Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PKI in Junos OS

SUMMARY In diesem Thema werden die grundlegenden Elemente der Public Key Infrastructure (PKI) in Junos OS.

Eine Public Key-Infrastruktur (PKI) unterstützt die Verteilung und Identifizierung öffentlicher Verschlüsselungsschlüssel. Somit können Benutzer Daten sicher über Netzwerke wie das Internet austauschen und die Identität der anderen Partei prüfen.

Einführung in die PKI in Junos OS

Übersicht über PKI-Anwendungen

Das Junos OS nutzt öffentliche/private Schlüssel in den folgenden Bereichen:

  • SSH/SCP (für sichere Befehlszeilenschnittstelle (CLI) [CLI]-basierte Administration)

  • Secure Sockets Layer (SSL) (für sichere webbasierte Administration und für https-basierte Webauthen zur Benutzerauthentifizierung)

  • Internet Key Exchange (IKE) (für IPSec-VPN-Tunnel)

Anmerkung:

Bitte beachten Sie folgende Punkte:

  • Derzeit Junos OS nur IKE (mit Public Key Infrastructure (PKI)-Zertifikaten für die Validierung des öffentlichen Schlüssels).

  • SSH und SCP werden ausschließlich für die Systemadministration verwendet und hängen von der Verwendung von Out-of-Band-Fingerprints für die Bindung und Validierung der Identität des öffentlichen Schlüssels ab. Details zu SSH werden in diesem Thema nicht behandelt.

Komponenten für die Verwaltung der PKI in Junos OS

Für die Verwaltung der PKI in Junos OS:

  • CA und Behördenkonfiguration

  • Lokale Zertifikate einschließlich Geräteidentität (Beispiel: IKE ID-Typ und -Wert) sowie private und öffentliche Schlüssel

  • Validierung des Zertifikats über eine Certificate Certificate List (CRL)

Grundlegende Elemente der PKI in Junos OS

Junos OS unterstützt drei bestimmte Typen von PKI-Objekten:

  • Paar privater/öffentlicher Schlüssel

  • Zertifikate

    • Lokales Zertifikat: Das lokale Zertifikat enthält den öffentlichen Schlüssel und die Identitätsinformationen des Juniper Networks Geräts. Der Juniper Networks verwendet den zugehörigen privaten Schlüssel. Dieses Zertifikat wird auf Grundlage einer Zertifikatsanforderung vom gerät Juniper Networks generiert.

    • Anstehendes Zertifikat: Ein anstehendes Zertifikat enthält ein Schlüsselpaar und Identitätsinformationen, die in eine PKCS10-Zertifikatsanforderung generiert und manuell an eine Zertifizierungsstelle gesendet werden (CA. Während das Juniper Networks-Gerät auf das Zertifikat des CA wartet, wird das vorhandene Objekt (Schlüsselpaar und Zertifikatsanforderung) als Zertifikatsanforderung oder anstehendes Zertifikat gekennzeichnet.

      Anmerkung:

      Junos OS Version 9.0 und höher unterstützt den automatischen Versand von Zertifikatsanfragen über SCEP.

    • CA-Zertifikat: Wenn das Zertifikat durch den CA ausgegeben und auf das Junos OS-Gerät geladen wird, wird das anstehende Zertifikat durch ein neu generiertes lokales Zertifikat ersetzt. Alle anderen auf das Gerät geladenen Zertifikate gelten als CA Zertifikate.

  • Zertifizierungsliste (CRLs)

Beachten Sie die folgenden Punkte zu Zertifikaten:

  • Lokale Zertifikate werden in der Regel verwendet, wenn ein Junos OS gerät über VPNs in mehr als einer administrativen Domäne verfügt.

  • Alle PKI-Objekte werden in einer separaten Partition des dauerhaften Speichers neben dem Junos OS-Image und der allgemeinen Konfiguration des Systems gespeichert.

  • Jedes PKI-Objekt hat einen eindeutigen Namen oder eine Zertifikats-ID, wenn es erstellt wird. Die ID wird bis zum Löschen gespeichert. Sie können die Zertifikats-ID mithilfe des Befehls show security pki local-certificate anzeigen.

  • Unter den meisten Umständen kann ein Zertifikat nicht von einem Gerät kopiert werden. Der private Schlüssel auf einem Gerät darf nur auf diesem Gerät generiert werden. Auf diesem Gerät sollte er niemals angezeigt oder gespeichert werden. Daher werden PKCS12-Dateien (die ein Zertifikat mit dem öffentlichen Schlüssel und dem zugehörigen privaten Schlüssel enthalten) nicht auf allen anderen Geräten Junos OS unterstützt.

  • CA Zertifikate validieren die Zertifikate, die der IKE-Peer erhalten hat. Wenn das Zertifikat gültig ist, wird es im CRL verifiziert, um zu sehen, ob das Zertifikat widerrufen wurde.

    Jedes CA-Zertifikat enthält eine CA-Profilkonfiguration, in der die folgenden Informationen gespeichert sind:

    • CA-Identität (die normalerweise der Domainname des CA

    • E-Mail-Adresse zum Senden der Zertifikatsanforderungen direkt an den CA

    • Einstellung zur Absperrung:

      • Option zur Absperrungsprüfung aktivieren/deaktivieren

      • Deaktivierung der Prüfung zur Aufhebung im Falle eines Fehlers beim CRL-Download.

      • Standort des CRL Distribution Point (CDP) (zur manuellen URL-Einstellung)

      • CRL-Aktualisierungsintervall

PKI-Komponenten in Junos OS

Dieses Thema umfasst die folgenden Abschnitte:

PKI-Verwaltung und -Implementierung

Die PKI-Elemente, die für die zertifikatsbasierte Authentifizierung in einem netzwerkbasierten Junos OS erforderlich sind, sind mindestens:

  • CA und Behördenkonfiguration.

  • Lokale Zertifikate einschließlich der Geräteidentität (Beispiel: IKE ID-Typ und -Wert) sowie private und öffentliche Schlüssel

  • Zertifizierungsvalidierung über ein CRL.

Junos OS unterstützt drei verschiedene Typen von PKI-Objekten:

Internet Key Exchange

Das Verfahren für die digitale Signatur von Nachrichten, die zwischen zwei Teilnehmern in einer Internet Key Exchange (IKE)-Sitzung gesendet werden, ist mit der digitalen Zertifizierungsprüfung vergleichbar mit den folgenden Unterschieden:

  • Anstatt einen Digest aus dem CA zu erstellen, macht der Sender sie aus den Daten in der IP-Paketnutzlast.

  • Anstatt das Public-Private-Key-Paar des CA zu verwenden, verwenden die Teilnehmer das Public-Private-Key-Paar des Senders.

Trusted CA Group

Eine Certificate Authority (CA) ist eine vertrauenswürdige Partei, die für die Ausgabe und den Entzug von Zertifikaten verantwortlich ist. Sie können mehrere CAs (CA-Profile) für eine bestimmte Topologie in einer vertrauenswürdigen CA Gruppe gruppen. Mit diesen Zertifikaten wird die Verbindung zwischen zwei Endgeräten hergestellt. Zum Einrichten IKE IPsec müssen beide Endpunkte demselben Ziel CA. Wenn eines der Endgeräte das Zertifikat nicht anhand seiner jeweiligen Trusted CA (Ca-Profile) oder vertrauenswürdigen Netzwerkgruppe CA kann, wird die Verbindung nicht hergestellt.

Es gibt beispielsweise zwei Endpunkte, Endpunkt A und Endpunkt B, um eine sichere Verbindung herzustellen. Wenn für Endpunkt B das Zertifikat für Endpunkt A angezeigt wird, überprüft der Endpunkt A, ob das Zertifikat gültig ist. Der CA des Endpunkts A überprüft das signierte Zertifikat, das von Endpunkt B für die Zulassung verwendet wird. Wenn das Gerät konfiguriert ist oder konfiguriert ist, verwendet es nur das CA-Profil, das diesem Profil hinzugefügt wird, oder das unter konfigurierte CA-Profil, um das Zertifikat von Endgerät B zu trusted-catrusted-ca-grouptrusted-ca-grouptrusted-ca validieren. Wenn das Zertifikat als gültig geprüft wurde, ist die Verbindung zulässig. Anderb die Verbindung wird abgelehnt.

Vorteile:

  • Bei verbindungsanfragen eingehenden Verbindungen wird nur das von diesem bestimmten vertrauenswürdigen CA Endgerät ausgegebene Zertifikat validiert. Ander jedoch wird die Autorisierung zum Herstellen der Verbindung abgelehnt.

Überblick über die Verarbeitung von Kryptographieschlüsseln

Mit der Verschlüsselungsschlüsselbehandlung werden persistente Schlüssel im Speicher des Geräts gespeichert, ohne dass versuchen zu versuchen, sie zu ändern. Während ein internes Speichergerät nicht direkt für einen potenziellen Gegner zugänglich ist, können diejenigen, die eine zweite Verteidigungsebene benötigen, spezielle Verarbeitung für Verschlüsselungsschlüssel ermöglichen. Bei Aktivierung verschlüsselt die Verarbeitung von Kryptographieschlüsseln Schlüssel, wenn sie nicht sofort verwendet werden, führt eine Fehlererkennung durch, wenn ein Schlüssel von einem Speicherstandort an einen anderen kopiert wird, und überschreibt die Speicherposition eines Schlüssels mit einem Zufälligen Bitmuster, wenn der Schlüssel nicht mehr verwendet wird. Schlüssel werden auch geschützt, wenn sie im Flash-Speicher des Geräts gespeichert werden. Die Aktivierung der Verschlüsselungsschlüsselbehandlung führt nicht zu von außen beobachtbaren Änderungen im Verhalten des Geräts, und das Gerät arbeitet weiterhin mit den anderen Geräten zusammen.

Ein Kryptographieadministrator kann die selbsttestbasierten Verschlüsselungsfunktionen aktivieren und deaktivieren. Der Sicherheitsadministrator kann jedoch das Verhalten der kryptographischen Selbsttestfunktionen wie das Konfigurieren regelmäßiger Selbsttests oder die Auswahl einer Auswahl kryptographischer Selbsttests ändern.

Die folgenden dauerhaften Schlüssel werden derzeit von der Verwaltung von IKE und PKI:

  • IKE preshared keys (IKE PSKs)

  • PKI private Schlüssel

  • Manuelle VPN-Schlüssel