Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

PKI in Junos OS

SUMMARY In diesem Thema werden die grundlegenden Elemente der Public Key-Infrastruktur (PKI) in Junos OS beschrieben.

Eine Public-Key-Infrastruktur (PKI) unterstützt die Verteilung und Identifizierung öffentlicher Verschlüsselungsschlüssel und ermöglicht es Benutzern, Daten sicher über Netzwerke wie das Internet auszutauschen und die Identität der anderen Partei zu überprüfen.

Einführung in PKI in Junos OS

PKI-Anwendungen im Überblick

Das Junos-Betriebssystem verwendet öffentliche/private Schlüssel in den folgenden Bereichen:

  • SSH/SCP (für eine sichere CLI-basierte Verwaltung)

  • Secure Sockets Layer (SSL) (für sichere webbasierte Administration und für https-basierte Webauth für die Benutzerauthentifizierung)

  • Internet Key Exchange (IKE) (für IPsec-VPN-Tunnel)

HINWEIS:

Beachten Sie die folgenden Punkte:

  • Derzeit unterstützt Junos OS nur IKE (unter Verwendung von PKI-Zertifikaten (Public Key Infrastructure) für die Validierung des öffentlichen Schlüssels).

  • SSH und SCP werden ausschließlich für die Systemadministration verwendet und hängen von der Verwendung von Out-of-Band-Fingerabdrücken für die Identitätsbindung und -validierung des öffentlichen Schlüssels ab. Details zu SSH werden in diesem Thema nicht behandelt.

Komponenten für die Verwaltung der PKI in Junos OS

Die folgenden Komponenten sind für die Verwaltung der PKI in Junos OS erforderlich:

  • Konfiguration von Zertifizierungsstellenzertifikaten und Zertifizierungsstellen

  • Lokale Zertifikate einschließlich der Geräteidentität (Beispiel: IKE-ID-Typ und -Wert) sowie private und öffentliche Schlüssel

  • Zertifikatsvalidierung durch eine Zertifikatsperrliste (Certificate Revocation List, CRL)

Grundlegende Elemente der PKI in Junos OS

Junos OS unterstützt drei spezifische Typen von PKI-Objekten:

  • Private/Public-Schlüsselpaar

  • Zertifikate

    • Lokales Zertifikat: Das lokale Zertifikat enthält den öffentlichen Schlüssel und die Identitätsinformationen für das Gerät von Juniper Networks. Das Gerät von Juniper Networks besitzt den zugehörigen privaten Schlüssel. Dieses Zertifikat wird auf der Grundlage einer Zertifikatsanforderung vom Gerät von Juniper Networks generiert.

    • Ausstehendes Zertifikat: Ein ausstehendes Zertifikat enthält ein Schlüsselpaar und Identitätsinformationen, die in einer PKCS10-Zertifikatanforderung generiert und manuell an eine Zertifizierungsstelle (Certificate Authority, CA) gesendet werden. Während das Gerät von Juniper Networks auf das Zertifikat von der Zertifizierungsstelle wartet, wird das vorhandene Objekt (Schlüsselpaar und Zertifikatanforderung) als Zertifikatsanforderung oder Zertifikat ausstehend gekennzeichnet.

      HINWEIS:

      Junos OS Version 9.0 und höher unterstützt das automatische Senden von Zertifikatsanforderungen über SCEP.

    • CA-Zertifikat: Wenn das Zertifikat von der Zertifizierungsstelle ausgestellt und in das Junos OS-Gerät geladen wird, wird das ausstehende Zertifikat durch das neu generierte lokale Zertifikat ersetzt. Alle anderen Zertifikate, die in das Gerät geladen werden, werden als CA-Zertifikate betrachtet.

  • Zertifikatsperrlisten (Certificate Revocation Lists, CRLs)

Beachten Sie die folgenden Punkte zu Zertifikaten:

  • Lokale Zertifikate werden im Allgemeinen verwendet, wenn ein Junos OS-Gerät über VPNs in mehr als einer Verwaltungsdomäne verfügt.

  • Alle PKI-Objekte werden in einer separaten Partition mit persistentem Speicher gespeichert, mit Ausnahme des Junos OS-Images und der allgemeinen Konfiguration des Systems.

  • Jedes PKI-Objekt verfügt über einen eindeutigen Namen oder eine Zertifikat-ID, die ihm bei der Erstellung zugewiesen wird, und behält diese ID bis zu seiner Löschung bei. Sie können die Zertifikats-ID anzeigen, indem Sie den Befehl verwenden.show security pki local-certificate

  • Ein Zertifikat kann in den meisten Fällen nicht von einem Gerät kopiert werden. Der private Schlüssel auf einem Gerät darf nur auf diesem Gerät generiert werden und darf niemals von diesem Gerät aus angezeigt oder gespeichert werden. Daher werden PKCS12-Dateien (die ein Zertifikat mit dem öffentlichen Schlüssel und dem zugehörigen privaten Schlüssel enthalten) auf Junos OS-Geräten nicht unterstützt.

  • CA-Zertifikate validieren die vom IKE-Peer empfangenen Zertifikate. Wenn das Zertifikat gültig ist, wird in der Zertifikatsperrliste überprüft, ob das Zertifikat gesperrt wurde.

    Jedes Zertifizierungsstellenzertifikat enthält eine Zertifizierungsstellenprofilkonfiguration, in der die folgenden Informationen gespeichert sind:

    • Identität der Zertifizierungsstelle, bei der es sich in der Regel um den Domänennamen der Zertifizierungsstelle handelt

    • E-Mail-Adresse für den Versand der Zertifikatsanfragen direkt an die CA

    • Widerrufseinstellungen:

      • Option zum Aktivieren/Deaktivieren der Widerrufsprüfung

      • Deaktivieren der Sperrprüfung bei fehlgeschlagenem CRL-Download.

      • Standort des CRL-Verteilungspunkts (CDP) (für manuelle URL-Einstellung)

      • CRL-Aktualisierungsintervall

PKI-Komponenten in Junos OS

Dieses Thema umfasst die folgenden Abschnitte:

PKI-Management und -Implementierung

Für die zertifikatbasierte Authentifizierung in Junos OS sind mindestens PKI-Elemente erforderlich:

  • Konfiguration von Zertifizierungsstellenzertifikaten und Zertifizierungsstellen.

  • Lokale Zertifikate, die die Identität des Geräts enthalten (Beispiel: IKE-ID-Typ und -Wert) sowie private und öffentliche Schlüssel

  • Zertifikatsvalidierung durch eine CRL.

Junos OS unterstützt drei verschiedene Typen von PKI-Objekten:

Internet Key Exchange

Das Verfahren zum digitalen Signieren von Nachrichten, die zwischen zwei Teilnehmern an einer IKE-Sitzung (Internet Key Exchange) gesendet werden, ähnelt der Überprüfung digitaler Zertifikate, mit den folgenden Unterschieden:

  • Anstatt einen Digest aus dem CA-Zertifikat zu erstellen, erstellt der Absender ihn aus den Daten in der IP-Paketnutzlast.

  • Anstatt das öffentlich-private Schlüsselpaar der Zertifizierungsstelle zu verwenden, verwenden die Teilnehmer das öffentlich-private Schlüsselpaar des Absenders.

Vertrauenswürdige CA-Gruppe

Eine Zertifizierungsstelle (Certificate Authority, CA) ist ein vertrauenswürdiger Dritter, der für die Ausstellung und den Widerruf von Zertifikaten verantwortlich ist. Sie können mehrere Zertifizierungsstellen (Zertifizierungsstellenprofile) in einer vertrauenswürdigen Zertifizierungsstellengruppe für eine bestimmte Topologie gruppieren. Diese Zertifikate werden verwendet, um eine Verbindung zwischen zwei Endpunkten herzustellen. Um IKE oder IPsec einzurichten, müssen beide Endpunkte derselben Zertifizierungsstelle vertrauen. Wenn einer der Endpunkte das Zertifikat nicht mit seiner jeweiligen vertrauenswürdigen Zertifizierungsstelle (ca-profile) oder vertrauenswürdigen Zertifizierungsstellengruppe validieren kann, wird die Verbindung nicht hergestellt.

Angenommen, es gibt zwei Endpunkte, Endpunkt A und Endpunkt B, die versuchen, eine sichere Verbindung herzustellen. Wenn Endpunkt B sein Zertifikat Endpunkt A vorlegt, prüft Endpunkt A, ob das Zertifikat gültig ist. Die Zertifizierungsstelle von Endpunkt A überprüft das signierte Zertifikat, das Endpunkt B für die Autorisierung verwendet. Wenn oder konfiguriert ist, verwendet das Gerät nur die Zertifizierungsstellenprofile, die in diesem oder dem Zertifizierungsstellenprofil hinzugefügt wurden, das unter konfiguriert ist, um das von Endpunkt B stammende Zertifikat zu validieren. Wenn das Zertifikat als gültig verifiziert wird, wird die Verbindung zugelassen, andernfalls wird die Verbindung abgelehnt.trusted-catrusted-ca-grouptrusted-ca-grouptrusted-ca

Vorteile:

  • Bei jeder eingehenden Verbindungsanforderung wird nur das Zertifikat validiert, das von der jeweiligen vertrauenswürdigen Zertifizierungsstelle dieses Endpunkts ausgestellt wurde. Ist dies nicht der Fall, lehnt die Autorisierung den Verbindungsaufbau ab.

Übersicht über die Handhabung kryptografischer Schlüssel

Bei der Verarbeitung kryptografischer Schlüssel werden persistente Schlüssel im Speicher des Geräts gespeichert, ohne dass versucht wird, sie zu ändern. Während das interne Speichergerät für einen potenziellen Angreifer nicht direkt zugänglich ist, können diejenigen, die eine zweite Verteidigungsebene benötigen, eine spezielle Handhabung für kryptografische Schlüssel aktivieren. Wenn diese Option aktiviert ist, verschlüsselt die Verarbeitung kryptografischer Schlüssel Schlüssel, wenn sie nicht sofort verwendet werden, führt eine Fehlererkennung durch, wenn ein Schlüssel von einem Speicherort an einen anderen kopiert wird, und überschreibt den Speicherort eines Schlüssels mit einem zufälligen Bitmuster, wenn der Schlüssel nicht mehr verwendet wird. Schlüssel sind auch geschützt, wenn sie im Flash-Speicher des Geräts gespeichert sind. Die Aktivierung der Funktion zur Handhabung kryptografischer Schlüssel bewirkt keine extern beobachtbare Änderung des Verhaltens des Geräts, und das Gerät arbeitet weiterhin mit den anderen Geräten zusammen.

Ein kryptografischer Administrator kann die kryptografischen Selbsttestfunktionen aktivieren und deaktivieren. Der Sicherheitsadministrator kann jedoch das Verhalten der kryptografischen Selbsttestfunktionen ändern, z. B. regelmäßige Selbsttests konfigurieren oder eine Teilmenge der kryptografischen Selbsttests auswählen.

Die folgenden persistenten Schlüssel werden derzeit von IKE und PKI verwaltet:

  • Vorinstallierte IKE-Schlüssel (IKE PSKs)

  • Private PKI-Schlüssel

  • Manuelle VPN-Schlüssel

Siehe auch

Verwandte Themen