Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Selbstsignierte digitale Zertifikate

Ein selbstsigniertes Zertifikat ist ein Zertifikat, das von derselben Entität, die es erstellt hat, anstelle von einer Certificate Authority (CA) signiert wird. Junos OS bietet zwei Methoden zum Generieren eines selbstsignierenden Zertifikats: automatische Generierung und manuelle Generierung.

Verstehen von selbst signierten Zertifikaten

Ein selbstsigniertes Zertifikat ist ein Zertifikat, das vom Ersteller anstelle von einer Certificate Authority (CA) signiert wird.

Selbstsignierte Zertifikate ermöglichen die Verwendung von SSL-basierten (Secure Sockets Layer)-Services, ohne dass der Benutzer oder Administrator die beträchtliche Aufgabe übernehmen muss, ein von einer CA signiertes Identitätszertifikat zu erhalten.

Selbstsignierte Zertifikate bieten keine zusätzliche Sicherheit wie die von CAs generierten. Dies liegt daran, dass ein Client nicht überprüfen kann, ob der Server, mit dem er verbunden ist, der im Zertifikat angegeben ist.

Junos OS bietet zwei Methoden zum Generieren eines selbstsignierenden Zertifikats:

  • Automatische Generierung

    In diesem Fall ist der Ersteller des Zertifikats das Gerät von Juniper Networks. Ein automatisch generiertes, selbstsigniertes Zertifikat wird standardmäßig auf dem Gerät konfiguriert.

    Nachdem das Gerät initialisiert wurde, prüft es auf das Vorhandensein eines automatisch generierten selbstsignierten Zertifikats. Wenn es keines findet, generiert das Gerät eines und speichert es im Dateisystem.

  • Manuelle Generierung

    In diesem Fall erstellen Sie das selbstsignierte Zertifikat für das Gerät.

    Sie können jederzeit mithilfe der CLI ein selbstsigniertes Zertifikat generieren. Diese Zertifikate werden auch für den Zugriff auf SSL-Dienste verwendet.

Selbstsignierte Zertifikate sind ab Deren Erstellung fünf Jahre gültig.

Ein automatisch generiertes selbstsigniertes Zertifikat ermöglicht die Verwendung von SSL-basierten Services, ohne dass der Administrator ein von einer CA signiertes Identitätszertifikat erhalten muss.

Ein selbstsigniertes Zertifikat, das automatisch vom Gerät generiert wird, ähnelt einem Secure Shell(SSH)-Hostschlüssel. Es wird im Dateisystem gespeichert, nicht als Teil der Konfiguration. Es bleibt bestehen, wenn das Gerät neu gestartet wird, und es wird beibehalten, wenn ein request system snapshot Befehl ausgegeben wird.

Ein selbstsigniertes Zertifikat, das Sie manuell generieren, ermöglicht die Verwendung von SSL-basierten Services, ohne dass Sie ein von einer CA signiertes Identitätszertifikat erhalten müssen. Ein manuell generiertes selbstsigniertes Zertifikat ist ein Beispiel für ein lokales Zertifikat für eine Public Key Infrastructure (PKI). Wie bei allen lokalen PKI-Zertifikaten werden manuell generierte selbstsignierte Zertifikate im Dateisystem gespeichert.

Beispiel: Generieren eines öffentlichen und privaten Schlüsselpaares

In diesem Beispiel wird gezeigt, wie ein öffentlich-privates Schlüsselpaar generiert wird.

Anforderungen

Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration über die Geräte initialisierung hinaus erforderlich.

Überblick

In diesem Beispiel generieren Sie ein öffentlich-privates Schlüsselpaar namens ca-ipsec.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

So generieren Sie ein öffentliches und privates Schlüsselpaar:

  • Erstellen Sie ein Zertifikatsschlüsselpaar.

Überprüfung

Nach der Erstellung des öffentlichen und privaten Schlüsselpaares zeigt das Gerät von Juniper Networks Folgendes an:

Beispiel: Manuelles Generieren selbst signierter Zertifikate

Dieses Beispiel zeigt, wie Sie selbstsignierte Zertifikate manuell generieren.

Anforderungen

Bevor Sie beginnen, generieren Sie ein öffentliches privates Schlüsselpaar. Siehe digitale Zertifikate.

Überblick

Für ein manuell generiertes selbstsigniertes Zertifikat geben Sie beim Erstellen das DN an. Für ein automatisch generiertes, selbst signiertes Zertifikat liefert das System das DN und identifiziert sich als Ersteller.

In diesem Beispiel generieren Sie ein selbstsigniertes Zertifikat mit der E-Mail-Adresse als mholmes@example.net. Sie geben eine Zertifikat-ID an, auf die von der self-cert Webverwaltung Bezug nehmen soll. Dies bezieht sich auf ein Beispiel: Generieren eines öffentlichen und privaten Schlüsselpaares der gleichen Zertifikats-ID.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

So generieren Sie das selbstsignierte Zertifikat manuell:

  1. Erstellen Sie das selbstsignierte Zertifikat.

Überprüfung

Um zu überprüfen, ob das Zertifikat ordnungsgemäß generiert und geladen wurde, geben Sie den Befehl für den show security pki local-certificate Betriebsmodus ein.

Verwenden automatisch generierter selbstsignierte Zertifikate (CLI-Verfahren)

Nachdem das Gerät initialisiert wurde, prüft es auf das Vorhandensein eines selbstsignierten Zertifikats. Wenn kein selbstsigniertes Zertifikat vorhanden ist, generiert das Gerät automatisch ein Zertifikat.

Wenn Sie das automatisch generierte selbstsignierte Zertifikat für den Zugriff auf HTTPS-Dienste verwenden möchten, können Sie ihrer Konfiguration folgende Anweisung hinzufügen:

Das Gerät verwendet den folgenden differenzierten Namen für das automatisch generierte Zertifikat:

Verwenden Sie den folgenden Befehl, um anzugeben, dass das automatisch generierte selbstsignierte Zertifikat für https-Dienste für die Webverwaltung verwendet werden soll:

Verwenden Sie den folgenden Betriebsbefehl, um das automatisch generierte selbstsignierte Zertifikat zu löschen:

Nach dem Löschen des systemgenerierten selbstsignierten Zertifikats generiert das Gerät automatisch ein neues und speichert es im Dateisystem.