Verschlüsselung mit öffentlichem Schlüssel
Verstehen der Verschlüsselung öffentlicher Schlüssel auf Switches
Kryptographie beschreibt die Techniken im Zusammenhang mit den folgenden Aspekten der Informationssicherheit:
Datenschutz oder Vertraulichkeit
Integrität der Daten
Authentifizierung
Nichtanruf oder Nichtabstreitung des Ursprungs– Die Nichtanerhörung des Ursprungs bedeutet, dass die Unterzeichner nicht behaupten können, dass sie keine Nachricht unterzeichnet haben, während sie behaupten, dass ihr privater Schlüssel geheim bleibt. In einigen nicht-ablehnenden Schemata, die in digitalen Signaturen verwendet werden, wird ein Zeitstempel an die digitale Signatur angehängt, sodass selbst wenn der private Schlüssel offengelegt wird, die Signatur gültig bleibt. Öffentliche und private Schlüssel werden im folgenden Text beschrieben.
In der Praxis schützen verschlüsselungsgraphische Verfahren die Daten, die über öffentliche Netzwerke von einem System an ein anderes übertragen werden, indem sie die Daten mit einem Verschlüsselungsschlüssel verschlüsseln. Public Key Cryptography (PKC), die auf Ethernet-Switches der EX-Serie von Juniper Networks verwendet wird, verwendet ein Paar Verschlüsselungsschlüssel: einen öffentlichen und einen privaten Schlüssel. Die öffentlichen und privaten Schlüssel werden gleichzeitig mit demselben Verschlüsselungsalgorithmus erstellt. Der private Schlüssel wird von einem Benutzer geheim gehalten und der öffentliche Schlüssel wird veröffentlicht. Mit einem öffentlichen Schlüssel verschlüsselte Daten können nur mit dem entsprechenden privaten Schlüssel entschlüsselt werden und umgekehrt. Wenn Sie ein öffentliches/privates Schlüsselpaar generieren, speichert der Switch das Schlüsselpaar automatisch in einer Datei im Zertifikatsspeicher, aus dem es anschließend in Zertifikatsanforderungsbefehlen verwendet wird. Das generierte Schlüsselpaar wird als certificate-idgespeichert. Priv.
Die Standardmäßige RSA- und DSA-Schlüsselgröße beträgt 1024 Bits. Wenn Sie das Simple Certificate Enrollment Protocol (SCEP) verwenden, unterstützt das Junos-Betriebssystem (Junos OS) von Juniper Networks nur RSA.
Public Key Infrastructure (PKI) und digitale Zertifikate
Die Public Key-Infrastruktur (PKI) ermöglicht die Verteilung und Verwendung der öffentlichen Schlüssel in der Verschlüsselung öffentlicher Schlüssel mit Sicherheit und Integrität. PKI verwaltet die öffentlichen Schlüssel mithilfe digitaler Zertifikate. Ein digitales Zertifikat stellt ein elektronisches Mittel zur Überprüfung der Identität einer Einzelperson, eines Unternehmens oder eines Verzeichnisdienstes bereit, der digitale Zertifikate speichern kann.
Ein PKI besteht in der Regel aus einer Registrierungsbehörde (Registration Authority, RA), die die Identitäten von Einheiten überprüft, ihre Zertifikatsanforderungen autorisiert und einzigartige asymmetrische Schlüsselpaare generiert (es sei denn, die Zertifikatsanforderungen der Benutzer enthalten bereits öffentliche Schlüssel); und eine Certificate Authority (CA), die entsprechende digitale Zertifikate für die ersuchenden Einheiten ausstellt. Optional können Sie ein Zertifikats-Repository verwenden, in dem Zertifikate gespeichert und verteilt werden, sowie eine Zertifikats-Widerrufsliste (Certificate Revocation List, CRL), die die nicht mehr gültigen Zertifikate identifiziert. Jede Entität, die den authentischen öffentlichen Schlüssel einer Zertifizierungsstelle besitzt, kann die von dieser Zertifizierungsstelle ausgestellten Zertifikate überprüfen.
Digitale Signaturen nutzen das Verschlüsselungssystem des öffentlichen Schlüssels wie folgt:
Ein Sender signiert Daten digital, indem er eine Kryptographie, die den privaten Schlüssel einbezieht, auf einer Verdauung der Daten anwendet.
Die resultierende Signatur wird an die Daten angehängt und an den Empfänger gesendet.
Der Empfänger erhält das digitale Zertifikat des Senders, das den öffentlichen Schlüssel des Senders und die Bestätigung der Verbindung zwischen seiner Identität und dem öffentlichen Schlüssel bereitstellt. Das Zertifikat des Absenders wird häufig an die signierten Daten angehängt.
Der Empfänger vertraut entweder diesem Zertifikat oder versucht es zu überprüfen. Der Empfänger überprüft die Signatur auf den Daten mithilfe des im Zertifikat enthaltenen öffentlichen Schlüssels. Diese Verifizierung gewährleistet die Echtheit und Integrität der empfangenen Daten.
Alternativ zur Verwendung eines PKI kann eine Entität ihren öffentlichen Schlüssel direkt an alle potenziellen Signaturprüfer verteilen, solange die Integrität des Schlüssels geschützt ist. Der Switch tut dies, indem er ein selbstsigniertes Zertifikat als Container für den öffentlichen Schlüssel und die Identität der entsprechenden Entität verwendet.
Siehe auch
Verstehen von selbst signierten Zertifikaten auf Switches der EX-Serie
Wenn Sie einen Ethernet-Switch der EX-Serie von Juniper Networks mit werksseitiger Standardkonfiguration initialisieren, generiert der Switch ein selbstsigniertes Zertifikat, das einen sicheren Zugriff auf den Switch über das Secure Sockets Layer (SSL)-Protokoll ermöglicht. Hypertext Transfer Protocol over Secure Sockets Layer (HTTPS) und XML Network Management over Secure Sockets Layer (XNM-SSL) sind die beiden Dienste, die die selbstsignierte Zertifikate nutzen können.
Selbstsignierte Zertifikate bieten keine zusätzliche Sicherheit wie die von Certificate Authorities (CAs) generierten. Dies liegt daran, dass ein Client nicht überprüfen kann, ob der Server, mit dem er verbunden ist, der im Zertifikat angegeben ist.
Die Switches bieten zwei Methoden zum Generieren eines selbstsigniertes Zertifikats:
Automatische Generierung
In diesem Fall ist der Ersteller des Zertifikats der Switch. Ein automatisch generiertes (auch "systemgeneriertes") selbstsigniertes Zertifikat wird standardmäßig auf dem Switch konfiguriert.
Nachdem der Switch initialisiert wurde, prüft er auf das Vorhandensein eines automatisch generierten selbstsignierten Zertifikats. Wenn er keinen findet, generiert der Switch einen switch und speichert ihn im Dateisystem.
Ein selbstsigniertes Zertifikat, das automatisch vom Switch generiert wird, ähnelt einem SSH-Hostschlüssel. Es wird im Dateisystem gespeichert, nicht als Teil der Konfiguration. Er bleibt bestehen, wenn der Switch neu gestartet wird, und er wird beibehalten, wenn ein
request system snapshotBefehl ausgegeben wird.Der Switch verwendet den folgenden distinguierten Namen für das automatisch generierte Zertifikat:
"CN=<Geräte-Seriennummer>, CN=systemgeneriert, CN=selbstsigniert"
Wenn Sie das systemgenerierte, selbstsignierte Zertifikat auf dem Switch löschen, generiert der Switch automatisch ein selbstsigniertes Zertifikat.
Manuelle Generierung
In diesem Fall erstellen Sie das selbstsignierte Zertifikat für den Switch. Sie können jederzeit mithilfe der CLI ein selbstsigniertes Zertifikat generieren. Manuell generierte selbstsignierte Zertifikate werden im Dateisystem gespeichert, nicht als Teil der Konfiguration.
Selbstsignierte Zertifikate sind ab Deren Erstellung fünf Jahre gültig. Wenn die Gültigkeit eines automatisch generierten selbstsignierten Zertifikats abläuft, können Sie es vom Switch löschen, sodass der Switch ein neues selbstsigniertes Zertifikat generiert.
Systemgenerierte selbstsignierte Zertifikate und manuell generierte selbstsignierte Zertifikate können auf dem Switch koexistieren.
Manuelles Generieren selbstsignierte Zertifikate auf Switches (CLI-Prozedur)
Switches der EX-Serie ermöglichen es Ihnen, benutzerdefinierte, selbst signierte Zertifikate zu generieren und im Dateisystem zu speichern. Das manuell generierte Zertifikat kann mit dem automatisch generierten selbstsignierten Zertifikat auf dem Switch koexistieren. Um einen sicheren Zugriff auf den Switch über SSL zu ermöglichen, können Sie entweder das systemgenerierte selbstsignierte Zertifikat oder ein manuell generiertes Zertifikat verwenden.
Um selbstsignierte Zertifikate manuell zu generieren, müssen Sie die folgenden Aufgaben ausführen:
- Generierung eines öffentlichen und privaten Schlüsselpaares auf Switches
- Selbstsignierte Zertifikate auf Switches generieren
Generierung eines öffentlichen und privaten Schlüsselpaares auf Switches
Ein digitales Zertifikat verfügt über ein zugehöriges Kryptographieschlüsselpaar, das zum digitalen Signieren des Zertifikats verwendet wird. Das Verschlüsselungsschlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Wenn Sie ein selbstsigniertes Zertifikat generieren, müssen Sie ein öffentlich-privates Schlüsselpaar angeben, das zum Signieren des selbstsignierte Zertifikats verwendet werden kann. Daher müssen Sie ein öffentlich-privates Schlüsselpaar generieren, bevor Sie ein selbstsigniertes Zertifikat generieren können.
So generieren Sie ein öffentliches und privates Schlüsselpaar:
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
Optional können Sie den Verschlüsselungsalgorithmus und die Größe des Verschlüsselungsschlüssels angeben. Wenn Sie den Verschlüsselungsalgorithmus und die Verschlüsselungsschlüsselgröße nicht angeben, werden Standardwerte verwendet. Der Standardverschlüsselungsalgorithmus ist RSA, und die Standardschlüsselgröße für Verschlüsselung beträgt 1024 Bits.
Nach der Erstellung des öffentlichen und privaten Schlüsselpaares zeigt der Switch Folgendes an:
generated key pair certificate-id-name, key size 1024 bits
Selbstsignierte Zertifikate auf Switches generieren
Um das selbstsignierte Zertifikat manuell zu generieren, geben Sie den Namen der Zertifikats-ID, den Betreff des Distinguished Name (DN), den Domänennamen, die IP-Adresse des Switches und die E-Mail-Adresse des Zertifikatsinhabers ein:
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
Das generierte Zertifikat wird im Dateisystem des Switch gespeichert. Die bei der Generierung des Zertifikats angegebene Zertifikat-ID ist eine eindeutige Kennung, die Sie zum Aktivieren der HTTPS- oder XNM-SSL-Dienste verwenden können.
Um zu überprüfen, ob das Zertifikat ordnungsgemäß generiert und geladen wurde, geben Sie den show security pki local-certificate operativen Befehl ein.
Selbstsignierte Zertifikate löschen (CLI-Verfahren)
Sie können ein selbstsigniertes Zertifikat löschen, das automatisch oder manuell vom Switch der EX-Serie generiert wird. Wenn Sie das automatisch generierte selbstsignierte Zertifikat löschen, generiert der Switch ein neues selbstsigniertes Zertifikat und speichert es im Dateisystem.
So löschen Sie das automatisch generierte Zertifikat und das zugehörige Schlüsselpaar aus dem Switch:
user@switch> clear security pki local-certificate system-generated
So löschen Sie ein manuell generiertes Zertifikat und das zugehörige Schlüsselpaar aus dem Switch:
user@switch> clear security pki local-certificate certificate-id certificate-id-name
So löschen Sie alle manuell generierten Zertifikate und die zugehörigen Schlüsselpaare aus dem Switch:
user@switch> clear security pki local-certificate all
Aktivieren von HTTPS- und XNM-SSL-Services auf Switches mithilfe von selbstsigniertem Zertifikat (CLI-Verfahren)
Sie können das systemgenerierte selbstsignierte Zertifikat oder ein manuell generiertes selbstsigniertes Zertifikat verwenden, um Webmanagement-HTTPS- und XNM-SSL-Services zu aktivieren.
So aktivieren Sie HTTPS-Dienste mithilfe des automatisch generierten selbstsignierten Zertifikats:
[edit] user@switch# set system services web-management https system-generated-certificate
So aktivieren Sie HTTPS-Dienste mithilfe eines manuell generierten selbstsignierten Zertifikats:
[edit] user@switch# set system services web-management https pki-local-certificate certificate-id-name
Hinweis:Der Wert muss certificate-id-name mit dem Namen übereinstimmen, den Sie angegeben haben, wenn Sie das selbstsignierte Zertifikat manuell erstellt haben.
So aktivieren Sie XNM-SSL-Services mithilfe eines manuell generierten selbstsignierten Zertifikats:
[edit] user@switch# set system services xnm-ssl local-certificate certificate-id-name
Hinweis:Der Wert muss certificate-id-name mit dem Namen übereinstimmen, den Sie angegeben haben, wenn Sie das selbstsignierte Zertifikat manuell erstellt haben.