Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Selbstsignierte digitale Zertifikate

Ein selbstsigniertes Zertifikat ist ein Zertifikat, das von derselben Entität signiert wird, die es erstellt hat, und nicht von einer Zertifizierungsstelle (Certificate Authority, CA). Junos OS bietet zwei Methoden zum Generieren eines selbstsignierten Zertifikats: die automatische Generierung und die manuelle Generierung.

Grundlegendes zu selbstsignierten Zertifikaten

Ein selbstsigniertes Zertifikat ist ein Zertifikat, das von seinem Ersteller und nicht von einer Zertifizierungsstelle (Certificate Authority, CA) signiert wird.

Selbstsignierte Zertifikate ermöglichen die Nutzung von SSL-basierten Diensten (Secure Sockets Layer), ohne dass der Benutzer oder Administrator die umfangreiche Aufgabe übernehmen muss, ein von einer Zertifizierungsstelle signiertes Identitätszertifikat zu erhalten.

Selbstsignierte Zertifikate bieten keine zusätzliche Sicherheit im Gegensatz zu Zertifikaten, die von Zertifizierungsstellen generiert werden. Dies liegt daran, dass ein Client nicht überprüfen kann, ob es sich bei dem Server, mit dem eine Verbindung hergestellt ist, um den im Zertifikat angekündigten Server handelt.

Junos OS bietet zwei Methoden zum Generieren eines selbstsignierten Zertifikats:

  • Automatische Generierung

    In diesem Fall ist der Ersteller des Zertifikats das Gerät von Juniper Networks. Standardmäßig ist auf dem Gerät ein automatisch generiertes selbstsigniertes Zertifikat konfiguriert.

    Nachdem das Gerät initialisiert wurde, prüft es, ob ein automatisch generiertes selbstsigniertes Zertifikat vorhanden ist. Wenn es keine findet, generiert das Gerät eine und speichert sie im Dateisystem.

  • Manuelle Generierung

    In diesem Fall erstellen Sie das selbstsignierte Zertifikat für das Gerät.

    Sie können jederzeit die CLI verwenden, um ein selbstsigniertes Zertifikat zu generieren. Diese Zertifikate werden auch verwendet, um Zugriff auf SSL-Dienste zu erhalten.

Selbstsignierte Zertifikate sind ab dem Zeitpunkt ihrer Erstellung fünf Jahre lang gültig.

Ein automatisch generiertes selbstsigniertes Zertifikat ermöglicht die Nutzung SSL-basierter Dienste, ohne dass der Administrator ein von einer Zertifizierungsstelle signiertes Identitätszertifikat anfordern muss.

Ein selbstsigniertes Zertifikat, das automatisch vom Gerät generiert wird, ähnelt einem Secure Shell (SSH)-Hostschlüssel. Es wird im Dateisystem gespeichert, nicht als Teil der Konfiguration. Sie bleibt erhalten, wenn das Gerät neu gestartet wird, und bleibt erhalten, wenn ein Befehl ausgegeben wird.request system snapshot

Ein selbstsigniertes Zertifikat, das Sie manuell generieren, ermöglicht die Verwendung SSL-basierter Dienste, ohne dass Sie ein von einer Zertifizierungsstelle signiertes Identitätszertifikat abrufen müssen. Ein manuell generiertes selbstsigniertes Zertifikat ist ein Beispiel für ein lokales PKI-Zertifikat (Public Key Infrastructure). Wie bei allen lokalen PKI-Zertifikaten werden manuell generierte selbstsignierte Zertifikate im Dateisystem gespeichert.

Beispiel: Generieren eines öffentlich-privaten Schlüsselpaars

In diesem Beispiel wird gezeigt, wie ein öffentlich-privates Schlüsselpaar generiert wird.

Anforderungen

Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Überblick

In diesem Beispiel generieren Sie ein öffentlich-privates Schlüsselpaar mit dem Namen self-cert.

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

So generieren Sie ein öffentlich-privates Schlüsselpaar:

  • Erstellen Sie ein Zertifikatschlüsselpaar.

Überprüfung

Nachdem das öffentlich-private Schlüsselpaar generiert wurde, zeigt das Gerät von Juniper Networks Folgendes an:

Beispiel: Manuelles Generieren von selbstsignierten Zertifikaten

In diesem Beispiel wird gezeigt, wie selbstsignierte Zertifikate manuell generiert werden.

Anforderungen

Bevor Sie beginnen, generieren Sie ein öffentlich-privates Schlüsselpaar. Weitere Informationen finden Sie unter Digitale Zertifikate.

Überblick

Für ein manuell generiertes selbstsigniertes Zertifikat geben Sie den definierten Namen (DN) an, wenn Sie es erstellen. Für ein automatisch generiertes selbstsigniertes Zertifikat liefert das System den DN und identifiziert sich als Ersteller.

In diesem Beispiel generieren Sie ein selbstsigniertes Zertifikat mit der E-Mail-Adresse als .mholmes@example.net Sie geben eine Zertifikats-ID an, auf die von der Webverwaltung verwiesen werden soll.self-cert

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

Um das selbstsignierte Zertifikat manuell zu generieren, geben Sie im Betriebsmodus den folgenden Befehl ein:

Geben Sie im Konfigurationsmodus den folgenden Befehl ein, um das manuell generierte selbstsignierte Zertifikat für Webverwaltungs-HTTPS-Dienste anzugeben:

Überprüfung

Um zu überprüfen, ob das Zertifikat ordnungsgemäß generiert und geladen wurde, geben Sie im Betriebsmodus den folgenden Befehl ein:

Beachten Sie die Informationen für , , und Details in der angezeigten Ausgabe.Certificate identifierIssued tovalidityalgorithmkeypair location

Um das Zertifikat zu überprüfen, das der Webverwaltung zugeordnet ist, geben Sie im Konfigurationsmodus den folgenden Befehl ein:

Verwenden von automatisch generierten selbstsignierten Zertifikaten (CLI-Verfahren)

Nachdem das Gerät initialisiert wurde, prüft es, ob ein selbstsigniertes Zertifikat vorhanden ist. Wenn kein selbstsigniertes Zertifikat vorhanden ist, generiert das Gerät automatisch eines. Wenn das Gerät neu gestartet wird, wird beim Booten automatisch ein selbstsigniertes Zertifikat generiert.

Um das vom System generierte Zertifikat zu überprüfen, führen Sie den folgenden Befehl im Betriebsmodus aus:

Beachten Sie die Details in der Ausgabe.Certificate identifier Es werden die folgenden Details des DN (Distinguished Name) für das automatisch generierte Zertifikat angezeigt:

  • CN = device serial number

  • CN = system generated

  • CN = self-signed

Verwenden Sie den folgenden Befehl im Konfigurationsmodus, um das automatisch generierte selbstsignierte Zertifikat anzugeben, das für Webverwaltungs-HTTPS-Dienste verwendet werden soll:

Verwenden Sie den folgenden Ausführungsbefehl, um das automatisch generierte selbstsignierte Zertifikat zu löschen:

Nachdem Sie das vom System generierte selbstsignierte Zertifikat gelöscht haben, generiert das Gerät automatisch ein neues Zertifikat und speichert es im Dateisystem.