Public-Key-Kryptografie
Grundlegendes zur Public-Key-Kryptografie auf Switches
Kryptographie beschreibt die Techniken im Zusammenhang mit den folgenden Aspekten der Informationssicherheit:
Datenschutz oder Vertraulichkeit
Integrität der Daten
Authentifizierung
Nichtabstreitbarkeit oder Nichtabstreitbarkeit des Ursprungs: Nichtabstreitbarkeit des Ursprungs bedeutet, dass Unterzeichner nicht behaupten können, dass sie eine Nachricht nicht signiert haben, während sie behaupten, dass ihr privater Schlüssel geheim bleibt. In einigen Nichtabstreitbarkeitsschemata, die in digitalen Signaturen verwendet werden, wird ein Zeitstempel an die digitale Signatur angehängt, sodass die Signatur auch dann gültig bleibt, wenn der private Schlüssel offengelegt wird. Öffentliche und private Schlüssel werden im folgenden Text beschrieben.
In der Praxis schützen kryptografische Verfahren die Daten, die über öffentliche Netzwerke von einem System zum anderen übertragen werden, indem sie die Daten mit einem Verschlüsselungsschlüssel verschlüsseln. Bei der Public-Key-Kryptografie (Public Key Cryptography, PKC), die auf Ethernet-Switches der EX-Serie von Juniper Networks zum Einsatz kommt, wird ein Schlüsselpaar verwendet: ein öffentlicher Schlüssel und ein privater Schlüssel. Der öffentliche und der private Schlüssel werden gleichzeitig mit demselben Verschlüsselungsalgorithmus erstellt. Der private Schlüssel wird von einem Benutzer geheim gehalten, und der öffentliche Schlüssel wird veröffentlicht. Daten, die mit einem öffentlichen Schlüssel verschlüsselt wurden, können nur mit dem entsprechenden privaten Schlüssel entschlüsselt werden und umgekehrt. Wenn Sie ein öffentliches/privates Schlüsselpaar generieren, speichert der Switch das Schlüsselpaar automatisch in einer Datei im Zertifikatsspeicher, aus der es anschließend in Zertifikatanforderungsbefehlen verwendet wird. Das generierte Schlüsselpaar wird als certificate-idgespeichert.Priv.
Die standardmäßige RSA- und DSA-Schlüsselgröße beträgt 1024 Bit. Wenn Sie das Simple Certificate Enrollment Protocol (SCEP) verwenden, unterstützt das Junos-Betriebssystem (Junos OS) von Juniper Networks nur RSA.
Public-Key-Infrastruktur (PKI) und digitale Zertifikate
Die Public-Key-Infrastruktur (PKI) ermöglicht die Verteilung und Verwendung der öffentlichen Schlüssel in der Public-Key-Kryptografie mit Sicherheit und Integrität. PKI verwaltet die öffentlichen Schlüssel mithilfe digitaler Zertifikate. Ein digitales Zertifikat bietet eine elektronische Möglichkeit, die Identität einer Person, einer Organisation oder eines Verzeichnisdienstes zu überprüfen, in dem digitale Zertifikate gespeichert werden können.
Eine PKI besteht in der Regel aus einer Registrierungsstelle (Registration Authority, RA), die die Identitäten von Entitäten überprüft, deren Zertifikatanforderungen autorisiert und eindeutige asymmetrische Schlüsselpaare generiert (es sei denn, die Zertifikatanforderungen der Benutzer enthalten bereits öffentliche Schlüssel). und eine Zertifizierungsstelle (Certificate Authority, CA), die entsprechende digitale Zertifikate für die anfordernden Entitäten ausstellt. Optional können Sie ein Zertifikatrepository verwenden, in dem Zertifikate gespeichert und verteilt werden, sowie eine Zertifikatsperrliste (Certificate Revocation List, CRL), in der die nicht mehr gültigen Zertifikate identifiziert werden. Jede Entität, die im Besitz des authentischen öffentlichen Schlüssels einer Zertifizierungsstelle ist, kann die von dieser Zertifizierungsstelle ausgestellten Zertifikate überprüfen.
Digitale Signaturen nutzen das kryptografische System mit öffentlichem Schlüssel wie folgt:
Ein Absender signiert Daten digital, indem er einen kryptografischen Vorgang unter Einbeziehung seines privaten Schlüssels auf einen Digest der Daten anwendet.
Die daraus resultierende Signatur wird an die Daten angehängt und an den Empfänger gesendet.
Der Empfänger erhält das digitale Zertifikat des Absenders, das den öffentlichen Schlüssel des Absenders und die Bestätigung der Verknüpfung zwischen seiner Identität und dem öffentlichen Schlüssel enthält. Häufig wird das Zertifikat des Absenders an die signierten Daten angehängt.
Der Empfänger vertraut diesem Zertifikat oder versucht, es zu überprüfen. Der Empfänger überprüft die Signatur der Daten mithilfe des öffentlichen Schlüssels, der im Zertifikat enthalten ist. Diese Überprüfung stellt die Authentizität und Integrität der empfangenen Daten sicher.
Als Alternative zur Verwendung einer PKI kann eine Entität ihren öffentlichen Schlüssel direkt an alle potenziellen Signaturprüfer verteilen, solange die Integrität des Schlüssels geschützt ist. Dazu verwendet der Switch ein selbstsigniertes Zertifikat als Container für den öffentlichen Schlüssel und die Identität der entsprechenden Entität.
Siehe auch
Grundlegendes zu selbstsignierten Zertifikaten auf Switches der EX-Serie
Wenn Sie einen Ethernet-Switch der EX-Serie von Juniper Networks mit der werkseitigen Standardkonfiguration initialisieren, generiert der Switch ein selbstsigniertes Zertifikat, das einen sicheren Zugriff auf den Switch über das SSL-Protokoll (Secure Sockets Layer) ermöglicht. Hypertext Transfer Protocol over Secure Sockets Layer (HTTPS) und XML Network Management over Secure Sockets Layer (XNM-SSL) sind die beiden Dienste, die die selbstsignierten Zertifikate nutzen können.
Selbstsignierte Zertifikate bieten keine zusätzliche Sicherheit im Vergleich zu Zertifikaten, die von Zertifizierungsstellen (Certificate Authorities, CAs) generiert werden. Dies liegt daran, dass ein Client nicht überprüfen kann, ob der Server, mit dem er eine Verbindung hergestellt hat, der im Zertifikat angekündigte ist.
Die Switches bieten zwei Methoden zum Generieren eines selbstsignierten Zertifikats:
Automatische Generierung
In diesem Fall ist der Ersteller des Zertifikats der Switch. Standardmäßig ist auf dem Switch ein automatisch generiertes (auch als "systemgeneriertes" bezeichnetes) selbstsigniertes Zertifikat konfiguriert.
Nachdem der Switch initialisiert wurde, prüft er, ob ein automatisch generiertes selbstsigniertes Zertifikat vorhanden ist. Wenn er keine findet, generiert der Switch eine und speichert sie im Dateisystem.
Ein selbstsigniertes Zertifikat, das automatisch vom Switch generiert wird, ähnelt einem SSH-Hostschlüssel. Es wird im Dateisystem gespeichert, nicht als Teil der Konfiguration. Sie bleibt bestehen, wenn der Switch neu gestartet wird, und bleibt erhalten, wenn ein
request system snapshotBefehl ausgegeben wird.Der Switch verwendet den folgenden definierten Namen für das automatisch generierte Zertifikat:
" CN=<Seriennummer des Geräts>, CN=vom System generiert, CN=selbstsigniert"
Wenn Sie das vom System generierte selbstsignierte Zertifikat auf dem Switch löschen, generiert der Switch automatisch ein selbstsigniertes Zertifikat.
Manuelle Generierung
In diesem Fall erstellen Sie das selbstsignierte Zertifikat für den Switch. Sie können jederzeit die CLI verwenden, um ein selbstsigniertes Zertifikat zu generieren. Manuell generierte selbstsignierte Zertifikate werden im Dateisystem und nicht als Teil der Konfiguration gespeichert.
Selbstsignierte Zertifikate sind ab dem Zeitpunkt ihrer Generierung fünf Jahre lang gültig. Wenn die Gültigkeit eines automatisch generierten selbstsignierten Zertifikats abläuft, können Sie es vom Switch löschen, sodass der Switch ein neues selbstsigniertes Zertifikat generiert.
Vom System generierte selbstsignierte Zertifikate und manuell generierte selbstsignierte Zertifikate können auf dem Switch koexistieren.
Manuelles Generieren von selbstsignierten Zertifikaten auf Switches (CLI-Verfahren)
Mit Switches der EX-Serie können Sie benutzerdefinierte selbstsignierte Zertifikate generieren und im Dateisystem speichern. Das Zertifikat, das Sie manuell generieren, kann mit dem automatisch generierten selbstsignierten Zertifikat auf dem Switch koexistieren. Um den sicheren Zugriff auf den Switch über SSL zu ermöglichen, können Sie entweder das vom System generierte selbstsignierte Zertifikat oder ein manuell generiertes Zertifikat verwenden.
Um selbstsignierte Zertifikate manuell zu generieren, müssen Sie die folgenden Aufgaben ausführen:
- Generieren eines öffentlich-privaten Schlüsselpaars auf Switches
- Generieren von selbstsignierten Zertifikaten auf Switches
Generieren eines öffentlich-privaten Schlüsselpaars auf Switches
Einem digitalen Zertifikat ist ein kryptografisches Schlüsselpaar zugeordnet, das zum digitalen Signieren des Zertifikats verwendet wird. Das kryptografische Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Wenn Sie ein selbstsigniertes Zertifikat generieren, müssen Sie ein öffentlich-privates Schlüsselpaar angeben, das zum Signieren des selbstsignierten Zertifikats verwendet werden kann. Daher müssen Sie ein öffentlich-privates Schlüsselpaar generieren, bevor Sie ein selbstsigniertes Zertifikat generieren können.
So generieren Sie ein öffentlich-privates Schlüsselpaar:
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
Optional können Sie den Verschlüsselungsalgorithmus und die Größe des Verschlüsselungsschlüssels angeben. Wenn Sie den Verschlüsselungsalgorithmus und die Größe des Verschlüsselungsschlüssels nicht angeben, werden Standardwerte verwendet. Der Standardverschlüsselungsalgorithmus ist RSA, und die Standardgröße des Verschlüsselungsschlüssels beträgt 1024 Bit.
Nachdem das öffentlich-private Schlüsselpaar generiert wurde, zeigt der Switch Folgendes an:
generated key pair certificate-id-name, key size 1024 bits
Generieren von selbstsignierten Zertifikaten auf Switches
Um das selbstsignierte Zertifikat manuell zu generieren, geben Sie den Namen der Zertifikats-ID, den Antragsteller des Distinguished Name (DN), den Domänennamen, die IP-Adresse des Switches und die E-Mail-Adresse des Zertifikatsinhabers an:
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
Das von Ihnen generierte Zertifikat wird im Dateisystem des Switches gespeichert. Die Zertifikat-ID, die Sie beim Generieren des Zertifikats angegeben haben, ist eine eindeutige Kennung, mit der Sie die HTTPS- oder XNM-SSL-Dienste aktivieren können.
Um zu überprüfen, ob das Zertifikat ordnungsgemäß generiert und geladen wurde, geben Sie den show security pki local-certificate Betriebsbefehl ein.
Löschen von selbstsignierten Zertifikaten (CLI-Verfahren)
Sie können ein selbstsigniertes Zertifikat löschen, das automatisch oder manuell vom Switch der EX-Serie generiert wird. Wenn Sie das automatisch generierte selbstsignierte Zertifikat löschen, generiert der Switch ein neues selbstsigniertes Zertifikat und speichert es im Dateisystem.
So löschen Sie das automatisch generierte Zertifikat und das zugehörige Schlüsselpaar vom Switch:
user@switch> clear security pki local-certificate system-generated
So löschen Sie ein manuell generiertes Zertifikat und das zugehörige Schlüsselpaar vom Switch:
user@switch> clear security pki local-certificate certificate-id certificate-id-name
So löschen Sie alle manuell generierten Zertifikate und die zugehörigen Schlüsselpaare vom Switch:
user@switch> clear security pki local-certificate all
Aktivieren von HTTPS- und XNM-SSL-Services auf Switches mithilfe von selbstsignierten Zertifikaten (CLI-Verfahren)
Sie können das vom System generierte selbstsignierte Zertifikat oder ein manuell generiertes selbstsigniertes Zertifikat verwenden, um HTTPS- und XNM-SSL-Dienste für die Webverwaltung zu aktivieren.
So aktivieren Sie HTTPS-Dienste mithilfe des automatisch generierten selbstsignierten Zertifikats:
[edit] user@switch# set system services web-management https system-generated-certificate
So aktivieren Sie HTTPS-Dienste mithilfe eines manuell generierten selbstsignierten Zertifikats:
[edit] user@switch# set system services web-management https pki-local-certificate certificate-id-name
Anmerkung:Der Wert muss certificate-id-name mit dem Namen übereinstimmen, den Sie beim manuellen Generieren des selbstsignierten Zertifikats angegeben haben.
So aktivieren Sie XNM-SSL-Dienste mithilfe eines manuell generierten selbstsignierten Zertifikats:
[edit] user@switch# set system services xnm-ssl local-certificate certificate-id-name
Anmerkung:Der Wert muss certificate-id-name mit dem Namen übereinstimmen, den Sie beim manuellen Generieren des selbstsignierten Zertifikats angegeben haben.