Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PKI in Junos OS

SUMMARY In diesem Thema werden die grundlegenden Elemente der Public Key-Infrastruktur (PKI) in Junos OS beschrieben.

Eine Public Key-Infrastruktur (PKI) unterstützt die Verteilung und Identifizierung von öffentlichen Verschlüsselungsschlüsseln, sodass Benutzer daten sicher über Netzwerke wie das Internet austauschen und die Identität der anderen Partei überprüfen können.

Einführung in PKI in Junos OS

PKI-Anwendungen – Übersicht

Das Junos OS verwendet öffentliche/private Schlüssel in den folgenden Bereichen:

  • SSH/SCP (für sichere Befehlszeilenschnittstelle [CLI]-basierte Verwaltung)

  • Secure Sockets Layer (SSL) (für eine sichere webbasierte Verwaltung und für https-basierte Webauth zur Benutzerauthentifizierung)

  • Internet Key Exchange (IKE) (für IPsec-VPN-Tunnel)

Anmerkung:

Beachten Sie die folgenden Punkte:

  • Derzeit unterstützt Junos OS nur IKE-Zertifikate (mit Public Key Infrastructure (PKI)-Zertifikaten für die Validierung öffentlicher Schlüssel).

  • SSH und SCP werden ausschließlich für die Systemadministration verwendet und sind auf die Verwendung von Out-of-Band-Fingerprints für die Bindung und Validierung von Public Key Identity angewiesen. Details zu SSH werden in diesem Thema nicht behandelt.

Komponenten für die Verwaltung von PKI in Junos OS

Für die Verwaltung von PKI in Junos OS sind die folgenden Komponenten erforderlich:

  • CA-Zertifikate und Behördenkonfiguration

  • Lokale Zertifikate, einschließlich der Geräteidentität (Beispiel: IKE ID-Typ und -Wert) sowie private und öffentliche Schlüssel

  • Zertifikatsvalidierung durch eine Zertifikats-Widerrufsliste (CRL)

Grundlegende PKI-Elemente in Junos OS

Junos OS unterstützt drei spezifische Arten von PKI-Objekten:

  • Private/öffentliche Schlüsselpaare

  • Zertifikate

    • Lokales Zertifikat: Das lokale Zertifikat enthält den öffentlichen Schlüssel und die Identitätsinformationen für das Gerät von Juniper Networks. Das Gerät von Juniper Networks besitzt den zugehörigen privaten Schlüssel. Dieses Zertifikat wird basierend auf einer Zertifikatsanforderung vom Gerät von Juniper Networks generiert.

    • Ausstehendes Zertifikat – Ein ausstehendes Zertifikat enthält ein Schlüsselpaar und Identitätsinformationen, die in einer PKCS10-Zertifikatanforderung generiert und manuell an eine Zertifizierungsstelle (CA) gesendet werden. Während das Gerät von Juniper Networks auf das Zertifikat von der CA wartet, wird das vorhandene Objekt (Schlüsselpaar und Zertifikatsanforderung) als Zertifikatsanforderung oder ausstehendes Zertifikat getaggt.

      Anmerkung:

      Junos OS Version 9.0 und höher unterstützt das automatische Senden von Zertifikatsanforderungen über SCEP.

    • CA-Zertifikat : Wenn das Zertifikat von der CA ausgestellt und auf das Junos OS-Gerät geladen wird, wird das ausstehende Zertifikat durch das neu generierte lokale Zertifikat ersetzt. Alle anderen auf dem Gerät geladenen Zertifikate gelten als CA-Zertifikate.

  • Zertifikats-Widerrufslisten (CRLs)

Beachten Sie die folgenden Punkte zu Zertifikaten:

  • Lokale Zertifikate werden in der Regel verwendet, wenn ein Junos OS-Gerät ÜBER VPNs in mehr als einer administrativen Domäne verfügt.

  • Alle PKI-Objekte werden, abgesehen vom Junos OS-Image und der allgemeinen Konfiguration des Systems, in einer separaten Partition des dauerhaften Speichers gespeichert.

  • Jedem PKI-Objekt wird beim Erstellen ein eindeutiger Name oder eine Zertifikat-ID übergeben, und diese ID wird bis zum Löschen beibehalten. Sie können die Zertifikat-ID mithilfe des Befehls show security pki local-certificate anzeigen.

  • Ein Zertifikat kann unter den meisten Umständen nicht von einem Gerät kopiert werden. Der private Schlüssel auf einem Gerät muss nur auf diesem Gerät generiert werden, und er darf niemals angezeigt oder von diesem Gerät gespeichert werden. DAHER werden PKCS12-Dateien (die ein Zertifikat mit dem öffentlichen Schlüssel und dem zugehörigen privaten Schlüssel enthalten) auf Junos OS-Geräten nicht unterstützt.

  • CA-Zertifikate validieren die vom IKE-Peer erhaltenen Zertifikate. Wenn das Zertifikat gültig ist, wird es in der CRL überprüft, um zu sehen, ob das Zertifikat widerrufen wurde.

    Jedes CA-Zertifikat enthält eine CA-Profilkonfiguration, die die folgenden Informationen speichert:

    • CA-Identität, in der Regel der Domänenname der CA

    • E-Mail-Adresse zum Senden der Zertifikatsanforderungen direkt an die CA

    • Widerrufseinstellungen:

      • Widerrufsüberprüfung Aktivieren/Deaktivieren option

      • Deaktivierung der Widerrufsprüfung im Falle eines CRL-Downloadfehlers.

      • Speicherort des CRL Distribution Point (CDP) (zur manuellen URL-Einstellung)

      • CRL-Aktualisierungsintervall

PKI-Komponenten in Junos OS

Dieses Thema umfasst die folgenden Abschnitte:

PKI-Management und -Implementierung

Die mindesten PKI-Elemente, die für die zertifikatsbasierte Authentifizierung in Junos OS erforderlich sind, sind:

  • CA-Zertifikate und Behördenkonfiguration.

  • Lokale Zertifikate einschließlich der Geräteidentität (Beispiel: IKE ID-Typ und -Wert) sowie private und öffentliche Schlüssel

  • Zertifikatsvalidierung durch eine CRL.

Junos OS unterstützt drei verschiedene Arten von PKI-Objekten:

Internet Key Exchange

Das Verfahren für die digitale Signatur von Nachrichten, die zwischen zwei Teilnehmern an einer Internet Key Exchange (IKE)-Sitzung gesendet werden, ähnelt der digitalen Zertifikatsüberprüfung mit den folgenden Unterschieden:

  • Anstatt einen Digest aus dem CA-Zertifikat zu erstellen, macht der Sender dies aus den Daten in der IP-Paketnutzlast.

  • Anstelle des öffentlichen und privaten Schlüsselpaars der CA verwenden die Teilnehmer das öffentlich-private Schlüsselpaar des Senders.

Trusted CA Group

Eine Certificate Authority (CA) ist eine vertrauenswürdige Dritte, die für die Ausstellung und den Widerruf von Zertifikaten verantwortlich ist. Für eine bestimmte Topologie können Sie mehrere CAs (CA-Profile) in einer vertrauenswürdigen CA-Gruppe gruppieren. Diese Zertifikate werden verwendet, um eine Verbindung zwischen zwei Endpunkten herzustellen. Um IKE oder IPsec zu erstellen, müssen beide Endpunkte derselben CA vertrauen. Wenn eines der Endpunkte das Zertifikat nicht mithilfe der jeweiligen vertrauenswürdigen CA (CA-Profil) oder vertrauenswürdigen CA-Gruppe validieren kann, wird die Verbindung nicht hergestellt.

Beispielsweise gibt es zwei Endpunkte, Endpunkt A und Endpunkt B versuchen, eine sichere Verbindung herzustellen. Wenn Endpunkt B dem Endgerät A sein Zertifikat vorbringt, überprüft Das Endgerät A, ob das Zertifikat gültig ist. Die CA des Endpunkts A überprüft das unterzeichnete Zertifikat, das das Endgerät B verwendet, um autorisiert zu werden. Wenn trusted-ca oder trusted-ca-group konfiguriert ist, verwendet das Gerät nur die in diesem trusted-ca-group oder dem CA-Profil hinzugefügten CA-Profile, die unter trusted-ca konfiguriert wurden, um das Zertifikat von Endpunkt B zu validieren. Wenn das Zertifikat als gültig überprüft wird, ist die Verbindung zulässig, andernfalls wird die Verbindung abgelehnt.

Vorteile:

  • Bei eingehenden Verbindungsanfragen wird nur das von dieser bestimmten vertrauenswürdigen Zertifizierungsstelle dieses Endgeräts ausgestellte Zertifikat validiert. Wenn nicht, weist die Autorisierung den Verbindungsaufbau zurück.

Überblick über die Handhabung von Kryptographieschlüsseln

Bei der Verarbeitung von Kryptographieschlüsseln werden persistente Schlüssel im Speicher des Geräts gespeichert, ohne dass versucht wird, sie zu ändern. Während das interne Speichergerät für einen potenziellen Gegner nicht direkt zugänglich ist, können diejenigen, die eine zweite Verteidigungsschicht benötigen, eine spezielle Handhabung für kryptographische Schlüssel ermöglichen. Wenn die Verschlüsselung aktiviert ist, verschlüsselt die Verarbeitung von Kryptographieschlüsseln Schlüssel, wenn sie nicht sofort verwendet werden, führt beim Kopieren eines Schlüssels von einem Speicherspeicherort an einen anderen Fehlererkennungsfehler aus und überschreibt die Speicherposition eines Schlüssels mit einem zufälligen Bitmuster, wenn der Schlüssel nicht mehr verwendet wird. Schlüssel sind auch geschützt, wenn sie im Flash-Speicher des Geräts gespeichert sind. Die Aktivierung der Verschlüsselungsschlüsselbehandlungsfunktion führt nicht zu einer extern beobachtbaren Änderung des Geräteverhaltens, und das Gerät ist weiterhin mit den anderen Geräten kompatibel.

Ein Kryptographieadministrator kann die Kryptographie-Selbsttestfunktionen aktivieren und deaktivieren; Der Sicherheitsadministrator kann jedoch das Verhalten der Kryptographie-Selbsttestfunktionen ändern, z. B. die Konfiguration regelmäßiger Selbsttests oder die Auswahl einer Teilmenge kryptographischer Selbsttests.

Die folgenden dauerhaften Schlüssel werden derzeit von IKE und PKI verwaltet:

  • IKE preshared keys (IKE PSKs)

  • Private PKI-Schlüssel

  • Manuelle VPN-Schlüssel