Auf dieser Seite
Online-Registrierung digitaler Zertifikate: Konfigurationsübersicht
Grundlegendes zur Online-Zertifizierungsstellenregistrierung
Beispiel: Online-Registrierung eines lokalen Zertifikats mithilfe von SCEP
Beispiel: Verwenden von SCEP zur automatischen Erneuerung eines lokalen Zertifikats
Grundlegendes zur Anmeldung von CMPv2- und SCEP-Zertifikaten
Beispiel: Manuelle Generierung eines CSR für das lokale Zertifikat und Senden an den CA-Server
Zertifikatsregistrierung
Eine Zertifizierungsstelle (CA) stellt digitale Zertifikate aus, die den Aufbau einer sicheren Verbindung zwischen zwei Endgeräten über die Zertifikatsvalidierung erleichtert. In den folgenden Themen wird die Konfiguration von CA-Zertifikaten online oder lokal mithilfe des Simple Certificate Enrollment Protocol (SCEP) beschrieben:
Online-Registrierung digitaler Zertifikate: Konfigurationsübersicht
Sie können das Certificate Management Protocol Version 2 (CMPv2) oder das Simple Certificate Enrollment Protocol (SCEP) verwenden, um digitale Zertifikate zu registrieren. So registrieren Sie ein Zertifikat online:
Generieren Sie ein Schlüsselpaar auf dem Gerät. Siehe Selbstsignierte digitale Zertifikate.
Erstellen Sie ein CA-Profil oder Profile mit informationen, die für eine ZERTIFIZIERUNGsstelle spezifische Informationen enthalten. Siehe Beispiel: Konfigurieren eines CA-Profils.
Nur für SCEP registrieren Sie das CA-Zertifikat. Siehe Online-Registrierung eines CA-Zertifikats mit SCEP.
Registrieren Sie das lokale Zertifikat der Zertifizierungsstelle, deren ZERTIFIZIERUNGS-Zertifikat Sie zuvor geladen haben. Siehe Beispiel: Online-Registrierung eines lokalen Zertifikats mithilfe von SCEP.
Konfigurieren Sie die automatische erneute Registrierung. Siehe Beispiel: Verwenden von SCEP zur automatischen Erneuerung eines lokalen Zertifikats.
Grundlegendes zur Online-Zertifizierungsstellenregistrierung
Mit dem Simple Certificate Enrollment Protocol (SCEP) können Sie Ihr Gerät von Juniper Networks so konfigurieren, dass es online ein Zertifizierungsstelle-Zertifikat (CA) erhält und die Online-Registrierung für die angegebene Zertifikats-ID beginnt. Der öffentliche Schlüssel von CA überprüft Zertifikate von Remote-Peers.
Grundlegendes zu lokalen Zertifikatsanfragen
Wenn Sie eine lokale Zertifikatsanforderung erstellen, generiert das Gerät einEnd-Entitätszertifikat im PKCS#10-Format aus einem Schlüsselpaar, das Sie zuvor mit derselben Zertifikats-ID generiert haben.
Ein Betreffname wird mit der lokalen Zertifikatsanforderung in Form eines gemeinsamen Namens (CN), einer Organisationseinheit (OU), einer Organisation (O), eines Gebiets (L), des Status (ST), des Landes (C) und der Domänenkomponente (DC) verknüpft. Darüber hinaus wird ein alternativer Betreffname in folgender Form zugeordnet:
-
IP-Adresse
-
E-Mail-Adresse
-
Vollqualifizierter Domänenname (FQDN)
Geben Sie den Betreffnamen im Format "Distinguished Name" in Anführungszeichen an, einschließlich Domänenkomponente (DC), Common Name (CN), Seriennummer (SN), Organisationseinheitsname (OU), Organisationsname (O), Lokalität (L), Status (ST) und Land (C).
Einige CAs unterstützen keine E-Mail-Adresse als Domänenname in einem Zertifikat. Wenn Sie in der lokalen Zertifikatsanfrage keine E-Mail-Adresse enthalten, kann bei der Konfiguration des Geräts als dynamischer Peer keine E-Mail-Adresse als lokale IKE-ID verwendet werden. Stattdessen können Sie einen vollqualifizierten Domänennamen verwenden (wenn er sich im lokalen Zertifikat befindet), oder Sie können das lokale ID-Feld leer lassen. Wenn Sie keine lokale ID für einen dynamischen Peer angeben, geben Sie diesen hostname.domain-name Peer auf dem Gerät am anderen Ende des IPsec-Tunnels in das Peer-ID-Feld ein.
Online-Registrierung eines CA-Zertifikats mithilfe von SCEP
Bevor Sie beginnen:
Generieren Sie ein öffentliches und ein privates Schlüsselpaar. Siehe Selbstsignierte digitale Zertifikate.
Erstellen Sie ein CA-Profil. Siehe Beispiel: Konfigurieren eines CA-Profils.
So registrieren Sie ein CA-Zertifikat online:
Rufen Sie das CA-Zertifikat online mit SCEP ab. (Die Attribute, die zum Erreichen des CA-Servers erforderlich sind, werden aus dem definierten CA-Profil abgerufen.)
user@host> request security pki ca-certificate enroll ca-profile ca-profile-ipsec
Der Befehl wird synchron verarbeitet, um den Fingerabdruck des empfangenen CA-Zertifikats anzugeben.
Fingerprint: e6:fa:d6:da:e8:8d:d3:00:e8:59:12:e1:2c:b9:3c:c0:9d:6c:8f:8d (sha1) 82:e2:dc:ea:48:4c:08:9a:fd:b5:24:b0:db:c3:ba:59 (md5) Do you want to load the above CA certificate ? [yes,no]
Bestätigen Sie, dass das richtige Zertifikat geladen wurde. Das CA-Zertifikat wird nur geladen, wenn Sie an der CLI-Eingabeaufforderung eingeben yes .
Weitere Informationen zum Zertifikat, z. B. die Bitlänge des Schlüsselpaares, erhalten Sie mit dem Befehl
show security pki ca-certificate.
Beispiel: Online-Registrierung eines lokalen Zertifikats mithilfe von SCEP
In diesem Beispiel wird gezeigt, wie Sie ein lokales Zertifikat online mit dem Simple Certificate Enrollment Protocol (SCEP) registrieren.
Anforderungen
Bevor Sie beginnen:
Generieren Sie ein öffentliches und ein privates Schlüsselpaar. Siehe Selbstsignierte digitale Zertifikate.
Konfigurieren Sie ein Zertifizierungsstellenprofil. Siehe Beispiel: Konfigurieren eines CA-Profils.
Registrieren Sie für SCEP das CA-Zertifikat. Siehe Online-Registrierung eines CA-Zertifikats mit SCEP.
Überblick
In diesem Beispiel konfigurieren Sie Ihr Gerät von Juniper Networks, um online ein lokales Zertifikat zu erhalten und die Online-Registrierung für die angegebene Zertifikats-ID mit SCEP zu starten. Sie geben den URL-Pfad zum CA-Server im CA-Profilnamen ca-profile-ipsecan.
Sie verwenden den request security pki local-certificate enroll scep Befehl, um die Onlineregistrierung für die angegebene Zertifikats-ID zu starten. (Ab Junos OS Version 15.1X49-D40 und Junos OS Version 17.3R1 wird das scep Schlüsselwort unterstützt und erforderlich.) Sie müssen z. B. den CA-Profilnamen, die Zertifikats-ID angeben, ca-profile-ipsecqqqdie einem zuvor generierten Schlüsselpaar entspricht (z. B.) und die folgenden Informationen:
Das Challenge-Kennwort, das vom CA-Administrator für die Zertifikatsregistrierung und erneute Registrierung angegeben wird.
Mindestens einer der folgenden Werte:
Der Domänenname zur Identifizierung des Zertifikatsbesitzers in IKE-Verhandlungen ,
qqq.example.netz. B. .Die Identität des Zertifikatsbesitzers für die IKE-Aushandlung mit der E-Mail-Anweisung , z. B
qqq@example.net. .Die IP-Adresse, wenn das Gerät für eine statische IP-Adresse konfiguriert ist,
10.10.10.10z. B. .
Geben Sie den Betreffnamen im Format "Distinguished Name" in Anführungszeichen an, einschließlich Domänenkomponente (DC), Common Name (CN), Seriennummer (SN), Organisationseinheitsname (OU), Organisationsname (O), Lokalität (L), Status (ST) und Land (C).
Sobald das Gerätezertifikat erhalten wurde, beginnt die Online-Registrierung für die Zertifikats-ID. Der Befehl wird asynchron verarbeitet.
Konfiguration
Verfahren
Schritt-für-Schritt-Verfahren
So registrieren Sie ein lokales Zertifikat online:
Geben Sie das CA-Profil an.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment url path-to-ca-server
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Starten Sie den Registrierungsprozess, indem Sie den Betriebsmodus-Befehl ausführen.
user@host> request security pki local-certificate enroll scep ca-profile ca-profile-ipsec certificate-id qqq challenge-password ca-provided-password domain-name qqq.example.net email qqq@example.net ip-address 10.10.10.10 subject DC=example, CN=router3, SN, OU=marketing, O=example, L=sunnyvale, ST=california, C=us
Wenn Sie SN im Betrefffeld ohne Seriennummer definieren, wird die Seriennummer direkt vom Gerät gelesen und der Certificate Signing Request (CSR) hinzugefügt.
Ab Junos OS Version 19.4R2 wird eine Warnmeldung ECDSA Keypair not supported with SCEP for cert_id <certificate id> angezeigt, wenn Sie versuchen, lokale Zertifikate mit einem Elliptic Curve Digital Signature Algorithm (ECDSA)-Schlüssel mit dem Simple Certificate Enrollment Protocol (SCEP) zu registrieren, da der ECDSA-Schlüssel von SCEP nicht unterstützt wird.
Überprüfung
Geben Sie den Befehl ein, um zu überprüfen, ob die show security pki Konfiguration ordnungsgemäß funktioniert.
Beispiel: Verwenden von SCEP zur automatischen Erneuerung eines lokalen Zertifikats
Sie können das Certificate Management Protocol Version 2 (CMPv2) oder das Simple Certificate Enrollment Protocol (SCEP) verwenden, um digitale Zertifikate zu registrieren. In diesem Beispiel wird gezeigt, wie Sie die lokalen Zertifikate automatisch mit SCEP erneuern.
Anforderungen
Bevor Sie beginnen:
Erhalten Sie ein Zertifikat online oder manuell. Weitere Informationen finden Sie unter Digitale Zertifikate.
Holen Sie sich ein lokales Zertifikat. Siehe Beispiel: Online-Registrierung eines lokalen Zertifikats mithilfe von SCEP.
Überblick
Sie können das Gerät aktivieren, zertifikate, die durch Online-Registrierung erworben oder manuell geladen wurden, automatisch zu erneuern. Die automatische Zertifikatsverlängerung spart Ihnen, dass Sie daran denken müssen, Zertifikate auf dem Gerät vor dem Ablauf zu erneuern, und hilft ihnen, jederzeit gültige Zertifikate zu pflegen.
Die automatische Zertifikatsverlängerung ist standardmäßig deaktiviert. Sie können die automatische Zertifikatsverlängerung aktivieren und das Gerät so konfigurieren, dass automatisch eine Anforderung zur erneuten Registrierung eines Zertifikats gesendet wird, bevor es abläuft. Sie können angeben, wann die Anforderung zur erneuten Registrierung des Zertifikats gesendet werden soll. Der Auslöser für die erneute Registrierung ist der Prozentsatz der Lebensdauer des Zertifikats, der vor ablaufen bleibt. Wenn die Verlängerungsanforderung beispielsweise gesendet werden soll, wenn die verbleibende Lebensdauer des Zertifikats 10 Prozent beträgt, konfigurieren Sie 10 für den Trigger für die erneute Anmeldung.
Damit diese Funktion funktioniert, muss das Gerät den CA-Server erreichen können, und das Zertifikat muss während des Verlängerungsprozesses auf dem Gerät vorhanden sein. Darüber hinaus müssen Sie sicherstellen, dass die Zertifizierungsstelle, die das Zertifikat ausstellt, den gleichen DN zurücksenden kann. Die Zertifizierungsstelle darf den Betreffnamen oder die Erweiterung des alternativen Betreffnamens im neuen Zertifikat nicht ändern.
Sie können die automatische SCEP-Zertifikatsverlängerung entweder für alle SCEP-Zertifikate oder auf Zertifikatsbasis aktivieren und deaktivieren. Sie verwenden den Befehl, um die set security pki auto-re-enrollment scep erneute Zertifikatsregistrierung zu aktivieren und zu konfigurieren. In diesem Beispiel geben Sie die Zertifikats-ID des CA-Zertifikats als an ca-ipsec , und legen den mit dem Zertifikat verknüpften CA-Profilnamen auf ca-profile-ipsec. Sie legen das Challenge-Kennwort für das CA-Zertifikat auf das vom CA-Administrator bereitgestellte Challenge-Kennwort fest. dieses Kennwort muss dasselbe sein, das zuvor für die Zertifizierungsstelle konfiguriert wurde. Sie legen auch den Prozentsatz für den Erneutregistrierungsauslöser auf 10. Bei der automatischen erneuten Registrierung verwendet das Gerät von Juniper Networks standardmäßig das vorhandene Schlüsselpaar. Eine gute Sicherheitspraxis besteht darin, ein neues Schlüsselpaar für die erneute Registrierung neu zu generieren. Verwenden Sie den re-generate-keypair Befehl, um ein neues Schlüsselpaar zu generieren.
Konfiguration
Verfahren
Schritt-für-Schritt-Verfahren
So aktivieren und konfigurieren Sie die erneute Registrierung eines lokalen Zertifikats:
Um die erneute Zertifikatsregistrierung zu aktivieren und zu konfigurieren.
[edit] user@host# set security pki auto-re-enrollment scep certificate-id ca-ipsec ca-profile-name ca-profile-ipsec challenge-password ca-provided-password re-enroll-trigger-time-percentage 10 re-generate-keypair
Ab Junos OS Version 15.1X49-D40 und Junos OS Version 17.3R1 wird das
scepSchlüsselwort unterstützt und erforderlich.Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Geben Sie den Befehl betriebsmodus ein, um zu überprüfen, ob die show security pki local-certificate detail Konfiguration ordnungsgemäß funktioniert.
Grundlegendes zur Anmeldung von CMPv2- und SCEP-Zertifikaten
Basierend auf Ihrer Bereitstellungsumgebung können Sie entweder Certificate Management Protocol Version 2 (CMPv2) oder Simple Certificate Enrollment Protocol (SCEP) für die Online-Zertifikatregistrierung verwenden. In diesem Thema werden einige der grundlegenden Unterschiede zwischen den beiden Protokollen beschrieben.
Tabelle 1 beschreibt die Unterschiede zwischen den Zertifikatregistrierungsprotokollen CMPv2 und SCEP.
Attribut |
CMPv2 |
SCEP |
|---|---|---|
Unterstützte Zertifikatstypen: |
DSA, ECDSA und RSA |
Nur RSA |
Unterstützte Standards |
RFCs 4210 und 4211 |
Internet Engineering Task Force-Entwurf |
Zertifikatsregistrierungen und erneute Anmeldungsanfragen und Antworten unterscheiden sich zwischen CMPv2 und SCEP. Mit CMPv2 gibt es keinen separaten Befehl zur Registrierung von CA-Zertifikaten. Mit SCEP registrieren Sie CA-Zertifikate mit dem request security pki ca-certificate enroll Befehl und geben das CA-Profil an. Ein CA-Profil muss mit CMPv2 oder SCEP konfiguriert werden.
Grundlegendes zur Zertifikatsregistrierung mit CMPv2
Der request security pki local-certificate enroll cmpv2 Befehl verwendet CMPv2, um ein lokales digitales Zertifikat online zu registrieren. Dieser Befehl lädt basierend auf der Ca-Serverkonfiguration sowohl Endentitäts- als auch CA-Zertifikate. Das CA-Profil muss vor der Zertifizierungsstelle-Zertifikatsregistrierung erstellt werden, da die Registrierungs-URL aus dem CA-Profil extrahiert wurde.
In diesem Thema wird die Zertifikatsregistrierung mit dem CMPv2-Protokoll beschrieben.
- Zertifikatsregistrierung und Meldungen zur erneuten Registrierung
- End-Entity-Zertifikat mit CA-Zertifikat ausstellen
- End-Entity-Zertifikat mit CA-Zertifikatskette
Zertifikatsregistrierung und Meldungen zur erneuten Registrierung
Das CMPv2-Protokoll umfasst hauptsächlich Zertifikatregistrierungs- und Neuanmeldungsvorgänge. Der Zertifikatregistrierungsprozess umfasst Initialisierungsanforderungs- und Initialisierungsantwortnachrichten, während die erneute Zertifikatsanmeldung Schlüsselaktualisierungsanforderung und Antwortnachrichten für schlüsselaktualisierungen umfasst.
DER CMPv2-Server reagiert mit Initialization Response (IP). Die Antwort enthält ein Endentitätszertifikat zusammen mit optionalen CA-Zertifikaten. Die Nachrichtenintegrität und -authentizität der Initialisierungsantwort kann mithilfe von shared-secret-Informationen gemäß RFC 4210 überprüft werden. Die Initialisierungsantwort kann auch mit einer Emittenten-CA public-Key überprüft werden. Bevor Sie ein Endentitätszertifikat erneut registrieren, müssen Sie ein gültiges Zertifizierungsstellenzertifikat auf dem Gerät registriert haben.
Die Initialisierungsantwort oder antwort auf Schlüssel kann ein Ca-Zertifikat oder eine Kette von CA-Zertifikaten enthalten. Die in den Antworten erhaltenen CA-Zertifikate werden als vertrauenswürdige CA-Zertifikate behandelt und im Empfangsgerät gespeichert, wenn sie nicht bereits im vertrauenswürdigen CA-Store vorhanden sind. Diese CA-Zertifikate werden später für die Validierung von Endentitätszertifikaten verwendet.
Wir unterstützen keine erneute Registrierung von CA-Zertifikaten. Wenn ein CA-Zertifikat abläuft, müssen Sie die Registrierung des aktuellen CA-Zertifikats aufheben und erneut registrieren.
End-Entity-Zertifikat mit CA-Zertifikat ausstellen
In einem einfachen Szenario kann die Initialisierungsantwortnachricht nur ein Endentitätszertifikat enthalten, in diesem Fall werden die Ca-Informationen separat bereitgestellt. Das Zertifikat wird im Zertifikatspeicher für Endentität gespeichert.
Die Initialisierungsantwortnachricht kann ein Endentitätszertifikat sowie ein selbstsigniertes CA-Zertifikat für Emittenten enthalten. Das Endentitätszertifikat wird zuerst im Zertifikatspeicher gespeichert, und dann wird das CA-Zertifikat geprüft. Wenn das ZERTIFIZIERUNGS-Zertifikat gefunden wird und der Betreffname (Subject Distinguished Name, DN) des CA-Zertifikats in der Initialisierungsantwortmeldung mit dem Herausgeber-DN des Endentitätszertifikats übereinstimmt, wird das CA-Zertifikat im CA-Zertifikatspeicher für den CA-Profilnamen gespeichert, der im Befehl CMPv2-Zertifikatregistrierung angegeben ist. Wenn das CA-Zertifikat bereits im Ca-Zertifikatspeicher vorhanden ist, werden keine Maßnahmen ergriffen.
End-Entity-Zertifikat mit CA-Zertifikatskette
In vielen Bereitstellungen wird das Endentitätszertifikat von einer zwischengeschalteten Zertifizierungsstelle in einer Zertifikatskette ausgestellt. In diesem Fall kann die Initialisierungsreaktionsnachricht das Endentitätszertifikat zusammen mit einer Liste der Zertifizierungsstellenzertifikate in der Kette enthalten. Die Zwischenzertifikate der Zertifizierungsstelle und die selbstsignierten Stammzertifizierungsstellenzertifikate sind alle erforderlich, um das Endentitätszertifikat zu validieren. Möglicherweise ist die CA-Kette auch erforderlich, um Zertifikate zu validieren, die von Peer-Geräten mit ähnlichen Hierarchien erhalten wurden. Im folgenden Abschnitt wird beschrieben, wie Zertifikate in der Zertifizierungsstelle-Kette gespeichert werden.
In Abbildung 1enthält die Initialisierungsantwort das Endentitätszertifikat und drei CA-Zertifikate in einer Zertifikatskette.
Das Endentitätszertifikat wird im Zertifikatspeicher für Endentität gespeichert. Jedes CA-Zertifikat benötigt ein CA-Profil. Das CA-Zertifikat mit dem Betreff DN Sub11-CA ist die erste ZERTIFIZIERUNGsstelle in der Kette und ist der Ausgeber des Endentitätszertifikats. Es wird im CA-Profil gespeichert, das mit dem Befehl CMPv2-Zertifikatregistrierung angegeben wird.
Jedes der verbleibenden CA-Zertifikate in der Kette wird auf sein Vorhandensein im CA-Store überprüft. Wenn ein CA-Zertifikat nicht im CA-Speicher vorhanden ist, wird es gespeichert und ein CA-Profil erstellt. Der neue CA-Profilname wird mit den geringsten 16 Stellen der CA-Zertifikatsseriennummer erstellt. Wenn die Seriennummer länger als 16 Stellen ist, werden die wichtigsten Ziffern über 16 Ziffern abgeschnitten. Wenn die Seriennummer kürzer als 16 Stellen ist, werden die verbleibenden signifikantsten Ziffern mit 0s gefüllt. Wenn die Seriennummer z. B. 11111000100010001000 ist, lautet der CA-Profilname 1000100010001000. Wenn die Seriennummer 10001000 lautet, ist der CA-Profilname 0000000010001000.
Es ist möglich, dass mehrere Zertifikatsseriennummern die gleichen mindestens signifikanten 16 Ziffern haben können. In diesem Fall wird an den Profilnamen angefügt, -00 um einen eindeutigen CA-Profilnamen zu erstellen. Zusätzliche CA-Profilnamen werden erstellt, indem die angefügte Nummer von -01 bis zu -99erhöht wird. Ca-Profilnamen können z. B. und 10001000100010001000100010001000-001000100010001000-01.
Siehe auch
Beispiel: Manuelle Generierung eines CSR für das lokale Zertifikat und Senden an den CA-Server
In diesem Beispiel wird gezeigt, wie Sie eine Zertifikatssignaturanforderung manuell generieren.
Anforderungen
Generieren Sie einen öffentlichen und einen privaten Schlüssel. Siehe Selbstsignierte digitale Zertifikate.
Überblick
In diesem Beispiel generieren Sie eine Zertifikatsanforderung mit der Zertifikats-ID eines öffentlich-privaten Schlüsselpaars, das Sie zuvor generiert haben (ca-ipsec). Dann geben Sie den Domänennamen (example.net) und den zugehörigen allgemeinen Namen (abc) an. Die Zertifikatsanforderung wird im PEM-Format angezeigt.
Sie kopieren die generierte Zertifikatsanforderung und fügen sie in das entsprechende Feld auf der Ca-Website ein, um ein lokales Zertifikat zu erhalten. (In der Ca-Serverdokumentation können Sie herausfinden, wo die Zertifikatsanforderung eingefügt werden soll.) Wenn der PKCS#10-Inhalt angezeigt wird, wird auch der MD5-Hash und der SHA-1-Hash der PKCS #10-Datei angezeigt.
Konfiguration
Verfahren
Schritt-für-Schritt-Verfahren
So generieren Sie ein lokales Zertifikat manuell:
Geben Sie die Zertifikats-ID, den Domänennamen und den allgemeinen Namen an.
user@host> request security pki generate-certificate-request certificate-id ca-ipsec domain-name example.net subject CN=abc
Überprüfung
Geben Sie den Befehl ein, um die show security pki certificate-request detail Zertifikatssignaturanforderung anzuzeigen.
Certificate identifier: ca-ipsec Certificate version: 1 Issued to: CN = abc Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:da:ea:cd:3a:49:1f:b7:33:3c:c5:50:fb:57 de:17:34:1c:51:9b:7b:1c:e9:1c:74:86:69:a4:36:77:13:a7:10:0e 52:f4:2b:52:39:07:15:3f:39:f5:49:d6:86:70:4b:a6:2d:73:b6:68 39:d3:6b:f3:11:67:ee:b4:40:5b:f4:de:a9:a4:0e:11:14:3f:96:84 03:3c:73:c7:75:f5:c4:c2:3f:5b:94:e6:24:aa:e8:2c:54:e6:b5:42 c7:72:1b:25:ca:f3:b9:fa:7f:41:82:6e:76:8b:e6:d7:d2:93:9b:38 fe:fd:71:01:2c:9b:5e:98:3f:0c:ed:a9:2b:a7:fb:02:03:01:00:01 Fingerprint: 0f:e6:2e:fc:6d:52:5d:47:6e:10:1c:ad:a0:8a:4c:b7:cc:97:c6:01 (sha1) f8:e6:88:53:52:c2:09:43:b7:43:9c:7a:a2:70:98:56 (md5)
Beispiel: Manuelles Laden von CA und lokalen Zertifikaten
In diesem Beispiel wird gezeigt, wie Sie CA und lokale Zertifikate manuell laden.
Anforderungen
Bevor Sie beginnen:
Generieren Sie ein public-privates Schlüsselpaar. Siehe Selbstsignierte digitale Zertifikate.
Erstellen Sie ein CA-Profil. Weitere Informationen finden Sie unter Grundlegendes zu Zertifizierungsstellenprofilen.
CA-Profil ist nur für das CA-Zertifikat und nicht für das lokale Zertifikat erforderlich
Generieren Sie eine Zertifikatsanforderung. Siehe Beispiel: Manuelles Generieren eines CSR für das lokale Zertifikat und Senden an den CA-Server.
Überblick
In diesem Beispiel laden Sie die local.cert- und ca.cert-Zertifikate herunter und speichern sie im Verzeichnis /var/tmp/ auf dem Gerät.
Nachdem Sie Zertifikate von einer Zertifizierungsstelle heruntergeladen haben, übertragen Sie sie auf das Gerät (z. B. mithilfe von FTP) und laden sie dann.
Sie können die folgenden Zertifikatsdateien auf ein Gerät mit Junos OS laden:
Ein lokales oder End-Entity (EE)-Zertifikat, das Ihr lokales Gerät identifiziert. Dieses Zertifikat ist Ihr öffentlicher Schlüssel.
Ein CA-Zertifikat, das den öffentlichen Schlüssel der Zertifizierungsstelle enthält.
Eine CRL, die alle von der Zertifizierungsstelle widerrufenen Zertifikate auflistet.
Sie können mehrere EE-Zertifikate auf das Gerät laden.
Konfiguration
Verfahren
Schritt-für-Schritt-Verfahren
So laden Sie die Zertifikatsdateien auf ein Gerät:
Laden Sie das lokale Zertifikat.
[edit] user@host> request security pki local-certificate load certificate-id local.cert filename /var/tmp/local.cert
Laden Sie das CA-Zertifikat.
[edit] user@host> request security pki ca-certificate load ca-profile ca-profile-ipsec filename /var/tmp/ca.cert
Überprüfen Sie den Fingerabdruck des CA-Zertifikats, wenn er für dieses CA-Zertifikat korrekt ist, wählen Sie "Ja" aus, um es zu akzeptieren.
Überprüfung
Um die geladenen Zertifikate korrekt zu überprüfen, geben Sie die Befehle und show security pki ca-certificate die show security pki local-certificate Befehle im Betriebsmodus ein.
Fingerprint: e8:bf:81:6a:cd:26:ad:41:b3:84:55:d9:10:c4:a3:cc:c5:70:f0:7f (sha1) 19:b0:f8:36:e1:80:2c:30:a7:31:79:69:99:b7:56:9c (md5) Do you want to load this CA certificate ? [yes,no] (no) yes
Löschen von Zertifikaten (CLI-Prozedur)
Sie können ein lokales oder vertrauenswürdiges Ca-Zertifikat löschen, das automatisch oder manuell generiert wird.
Verwenden Sie den folgenden Befehl, um ein lokales Zertifikat zu löschen:
user@host>clear security pki local certificate certificate-id (certificate-id| all | system-generated )
Geben Sie eine Zertifikats-ID zum Löschen eines lokalen Zertifikats mit einer bestimmten ID an, verwenden all Sie zum Löschen aller lokalen Zertifikate oder geben Sie an system-generated , um das automatisch generierte selbstsignierte Zertifikat zu löschen.
Wenn Sie ein automatisch generiertes selbstsigniertes Zertifikat löschen, generiert das Gerät ein neues Zertifikat.
So löschen Sie ein CA-Zertifikat:
user@host>clear security pki ca-certificate ca-profile (ca-profile-name| all)
Geben Sie ein CA-Profil zum Löschen eines bestimmten ZERTIFIZIERUNGS-Zertifikats an, oder verwenden Sie die Verwendung all zum Löschen aller im persistenten Speicher vorhandenen CA-Zertifikate.
Sie werden um eine Bestätigung gebeten, bevor ein CA-Zertifikat gelöscht werden kann.
ECDSA Keypair not supported with SCEP for cert_id <certificate id> angezeigt, wenn Sie versuchen, lokale Zertifikate mit einem Elliptic Curve Digital Signature Algorithm (ECDSA)-Schlüssel mit dem Simple Certificate Enrollment Protocol (SCEP) zu registrieren, da der ECDSA-Schlüssel von SCEP nicht unterstützt wird.scep Schlüsselwort unterstützt und erforderlich.scep Schlüsselwort unterstützt und erforderlich.