Konfigurieren digitaler Zertifikate
Übersicht über digitale Zertifikate
Ein digitales Zertifikat bietet eine Möglichkeit, Benutzer durch eine vertrauenswürdige Drittanbieter namens Zertifizierungsstelle (Ca ) zu authentifizieren. Die Zertifizierungsstelle validiert die Identität eines Zertifikatsinhabers und "unterschreibt" das Zertifikat, um zu bestätigen, dass es nicht geschmiedet oder geändert wurde.
Ein Zertifikat enthält die folgenden Informationen:
Der distinguished Name (DN) des Eigentümers. Ein DN ist eine eindeutige Kennung und besteht aus einem vollständig qualifizierten Namen, einschließlich des gemeinsamen Namens (CN) des Eigentümers, der Organisation des Eigentümers und anderen Unterscheidungsinformationen.
Der öffentliche Schlüssel des Eigentümers.
Das Datum, an dem das Zertifikat ausgestellt wurde.
Das Datum, an dem das Zertifikat abläuft.
Der definierte Name der ausstellenden Zertifizierungsstelle.
Die digitale Signatur der ausstellenden Zertifizierungsstelle.
Die zusätzlichen Informationen in einem Zertifikat ermöglichen den Empfängern die Entscheidung, ob das Zertifikat akzeptiert werden soll. Der Empfänger kann anhand des Ablaufdatums festlegen, ob das Zertifikat noch gültig ist. Der Empfänger kann basierend auf der ausstellenden Zertifizierungsstelle überprüfen, ob die Zertifizierungsstelle von der Website vertrauenswürdig ist.
Mit einem Zertifikat nimmt eine Zertifizierungsstelle den öffentlichen Schlüssel des Besitzers, signiert diesen öffentlichen Schlüssel mit ihrem eigenen privaten Schlüssel und gibt diesen an den Besitzer als Zertifikat zurück. Der Empfänger kann das Zertifikat (mit der Signatur der Zertifizierungsstelle) mit dem öffentlichen Schlüssel des Besitzers extrahieren. Durch Verwendung des öffentlichen Schlüssels der Zertifizierungsstelle und der Signatur der Zertifizierungsstelle auf dem extrahierten Zertifikat kann der Empfänger die Signatur der Zertifizierungsstelle und den Besitzer des Zertifikats validieren.
Wenn Sie digitale Zertifikate verwenden, senden Sie als erstes eine Anfrage, um ein Zertifikat von Ihrer Zertifizierungsstelle zu erhalten. Anschließend konfigurieren Sie digitale Zertifikate und eine IKE-Richtlinie für digitale Zertifikate. Schließlich erhalten Sie ein digital signiertes Zertifikat von einer Zertifizierungsstelle.
Zertifikate ohne alternativen Betreffnamen sind für IPsec-Services nicht geeignet.
Erlangung eines Zertifikats von einer Zertifizierungsstelle für einen ES PIC
Zertifizierungsstellen verwalten Zertifikatsanfragen und stellen Zertifikate an teilnehmende IPsec-Netzwerkgeräte aus. Wenn Sie eine Zertifikatsanforderung erstellen, müssen Sie die Informationen über den Besitzer des Zertifikats angeben. Die erforderlichen Informationen und ihr Format sind von Zertifizierungsstellen unterschiedlich.
Zertifikate verwenden Namen im Format X.500, ein Verzeichniszugriffsprotokoll, das Lese- und Aktualisierungszugriff bietet. Der gesamte Name wird als DN (Distinguished Name) bezeichnet. Es besteht aus einer Reihe von Komponenten, die oft ein CN (gemeinsamer Name), eine Organisation (O), eine Organisationseinheit (OU), ein Land (C), einen Ort (L) und so weiter umfasst.
Für die dynamische Registrierung digitaler Zertifikate unterstützt Junos OS nur das Simple Certificate Enrollment Protocol (SCEP).
Siehe auch
Anfordern eines CA Digital-Zertifikats für einen ES PIC auf einem Router der M- oder T-Serie
Für eine Verschlüsselungsschnittstelle an einem Router der M- oder T-Serie erhalten Sie den folgenden Befehl, um ein Zertifikat für öffentlichen Schlüssel von einer Zertifizierungsstelle zu erhalten. Die Ergebnisse werden in der angegebenen Datei im Verzeichnis /var/etc/ikecert gespeichert. Der öffentliche Schlüssel von CA überprüft Zertifikate von Remote-Peers.
user@host> request security certificate enroll filename filename ca-name ca-name parameters parameters
Siehe auch
Beispiel: Anfordern eines digitalen CA-Zertifikats
Geben Sie eine URL des SCEP-Servers und den Namen der Zertifizierungsstelle ein, deren Zertifikat Sie möchten: mycompany.com. dateiname 1 ist der Name der Datei, in der das Ergebnis gespeichert wird. Die Ausgabe "Received CA certificate:" liefert die Signatur für das Zertifikat, mit der Sie (offline) überprüfen können, ob das Zertifikat echt ist.
user@host> request security certificate enroll filename ca_verisign ca-file verisign ca-name xyzcompany url http://hostname/path/filename URL: http://hostname/path/filename name: example.com CA file: verisign Encoding: binary Certificate enrollment has started. To see the certificate enrollment status, check the key management process (kmd) log file at /var/log/kmd. <--------------
Jeder Router wird zunächst manuell bei einer Zertifizierungsstelle registriert.
Siehe auch
Generieren eines privaten und öffentlichen Schlüsselpaars für digitale Zertifikate für einen ES PIC
Um einen privaten und einen öffentlichen Schlüssel zu generieren, führen Sie den folgenden Befehl aus:
user@host> request security key-pair name size key-size type ( rsa | dsa )
name
gibt den Dateinamen an, in dem die öffentlichen und privaten Schlüssel gespeichert werden sollen.
key-size
kann 512, 1024, 1596 oder 2048 Bytes sein. Die Standardschlüsselgröße ist 1024 Bytes.
type
kann oder dsa
seinrsa
. Der Standard ist RSA.
Wenn Sie SCEP verwenden, unterstützt junos OS nur RSA.
Das folgende Beispiel zeigt, wie Sie ein privates und öffentliches Schlüsselpaar generieren:
user@host> request security key-pair batt Generated key pair, key size 1024, file batt Algorithm RSA