Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Zertifikatsregistrierung

Eine Zertifizierungsstelle (CA) gibt digitale Zertifikate aus, die beim Herstellen einer sicheren Verbindung zwischen zwei Endpunkten mittels Zertifikatsvalidierung helfen. In den folgenden Themen wird beschrieben, wie Sie CA Zertifikate online oder lokal mithilfe des SCEP (Simple Certificate Enrollment Protocol) konfigurieren:

Online-Registrierung digitaler Zertifikate: Konfigurationsübersicht

Sie können entweder Certificate Management Protocol Version 2 (CMPv2) oder Simple Certificate Enrollment Protocol (SCEP) verwenden, um digitale Zertifikate zu registrieren. Um sich online für ein Zertifikat zu registrieren:

  1. Generieren Sie ein Schlüsselpaar auf dem Gerät. Siehe selbst signierte digitale Zertifikate.

  2. Erstellen Sie CA Profil oder Profile mit Informationen, die für einen bestimmten CA. Siehe Beispiel: Konfigurieren eines CA Profils

  3. Registrieren Sie sich nur für SCEP für CA Zertifikat. Siehe Anmelden eines CA Zertifikats online mit SCEP.

  4. Registrieren Sie das lokale Zertifikat des CA dessen CA zuvor geladen wurden. Siehe Beispiel: Melden Sie sich mit SCEP online zu einem lokalen Zertifikat an.

  5. Konfigurieren Sie automatische erneute Registrierung. Siehe Beispiel: Verwenden von SCEP zur automatischen Erneuerung eines lokalen Zertifikats.

Understanding Online CA Certificate Enrollment

Mit simplem SCEP (Certificate Enrollment Protocol) können Sie Ihr Juniper Networks-Gerät so konfigurieren, dass ein Zertifikat (CA) -Zertifikat online erhalten wird und die Online-Anmeldung für die angegebene Zertifikats-ID startet. Der CA Schlüssel überprüft die Zertifikate von Remote-Peers.

Kenntnis über lokale Zertifikatsanforderungen

Wenn Sie eine lokale Zertifikatsanforderung erstellen, generiert das Gerät ein End-Entity-Zertifikat im PKCS #10-Format von einem Schlüsselpaar, das Sie zuvor mit derselben Zertifikats-ID generiert haben.

Ein Betreffname wird der Anfrage eines lokalen Zertifikats in Form eines gemeinsamen Namens (CN), der Organisationseinheit (OU), der Organisation (O), des Lokalen (L), des Bundesstaates (ST), des Landes (C) und der Domänenkomponente (DC) zugeordnet. Darüber hinaus ist ein alternativer Betreffname in folgendem Formular verknüpft:

  • IP-Adresse

  • E-Mail-Adresse

  • Vollständig qualifizierter Domainname (FQDN)

    Geben Sie den Namen des Betreffs im ausgezeichneten Namenformat in Anführungszeichen an, darunter die Domainkomponente (DC), den gemeinsamen Namen (CN), die Seriennummer (SN), den Namen der Organisationseinheit (OU), den Unternehmensnamen (O), den Ortungsnamen (L), den Status (ST) und das Land (C).

    Einige CAs unterstützen keine E-Mail-Adresse als Domainnamen in einem Zertifikat. Wenn Sie in der lokalen Zertifikatsanfrage keine E-Mail-Adresse angeben, können Sie bei der Konfiguration des Geräts als dynamischer Peer keine lokale IKE-ID als E-Mail-Adresse verwenden. Stattdessen können Sie einen vollständig qualifizierten Domainnamen verwenden (falls dieser sich in dem lokalen Zertifikat befindet), oder Sie können das lokale ID-Feld leer lassen. Wenn Sie für einen dynamischen Peer keine lokale ID angeben, geben Sie den Hostname.domain-name des Peers auf dem Gerät am anderen Ende des IPsec-Tunnels im Peer-ID-Feld ein.

Anmeldung für ein CA-Zertifikat online mit SCEP

Bevor Sie beginnen:

  1. Generierung eines Kopplungspaars für öffentliche und private Schlüssel. Siehe selbst signierte digitale Zertifikate.

  2. Erstellen Sie ein CA Profil. Siehe Beispiel: Konfigurieren eines CA Profils

So registrieren Sie ein CA Zertifikat online:

  1. Rufen Sie das CA-Zertifikat online mit SCEP ab. (Die zur Reichweite des Servers erforderlichen Attribute CA dem definierten Profil CA werden ermittelt.)

    Der Befehl wird synchron verarbeitet, um den Fingerabdruck des empfangenen CA werden.

  2. Vergewissern Sie sich, dass das richtige Zertifikat geladen wurde. Das CA wird nur geladen, wenn Sie die Eingabe auf der Eingabeaufforderung yes CLI.

    Verwenden Sie den Befehl, um weitere Informationen zum Zertifikat zu erhalten, z. B. die Bitlänge des show security pki ca-certificate Schlüsselpaars.

Beispiel: Anmelden eines lokalen Zertifikats online mit SCEP

In diesem Beispiel wird gezeigt, wie Sie sich mithilfe des Simple Certificate Enrollment Protocol (SCEP) online für ein lokales Zertifikat registrieren.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel konfigurieren Sie Ihr Juniper Networks-Gerät, um ein lokales Zertifikat online zu erhalten und die Online-Anmeldung für die angegebene Zertifikats-ID beim SCEP zu starten. Sie geben den URL-Pfad zum Server CA im Profilnamen CA ca-profile-ipsec an.

Sie verwenden den request security pki local-certificate enroll scep Befehl, um die Online-Anmeldung für die angegebene Zertifikats-ID zu starten. (Das Stichwort wird Junos OS neue 15.1X49-D40 und Junos OS-Version 17.3R1 unterstützt scep und ist erforderlich.) Sie müssen den CA Profilnamen (z. B.), die Zertifikats-ID, die einem zuvor generierten Schlüsselpaar entspricht (z. B.), und die ca-profile-ipsecqqq folgenden Informationen angeben:

  • Das Challenge-Kennwort, das vom CA administrator für die Zertifikatsregistrierung und erneute Registrierung angegeben wird.

  • Mindestens einer der folgenden Werte:

    • Der Domänenname, den der Zertifikatsinhaber in IKE Aus verhandlungen qqq.example.net identifiziert.

    • Die Identität des Zertifikatsinhabers für IKE aushandlung mit dem E-Mail-Statement , z. qqq@example.net B.

    • Die IP-Adresse, wenn das Gerät für eine statische IP-Adresse konfiguriert ist, z. 10.10.10.10 B.

Geben Sie den Namen des Betreffs im ausgezeichneten Namenformat in Anführungszeichen an, darunter die Domainkomponente (DC), den gemeinsamen Namen (CN), die Seriennummer (SN), den Namen der Organisationseinheit (OU), den Unternehmensnamen (O), den Ortungsnamen (L), den Status (ST) und das Land (C).

Sobald das Gerätezertifikat erworben wurde und die Online-Anmeldung für die Zertifikats-ID beginnt. Der Befehl wird asynchron verarbeitet.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

So registrieren Sie ein lokales Zertifikat online:

  1. Geben Sie das CA an.

  2. Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, commit die Konfiguration.

  3. Initiieren Sie den Anmeldungsprozess mit dem Befehl zum Betriebsmodus.

    Wenn Sie SN im Betrefffeld ohne die Seriennummer definieren, wird die Seriennummer direkt vom Gerät aus gelesen und zur Signaturanfrage für das Zertifikat hinzugefügt.

Beginnend ab Junos OS Release 19.4R2 wird eine Warnung angezeigt, wenn Sie versuchen, ein lokales Zertifikat mit einem ECDSA Keypair not supported with SCEP for cert_id <certificate id> Eltic Curve Digital Signature Algorithm (ECDSA)-Schlüssel mit SCEP (Simple Certificate Enrollment Protocol) zu registrieren, da der ECDSA-Schlüssel nicht von SCEP unterstützt wird.

Überprüfung

Geben Sie den Befehl ein, um sicherzustellen, dass die Konfiguration ordnungsgemäß show security pki funktioniert.

Beispiel: Nutzung von SCEP zur automatischen Erneuerung eines lokalen Zertifikats

Sie können entweder Certificate Management Protocol Version 2 (CMPv2) oder Simple Certificate Enrollment Protocol (SCEP) verwenden, um digitale Zertifikate zu registrieren. In diesem Beispiel wird gezeigt, wie Sie die lokalen Zertifikate automatisch mithilfe von SCEP erneuern.

Anforderungen

Bevor Sie beginnen:

Überblick

Sie können es dem Gerät ermöglichen, Zertifikate, die durch online-Anmeldung erworben oder manuell geladen wurden, automatisch zu erneuern. Durch die automatische Verlängerung des Zertifikats müssen Sie nicht mehr Zertifikate auf dem Gerät erneuern, bevor sie ablaufen. Außerdem können Sie die gültigen Zertifikate jederzeit pflegen.

Die automatische Verlängerung des Zertifikats ist standardmäßig deaktiviert. Sie können die automatische Erneuerung des Zertifikats aktivieren und das Gerät so konfigurieren, dass es automatisch eine Anforderung zur erneuten Abonnementierung eines Zertifikats sendet, bevor es abläuft. Sie können festlegen, wann die Anforderung zur erneuten Neuanfrage des Zertifikats gesendet werden soll. der Auslöser für die erneute Registrierung ist der Prozentwert der Lebensdauer des Zertifikats, der vor der Gültigkeit bleibt. Wenn die Verlängerungsanfrage beispielsweise gesendet werden soll, wenn die Lebensdauer des Zertifikats 10 Prozent beträgt, konfigurieren Sie 10 für den Neustart-Trigger.

Damit diese Funktion funktioniert, muss das Gerät in der Lage sein, den CA-Server zu erreichen. Das Zertifikat muss während des Verlängerungsvorgangs auf dem Gerät vorhanden sein. Darüber hinaus müssen Sie sicherstellen, dass der CA Zertifikat denselben DN zurücksingen kann. Der CA darf den Betreffname oder die alternative Erweiterung des Betreffnamens im neuen Zertifikat nicht ändern.

Sie können die automatische Verlängerung des SCEP-Zertifikats entweder für alle SCEP-Zertifikate oder auf Zertifikatsbasis aktivieren und deaktivieren. Sie verwenden den Befehl, um die Erneute Registrierung set security pki auto-re-enrollment scep von Zertifikaten zu aktivieren und zu konfigurieren. In diesem Beispiel geben Sie die Zertifikats-ID des CA und den Namen des CA-Profils an, dem das ca-ipsec Zertifikat zugeordnet ca-profile-ipsec ist. Sie legen das Kennwort für die CA Challenge-Kennwörter fest, die vom Administrator angegeben CA werden. dieses Kennwort muss dem zuvor für den Benutzer konfigurierten CA. Sie haben auch den Prozentsatz für den Umstiegs-Trigger auf 10 festgelegt. Bei der automatischen Neukonfiguration verwendet Juniper Networks standardmäßig das vorhandene Schlüsselpaar. Eine gute Sicherheit ist, ein neues Schlüsselpaar für die erneute Erwaltung zu regenerieren. Verwenden Sie den Befehl, um ein neues Schlüsselpaar zu re-generate-keypair generieren.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

So aktivieren und konfigurieren Sie die lokale Neueinstellung von Zertifikaten:

  1. Um die Neueinstellung von Zertifikaten zu aktivieren und zu konfigurieren.

    Beginnend im Junos OS Veröffentlichungs-15.1X49-D40 und Junos OS Veröffentlichungsversion 17.3R1 wird das Schlüsselwort scep unterstützt und erforderlich.

  2. Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, commit die Konfiguration.

Überprüfung

Geben Sie den Betriebsmodusbefehl ein, um sicherzustellen, dass die Konfiguration show security pki local-certificate detail ordnungsgemäß funktioniert.

Kenntnis über die Registrierung von CMPv2- und SCEP-Zertifikaten

Basierend auf Ihrer Bereitstellungsumgebung können Sie entweder das Certificate Management Protocol Version 2 (CMPv2) oder das Simple Certificate Enrollment Protocol (SCEP) für die Online-Zertifikatsregistrierung verwenden. In diesem Thema werden einige der grundlegenden Unterschiede zwischen den beiden Protokollen beschrieben.

Tabelle 1 beschreibt die Unterschiede zwischen den Protokollen CMPv2 und SCEP für die Zertifikatsregistrierung.

Tabelle 1: Vergleich der Anmeldung von CMPv2- und SCEP-Zertifikaten

Attribut

CMPv2

Scep

Unterstützte Zertifikatstypen:

DSA, ECDSA und RSA

Nur RSA

Unterstützte Standards

RFCs 4210 und 4211

Internet Engineering Task Force entwurf

Anforderungen und Antworten für die erneute Registrierung von Zertifikaten unterscheiden sich zwischen CMPv2 und SCEP. Bei CMPv2 gibt es keinen separaten Befehl, um sich für CA registrieren. Bei SCEP registrieren Sie sich CA Zertifikate mit dem Befehl, request security pki ca-certificate enroll und geben Sie das CA an. Ein CA muss entweder mit CMPv2 oder SCEP konfiguriert werden.

Verstehen der Zertifikatsregistrierung mit CMPv2

Der request security pki local-certificate enroll cmpv2 Befehl verwendet CMPv2, um sich online für ein lokales digitales Zertifikat zu registrieren. Dieser Befehl lädt auf Grundlage der Konfiguration der CA Zertifikate der Endbenutzer CA Server. Das CA muss vor der Anmeldung zum CA erstellt werden, da die Registrierungs-URL aus dem Profil CA wird.

In diesem Thema wird die Zertifikatsregistrierung mit dem CMPv2-Protokoll beschrieben.

Zertifikatsregistrierungs- und erneute Meldungen

Das CMPv2-Protokoll beinhaltet in erster Linie die Registrierung und Neuanmeldung von Zertifikaten. Der Prozess der Zertifikatsregistrierung umfasst Initialisierungsanfrage- und Initialisierungsreaktionsmeldungen, während die Neuanforderung des Zertifikats Schlüssel-Aktualisierungsanfrage und Key Update Response-Nachrichten umfasst.

Der CMPv2-Server reagiert zurück mit Initialization Response (IP). Die Antwort enthält ein End-Entity-Zertifikat sowie optionale CA Zertifikate. Die Nachrichtenintegrität und die Echtheit der Initialization Response können anhand von Shared Secret-Information gemäß RFC 4210 geprüft werden. Die Initialisierungsreaktion kann auch anhand von öffentlichen Schlüssel-CA verifiziert werden. Bevor Sie sich erneut für ein Endbenutzerzertifikat registrieren, müssen Sie über ein gültiges CA auf dem Gerät registriert sein.

Die Initialization Response- oder Key Update Response-Nachricht kann eine 10-prozentige Zertifizierung CA oder eine Kette von CA enthalten. Die CA in den Antworten empfangenen Zertifikate werden als vertrauenswürdige CA-Zertifikate behandelt und auf dem empfangenden Gerät gespeichert, wenn sie nicht bereits im Trusted CA Store vorhanden sind. Diese CA werden später für die Validierung des End-Entity-Zertifikats verwendet.

Wir unterstützen eine erneute CA Zertifikats nicht. Wenn ein CA Zertifikat abläuft, müssen Sie das aktuelle CA wieder registrieren.

End-Entity-Zertifikat mit einer zertifizierungsbasierten CA zertifizierung

In einem einfachen Szenario kann die Initialisierungsreaktionsnachricht nur ein Endbenutzerzertifikat enthalten. In diesem Fall werden die CA bereitgestellt. Das Zertifikat wird im End-Entity-Zertifikatsspeicher gespeichert.

Die Initialisierungsreaktionsnachricht kann ein End-Entity-Zertifikat sowie ein selbstsigniertes und von einer CA signiertes Zertifikat enthalten. Das Zertifikat wird zuerst im Zertifikatsspeicher gespeichert und anschließend CA Zertifikat geprüft. Wenn das CA-Zertifikat gefunden wird und der vom CA-Zertifikat in der Initialisierungsreaktionsnachricht definierte Name (Subject Distinguished Name, DN) des CA-Zertifikats dem insgesamt anderen DN des End-Entity-Zertifikats entspricht, wird das CA-Zertifikat im CA-Zertifikatsspeicher für den im BEFEHL CMPv2 für die Zertifikatsregistrierung angegebenen CA-Profil gespeichert. Wenn das CA zertifikat bereits im Zertifikatsspeicher CA vorhanden ist, werden keine Maßnahmen ergriffen.

End-Entity-Zertifikat mit CA Zertifikatskette

In vielen Bereitstellungen wird das End-Entity-Zertifikat von einem Intermediate CA in einer Zertifikatskette ausgegeben. In diesem Fall kann die Initialisierungsreaktionsnachricht das Endentitätszertifikat sowie eine Liste CA Zertifikate in der Kette enthalten. Die Intermediate CA-Zertifikate und die selbst signierten Root-CA-Zertifikate sind für die Validierung des End-Entity-Zertifikats erforderlich. Die CA zertifizierungskette kann auch für die Validierung von Zertifikaten benötigt werden, die von Peer-Geräten mit ähnlichen Hierarchien empfangen wurden. Im folgenden Abschnitt wird beschrieben, wie Zertifikate in der Lieferkette CA gespeichert werden.

In der Initialisierungsreaktionsnachricht sind das Abbildung 1 End-Entity-Zertifikat und drei CA-Zertifikate in einer Zertifikatskette enthalten.

Abbildung 1: End-Entity-Zertifikat mit CA ZertifikatsketteEnd-Entity-Zertifikat mit CA Zertifikatskette

Das End-Entity-Zertifikat wird im End-Entity-Zertifikatsspeicher gespeichert. Jedes CA-Zertifikat benötigt ein CA eines Profils. Das CA-Zertifikat mit dem Betreff DN Sub11-CA ist der erste CA in der Kette und das Ziel des End-Entity-Zertifikats. Sie wird im Profil des CA CMPv2-Zertifikatsregistrierungsbefehls gespeichert.

Jedes der verbleibenden CA In der Kette wird auf seine Präsenz in den Filialen CA geprüft. Wenn ein CA nicht im Speicher CA vorhanden ist, wird dieses gespeichert und ein CA erstellt. Der neue CA wird unter Verwendung der mindestens signifikanten 16 Digits der Zertifikatsseriennummer CA erstellt. Wenn die Seriennummer mehr als 16 Digits ist, sind die signifikantsten Digits über 16 digits nicht mehr bewerkstelligt. Wenn die Seriennummer kürzer als 16 Digits ist, werden die verbleibenden signifikanten Digits mit 0 s gefüllt. Wenn die Seriennummer beispielsweise 111110001000100010001000 ist, wird der CA 1000100010001000 angezeigt. Wenn die Seriennummer 10001000 heißt, dann CA Ihr 0000000010001000 Profil.

Es ist möglich, dass mehrere Seriennummern des Zertifikats die gleiche nicht signifikante 16 Digits haben. In diesem Fall wird der Profilname an den Profilnamen angehängt, um einen eindeutigen namen CA zu erstellen. Weitere CA-Profilnamen werden durch Erhöhen der angehängten Nummer von bis auf -00-01-99 . Beispielsweise können CA -Profilnamen 1000100010001000 und 1000100010001000-001000100010001000-01 .

Beispiel: Manuelles Erstellen eines CSR für das lokale Zertifikat und Senden an den CA Server

In diesem Beispiel wird gezeigt, wie Sie eine Zertifikats-Signing-Anforderung manuell generieren.

Anforderungen

Einen öffentlichen und privaten Schlüssel generieren. Siehe selbst signierte digitale Zertifikate.

Überblick

In diesem Beispiel erstellen Sie eine Zertifikatsanforderung mit der Zertifikats-ID eines zuvor generierten Paars mit öffentlichem und privatem Schlüssel (ca-ipsec). Dann geben Sie den Domainnamen (example.net) und den zugehörigen gemeinsamen Namen (abc) an. Die Zertifikatsanforderung wird im PEM-Format angezeigt.

Sie kopieren die generierte Zertifikatsanfrage, und fügen sie in das entsprechende Feld auf der CA-Website ein, um ein lokales Zertifikat zu erhalten. (In der Dokumentation CA Server finden Sie, wo die Zertifikatsanforderung eingefügt werden soll.) Wenn der PKCS #10 angezeigt wird, werden der MD5-Hash und der SHA-1-Hash der PKCS #10 datei angezeigt.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

Um ein lokales Zertifikat manuell zu generieren:

  • Geben Sie eine Zertifikats-ID, einen Domainnamen und einen gemeinsamen Namen an.

Überprüfung

Wenn Sie die Signaturanfrage für das Zertifikat anzeigen wollen, geben Sie den show security pki certificate-request detail Befehl ein.

Beispiel: Manuelle CA und lokaler Zertifikate

In diesem Beispiel wird gezeigt, wie CA lokaler Zertifikate manuell geladen werden.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel laden Sie die local.cert- und ca.cert-Zertifikate herunter und speichern diese im /var/tmp/Verzeichnis auf dem Gerät.

Nachdem Sie die Zertifikate eines CA heruntergeladen haben, übertragen Sie diese über FTP auf das Gerät und laden sie.

Sie können die folgenden Zertifikatsdateien auf ein Gerät laden, auf dem eine Junos OS:

  • Ein lokales oder EE-Zertifikat (End-Entity), das Ihr lokales Gerät identifiziert. Dieses Zertifikat ist Ihr öffentlicher Schlüssel.

  • Ein CA-Zertifikat, das den öffentlichen CA Schlüssel des Zertifikats enthält.

  • Ein CRL mit allen Zertifikaten, die von diesem Zertifikat widerrufen CA.

    Sie können mehrere EE-Zertifikate auf das Gerät laden.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

So laden Sie die Zertifikatsdateien auf ein Gerät:

  1. Laden Sie das lokale Zertifikat.

  2. Laden Sie das CA Zertifikat.

  3. Prüfen Sie den Fingerabdruck des CA Zertifikats, wenn dieser korrekt für dieses CA ist, und wählen Sie das zu akzeptierende Zertifikat.

Überprüfung

Geben Sie die Befehle und die Befehle im Betriebsmodus ein, um die geladenen show security pki local-certificateshow security pki ca-certificate Zertifikate ordnungsgemäß zu überprüfen.

Löschen von Zertifikaten (CLI Verfahren)

Sie können lokale oder vertrauenswürdige Zertifikate CA löschen, die automatisch oder manuell generiert werden.

Verwenden Sie den folgenden Befehl zum Löschen eines lokalen Zertifikats:

Geben Sie eine Zertifikats-ID an, um ein lokales Zertifikat mit einer bestimmten ID zu löschen, alle lokalen Zertifikate zu löschen oder das automatisch generierte selbst signierte Zertifikat allsystem-generated zu löschen.

Wenn Sie ein automatisch generiertes und selbst signiertes Zertifikat löschen, generiert das Gerät ein neues.

So löschen Sie ein CA Zertifikat:

Geben Sie ein CA-Profil an, um ein bestimmtes Zertifikat CA zu löschen oder alle im Persistent Store CA Zertifikate vorhandenen Zertifikate all zu löschen.

Sie werden um Ihre Bestätigung gebeten, bevor CA Zertifikat gelöscht werden kann.

Release-Verlaufstabelle
Release
Beschreibung
19.4R2
Beginnend ab Junos OS Release 19.4R2 wird eine Warnung angezeigt, wenn Sie versuchen, ein lokales Zertifikat mit einem ECDSA Keypair not supported with SCEP for cert_id <certificate id> Eltic Curve Digital Signature Algorithm (ECDSA)-Schlüssel mit SCEP (Simple Certificate Enrollment Protocol) zu registrieren, da der ECDSA-Schlüssel nicht von SCEP unterstützt wird.
15.1X49-D40
Beginnend im Junos OS Veröffentlichungs-15.1X49-D40 und Junos OS Veröffentlichungsversion 17.3R1 wird das Schlüsselwort scep unterstützt und erforderlich.
15.1X49-D40
Beginnend im Junos OS Veröffentlichungs-15.1X49-D40 und Junos OS Veröffentlichungsversion 17.3R1 wird das Schlüsselwort scep unterstützt und erforderlich.