Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Secure Web Access für die Remote-Verwaltung

Sie können ein Gerät von Juniper Networks aus der Ferne über die J-Web-Schnittstelle verwalten. Um einen sicheren Webzugriff zu ermöglichen, unterstützen die Geräte von Juniper Networks HTTP über Secure Sockets Layer (HTTPS). Sie können den HTTP- oder HTTPS-Zugriff je nach Bedarf auf bestimmten Schnittstellen und Ports auf dem Gerät aktivieren. Weitere Informationen finden Sie in diesem Thema.

Secure Web Access – Übersicht

Sie können ein Gerät von Juniper Networks aus der Ferne über die J-Web-Schnittstelle verwalten. Für die Kommunikation mit dem Gerät verwendet die J-Web-Schnittstelle das Hypertext Transfer Protocol (HTTP). HTTP ermöglicht einen einfachen Webzugriff, aber keine Verschlüsselung. Die Daten, die über HTTP zwischen dem Webbrowser und dem Gerät übertragen werden, sind anfällig für Abfangen und Angriffe. Um einen sicheren Webzugriff zu ermöglichen, unterstützen die Geräte von Juniper Networks HTTP über Secure Sockets Layer (HTTPS). Sie können den HTTP- oder HTTPS-Zugriff je nach Bedarf auf bestimmten Schnittstellen und Ports aktivieren.

Das Gerät von Juniper Networks verwendet das SSL-Protokoll (Secure Sockets Layer), um eine sichere Geräteverwaltung über die Webschnittstelle zu ermöglichen. SSL verwendet die Public-Private-Key-Technologie, die einen gekoppelten privaten Schlüssel und ein Authentifizierungszertifikat für die Bereitstellung des SSL-Dienstes erfordert. SSL verschlüsselt die Kommunikation zwischen Ihrem Gerät und dem Webbrowser mit einem Sitzungsschlüssel, der vom SSL-Serverzertifikat ausgehandelt wird.

Ein SSL-Zertifikat enthält identifizierende Informationen wie einen öffentlichen Schlüssel und eine von einer Zertifizierungsstelle (Certificate Authority, CA) erstellte Signatur. Wenn Sie über HTTPS auf das Gerät zugreifen, authentifiziert ein SSL-Handshake den Server und den Client und startet eine sichere Sitzung. Wenn die Informationen nicht übereinstimmen oder das Zertifikat abgelaufen ist, können Sie nicht über HTTPS auf das Gerät zugreifen.

Ohne SSL-Verschlüsselung wird die Kommunikation zwischen Ihrem Gerät und dem Browser offen gesendet und kann abgefangen werden. Es wird empfohlen, den HTTPS-Zugriff auf Ihren WAN-Schnittstellen zu aktivieren.

Der HTTP-Zugriff ist auf den integrierten Verwaltungsschnittstellen standardmäßig aktiviert. Standardmäßig wird der HTTPS-Zugriff auf jeder Schnittstelle mit einem SSL-Serverzertifikat unterstützt.

Siehe auch

Generieren von SSL-Zertifikaten für Secure Web Access (Firewalls der SRX-Serie)

So generieren Sie ein SSL-Zertifikat mit dem folgenden Befehl:openssl

  1. Geben Sie in der CLI ein .openssl Der Befehl generiert ein selbstsigniertes SSL-Zertifikat im PEM-Format (Privacy-enhanced Mail).openssl Er schreibt das Zertifikat und einen unverschlüsselten privaten 1024-Bit-RSA-Schlüssel in die angegebene Datei.
    HINWEIS:

    Führen Sie diesen Befehl auf einem LINUX- oder UNIX-Gerät aus, da Juniper Networks Services Gateways den Befehl nicht unterstützen.openssl

    Ersetzen Sie durch den Namen einer Datei, in die das SSL-Zertifikat geschrieben werden soll, z. B. .filenamenew.pem

  2. Wenn Sie dazu aufgefordert werden, geben Sie die entsprechenden Informationen in das Identifikationsformular ein. Geben Sie z. B. den Ländernamen ein.US
  3. Zeigen Sie den Inhalt der Datei an.new.pem

    cat new.pem

    Kopieren Sie den Inhalt dieser Datei, um das SSL-Zertifikat zu installieren.

Generieren von SSL-Zertifikaten für den sicheren Webzugriff (Switch der EX-Serie)

Sie können einen sicheren Webzugriff für einen Switch der EX-Serie einrichten. Um den sicheren Webzugriff zu aktivieren, müssen Sie ein digitales SSL-Zertifikat (Secure Sockets Layer) generieren und dann den HTTPS-Zugriff auf dem Switch aktivieren.

So generieren Sie ein SSL-Zertifikat:

  1. Geben Sie den folgenden Befehl in Ihre SSH-Befehlszeilenschnittstelle auf einem BSD- oder Linux-System ein, auf dem es installiert ist.opensslopenssl Der Befehl generiert ein selbstsigniertes SSL-Zertifikat im PEM-Format (Privacy-Enhanced Mail).openssl Er schreibt das Zertifikat und einen unverschlüsselten privaten 1024-Bit-RSA-Schlüssel in die angegebene Datei.

    % openssl req –x509 –nodes –newkey rsa:1024 –keyout filename.pem -out filename.pem

    Dabei ist der Name einer Datei, in die das SSL-Zertifikat geschrieben werden soll, z. B. . .filenamemy-certificate

  2. Wenn Sie dazu aufgefordert werden, geben Sie die entsprechenden Informationen in das Identifikationsformular ein. Geben Sie z. B. den Ländernamen ein.US
  3. Zeigen Sie den Inhalt der Datei an, die Sie erstellt haben.

    cat my-certificate.pem

Sie können die Seite J-Web-Konfiguration verwenden, um das SSL-Zertifikat auf dem Switch zu installieren. Kopieren Sie dazu die Datei mit dem Zertifikat vom BSD- oder Linux-System auf den Switch. Öffnen Sie dann die Datei, kopieren Sie ihren Inhalt und fügen Sie sie in das Feld Zertifikat auf der Seite J-Web Secure Access Configuration ein.

Sie können auch die folgende CLI-Anweisung verwenden, um das SSL-Zertifikat auf dem Switch zu installieren:

Weitere Informationen zum Installieren von Zertifikaten finden Sie unter Beispiel: Konfigurieren von Secure Web Access.

Siehe auch

Automatisches Generieren eines selbstsignierten SSL-Zertifikats

So generieren Sie ein selbstsigniertes SSL-Zertifikat auf Geräten von Juniper Networks:

  1. Stellen Sie eine grundlegende Konnektivität her.
  2. Starten Sie das System neu. Das selbstsignierte Zertifikat wird beim Booten automatisch generiert.
  3. Geben Sie unter HTTPS-Webverwaltung an .system-generated-certificate

Manuelles Generieren von selbstsignierten SSL-Zertifikaten

So generieren Sie manuell ein selbstsigniertes SSL-Zertifikat auf Geräten von Juniper Networks:

  1. Stellen Sie eine grundlegende Konnektivität her.
  2. Wenn Sie über Root-Anmeldezugriff verfügen, können Sie das selbstsignierte Zertifikat manuell generieren, indem Sie die folgenden Befehle verwenden:
    HINWEIS:

    Beim Generieren des Zertifikats müssen Sie den Antragsteller, die E-Mail-Adresse und entweder den Domänennamen oder die IP-Adresse angeben.

  3. Um zu überprüfen, ob das Zertifikat ordnungsgemäß generiert und geladen wurde, geben Sie den Betriebsbefehl ein und geben Sie unter HTTPS-Webverwaltung an .show security pki local-certificate local-certificate

Löschen von selbstsignierten Zertifikaten (CLI-Verfahren)

Sie können ein selbstsigniertes Zertifikat löschen, das automatisch oder manuell vom Switch der EX-Serie generiert wird. Wenn Sie das automatisch generierte selbstsignierte Zertifikat löschen, generiert der Switch ein neues selbstsigniertes Zertifikat und speichert es im Dateisystem.

  • So löschen Sie das automatisch generierte Zertifikat und das zugehörige Schlüsselpaar vom Switch:

  • So löschen Sie ein manuell generiertes Zertifikat und das zugehörige Schlüsselpaar vom Switch:

  • So löschen Sie alle manuell generierten Zertifikate und die zugehörigen Schlüsselpaare vom Switch:

Grundlegendes zu selbstsignierten Zertifikaten auf Switches der EX-Serie

Wenn Sie einen Ethernet-Switch der EX-Serie von Juniper Networks mit der werkseitigen Standardkonfiguration initialisieren, generiert der Switch ein selbstsigniertes Zertifikat, das einen sicheren Zugriff auf den Switch über das SSL-Protokoll (Secure Sockets Layer) ermöglicht. Hypertext Transfer Protocol over Secure Sockets Layer (HTTPS) und XML Network Management over Secure Sockets Layer (XNM-SSL) sind die beiden Dienste, die die selbstsignierten Zertifikate nutzen können.

HINWEIS:

Selbstsignierte Zertifikate bieten keine zusätzliche Sicherheit im Vergleich zu Zertifikaten, die von Zertifizierungsstellen (Certificate Authorities, CAs) generiert werden. Dies liegt daran, dass ein Client nicht überprüfen kann, ob der Server, mit dem er eine Verbindung hergestellt hat, der im Zertifikat angekündigte ist.

Die Switches bieten zwei Methoden zum Generieren eines selbstsignierten Zertifikats:

  • Automatische Generierung

    In diesem Fall ist der Ersteller des Zertifikats der Switch. Standardmäßig ist auf dem Switch ein automatisch generiertes (auch als "systemgeneriertes" bezeichnetes) selbstsigniertes Zertifikat konfiguriert.

    Nachdem der Switch initialisiert wurde, prüft er, ob ein automatisch generiertes selbstsigniertes Zertifikat vorhanden ist. Wenn er keine findet, generiert der Switch eine und speichert sie im Dateisystem.

    Ein selbstsigniertes Zertifikat, das automatisch vom Switch generiert wird, ähnelt einem SSH-Hostschlüssel. Es wird im Dateisystem gespeichert, nicht als Teil der Konfiguration. Sie bleibt bestehen, wenn der Switch neu gestartet wird, und bleibt erhalten, wenn ein Befehl ausgegeben wird.request system snapshot

    Der Switch verwendet den folgenden definierten Namen für das automatisch generierte Zertifikat:

    “ CN=<device serial number>, CN=system generated, CN=self-signed”

    Wenn Sie das vom System generierte selbstsignierte Zertifikat auf dem Switch löschen, generiert der Switch automatisch ein selbstsigniertes Zertifikat.

  • Manuelle Generierung

    In diesem Fall erstellen Sie das selbstsignierte Zertifikat für den Switch. Sie können jederzeit die CLI verwenden, um ein selbstsigniertes Zertifikat zu generieren. Manuell generierte selbstsignierte Zertifikate werden im Dateisystem und nicht als Teil der Konfiguration gespeichert.

Selbstsignierte Zertifikate sind ab dem Zeitpunkt ihrer Generierung fünf Jahre lang gültig. Wenn die Gültigkeit eines automatisch generierten selbstsignierten Zertifikats abläuft, können Sie es vom Switch löschen, sodass der Switch ein neues selbstsigniertes Zertifikat generiert.

Vom System generierte selbstsignierte Zertifikate und manuell generierte selbstsignierte Zertifikate können auf dem Switch koexistieren.

Manuelles Generieren von selbstsignierten Zertifikaten auf Switches (CLI-Verfahren)

Mit Switches der EX-Serie können Sie benutzerdefinierte selbstsignierte Zertifikate generieren und im Dateisystem speichern. Das Zertifikat, das Sie manuell generieren, kann mit dem automatisch generierten selbstsignierten Zertifikat auf dem Switch koexistieren. Um den sicheren Zugriff auf den Switch über SSL zu ermöglichen, können Sie entweder das vom System generierte selbstsignierte Zertifikat oder ein manuell generiertes Zertifikat verwenden.

Um selbstsignierte Zertifikate manuell zu generieren, müssen Sie die folgenden Aufgaben ausführen:

Generieren eines öffentlich-privaten Schlüsselpaars auf Switches

Einem digitalen Zertifikat ist ein kryptografisches Schlüsselpaar zugeordnet, das zum digitalen Signieren des Zertifikats verwendet wird. Das kryptografische Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Wenn Sie ein selbstsigniertes Zertifikat generieren, müssen Sie ein öffentlich-privates Schlüsselpaar angeben, das zum Signieren des selbstsignierten Zertifikats verwendet werden kann. Daher müssen Sie ein öffentlich-privates Schlüsselpaar generieren, bevor Sie ein selbstsigniertes Zertifikat generieren können.

So generieren Sie ein öffentlich-privates Schlüsselpaar:

HINWEIS:

Optional können Sie den Verschlüsselungsalgorithmus und die Größe des Verschlüsselungsschlüssels angeben. Wenn Sie den Verschlüsselungsalgorithmus und die Größe des Verschlüsselungsschlüssels nicht angeben, werden Standardwerte verwendet. Der Standardverschlüsselungsalgorithmus ist RSA, und die Standardgröße des Verschlüsselungsschlüssels beträgt 1024 Bit.

Nachdem das öffentlich-private Schlüsselpaar generiert wurde, zeigt der Switch Folgendes an:

Generieren von selbstsignierten Zertifikaten auf Switches

Um das selbstsignierte Zertifikat manuell zu generieren, geben Sie den Namen der Zertifikats-ID, den Antragsteller des Distinguished Name (DN), den Domänennamen, die IP-Adresse des Switches und die E-Mail-Adresse des Zertifikatsinhabers an:

Das von Ihnen generierte Zertifikat wird im Dateisystem des Switches gespeichert. Die Zertifikat-ID, die Sie beim Generieren des Zertifikats angegeben haben, ist eine eindeutige Kennung, mit der Sie die HTTPS- oder XNM-SSL-Dienste aktivieren können.

Um zu überprüfen, ob das Zertifikat ordnungsgemäß generiert und geladen wurde, geben Sie den Betriebsbefehl ein.show security pki local-certificate

Siehe auch

Beispiel: Konfigurieren von Secure Web Access

In diesem Beispiel wird gezeigt, wie Sie den sicheren Webzugriff auf Ihrem Gerät konfigurieren.

Anforderungen

Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

HINWEIS:

Sie können den HTTPS-Zugriff auf bestimmten Schnittstellen aktivieren. Wenn Sie HTTPS aktivieren, ohne eine Schnittstelle anzugeben, wird HTTPS auf allen Schnittstellen aktiviert.

Überblick

In diesem Beispiel importieren Sie das SSL-Zertifikat, das Sie generiert haben, als neuen und privaten Schlüssel im PEM-Format. Anschließend aktivieren Sie den HTTPS-Zugriff und geben das SSL-Zertifikat an, das für die Authentifizierung verwendet werden soll. Schließlich geben Sie den Port 8443 an, auf dem der HTTPS-Zugriff aktiviert werden soll.

Topologie

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

So konfigurieren Sie den sicheren Webzugriff auf Ihrem Gerät:

  1. Importieren Sie das SSL-Zertifikat und den privaten Schlüssel.

  2. Aktivieren Sie den HTTPS-Zugriff und geben Sie das SSL-Zertifikat und den Port an.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Verifizieren einer SSL-Zertifikatkonfiguration

Zweck

Überprüfen Sie die Konfiguration des SSL-Zertifikats.

Was

Geben Sie im Betriebsmodus den Befehl ein.show security

Überprüfen einer Secure Access-Konfiguration

Zweck

Überprüfen Sie die Konfiguration des sicheren Zugriffs.

Was

Geben Sie im Betriebsmodus den Befehl ein.show system services In der folgenden Beispielausgabe werden die Beispielwerte für den sicheren Webzugriff angezeigt:

Verwandte Themen