Auf dieser Seite
Generieren von SSL-Zertifikaten für Secure Web Access (Firewalls der SRX-Serie)
Generieren von SSL-Zertifikaten für den sicheren Webzugriff (Switch der EX-Serie)
Automatisches Generieren eines selbstsignierten SSL-Zertifikats
Grundlegendes zu selbstsignierten Zertifikaten auf Switches der EX-Serie
Manuelles Generieren von selbstsignierten Zertifikaten auf Switches (CLI-Verfahren)
Secure Web Access für die Remote-Verwaltung
Sie können ein Gerät von Juniper Networks aus der Ferne über die J-Web-Schnittstelle verwalten. Um einen sicheren Webzugriff zu ermöglichen, unterstützen die Geräte von Juniper Networks HTTP über Secure Sockets Layer (HTTPS). Sie können den HTTP- oder HTTPS-Zugriff je nach Bedarf auf bestimmten Schnittstellen und Ports auf dem Gerät aktivieren. Weitere Informationen finden Sie in diesem Thema.
Secure Web Access – Übersicht
Sie können ein Gerät von Juniper Networks aus der Ferne über die J-Web-Schnittstelle verwalten. Für die Kommunikation mit dem Gerät verwendet die J-Web-Schnittstelle das Hypertext Transfer Protocol (HTTP). HTTP ermöglicht einen einfachen Webzugriff, aber keine Verschlüsselung. Die Daten, die über HTTP zwischen dem Webbrowser und dem Gerät übertragen werden, sind anfällig für Abfangen und Angriffe. Um einen sicheren Webzugriff zu ermöglichen, unterstützen die Geräte von Juniper Networks HTTP über Secure Sockets Layer (HTTPS). Sie können den HTTP- oder HTTPS-Zugriff je nach Bedarf auf bestimmten Schnittstellen und Ports aktivieren.
Das Gerät von Juniper Networks verwendet das SSL-Protokoll (Secure Sockets Layer), um eine sichere Geräteverwaltung über die Webschnittstelle zu ermöglichen. SSL verwendet die Public-Private-Key-Technologie, die einen gekoppelten privaten Schlüssel und ein Authentifizierungszertifikat für die Bereitstellung des SSL-Dienstes erfordert. SSL verschlüsselt die Kommunikation zwischen Ihrem Gerät und dem Webbrowser mit einem Sitzungsschlüssel, der vom SSL-Serverzertifikat ausgehandelt wird.
Ein SSL-Zertifikat enthält identifizierende Informationen wie einen öffentlichen Schlüssel und eine von einer Zertifizierungsstelle (Certificate Authority, CA) erstellte Signatur. Wenn Sie über HTTPS auf das Gerät zugreifen, authentifiziert ein SSL-Handshake den Server und den Client und startet eine sichere Sitzung. Wenn die Informationen nicht übereinstimmen oder das Zertifikat abgelaufen ist, können Sie nicht über HTTPS auf das Gerät zugreifen.
Ohne SSL-Verschlüsselung wird die Kommunikation zwischen Ihrem Gerät und dem Browser offen gesendet und kann abgefangen werden. Es wird empfohlen, den HTTPS-Zugriff auf Ihren WAN-Schnittstellen zu aktivieren.
Der HTTP-Zugriff ist auf den integrierten Verwaltungsschnittstellen standardmäßig aktiviert. Standardmäßig wird der HTTPS-Zugriff auf jeder Schnittstelle mit einem SSL-Serverzertifikat unterstützt.
Siehe auch
Generieren von SSL-Zertifikaten für Secure Web Access (Firewalls der SRX-Serie)
So generieren Sie ein SSL-Zertifikat mit dem folgenden Befehl:openssl
Generieren von SSL-Zertifikaten für den sicheren Webzugriff (Switch der EX-Serie)
Sie können einen sicheren Webzugriff für einen Switch der EX-Serie einrichten. Um den sicheren Webzugriff zu aktivieren, müssen Sie ein digitales SSL-Zertifikat (Secure Sockets Layer) generieren und dann den HTTPS-Zugriff auf dem Switch aktivieren.
So generieren Sie ein SSL-Zertifikat:
Sie können die Seite J-Web-Konfiguration verwenden, um das SSL-Zertifikat auf dem Switch zu installieren. Kopieren Sie dazu die Datei mit dem Zertifikat vom BSD- oder Linux-System auf den Switch. Öffnen Sie dann die Datei, kopieren Sie ihren Inhalt und fügen Sie sie in das Feld Zertifikat auf der Seite J-Web Secure Access Configuration ein.
Sie können auch die folgende CLI-Anweisung verwenden, um das SSL-Zertifikat auf dem Switch zu installieren:
[edit] user@switch# set security certificates local my-signed-cert load-key-file my-certificate.pem
Weitere Informationen zum Installieren von Zertifikaten finden Sie unter Beispiel: Konfigurieren von Secure Web Access.
Siehe auch
Automatisches Generieren eines selbstsignierten SSL-Zertifikats
So generieren Sie ein selbstsigniertes SSL-Zertifikat auf Geräten von Juniper Networks:
Manuelles Generieren von selbstsignierten SSL-Zertifikaten
So generieren Sie manuell ein selbstsigniertes SSL-Zertifikat auf Geräten von Juniper Networks:
Löschen von selbstsignierten Zertifikaten (CLI-Verfahren)
Sie können ein selbstsigniertes Zertifikat löschen, das automatisch oder manuell vom Switch der EX-Serie generiert wird. Wenn Sie das automatisch generierte selbstsignierte Zertifikat löschen, generiert der Switch ein neues selbstsigniertes Zertifikat und speichert es im Dateisystem.
So löschen Sie das automatisch generierte Zertifikat und das zugehörige Schlüsselpaar vom Switch:
user@switch> clear security pki local-certificate system-generated
So löschen Sie ein manuell generiertes Zertifikat und das zugehörige Schlüsselpaar vom Switch:
user@switch> clear security pki local-certificate certificate-id certificate-id-name
So löschen Sie alle manuell generierten Zertifikate und die zugehörigen Schlüsselpaare vom Switch:
user@switch> clear security pki local-certificate all
Grundlegendes zu selbstsignierten Zertifikaten auf Switches der EX-Serie
Wenn Sie einen Ethernet-Switch der EX-Serie von Juniper Networks mit der werkseitigen Standardkonfiguration initialisieren, generiert der Switch ein selbstsigniertes Zertifikat, das einen sicheren Zugriff auf den Switch über das SSL-Protokoll (Secure Sockets Layer) ermöglicht. Hypertext Transfer Protocol over Secure Sockets Layer (HTTPS) und XML Network Management over Secure Sockets Layer (XNM-SSL) sind die beiden Dienste, die die selbstsignierten Zertifikate nutzen können.
Selbstsignierte Zertifikate bieten keine zusätzliche Sicherheit im Vergleich zu Zertifikaten, die von Zertifizierungsstellen (Certificate Authorities, CAs) generiert werden. Dies liegt daran, dass ein Client nicht überprüfen kann, ob der Server, mit dem er eine Verbindung hergestellt hat, der im Zertifikat angekündigte ist.
Die Switches bieten zwei Methoden zum Generieren eines selbstsignierten Zertifikats:
Automatische Generierung
In diesem Fall ist der Ersteller des Zertifikats der Switch. Standardmäßig ist auf dem Switch ein automatisch generiertes (auch als "systemgeneriertes" bezeichnetes) selbstsigniertes Zertifikat konfiguriert.
Nachdem der Switch initialisiert wurde, prüft er, ob ein automatisch generiertes selbstsigniertes Zertifikat vorhanden ist. Wenn er keine findet, generiert der Switch eine und speichert sie im Dateisystem.
Ein selbstsigniertes Zertifikat, das automatisch vom Switch generiert wird, ähnelt einem SSH-Hostschlüssel. Es wird im Dateisystem gespeichert, nicht als Teil der Konfiguration. Sie bleibt bestehen, wenn der Switch neu gestartet wird, und bleibt erhalten, wenn ein Befehl ausgegeben wird.
request system snapshot
Der Switch verwendet den folgenden definierten Namen für das automatisch generierte Zertifikat:
“ CN=<device serial number>, CN=system generated, CN=self-signed”
Wenn Sie das vom System generierte selbstsignierte Zertifikat auf dem Switch löschen, generiert der Switch automatisch ein selbstsigniertes Zertifikat.
Manuelle Generierung
In diesem Fall erstellen Sie das selbstsignierte Zertifikat für den Switch. Sie können jederzeit die CLI verwenden, um ein selbstsigniertes Zertifikat zu generieren. Manuell generierte selbstsignierte Zertifikate werden im Dateisystem und nicht als Teil der Konfiguration gespeichert.
Selbstsignierte Zertifikate sind ab dem Zeitpunkt ihrer Generierung fünf Jahre lang gültig. Wenn die Gültigkeit eines automatisch generierten selbstsignierten Zertifikats abläuft, können Sie es vom Switch löschen, sodass der Switch ein neues selbstsigniertes Zertifikat generiert.
Vom System generierte selbstsignierte Zertifikate und manuell generierte selbstsignierte Zertifikate können auf dem Switch koexistieren.
Manuelles Generieren von selbstsignierten Zertifikaten auf Switches (CLI-Verfahren)
Mit Switches der EX-Serie können Sie benutzerdefinierte selbstsignierte Zertifikate generieren und im Dateisystem speichern. Das Zertifikat, das Sie manuell generieren, kann mit dem automatisch generierten selbstsignierten Zertifikat auf dem Switch koexistieren. Um den sicheren Zugriff auf den Switch über SSL zu ermöglichen, können Sie entweder das vom System generierte selbstsignierte Zertifikat oder ein manuell generiertes Zertifikat verwenden.
Um selbstsignierte Zertifikate manuell zu generieren, müssen Sie die folgenden Aufgaben ausführen:
- Generieren eines öffentlich-privaten Schlüsselpaars auf Switches
- Generieren von selbstsignierten Zertifikaten auf Switches
Generieren eines öffentlich-privaten Schlüsselpaars auf Switches
Einem digitalen Zertifikat ist ein kryptografisches Schlüsselpaar zugeordnet, das zum digitalen Signieren des Zertifikats verwendet wird. Das kryptografische Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Wenn Sie ein selbstsigniertes Zertifikat generieren, müssen Sie ein öffentlich-privates Schlüsselpaar angeben, das zum Signieren des selbstsignierten Zertifikats verwendet werden kann. Daher müssen Sie ein öffentlich-privates Schlüsselpaar generieren, bevor Sie ein selbstsigniertes Zertifikat generieren können.
So generieren Sie ein öffentlich-privates Schlüsselpaar:
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
Optional können Sie den Verschlüsselungsalgorithmus und die Größe des Verschlüsselungsschlüssels angeben. Wenn Sie den Verschlüsselungsalgorithmus und die Größe des Verschlüsselungsschlüssels nicht angeben, werden Standardwerte verwendet. Der Standardverschlüsselungsalgorithmus ist RSA, und die Standardgröße des Verschlüsselungsschlüssels beträgt 1024 Bit.
Nachdem das öffentlich-private Schlüsselpaar generiert wurde, zeigt der Switch Folgendes an:
generated key pair certificate-id-name, key size 1024 bits
Generieren von selbstsignierten Zertifikaten auf Switches
Um das selbstsignierte Zertifikat manuell zu generieren, geben Sie den Namen der Zertifikats-ID, den Antragsteller des Distinguished Name (DN), den Domänennamen, die IP-Adresse des Switches und die E-Mail-Adresse des Zertifikatsinhabers an:
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
Das von Ihnen generierte Zertifikat wird im Dateisystem des Switches gespeichert. Die Zertifikat-ID, die Sie beim Generieren des Zertifikats angegeben haben, ist eine eindeutige Kennung, mit der Sie die HTTPS- oder XNM-SSL-Dienste aktivieren können.
Um zu überprüfen, ob das Zertifikat ordnungsgemäß generiert und geladen wurde, geben Sie den Betriebsbefehl ein.show security pki local-certificate
Beispiel: Konfigurieren von Secure Web Access
In diesem Beispiel wird gezeigt, wie Sie den sicheren Webzugriff auf Ihrem Gerät konfigurieren.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Sie können den HTTPS-Zugriff auf bestimmten Schnittstellen aktivieren. Wenn Sie HTTPS aktivieren, ohne eine Schnittstelle anzugeben, wird HTTPS auf allen Schnittstellen aktiviert.
Überblick
In diesem Beispiel importieren Sie das SSL-Zertifikat, das Sie generiert haben, als neuen und privaten Schlüssel im PEM-Format. Anschließend aktivieren Sie den HTTPS-Zugriff und geben das SSL-Zertifikat an, das für die Authentifizierung verwendet werden soll. Schließlich geben Sie den Port 8443 an, auf dem der HTTPS-Zugriff aktiviert werden soll.
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]
commit
set security certificates local new load-key-file /var/tmp/new.pem set system services web-management https local-certificate new port 8443
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie den sicheren Webzugriff auf Ihrem Gerät:
Importieren Sie das SSL-Zertifikat und den privaten Schlüssel.
[edit security] user@host# set certificates local new load-key-file /var/tmp/new.pem
Aktivieren Sie den HTTPS-Zugriff und geben Sie das SSL-Zertifikat und den Port an.
[edit system] user@host# set services web-management https local-certificate new port 8443
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show security certificates { local { new { "-----BEGIN RSA PRIVATE KEY-----\nMIICXQIBAAKBgQC/C5UI4frNqbi qPwbTiOkJvqoDw2YgYse0Z5zzVJyErgSg954T\nEuHM67Ck8hAOrCnb0YO+SY Y5rCXLf4+2s8k9EypLtYRw/Ts66DZoXI4viqE7HSsK\n5sQw/UDBIw7/MJ+OpA ... KYiFf4CbBBbjlMQJ0HFudW6ISVBslONkzX+FT\ni95ddka6iIRnArEb4VFCRh+ e1QBdp1UjziYf7NuzDx4Z\n -----END RSA PRIVATE KEY-----\n-----BEGIN CERTIFICATE----- \nMIIDjDCCAvWgAwIBAgIBADANBgkqhkiG9w0BAQQ ... FADCBkTELMAkGA1UEBhMCdXMx\nCzAJBgNVBAgTAmNhMRIwEAYDVQQHEwlzdW5ue HB1YnMxDTALBgNVBAMTBGpucHIxJDAiBgkqhkiG\n9w0BCQEWFW5iaGFyZ2F2YUB fLUYAnBYmsYWOH\n -----END CERTIFICATE-----\n"; ## SECRET-DATA } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Verifizieren einer SSL-Zertifikatkonfiguration
Zweck
Überprüfen Sie die Konfiguration des SSL-Zertifikats.
Was
Geben Sie im Betriebsmodus den Befehl ein.show security
Überprüfen einer Secure Access-Konfiguration
Zweck
Überprüfen Sie die Konfiguration des sicheren Zugriffs.
Was
Geben Sie im Betriebsmodus den Befehl ein.show system services
In der folgenden Beispielausgabe werden die Beispielwerte für den sicheren Webzugriff angezeigt:
[edit] user@host# show system services web-management { http; https { port 8443; local-certificate new; } }