Zertifizierungsstelle
Ein Zertifizierungsstellenprofil (CA) definiert jeden Parameter, der einem bestimmten Zertifikat zugeordnet ist, um eine sichere Verbindung zwischen zwei Endpunkten herzustellen. Die Profile geben an, welche Zertifikate verwendet werden sollen, wie der Zertifikatssperrstatus überprüft wird und wie dieser Status den Zugriff einschränkt.
Konfigurieren einer vertrauenswürdigen CA-Gruppe
In diesem Abschnitt wird die Vorgehensweise beschrieben, um eine vertrauenswürdige Ca-Gruppe für eine Liste von Ca-Profilen zu erstellen und eine vertrauenswürdige CA-Gruppe zu löschen.
- Erstellen einer vertrauenswürdigen CA-Gruppe für eine Liste von CA-Profilen
- Löschen eines CA-Profils aus einer vertrauenswürdigen CA-Gruppe
- Löschen einer vertrauenswürdigen CA-Gruppe
Erstellen einer vertrauenswürdigen CA-Gruppe für eine Liste von CA-Profilen
Sie können eine vertrauenswürdige CA-Gruppe konfigurieren und zur Autorisierung einer Entität zuweisen. Wenn ein Peer versucht, eine Verbindung mit einem Client herzustellen, wird nur das Zertifikat validiert, das von dieser bestimmten vertrauenswürdigen Zertifizierungsstelle dieser Entität ausgestellt wurde. Das Gerät überprüft, ob der Aussteller des Zertifikats und der, der das Zertifikat vorstellt, zum selben Client-Netzwerk gehören. Wenn der Emittent und der Moderator zum selben Client-Netzwerk gehören, wird die Verbindung hergestellt. Falls nicht, wird die Verbindung nicht hergestellt.
Bevor Sie beginnen, müssen Sie über eine Liste aller CA-Profile verfügen, die Sie der vertrauenswürdigen Gruppe hinzufügen möchten.
In diesem Beispiel erstellen wir drei CA-Profile mit dem Namen orgA-ca-profile, orgB-ca-profileund orgC-ca-profile verknüpfen die folgenden CA-Bezeichner ca-profile1ca-profile2und ca-profile3 für die jeweiligen Profile. Sie können alle drei CA-Profile so gruppieren, dass sie zu einer vertrauenswürdigen CA-Gruppe orgABC-trusted-ca-groupgehören.
Sie können maximal 20 CA-Profile für eine vertrauenswürdige CA-Gruppe konfigurieren.
Führen show security pki Sie den Befehl aus, um die CA-Profile und die vertrauenswürdigen CA-Gruppen anzuzeigen, die auf Ihrem Gerät konfiguriert sind.
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
ca-profile orgC-ca-profile {
ca-identity ca-profile3;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile orgC-ca-profile ];
}
Der show security pki Befehl zeigt alle CA-Profile an, die unter .orgABC_trusted-ca-group
Löschen eines CA-Profils aus einer vertrauenswürdigen CA-Gruppe
Sie können ein bestimmtes CA-Profil in einer vertrauenswürdigen CA-Gruppe oder die Gruppe der vertrauenswürdigen Zertifizierungsstelle selbst löschen.
Wenn Sie beispielsweise ein Zertifizierungsstelle-Profil löschen möchten, das aus einer Gruppe orgABC-trusted-ca-groupeiner vertrauenswürdigen Zertifizierungsstelle benannt istorgC-ca-profile, führen Sie die folgenden Schritte ausKonfigurieren einer vertrauenswürdigen CA-Gruppe:
Führen Sie den orgC-ca-profile Befehl aus, um den orgABC-trusted-ca-group show security pki Gelöschten anzuzeigen.
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile ];
}
In der Ausgabe wird das orgC-ca-profile Profil nicht angezeigt, wenn es aus der Gruppe der vertrauenswürdigen Zertifizierungsstelle gelöscht wird.
Löschen einer vertrauenswürdigen CA-Gruppe
Eine Entität kann viele vertrauenswürdige CA-Gruppen unterstützen und Sie können jede vertrauenswürdige CA-Gruppe für eine Entität löschen.
Wenn Sie beispielsweise eine vertrauenswürdige Zertifizierungsstelle mit dem Namen orgABC-trusted-ca-group, die auf Ihrem Gerät konfiguriert ist, wie im Konfigurieren einer vertrauenswürdigen CA-Gruppe Thema dargestellt, löschen möchten, führen Sie die folgenden Schritte aus:
Führen show security pki Sie den orgABC-trusted-ca-group Befehl aus, um das aus der Entität gelöschte Objekt anzuzeigen.
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
Die Ausgabe wird nicht angezeigt orgABC-trusted-ca-group , wie sie aus der Entität gelöscht wird.
Verständnis der Profile von Zertifizierungsstelle
Eine Zertifizierungsstelle(CA)-Profilkonfiguration enthält informationen, die für eine Zertifizierungsstelle spezifisch sind. Sie können mehrere CA-Profile auf einem Gerät der SRX-Serie haben. Sie können beispielsweise ein Profil für orgA und eines für orgB haben. Jedes Profil ist mit einem CA-Zertifikat verknüpft. Wenn Sie ein neues CA-Zertifikat laden möchten, ohne das ältere zu entfernen, erstellen Sie ein neues CA-Profil (z. B. Microsoft-2008).
Ab Junos OS Version 18.1R1 kann der CA-Server ein IPv6-CA-Server sein.
Das PKI-Modul unterstützt das IPv6-Adressformat, um die Verwendung von Geräten der SRX-Serie in Netzwerken zu ermöglichen, in denen nur IPv6 verwendet wird.
Eine Zertifizierungsstelle stellt digitale Zertifikate aus, die den Aufbau einer sicheren Verbindung zwischen zwei Endgeräten durch Zertifikatsvalidierung erleichtert. Sie können mehrere CA-Profile in einer vertrauenswürdigen Ca-Gruppe für eine bestimmte Topologie gruppieren. Diese Zertifikate werden verwendet, um eine Verbindung zwischen zwei Endgeräten herzustellen. Zum Einrichten von IKE oder IPsec müssen beide Endgeräte derselben Zertifizierungsstelle vertrauenswürdig sein. Wenn eines der Endpunkte das Zertifikat nicht mit ihrer jeweiligen vertrauenswürdigen CA (ca-profile) oder einer vertrauenswürdigen CA-Gruppe validieren kann, wird die Verbindung nicht hergestellt. Zum Erstellen einer vertrauenswürdigen CA-Gruppe ist mindestens ein CA-Profil erforderlich, und in einer vertrauenswürdigen CA-Gruppe sind maximal 20 CAs zulässig. Jede Zertifizierungsstelle einer bestimmten Gruppe kann das Zertifikat für dieses bestimmte Endgerät validieren.
Ab Junos OS Version 18.1R1 kann die Validierung eines konfigurierten IKE-Peers mit einem angegebenen CA-Server oder einer gruppe von CA-Servern durchgeführt werden. Eine Gruppe vertrauenswürdiger CA-Server kann mit der trusted-ca-group Konfigurationsaussage auf Hierarchieebene [edit security pki] erstellt werden. Es können ein oder mehrere CA-Profile angegeben werden. Der vertrauenswürdige CA-Server ist an die IKE-Richtlinienkonfiguration für den Peer auf [edit security ike policy policy certificate] Hierarchieebene gebunden.
Wenn das Proxyprofil im CA-Profil konfiguriert ist, verbindet sich das Gerät mit dem Proxy-Host anstelle des CA-Servers während der Zertifikatsregistrierung, -überprüfung oder -sperrung. Der Proxy-Host kommuniziert mit dem CA-Server mit den Anforderungen vom Gerät und leitet die Antwort dann an das Gerät weiter.
CA-Proxyprofil unterstützt die Protokolle SCEP, CMPv2 und OCSP.
CA-Proxyprofil wird nur unter HTTP unterstützt und vom HTTPS-Protokoll nicht unterstützt.
Siehe auch
Beispiel: Konfigurieren eines CA-Profils
Dieses Beispiel zeigt, wie Sie ein CA-Profil konfigurieren.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel erstellen Sie ein CA-Profil ca-profile-ipsec mit CA-Identität microsoft-2008. Anschließend erstellen Sie ein Proxyprofil für das CA-Profil. Die Konfiguration gibt an, dass die CRL alle 48 Stunden aktualisiert wird, und der Speicherort für den Abruf der CRL ist http://www.my-ca.com. In diesem Beispiel legen Sie den Wert für die Erneute Anmeldung auf 20 fest. (Der Standardwert für einen erneuten Versuch ist 10.)
Die automatische Zertifikatsabfragung ist auf alle 30 Minuten festgelegt. Wenn Sie den Erneuten Versuch nur ohne Konfiguration eines Wiederholungsintervalls konfigurieren, beträgt das Standardintervall für die Wiederholung 900 Sekunden (oder 15 Minuten). Wenn Sie kein Wiederholungsintervall konfigurieren oder ein Wiederholungsintervall nicht konfigurieren, gibt es keine Abrufe.
Konfiguration
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie ein CA-Profil:
Erstellen Sie ein CA-Profil.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 user@host#
Konfigurieren Sie optional das Proxyprofil mit dem CA-Profil.
[edit] user@host# set security pki ca-profile ca-profile-ipsec proxy-profile px-profile
Public Key Infrastructure (PKI) verwendet Proxy-Profile, die auf Systemebene konfiguriert sind. Das Proxyprofil, das im CA-Profil verwendet wird, muss in der
[edit services proxy]Hierarchie konfiguriert werden. In der Hierarchie können mehr als ein Proxyprofil konfiguriert[edit services proxy]werden. Jedes CA-Profil wird auf das am meisten derartige Proxyprofil verwiesen. Sie können Host und Port des Proxyprofils in der[edit system services proxy]Hierarchie konfigurieren.Erstellen Sie eine Sperrprüfung, um eine Methode zur Überprüfung der Zertifikatssperrung anzugeben.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
Legen Sie das Aktualisierungsintervall (in Stunden) fest, um die Häufigkeit anzugeben, mit der die CRL aktualisiert werden soll. Die Standardwerte sind Die Zeit für die nächste Aktualisierung in CRL oder 1 Woche, wenn keine Zeit für die nächste Aktualisierung angegeben wird.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl refresh-interval 48 url http://www.my-ca.com/my-crl.crl
Geben Sie den Wert für den Erneuten Versuch der Anmeldung an.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry 20
Geben Sie das Zeitintervall in Sekunden zwischen den Versuchen an, das CA-Zertifikat automatisch online zu registrieren.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry-interval 1800
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Geben Sie den Befehl ein, um zu überprüfen, ob die show security pki Konfiguration ordnungsgemäß funktioniert.
Beispiel: Konfigurieren einer IPv6-Adresse als Quelladresse für ein CA-Profil
Dieses Beispiel zeigt, wie sie eine IPv6-Adresse als Quelladresse für ein CA-Profil konfigurieren.
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
In diesem Beispiel erstellen Sie ein CA-Profil, das mit ca-Identität v6-ca aufgerufen wirdorgA-ca-profile, und legen Sie die Quelladresse des CA-Profils als IPv6-Adresse fest, z2001:db8:0:f101::1. B. . Sie können die Registrierungs-URL so konfigurieren, dass eine IPv6-Adresse akzeptiert wird http://[2002:db8:0:f101::1]:/.../.