Selbstsignierte digitale Zertifikate
Erfahren Sie mehr über das selbstsignierte digitale Zertifikat und erfahren Sie, wie Sie das selbstsignierte digitale Zertifikat verwalten.
Ein selbstsigniertes Zertifikat ist ein Zertifikat, das von derselben Entität signiert wird, die es erstellt hat, und nicht von einer Zertifizierungsstelle (Certificate Authority, CA). Junos OS bietet zwei Methoden zum Generieren eines selbstsignierten Zertifikats: automatische Generierung und manuelle Generierung.
Selbstsignierte Zertifikate
Ein selbstsigniertes Zertifikat ist ein Zertifikat, das von seinem Ersteller und nicht von einer Zertifizierungsstelle (Certificate Authority, CA) signiert wird.
Selbstsignierte Zertifikate ermöglichen die Verwendung von SSL-basierten Diensten (Secure Sockets Layer), ohne dass der Benutzer oder Administrator die umfangreiche Aufgabe übernehmen muss, ein von einer Zertifizierungsstelle signiertes Identitätszertifikat zu erhalten.
Selbstsignierte Zertifikate bieten keine zusätzliche Sicherheit wie die von Zertifizierungsstellen generierten. Dies liegt daran, dass ein Client nicht überprüfen kann, ob es sich bei dem Server, mit dem eine Verbindung hergestellt wird, um den im Zertifikat angekündigten Server handelt.
Junos OS bietet zwei Methoden zum Generieren eines selbstsignierten Zertifikats:
-
Automatische Generierung
In diesem Fall ist der Ersteller des Zertifikats das Gerät von Juniper Networks. Standardmäßig ist auf dem Gerät ein automatisch generiertes selbstsigniertes Zertifikat konfiguriert.
Nachdem das Gerät initialisiert wurde, prüft es, ob ein automatisch generiertes selbstsigniertes Zertifikat vorhanden ist. Wenn keine gefunden wird, generiert das Gerät eine und speichert sie im Dateisystem.
-
Manuelle Generierung
In diesem Fall erstellen Sie das selbstsignierte Zertifikat für das Gerät.
Sie können die CLI jederzeit verwenden, um ein selbstsigniertes Zertifikat zu generieren. Diese Zertifikate werden auch verwendet, um Zugriff auf SSL-Dienste zu erhalten.
Selbstsignierte Zertifikate sind ab dem Zeitpunkt ihrer Erstellung fünf Jahre lang gültig.
Ein automatisch generiertes selbstsigniertes Zertifikat ermöglicht die Verwendung von SSL-basierten Diensten, ohne dass der Administrator ein von einer Zertifizierungsstelle signiertes Identitätszertifikat abrufen muss.
Ein selbstsigniertes Zertifikat, das automatisch vom Gerät generiert wird, ähnelt einem Secure Shell (SSH)-Hostschlüssel. Sie wird im Dateisystem gespeichert, nicht als Teil der Konfiguration. Sie bleibt bestehen, wenn das Gerät neu gestartet wird, und bleibt erhalten, wenn ein request system snapshot Befehl ausgegeben wird.
Ein selbstsigniertes Zertifikat, das Sie manuell generieren, ermöglicht die Verwendung von SSL-basierten Diensten, ohne dass Sie ein von einer Zertifizierungsstelle signiertes Identitätszertifikat abrufen müssen. Ein manuell generiertes selbstsigniertes Zertifikat ist ein Beispiel für ein lokales PKI-Zertifikat (Public Key Infrastructure). Wie bei allen lokalen PKI-Zertifikaten werden manuell generierte selbstsignierte Zertifikate im Dateisystem gespeichert.
Beispiel: Generieren eines öffentlich-privaten Schlüsselpaars
In diesem Beispiel wird gezeigt, wie ein öffentlich-privates Schlüsselpaar generiert wird.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration über die Geräteinitialisierung hinaus erforderlich.
Überblick
In diesem Beispiel generieren Sie ein öffentlich-privates Schlüsselpaar mit dem Namen self-cert.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So generieren Sie ein öffentlich-privates Schlüsselpaar:
-
Erstellen Sie ein Zertifikatschlüsselpaar.
user@host> request security pki generate-key-pair certificate-id self-cert
Verifizierung
Nachdem das öffentlich-private Schlüsselpaar generiert wurde, zeigt das Juniper Networks-Gerät Folgendes an:
generated key pair ca-ipsec, key size 1024 bits
Beispiel: Manuelles Generieren von selbstsignierten Zertifikaten
In diesem Beispiel wird gezeigt, wie selbstsignierte Zertifikate manuell generiert werden.
Anforderungen
Bevor Sie beginnen, generieren Sie ein öffentliches privates Schlüsselpaar. Weitere Informationen finden Sie unter Digitale Zertifikate.
Überblick
Für ein manuell generiertes selbstsigniertes Zertifikat geben Sie den Distinguished Name (DN) an, wenn Sie es erstellen. Für ein automatisch generiertes selbstsigniertes Zertifikat liefert das System den DN und identifiziert sich als Ersteller.
In diesem Beispiel generieren Sie ein selbstsigniertes Zertifikat mit der E-Mail-Adresse . mholmes@example.net Sie geben eine Zertifikat-ID von self-cert an, auf die von der Webverwaltung verwiesen werden soll.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
Um das selbstsignierte Zertifikat manuell zu generieren, geben Sie im Betriebsmodus den folgenden Befehl ein:
user@host> request security pki local-certificate generate-self-signed certificate-id self-cert subject CN=abc domain-name example.net ip-address 172.16.3.4 email mholmes@example.net
Um das manuell generierte selbstsignierte Zertifikat für HTTPS-Dienste für die Webverwaltung anzugeben, geben Sie im Konfigurationsmodus den folgenden Befehl ein:
[edit] user@host# set system services web-management https local-certificate self-cert
Verifizierung
Um zu überprüfen, ob das Zertifikat ordnungsgemäß generiert und geladen wurde, geben Sie im Betriebsmodus den folgenden Befehl ein:
user@host> show security pki local-certificate
Beachten Sie die Certificate identifier Informationen für Issued to, validity, algorithmund keypair location Details in der angezeigten Ausgabe.
Um das Zertifikat zu überprüfen, das mit der Webverwaltung verknüpft ist, geben Sie im Konfigurationsmodus den folgenden Befehl ein:
user@host# show system services web-management https local-certificate
Verwendung automatisch generierter selbstsignierter Zertifikate (CLI-Verfahren)
Nach der Initialisierung des Geräts wird überprüft, ob ein selbstsigniertes Zertifikat vorhanden ist. Wenn kein selbstsigniertes Zertifikat vorhanden ist, generiert das Gerät automatisch eines. Wenn das Gerät neu gestartet wird, wird beim Hochfahren automatisch ein selbstsigniertes Zertifikat generiert.
Um das vom System generierte Zertifikat zu überprüfen, führen Sie den folgenden Befehl im Betriebsmodus aus:
user@host> show security pki local-certificate system-generated
Beachten Sie die Certificate identifier Details in der Ausgabe. Es werden die folgenden Details Distinguished Name (DN) für das automatisch generierte Zertifikat angezeigt:
-
CN = device serial number -
CN = system generated -
CN = self-signed
Verwenden Sie den folgenden Befehl im Konfigurationsmodus, um das automatisch generierte selbstsignierte Zertifikat anzugeben, das für die Webverwaltungs-HTTPS-Dienste verwendet werden soll:
[edit] user@host# set system services web-management https system-generated-certificate
Verwenden Sie den folgenden Befehl, um das automatisch generierte selbstsignierte Zertifikat zu löschen:
user@host# exit user@host> clear security pki local-certificate system-generated
Nachdem Sie das vom System generierte selbstsignierte Zertifikat gelöscht haben, generiert das Gerät automatisch ein neues Zertifikat und speichert es im Dateisystem.