Zertifizierungsstelle
Ein Zertifizierungsstellenprofil definiert jeden Parameter, der einem bestimmten Zertifikat zugeordnet ist, um eine sichere Verbindung zwischen zwei Endpunkten herzustellen. Die Profile geben an, welche Zertifikate verwendet werden sollen, wie der Zertifikatsperrstatus überprüft wird und wie dieser Status den Zugriff einschränkt.
Konfigurieren einer vertrauenswürdigen Zertifizierungsstellengruppe
In diesem Abschnitt wird beschrieben, wie Sie eine vertrauenswürdige Zertifizierungsstellengruppe für eine Liste von Zertifizierungsstellenprofilen erstellen und eine vertrauenswürdige Zertifizierungsstellengruppe löschen.
- Erstellen einer vertrauenswürdigen Zertifizierungsstellengruppe für eine Liste von Zertifizierungsstellenprofilen
- Löschen eines Zertifizierungsstellenprofils aus einer vertrauenswürdigen Zertifizierungsstellengruppe
- Löschen einer vertrauenswürdigen Zertifizierungsstellengruppe
Erstellen einer vertrauenswürdigen Zertifizierungsstellengruppe für eine Liste von Zertifizierungsstellenprofilen
Sie können eine vertrauenswürdige Zertifizierungsstellengruppe konfigurieren und zuweisen, um eine Entität zu autorisieren. Wenn ein Peer versucht, eine Verbindung mit einem Client herzustellen, wird nur das Zertifikat überprüft, das von dieser bestimmten vertrauenswürdigen Zertifizierungsstelle dieser Entität ausgestellt wurde. Das Gerät überprüft, ob der Aussteller des Zertifikats und derjenige, der das Zertifikat ausstellt, demselben Clientnetzwerk angehören. Wenn der Aussteller und der Moderator demselben Clientnetzwerk angehören, wird die Verbindung hergestellt. Ist dies nicht der Fall, wird die Verbindung nicht hergestellt.
Bevor Sie beginnen, müssen Sie über eine Liste aller Zertifizierungsstellenprofile verfügen, die Sie der vertrauenswürdigen Gruppe hinzufügen möchten.
In diesem Beispiel erstellen wir drei Zertifizierungsstellenprofile mit dem Namen , und und ordnen die folgenden Zertifizierungsstellenbezeichner zu, und für die jeweiligen Profile.orgA-ca-profileorgB-ca-profileorgC-ca-profileca-profile1ca-profile2ca-profile3 Sie können alle drei Zertifizierungsstellenprofile so gruppieren, dass sie zu einer vertrauenswürdigen Zertifizierungsstellengruppe gehören.orgABC-trusted-ca-group
Sie können maximal 20 Zertifizierungsstellenprofile für eine vertrauenswürdige Zertifizierungsstellengruppe konfigurieren.
Führen Sie command aus, um die Zertifizierungsstellenprofile und die auf Ihrem Gerät konfigurierten vertrauenswürdigen Zertifizierungsstellengruppen anzuzeigen .show security pki
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
ca-profile orgC-ca-profile {
ca-identity ca-profile3;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile orgC-ca-profile ];
}
Der Befehl zeigt alle CA-Profile an, die unter .show security pkiorgABC_trusted-ca-group
Löschen eines Zertifizierungsstellenprofils aus einer vertrauenswürdigen Zertifizierungsstellengruppe
Sie können ein bestimmtes Zertifizierungsstellenprofil in einer vertrauenswürdigen Zertifizierungsstellengruppe oder die vertrauenswürdige Zertifizierungsstellengruppe selbst löschen.
Wenn Sie z. B. ein Zertifizierungsstellenprofil mit dem Namen aus einer vertrauenswürdigen Zertifizierungsstellengruppe löschen möchten, das auf Ihrem Gerät wie im Thema gezeigt konfiguriert ist, führen Sie die folgenden Schritte aus:orgC-ca-profileorgABC-trusted-ca-groupKonfigurieren einer vertrauenswürdigen Zertifizierungsstellengruppe
Führen Sie den Befehl aus, um anzuzeigen, dass das aus dem gelöscht wird.orgC-ca-profileorgABC-trusted-ca-group show security pki
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile ];
}
In der Ausgabe wird das Profil nicht angezeigt, da es aus der Gruppe der vertrauenswürdigen Zertifizierungsstellen gelöscht wird.orgC-ca-profile
Löschen einer vertrauenswürdigen Zertifizierungsstellengruppe
Eine Entität kann viele vertrauenswürdige Zertifizierungsstellengruppen unterstützen, und Sie können jede vertrauenswürdige Zertifizierungsstellengruppe für eine Entität löschen.
Wenn Sie z. B. eine vertrauenswürdige Zertifizierungsstellengruppe mit dem Namen löschen möchten, die auf Ihrem Gerät konfiguriert ist, wie im Thema gezeigt, führen Sie die folgenden Schritte aus:orgABC-trusted-ca-groupKonfigurieren einer vertrauenswürdigen Zertifizierungsstellengruppe
Führen Sie den Befehl aus, um anzuzeigen, dass das aus der Entität gelöscht wird.orgABC-trusted-ca-groupshow security pki
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
In der Ausgabe wird die nicht angezeigt, da sie aus der Entität gelöscht wird.orgABC-trusted-ca-group
Grundlegendes zu Zertifizierungsstellenprofilen
Die Profilkonfiguration einer Zertifizierungsstelle enthält Informationen, die für eine Zertifizierungsstelle spezifisch sind. Sie können mehrere CA-Profile auf einer Firewall der SRX-Serie haben. Sie können z. B. ein Profil für orgA und eines für orgB haben. Jedes Profil ist mit einem CA-Zertifikat verknüpft. Wenn Sie ein neues Zertifizierungsstellenzertifikat laden möchten, ohne das ältere zu entfernen, erstellen Sie ein neues Zertifizierungsstellenprofil (z. B. Microsoft-2008).
Ab Junos OS Version 18.1R1 kann der CA-Server ein IPv6-CA-Server sein.
Das PKI-Modul unterstützt das IPv6-Adressformat, um die Verwendung von Firewalls der SRX-Serie in Netzwerken zu ermöglichen, in denen IPv6 das einzige verwendete Protokoll ist.
Eine Zertifizierungsstelle stellt digitale Zertifikate aus, die dazu beitragen, durch Zertifikatsvalidierung eine sichere Verbindung zwischen zwei Endpunkten herzustellen. Sie können mehrere CA-Profile in einer vertrauenswürdigen CA-Gruppe für eine bestimmte Topologie gruppieren. Diese Zertifikate werden verwendet, um eine Verbindung zwischen zwei Endpunkten herzustellen. Um IKE oder IPsec einzurichten, müssen beide Endpunkte derselben Zertifizierungsstelle vertrauen. Wenn einer der Endpunkte das Zertifikat nicht mit seiner jeweiligen vertrauenswürdigen Zertifizierungsstelle (ca-profile) oder vertrauenswürdigen Zertifizierungsstellengruppe validieren kann, wird die Verbindung nicht hergestellt. Mindestens ein Zertifizierungsstellenprofil ist zwingend erforderlich, um eine vertrauenswürdige Zertifizierungsstellengruppe zu erstellen, und maximal 20 Zertifizierungsstellen sind in einer vertrauenswürdigen Zertifizierungsstellengruppe zulässig. Jede Zertifizierungsstelle aus einer bestimmten Gruppe kann das Zertifikat für diesen bestimmten Endpunkt validieren.
Ab Junos OS Version 18.1R1 kann die Validierung eines konfigurierten IKE-Peers mit einem angegebenen CA-Server oder einer Gruppe von CA-Servern erfolgen. Eine Gruppe von vertrauenswürdigen CA-Servern kann mit der Konfigurationsanweisung auf der Hierarchieebene [] erstellt werden; es können ein oder mehrere CA-Profile angegeben werden.trusted-ca-groupedit security pki Der Server der vertrauenswürdigen Zertifizierungsstelle ist an die IKE-Richtlinienkonfiguration für den Peer auf der Hierarchieebene [] gebunden.edit security ike policy policy certificate
Wenn das Proxyprofil im Zertifizierungsstellenprofil konfiguriert ist, stellt das Gerät während der Zertifikatsregistrierung, -überprüfung oder -sperrung eine Verbindung zum Proxyhost anstelle des Zertifizierungsstellenservers her. Der Proxyhost kommuniziert mit dem CA-Server mit den Anforderungen vom Gerät und leitet die Antwort dann an das Gerät weiter.
Das CA-Proxyprofil unterstützt die Protokolle SCEP, CMPv2 und OCSP.
Das CA-Proxyprofil wird nur für HTTP und nicht für das HTTPS-Protokoll unterstützt.
Siehe auch
Beispiel: Konfigurieren eines Zertifizierungsstellenprofils
In diesem Beispiel wird gezeigt, wie ein Zertifizierungsstellenprofil konfiguriert wird.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel erstellen Sie ein Zertifizierungsstellenprofil mit dem Namen "CA identity microsoft-2008".ca-profile-ipsec Anschließend erstellen Sie ein Proxyprofil für das CA-Profil. Die Konfiguration gibt an, dass die Zertifikatsperrliste alle 48 Stunden aktualisiert wird, und der Speicherort zum Abrufen der Zertifikatsperrliste ist .http://www.my-ca.com Im Beispiel legen Sie den Wert für die Registrierungswiederholung auf 20 fest. (Der Standardwert für die Wiederholung ist 10.)
Der automatische Zertifikatsabruf ist auf alle 30 Minuten festgelegt. Wenn Sie "Nur Wiederholung" konfigurieren, ohne ein Wiederholungsintervall zu konfigurieren, beträgt das Standardwiederholungsintervall 900 Sekunden (oder 15 Minuten). Wenn Sie keine Wiederholung oder kein Wiederholungsintervall konfigurieren, findet keine Abfrage statt.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie ein Zertifizierungsstellenprofil:
Erstellen Sie ein CA-Profil.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 user@host#
Konfigurieren Sie optional das Proxyprofil für das CA-Profil.
[edit] user@host# set security pki ca-profile ca-profile-ipsec proxy-profile px-profile
Die Public-Key-Infrastruktur (PKI) verwendet ein Proxyprofil, das auf Systemebene konfiguriert ist. Das Proxyprofil, das im Zertifizierungsstellenprofil verwendet wird, muss in der Hierarchie konfiguriert werden.
[edit services proxy]In der Hierarchie kann mehr als ein Proxyprofil konfiguriert sein.[edit services proxy]Jedes CA-Profil wird auf das meiste solcher Proxy-Profile verwiesen. Sie können Host und Port des Proxy-Profils in der Hierarchie konfigurieren.[edit system services proxy]Erstellen Sie eine Sperrprüfung, um eine Methode zum Überprüfen der Zertifikatsperrung anzugeben.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
Legen Sie das Aktualisierungsintervall in Stunden fest, um die Häufigkeit anzugeben, mit der die Zertifikatsperrliste aktualisiert werden soll. Die Standardwerte sind die Zeit für die nächste Aktualisierung in CRL oder 1 Woche, wenn keine Zeit für die nächste Aktualisierung angegeben ist.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl refresh-interval 48 url http://www.my-ca.com/my-crl.crl
Geben Sie den Wert für die Registrierungswiederholung an.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry 20
Geben Sie das Zeitintervall in Sekunden zwischen den Versuchen an, das Zertifizierungsstellenzertifikat automatisch online zu registrieren.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry-interval 1800
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl ein.show security pki
Beispiel: Konfigurieren einer IPv6-Adresse als Quelladresse für ein Zertifizierungsstellenprofil
In diesem Beispiel wird gezeigt, wie eine IPv6-Adresse als Quelladresse für ein Zertifizierungsstellenprofil konfiguriert wird.
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Erstellen Sie in diesem Beispiel ein Zertifizierungsstellenprofil, das mit einer Zertifizierungsstellenidentität aufgerufen wird, und legen Sie die Quelladresse des Zertifizierungsstellenprofils auf eine IPv6-Adresse fest, z. B. .orgA-ca-profilev6-ca2001:db8:0:f101::1 Sie können die Registrierungs-URL so konfigurieren, dass eine IPv6-Adresse akzeptiert wird.http://[2002:db8:0:f101::1]:/.../
Siehe auch
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.