Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PKI in Junos OS

SUMMARY In diesem Thema werden die grundlegenden Elemente der Public-Key-Infrastruktur (PKI) in Junos OS beschrieben.

Eine Public Key Infrastructure (PKI) unterstützt die Verteilung und Identifizierung von öffentlichen Verschlüsselungsschlüsseln, sodass Benutzer sowohl Daten sicher über Netzwerke wie das Internet austauschen als auch die Identität der anderen Partei überprüfen können.

Einführung in die PKI in Junos OS

PKI-Anwendungen – Übersicht

Junos OS verwendet öffentliche/private Schlüssel in den folgenden Bereichen:

  • SSH/SCP (für sichere Befehlszeilenschnittstelle [CLI]-basierte Administration)

  • Secure Sockets Layer (SSL) (für sichere webbasierte Administration und für https-basiertes Webauth für Benutzerauthentifizierung)

  • Internet Key Exchange (IKE) (für IPsec-VPN-Tunnel)

HINWEIS:

Beachten Sie die folgenden Punkte:

  • Derzeit unterstützt Junos OS nur IKE (unter Verwendung von Public Key Infrastructure (PKI)-Zertifikaten für die Validierung von öffentlichen Schlüsseln.

  • SSH und SCP werden ausschließlich für die Systemadministration verwendet und hängen von der Verwendung von Out-of-Band-Fingerabdrücken für die Identitätsbindung und Validierung von Öffentlichen Schlüsseln ab. Details zu SSH werden in diesem Thema nicht behandelt.

Komponenten für die PKI-Verwaltung in Junos OS

Die folgenden Komponenten sind für die Verwaltung der PKI in Junos OS erforderlich:

  • CA-Zertifikate und Autoritätskonfiguration

  • Lokale Zertifikate einschließlich der Geräteidentität (Beispiel: IKE-ID-Typ und -Wert) und private und öffentliche Schlüssel

  • Zertifikatsprüfung über eine Zertifikatssperrliste (Certificate Revocation List, CRL)

Grundlegende Elemente der PKI in Junos OS

Junos OS unterstützt drei spezifische Arten von PKI-Objekten:

  • Paar privater/öffentlicher Schlüssel

  • Zertifikate

    • Lokales Zertifikat: Das lokale Zertifikat enthält den öffentlichen Schlüssel und die Identitätsinformationen für das Gerät von Juniper Networks. Das Gerät von Juniper Networks besitzt den zugehörigen privaten Schlüssel. Dieses Zertifikat wird auf der Grundlage einer Zertifikatsanforderung vom Gerät von Juniper Networks generiert.

    • Ausstehendes Zertifikat – Ein ausstehendes Zertifikat enthält ein Schlüsselpaar und Identitätsinformationen, die in einer PKCS10-Zertifikatanforderung generiert und manuell an eine Zertifizierungsstelle (CA) gesendet werden. Während das Gerät von Juniper Networks auf das Zertifikat von der Zertifizierungsstelle wartet, wird das vorhandene Objekt (Schlüsselpaar und Zertifikatsanforderung) als Zertifikatsanfrage oder ausstehendes Zertifikat getaggt.

      HINWEIS:

      Junos OS Version 9.0 und höher unterstützt das automatische Senden von Zertifikatsanforderungen über SCEP.

    • CA-Zertifikat : Wenn das Zertifikat von der Zertifizierungsstelle ausgestellt und in das Junos OS-Gerät geladen wird, wird das ausstehende Zertifikat durch das neu generierte lokale Zertifikat ersetzt. Alle anderen in das Gerät geladenen Zertifikate gelten als CA-Zertifikate.

  • Zertifikatssperrlisten (CRLs)

Beachten Sie die folgenden Punkte zu Zertifikaten:

  • Lokale Zertifikate werden im Allgemeinen verwendet, wenn ein Junos OS-Gerät ÜBER VPNs in mehr als einer administrativen Domäne verfügt.

  • Alle PKI-Objekte werden in einer separaten Partition des persistenten Speichers gespeichert, abgesehen vom Junos OS-Image und der allgemeinen Systemkonfiguration.

  • Jedes PKI-Objekt hat einen eindeutigen Namen oder eine Zertifikats-ID, die ihm bei der Erstellung angegeben wird, und behält diese ID bis zu seinem Löschen. Sie können die Zertifikats-ID mithilfe des show security pki local-certificate Befehls anzeigen.

  • Ein Zertifikat kann in den meisten Fällen nicht von einem Gerät kopiert werden. Der private Schlüssel auf einem Gerät muss nur auf diesem Gerät generiert werden, und er sollte niemals auf diesem Gerät angezeigt oder gespeichert werden. Daher werden PKCS12-Dateien (die ein Zertifikat mit dem öffentlichen Schlüssel und dem zugehörigen privaten Schlüssel enthalten) auf Junos OS-Geräten nicht unterstützt.

  • CA-Zertifikate validieren die vom IKE-Peer erhaltenen Zertifikate. Wenn das Zertifikat gültig ist, wird in der CRL überprüft, ob das Zertifikat widerrufen wurde.

    Jedes CA-Zertifikat enthält eine CA-Profilkonfiguration, die die folgenden Informationen speichert:

    • CA-Identität, die in der Regel der Domänenname der CA ist

    • E-Mail-Adresse für das Senden der Zertifikatsanfragen direkt an die Zertifizierungsstelle

    • Sperreinstellungen:

      • Option "Sperrprüfung aktivieren/deaktivieren"

      • Deaktivieren der Sperrprüfung im Falle eines fehlgeschlagenen CRL-Downloads.

      • Standort des CRL Distribution Point (CDP) (für manuelle URL-Einstellung)

      • CRL-Aktualisierungsintervall

PKI-Komponenten in Junos OS

Dieses Thema umfasst die folgenden Abschnitte:

PKI-Management und -Implementierung

Für die zertifikatsbasierte Authentifizierung in Junos OS sind folgende PKI-Elemente mindestens erforderlich:

  • CA-Zertifikate und Autoritätskonfiguration.

  • Lokale Zertifikate einschließlich der Geräteidentität (Beispiel: IKE-ID-Typ und -Wert) und private und öffentliche Schlüssel

  • Zertifikatsvalidierung über eine CRL.

Junos OS unterstützt drei verschiedene Arten von PKI-Objekten:

Internet Key Exchange

Das Verfahren für das digitale Signieren von Nachrichten, die zwischen zwei Teilnehmern einer Internet Key Exchange (IKE)-Sitzung gesendet werden, ähnelt der digitalen Zertifikatsprüfung, wobei die folgenden Unterschiede bestehen:

  • Anstatt einen Digest aus dem CA-Zertifikat zu erstellen, macht der Absender es aus den Daten in der IP-Paketnutzlast.

  • Anstelle des öffentlich-privaten Schlüsselpaars der CA verwenden die Teilnehmer das öffentlich-private Schlüsselpaar des Absenders.

Vertrauenswürdige CA-Gruppe

Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine vertrauenswürdige Dritte, die für die Ausstellung und den Widerruf von Zertifikaten verantwortlich ist. Sie können mehrere CAs (CA-Profile) in einer vertrauenswürdigen CA-Gruppe für eine bestimmte Topologie gruppieren. Diese Zertifikate werden verwendet, um eine Verbindung zwischen zwei Endgeräten herzustellen. Zum Einrichten von IKE oder IPsec müssen beide Endgeräte derselben Zertifizierungsstelle vertrauenswürdig sein. Wenn eines der Endpunkte das Zertifikat nicht mit ihrer jeweiligen vertrauenswürdigen CA (ca-profile) oder einer vertrauenswürdigen CA-Gruppe validieren kann, wird die Verbindung nicht hergestellt.

Zum Beispiel gibt es zwei Endgeräte, Endpunkt A und Endpunkt B versuchen, eine sichere Verbindung herzustellen. Wenn Endpunkt B sein Zertifikat an Endpunkt A vorlegt, prüft Endpunkt A, ob das Zertifikat gültig ist. Die Zertifizierungsstelle des Endpunkts A überprüft das signierte Zertifikat, das der Endpunkt B für die Autorisierung verwendet. Bei trusted-ca der trusted-ca-group Konfiguration verwendet das Gerät nur die CA-Profile, die in diesem trusted-ca-group oder dem Zertifizierungsstelle-Profil hinzugefügt wurden, unter dem das Zertifikat von Endpunkt B validiert trusted-ca wird. Wenn das Zertifikat als gültig überprüft wird, ist die Verbindung zulässig, sonst wird die Verbindung abgelehnt.

Vorteile:

  • Für eingehende Verbindungsanfragen wird nur das Zertifikat validiert, das von dieser bestimmten vertrauenswürdigen Zertifizierungsstelle dieses Endpunkts ausgestellt wurde. Wenn nicht, wird der Aufbau der Verbindung durch die Autorisierung abgelehnt.

Umgang mit Kryptografieschlüsseln – Übersicht

Bei der Verarbeitung kryptografischer Schlüssel werden persistente Schlüssel im Speicher des Geräts gespeichert, ohne sie zu ändern. Während das interne Speichergerät für einen potenziellen Gegner nicht direkt zugänglich ist, können diejenigen, die eine zweite Verteidigungsschicht benötigen, eine spezielle Handhabung von Kryptografieschlüsseln ermöglichen. Wenn aktiviert, verschlüsselt die Verarbeitung kryptografischer Schlüssel Schlüssel, wenn sie nicht sofort verwendet werden, führt eine Fehlererkennung durch, wenn ein Schlüssel von einem Speicherort in einen anderen kopiert wird, und überschreibt den Speicherort eines Schlüssels mit einem zufälligen Bitmuster, wenn der Schlüssel nicht mehr verwendet wird. Schlüssel sind auch geschützt, wenn sie im Flash-Speicher des Geräts gespeichert werden. Die Aktivierung der Kryptografieschlüsselhandhabungsfunktion führt zu keiner extern beobachtbaren Änderung des Geräteverhaltens, und das Gerät arbeitet weiterhin mit den anderen Geräten zusammen.

Ein Kryptografieadministrator kann die kryptografischen Selbsttestfunktionen aktivieren und deaktivieren. Der Sicherheitsadministrator kann jedoch das Verhalten der kryptografischen Selbsttestfunktionen ändern, z. B. die Konfiguration regelmäßiger Selbsttests oder die Auswahl einer Teilmenge kryptografischer Selbsttests.

Die folgenden persistenten Schlüssel werden derzeit von IKE und PKI verwaltet:

  • IKE preshared keys (IKE PSKs)

  • Private PKI-Schlüssel

  • Manuelle VPN-Schlüssel