Nutzung von SSL-basierten Diensten, ohne dass der Benutzer oder Administrator die beträchtliche Aufgabe übernehmen muss, ein von einer Zertifizierungsstelle signiertes Identitätszertifikat zu erhalten.

Selbstsignierte Zertifikate bieten keine zusätzliche Sicherheit wie die von Zertifizierungsstellen generierten, da ein Client nicht überprüfen kann, ob es sich bei dem Server, mit dem eine Verbindung hergestellt wird, um den im Zertifikat angekündigten Server handelt. Selbstsignierte Zertifikate sind fünf Jahre gültig.

Junos OS bietet zwei Methoden zum Generieren eines selbstsignierten Zertifikats:

  • Automatische Generierung: Das Zertifikat wird von Juniper Networks automatisch erstellt. Standardmäßig ist auf dem Gerät ein automatisch generiertes selbstsigniertes Zertifikat konfiguriert. Nachdem Sie das Gerät initialisiert haben, wird überprüft, ob ein automatisch generiertes selbstsigniertes Zertifikat vorhanden ist. Wenn das Gerät keine findet, generiert es eine und speichert sie im Dateisystem.

    Ein selbstsigniertes Zertifikat, das automatisch vom Gerät generiert wird, ähnelt einem SSH-Hostschlüssel. Sie wird im Dateisystem gespeichert, nicht als Teil der Konfiguration. Sie bleibt bestehen, wenn das Gerät neu gestartet wird, und bleibt erhalten, wenn ein request system snapshot Befehl ausgegeben wird.

  • Manuelle Generierung: Sie erstellen das selbstsignierte Zertifikat für das Gerät von Juniper Networks. Sie können die CLI jederzeit verwenden, um ein selbstsigniertes Zertifikat zu generieren. Diese Zertifikate werden auch verwendet, um Zugriff auf SSL-Dienste zu erhalten.

    Ein manuell generiertes selbstsigniertes Zertifikat ist ein Beispiel für ein lokales PKI-Zertifikat. Wie bei allen lokalen PKI-Zertifikaten werden manuell generierte selbstsignierte Zertifikate im Dateisystem gespeichert.

Beispiel: Generieren eines öffentlich-privaten Schlüsselpaars

In diesem Beispiel wird gezeigt, wie ein öffentlich-privates Schlüsselpaar generiert wird.

Anforderungen

Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration über die Geräteinitialisierung hinaus erforderlich.

Überblick

In diesem Beispiel generieren Sie ein öffentlich-privates Schlüsselpaar mit dem Namen self-cert.

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

So generieren Sie ein öffentlich-privates Schlüsselpaar:

  • Erstellen Sie ein Zertifikatschlüsselpaar.

Verifizierung

Nachdem das öffentlich-private Schlüsselpaar generiert wurde, zeigt das Juniper Networks-Gerät Folgendes an:

Selbstsignierte SSL-Zertifikate manuell generieren

So generieren Sie manuell ein selbstsigniertes SSL-Zertifikat auf Geräten von Juniper Networks:

  1. Stellen Sie eine grundlegende Konnektivität her.
  2. Wenn Sie über Root-Anmeldezugriff verfügen, können Sie das selbstsignierte Zertifikat mit den folgenden Befehlen manuell generieren:

    Beim Generieren des Zertifikats müssen Sie den Antragsteller, die E-Mail-Adresse und entweder den Domänennamen oder die IP-Adresse angeben.

  3. Um zu überprüfen, ob das Zertifikat ordnungsgemäß generiert und geladen wurde, geben Sie den show security pki local-certificate Betriebsbefehl ein, und geben Sie ihn unter HTTPS-Webverwaltung an local-certificate .

Beispiel: Manuelles Generieren von selbstsignierten Zertifikaten

In diesem Beispiel wird gezeigt, wie selbstsignierte Zertifikate manuell generiert werden.

Anforderungen

Bevor Sie beginnen, generieren Sie ein öffentliches privates Schlüsselpaar. Weitere Informationen finden Sie unter Digitale Zertifikate.

Überblick

Bei einem manuell generierten selbstsignierten Zertifikat geben Sie den DN an, wenn Sie es erstellen. Für ein automatisch generiertes selbstsigniertes Zertifikat liefert das System den DN und identifiziert sich als Ersteller.

In diesem Beispiel generieren Sie ein selbstsigniertes Zertifikat mit der E-Mail-Adresse . mholmes@example.net Sie geben eine Zertifikat-ID von self-cert an, auf die von der Webverwaltung verwiesen werden soll.

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

Um das selbstsignierte Zertifikat manuell zu generieren, geben Sie im Betriebsmodus den folgenden Befehl ein:

Um das manuell generierte selbstsignierte Zertifikat für HTTPS-Dienste für die Webverwaltung anzugeben, geben Sie im Konfigurationsmodus den folgenden Befehl ein:

Verifizierung

Um zu überprüfen, ob das Zertifikat ordnungsgemäß generiert und geladen wurde, geben Sie im Betriebsmodus den folgenden Befehl ein:

Notieren Sie sich die Certificate identifier Informationen für Issued to, validity, algorithmund keypair location Details in der angezeigten Ausgabe.

Um das Zertifikat zu überprüfen, das mit der Webverwaltung verknüpft ist, geben Sie im Konfigurationsmodus den folgenden Befehl ein:

Automatisch generierte selbstsignierte Zertifikate verwalten

Nachdem Sie das Gerät initialisiert haben, wird überprüft, ob ein selbstsigniertes Zertifikat vorhanden ist. Wenn kein selbstsigniertes Zertifikat vorhanden ist, generiert das Gerät automatisch eines. Wenn das Gerät neu gestartet wird, wird beim Hochfahren automatisch ein selbstsigniertes Zertifikat generiert.

Um das vom System generierte Zertifikat zu überprüfen, führen Sie den folgenden Befehl im Betriebsmodus aus:

Beachten Sie die Certificate identifier Details in der Ausgabe. Es zeigt den folgenden Detail-DN für das automatisch generierte Zertifikat an:

  • CN = device serial number

  • CN = system generated

  • CN = self-signed

Verwenden Sie den folgenden Befehl im Konfigurationsmodus, um das automatisch generierte selbstsignierte Zertifikat anzugeben, das für die Webverwaltungs-HTTPS-Dienste verwendet werden soll:

Verwenden Sie den folgenden Befehl, um das automatisch generierte selbstsignierte Zertifikat zu löschen:

Nachdem Sie das vom System generierte selbstsignierte Zertifikat gelöscht haben, generiert das Gerät automatisch ein neues Zertifikat und speichert es im Dateisystem.

Aktivieren von HTTPS- und XNM-SSL-Services auf Switches mit selbstsignierten Zertifikaten (CLI-Verfahren)

Sie können das vom System generierte selbstsignierte Zertifikat oder ein manuell generiertes selbstsigniertes Zertifikat verwenden, um die Webverwaltung für HTTPS- und XNM-SSL-Services auf einem Switch zu aktivieren.

  • Verwenden Sie den folgenden Befehl, um HTTPS-Dienste mithilfe des automatisch generierten selbstsignierten Zertifikats zu aktivieren:

  • Verwenden Sie den folgenden Befehl, um HTTPS-Dienste mithilfe eines manuell generierten selbstsignierten Zertifikats zu aktivieren:

    Der Wert von certificate-id-name muss mit dem Namen übereinstimmen, den Sie beim manuellen Generieren des selbstsignierten Zertifikats angegeben haben.

  • Verwenden Sie den folgenden Befehl, um XNM-SSL-Dienste mithilfe eines manuell generierten selbstsignierten Zertifikats zu aktivieren:

    Der Wert von certificate-id-name muss mit dem Namen übereinstimmen, den Sie beim manuellen Generieren des selbstsignierten Zertifikats angegeben haben.