Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Selbstsignierte digitale Zertifikate

Ein selbstsigniertes Zertifikat ist ein Zertifikat, das von derselben Entität, die es erstellt hat, und nicht von einer Zertifizierungsstelle (Ca). Junos OS bietet zwei Methoden zur Generierung eines selbstsignierten Zertifikats: die automatische Generierung und die manuelle Generierung.

Selbstsignierte Zertifikate verstehen

Ein selbstsigniertes Zertifikat ist ein Zertifikat, das von seinem Ersteller und nicht von einer Zertifizierungsstelle (Ca) signiert wurde.

Selbstsignierte Zertifikate ermöglichen die Verwendung von SSL-basierten (Secure Sockets Layer)-Services, ohne dass der Benutzer oder Administrator die erhebliche Aufgabe übernehmen muss, ein von einer Zertifizierungsstelle signiertes Identitätszertifikat zu erhalten.

Selbstsignierte Zertifikate bieten keine zusätzliche Sicherheit, wie die von Zertifizierungsstellen generierten. Dies liegt daran, dass ein Client nicht überprüfen kann, ob der Server, mit dem er eine Verbindung hergestellt hat, der im Zertifikat angekündigt ist.

Junos OS bietet zwei Methoden zur Generierung eines selbstsignierten Zertifikats:

  • Automatische Generierung

    In diesem Fall ist das Gerät von Juniper Networks der Schöpfer des Zertifikats. Standardmäßig wird auf dem Gerät ein automatisch generiertes selbstsigniertes Zertifikat konfiguriert.

    Nachdem das Gerät initialisiert wurde, überprüft es, ob ein automatisch generiertes selbstsigniertes Zertifikat vorhanden ist. Wenn es keine findet, generiert das Gerät eine und speichert sie im Dateisystem.

  • Manuelle Generierung

    In diesem Fall erstellen Sie das selbstsignierte Zertifikat für das Gerät.

    Sie können jederzeit die CLI verwenden, um ein selbstsigniertes Zertifikat zu generieren. Diese Zertifikate werden auch für den Zugriff auf SSL-Services verwendet.

Selbstsignierte Zertifikate sind ab dem Zeitpunkt ihrer Erstellung fünf Jahre gültig.

Ein automatisch generiertes selbstsigniertes Zertifikat ermöglicht die Verwendung von SSL-basierten Services, ohne dass der Administrator ein von einer Zertifizierungsstelle signiertes Identitätszertifikat abrufen muss.

Ein selbstsigniertes Zertifikat, das automatisch vom Gerät generiert wird, ähnelt einem Secure Shell (SSH)-Hostschlüssel. Sie wird im Dateisystem gespeichert, nicht als Teil der Konfiguration. Es bleibt bestehen, wenn das Gerät neu gestartet wird, und es wird beibehalten, wenn ein request system snapshot Befehl ausgegeben wird.

Ein selbstsigniertes Zertifikat, das Sie manuell generieren, ermöglicht die Verwendung von SSL-basierten Services, ohne dass Sie ein von einer Zertifizierungsstelle signiertes Identitätszertifikat erhalten müssen. Ein manuell generiertes selbstsigniertes Zertifikat ist ein Beispiel für ein lokales Public Key Infrastructure (PKI)-Zertifikat. Wie für alle lokalen PKI-Zertifikate werden manuell generierte selbstsignierte Zertifikate im Dateisystem gespeichert.

Siehe auch

Beispiel: Generieren eines Public-Private-Key-Paars

Dieses Beispiel zeigt, wie Sie ein public-privates Schlüsselpaar generieren.

Anforderungen

Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Überblick

In diesem Beispiel generieren Sie ein öffentlich-privates Schlüsselpaar namens ca-ipsec.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

So generieren Sie ein public-privates Schlüsselpaar:

  • Erstellen Sie ein Zertifikatschlüsselpaar.

Überprüfung

Nachdem das public-private Schlüsselpaar generiert wurde, zeigt das Gerät von Juniper Networks Folgendes an:

Siehe auch

Beispiel: Manuelle Generierung selbstsignierten Zertifikate

Dieses Beispiel zeigt, wie Sie selbstsignierte Zertifikate manuell generieren.

Anforderungen

Bevor Sie beginnen, erstellen Sie ein öffentliches privates Schlüsselpaar. Weitere Informationen finden Sie unter Digitale Zertifikate.

Überblick

Für ein manuell generiertes selbstsigniertes Zertifikat geben Sie das DN beim Erstellen an. Für ein automatisch generiertes, selbstsigniertes Zertifikat liefert das System das DN und identifiziert sich als Schöpfer.

In diesem Beispiel generieren Sie ein selbstsigniertes Zertifikat mit der E-Mail-Adresse als mholmes@example.net. Sie geben eine Zertifikats-ID von an, auf die self-cert vom Webmanagement verwiesen werden soll, und bezieht sich auf ein Beispiel: Generieren eines Public-Private-Key-Paars derselben Zertifikats-ID.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

So generieren Sie das selbstsignierte Zertifikat manuell:

  1. Erstellen Sie das selbstsignierte Zertifikat.

Überprüfung

Geben Sie den Befehl betriebsmodus ein, um zu überprüfen, ob das show security pki local-certificate Zertifikat ordnungsgemäß generiert und geladen wurde.

Verwendung von automatisch generierten selbstsignierten Zertifikaten (CLI-Prozedur)

Nachdem das Gerät initialisiert wurde, wird überprüft, ob ein selbstsigniertes Zertifikat vorhanden ist. Wenn kein selbstsigniertes Zertifikat vorhanden ist, generiert das Gerät automatisch ein Zertifikat.

Sie können der Konfiguration die folgende Anweisung hinzufügen, wenn Sie das automatisch generierte selbstsignierte Zertifikat für den Zugriff auf HTTPS-Services verwenden möchten:

Das Gerät verwendet den folgenden namen für das automatisch generierte Zertifikat:

Verwenden Sie den folgenden Befehl, um anzugeben, dass das automatisch generierte selbstsignierte Zertifikat für HTTPS-Services der Webverwaltung verwendet werden soll:

Verwenden Sie den folgenden Betriebsbefehl, um das automatisch generierte selbstsignierte Zertifikat zu löschen:

Nachdem Sie das vom System generierte selbstsignierte Zertifikat gelöscht haben, generiert das Gerät automatisch ein neues und speichert es im Dateisystem.

Verwandte Themen