Selbstsignierte digitale Zertifikate
Ein selbstsigniertes Zertifikat ist ein Zertifikat, das von derselben Entität signiert wird, die es erstellt hat, und nicht von einer Zertifizierungsstelle (Certificate Authority, CA). Junos OS bietet zwei Methoden zum Generieren eines selbstsignierten Zertifikats: die automatische Generierung und die manuelle Generierung.
Grundlegendes zu selbstsignierten Zertifikaten
Ein selbstsigniertes Zertifikat ist ein Zertifikat, das von seinem Ersteller und nicht von einer Zertifizierungsstelle (Certificate Authority, CA) signiert wird.
Selbstsignierte Zertifikate ermöglichen die Nutzung von SSL-basierten Diensten (Secure Sockets Layer), ohne dass der Benutzer oder Administrator die umfangreiche Aufgabe übernehmen muss, ein von einer Zertifizierungsstelle signiertes Identitätszertifikat zu erhalten.
Selbstsignierte Zertifikate bieten keine zusätzliche Sicherheit im Gegensatz zu Zertifikaten, die von Zertifizierungsstellen generiert werden. Dies liegt daran, dass ein Client nicht überprüfen kann, ob es sich bei dem Server, mit dem eine Verbindung hergestellt ist, um den im Zertifikat angekündigten Server handelt.
Junos OS bietet zwei Methoden zum Generieren eines selbstsignierten Zertifikats:
Automatische Generierung
In diesem Fall ist der Ersteller des Zertifikats das Gerät von Juniper Networks. Standardmäßig ist auf dem Gerät ein automatisch generiertes selbstsigniertes Zertifikat konfiguriert.
Nachdem das Gerät initialisiert wurde, prüft es, ob ein automatisch generiertes selbstsigniertes Zertifikat vorhanden ist. Wenn es keine findet, generiert das Gerät eine und speichert sie im Dateisystem.
Manuelle Generierung
In diesem Fall erstellen Sie das selbstsignierte Zertifikat für das Gerät.
Sie können jederzeit die CLI verwenden, um ein selbstsigniertes Zertifikat zu generieren. Diese Zertifikate werden auch verwendet, um Zugriff auf SSL-Dienste zu erhalten.
Selbstsignierte Zertifikate sind ab dem Zeitpunkt ihrer Erstellung fünf Jahre lang gültig.
Ein automatisch generiertes selbstsigniertes Zertifikat ermöglicht die Nutzung SSL-basierter Dienste, ohne dass der Administrator ein von einer Zertifizierungsstelle signiertes Identitätszertifikat anfordern muss.
Ein selbstsigniertes Zertifikat, das automatisch vom Gerät generiert wird, ähnelt einem Secure Shell (SSH)-Hostschlüssel. Es wird im Dateisystem gespeichert, nicht als Teil der Konfiguration. Sie bleibt erhalten, wenn das Gerät neu gestartet wird, und bleibt erhalten, wenn ein Befehl ausgegeben wird.request system snapshot
Ein selbstsigniertes Zertifikat, das Sie manuell generieren, ermöglicht die Verwendung SSL-basierter Dienste, ohne dass Sie ein von einer Zertifizierungsstelle signiertes Identitätszertifikat abrufen müssen. Ein manuell generiertes selbstsigniertes Zertifikat ist ein Beispiel für ein lokales PKI-Zertifikat (Public Key Infrastructure). Wie bei allen lokalen PKI-Zertifikaten werden manuell generierte selbstsignierte Zertifikate im Dateisystem gespeichert.
Siehe auch
Beispiel: Generieren eines öffentlich-privaten Schlüsselpaars
In diesem Beispiel wird gezeigt, wie ein öffentlich-privates Schlüsselpaar generiert wird.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel generieren Sie ein öffentlich-privates Schlüsselpaar mit dem Namen self-cert.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So generieren Sie ein öffentlich-privates Schlüsselpaar:
Erstellen Sie ein Zertifikatschlüsselpaar.
user@host> request security pki generate-key-pair certificate-id self-cert
Überprüfung
Nachdem das öffentlich-private Schlüsselpaar generiert wurde, zeigt das Gerät von Juniper Networks Folgendes an:
generated key pair ca-ipsec, key size 1024 bits
Beispiel: Manuelles Generieren von selbstsignierten Zertifikaten
In diesem Beispiel wird gezeigt, wie selbstsignierte Zertifikate manuell generiert werden.
Anforderungen
Bevor Sie beginnen, generieren Sie ein öffentlich-privates Schlüsselpaar. Weitere Informationen finden Sie unter Digitale Zertifikate.
Überblick
Für ein manuell generiertes selbstsigniertes Zertifikat geben Sie den definierten Namen (DN) an, wenn Sie es erstellen. Für ein automatisch generiertes selbstsigniertes Zertifikat liefert das System den DN und identifiziert sich als Ersteller.
In diesem Beispiel generieren Sie ein selbstsigniertes Zertifikat mit der E-Mail-Adresse als .mholmes@example.net
Sie geben eine Zertifikats-ID an, auf die von der Webverwaltung verwiesen werden soll.self-cert
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
Um das selbstsignierte Zertifikat manuell zu generieren, geben Sie im Betriebsmodus den folgenden Befehl ein:
user@host> request security pki local-certificate generate-self-signed certificate-id self-cert subject CN=abc domain-name example.net ip-address 1.2.3.4 email mholmes@example.net
Geben Sie im Konfigurationsmodus den folgenden Befehl ein, um das manuell generierte selbstsignierte Zertifikat für Webverwaltungs-HTTPS-Dienste anzugeben:
[edit] user@host# set system services web-management https local-certificate self-cert
Überprüfung
Um zu überprüfen, ob das Zertifikat ordnungsgemäß generiert und geladen wurde, geben Sie im Betriebsmodus den folgenden Befehl ein:
user@host> show security pki local-certificate
Beachten Sie die Informationen für , , und Details in der angezeigten Ausgabe.Certificate identifier
Issued to
validity
algorithm
keypair location
Um das Zertifikat zu überprüfen, das der Webverwaltung zugeordnet ist, geben Sie im Konfigurationsmodus den folgenden Befehl ein:
user@host# show system services web-management https local-certificate
Verwenden von automatisch generierten selbstsignierten Zertifikaten (CLI-Verfahren)
Nachdem das Gerät initialisiert wurde, prüft es, ob ein selbstsigniertes Zertifikat vorhanden ist. Wenn kein selbstsigniertes Zertifikat vorhanden ist, generiert das Gerät automatisch eines. Wenn das Gerät neu gestartet wird, wird beim Booten automatisch ein selbstsigniertes Zertifikat generiert.
Um das vom System generierte Zertifikat zu überprüfen, führen Sie den folgenden Befehl im Betriebsmodus aus:
user@host> show security pki local-certificate system-generated
Beachten Sie die Details in der Ausgabe.Certificate identifier
Es werden die folgenden Details des DN (Distinguished Name) für das automatisch generierte Zertifikat angezeigt:
-
CN = device serial number
-
CN = system generated
-
CN = self-signed
Verwenden Sie den folgenden Befehl im Konfigurationsmodus, um das automatisch generierte selbstsignierte Zertifikat anzugeben, das für Webverwaltungs-HTTPS-Dienste verwendet werden soll:
[edit] user@host# set system services web-management https system-generated-certificate
Verwenden Sie den folgenden Ausführungsbefehl, um das automatisch generierte selbstsignierte Zertifikat zu löschen:
user@host# exit user@host> clear security pki local-certificate system-generated
Nachdem Sie das vom System generierte selbstsignierte Zertifikat gelöscht haben, generiert das Gerät automatisch ein neues Zertifikat und speichert es im Dateisystem.