Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Abmdingung des Zertifikats

Digitale Zertifikate haben ein Ablaufdatum, aber vor dem Ablaufdatum ist ein Zertifikat aus vielen Gründen nicht mehr gültig. Sie können die Zertifikatseinvalidierung und -validierung lokal und über die Zertifizierungskarte (CA Certificate Authority, CRL) verwalten.

Informationen zum Online-Zertifikatsstatusprotokoll und zur Abdringung von Zertifikaten

Mit OCSP wird der Gutscheinstatus von X509-Zertifikaten geprüft. OCSP bietet einen Aufhebungsstatus von Zertifikaten in Echtzeit und ist in zeitsensiblen Situationen wie Banktransaktionen und Aktientransaktionen nützlich.

Der Status der Aufhebung eines Zertifikats wird geprüft, indem eine Anfrage an einen OCSP-Server gesendet wird, der sich außerhalb eines Geräts der SRX-Serie befindet. Basierend auf der Antwort des Servers wird die VPN-Verbindung zugelassen oder abgelehnt. OCSP-Antworten werden nicht auf Geräten der SRX-Serie im Cache gespeichert.

Der OCSP-Server kann die Zertifizierungsstelle (CA) sein, die ein Zertifikat aus gibt oder einen autorisierten Responder. Der Standort des OCSP-Servers kann manuell konfiguriert oder aus dem Zertifikat extrahiert werden, das überprüft wird. Anforderungen werden zuerst an OCSP-Serverstandorte gesendet, die manuell in CA-Profilen mit der Anweisung auf der [ ] Hierarchieebene konfiguriert werden; bis zu zwei Standorte können für jedes Profil CA ocsp urledit security pki ca-profile profile-name revocation-check werden. Wenn der erste konfigurierte OCSP-Server nicht erreichbar ist, wird die Anforderung an den zweiten OCSP-Server gesendet. Wenn der zweite OCSP-Server nicht erreichbar ist, wird die Anforderung an den Standort im Erweiterungsfeld AuthorityInfoAccess des Zertifikats gesendet. Die use-ocsp Option muss auch konfiguriert werden, da CRL (Certificate Certificate Ist List) die Standardprüfungsmethode ist.

Die Geräte der SRX-Serie akzeptieren nur signierte OCSP-Antworten des CA oder eines autorisierten Befragten. Die empfangene Antwort wird mithilfe von vertrauenswürdigen Zertifikaten validiert. Die Reaktion wird wie folgt validiert:

  1. Das CA zertifikat, das für das konfigurierte Profil CA registriert ist, wird zur Validierung der Antwort verwendet.

  2. Die OCSP-Antwort enthält möglicherweise ein Zertifikat zur Validierung der OCSP-Reaktion. Das empfangene Zertifikat muss durch ein für das CA der SRX-Serie registriertes Zertifikat signiert sein. Nachdem das empfangene Zertifikat durch das CA validiert wurde, wird es zur Validierung der OCSP-Reaktion verwendet.

Die Antwort vom OCSP-Server kann von verschiedenen CAs signiert werden. Folgende Szenarien werden unterstützt:

  • Der CA-Server, der das End-Entity-Zertifikat für ein Gerät auserlädt, unterzeichnet zudem die Reaktion auf den OCSP-Abmilde-Status. Das Gerät der SRX-Serie überprüft die OCSP-Antwortsignatur mithilfe des CA Zertifikats, das für das Gerät der SRX-Serie registriert ist. Nach Überprüfung der OCSP-Antwort wird der Status der Zertifikatsentstellung geprüft.

  • Ein autorisierter Befragter unterzeichnet die Reaktion auf den OCSP-Ist-Status. Das Zertifikat für den autorisierten Befragten und das geprüfte End-Entity-Zertifikat müssen von derselben Zertifizierung CA. Der autorisierte Befragte wird zuerst mithilfe des für das CA der SRX-Serie registrierten Zertifikats geprüft. Die OCSP-Reaktion wird mit dem Zertifikat des Befragten CA validiert. Das Gerät der SRX-Serie verwendet dann die OCSP-Antwort, um den Abnestellungsstatus des End-Entity-Zertifikats zu prüfen.

  • Es gibt unterschiedliche CA für das End-Entity-Zertifikat, das überprüft wird, und die OCSP-Reaktion. Die OCSP-Antwort wird von einem CA in der Zertifikatskette signiert, um das End-Entity-Zertifikat zu verifizieren. (Alle Peers, die an einer IKE-Aushandlung teilnehmen, müssen über mindestens eine gemeinsame vertrauenswürdige CA in ihren entsprechenden Zertifikatsketten verfügen.) Die Prüfung des OCSP-Responders CA anhand eines CA In der Zertifikatskette geprüft. Nach der Validierung des CA Responder-Zertifikats wird die OCSP-Reaktion mit dem CA des Befragten validiert.

Um Replay-Angriffe zu verhindern, kann eine Nicht-Payload in einer OCSP-Anforderung gesendet werden. Nicht-Payloads werden standardmäßig gesendet, sofern sie nicht explizit deaktiviert sind. Wenn dies aktiviert ist, erwartet das Gerät der SRX-Serie, dass die OCSP-Antwort eine Nicht-Payload enthält, andernfalls schlägt die Absperrungsprüfung fehl. Wenn OCSP-Befragte nicht mit einer Nicht-Payload reagieren können, muss die Nicht-Payload auf dem Gerät der SRX-Serie deaktiviert sein.

Im normalen Geschäftsbetrieb sind Zertifikate aus verschiedenen Gründen für widerrufen. Wenn Sie den Verdacht haben, dass ein Zertifikat kompromittiert wurde oder ein Zertifikatsinhaber das Unternehmen verlassen hat, möchten Sie möglicherweise einen anderen Zertifikatsinhaber für sich widerrufen.

Die Zertifikatsüberprüfung und -validierung kann auf zwei Arten verwaltet werden:

  • Lokal – Dies ist eine begrenzte Lösung.

  • Indem Sie auf eine Certificate Authority (CA) CertificateEnz List (CRL) verweisen: Sie können automatisch in von Ihnen angegebenen Intervallen oder in dem vom Standard festgelegten Standardintervall auf das CRL zugreifen CA.

In Phase 1-Verhandlungen prüfen die Teilnehmer die CRL-Liste, um zu sehen, ob Zertifikate, die während eines Austauschs IKE waren, weiterhin gültig sind. Wenn ein CRL nicht mit einem CA-Zertifikat begleiten und nicht auf das Gerät geladen wird, versucht das Gerät, es automatisch von dem CRL-Verteilungspunkt des lokalen Zertifikats herunterzuladen. Wenn das Gerät keine Verbindung mit der URL im CDP (Certificate Distribution Point) herstellen kann, versucht es, das CRL von der im Profil konfigurierten URL abzurufen CA.

Wenn das Zertifikat keine Erweiterung des Zertifikatsverteilungspunkts enthält und Sie das CRL nicht automatisch über lightweight Directory Access Protocol (LDAP) oder Hypertext Transfer Protocol (HTTP) abrufen können, können Sie ein CRL manuell abrufen und dieses im Gerät laden.

Lokale Zertifikate werden mit der Liste zur Zertifikatsentzugsliste (CRL) überprüft, auch wenn die CRL-Prüfung deaktiviert ist. Dies kann durch die Deaktivierung des CRL-Check über die Public Key Infrastructure (PKI)-Konfiguration beendet werden. Wenn die CRL-Prüfung deaktiviert ist, wird das lokale Zertifikat nicht anhand von CRL überprüft.

Vergleich der Online-Liste zur Zertifikatsstatusprotokoll- und Zertifikatsentzugsliste

Mit dem Online Certificate Status Protocol (OCSP) und der Certificate List (CRL) kann der Status einer Abmischeprüfung geprüft werden. Jede Methode hat Vor- und Nachteile.

  • OCSP stellt den Zertifikatsstatus in Echtzeit zur Anwendung, während CRL Cache-Daten verwendet. Bei zeitsensiblen Anwendungen ist OCSP der bevorzugte Ansatz.

  • Die CRL-Überprüfung wird schneller, da die Suche nach dem Zertifikatsstatus auf Informationen erfolgt, die auf dem VPN-Gerät im Cache gespeichert sind. OcSP erfordert Zeit, um den Abspingstatus von einem externen Server zu erhalten.

  • CRL erfordert zusätzlichen Speicherplatz zum Speichern der Abnfordungsliste, die von einem CRL-Server empfangen wird. OcSP benötigt keinen zusätzlichen Speicherplatz, um den Abnscheinsstatus von Zertifikaten zu speichern.

  • OCSP setzt voraus, dass der OCSP-Server jederzeit verfügbar ist. CRL kann mithilfe von Cache-Daten den Status von Zertifikaten prüfen, wenn der Server nicht zu überprüfen ist.

Auf Geräten der MX-Serie und SRX-Serie ist CRL die Standardmethode zur Prüfung des Abmzustandsstatus eines Zertifikats.

Beispiel: Manuelles Laden einer CRL auf das Gerät

In diesem Beispiel wird gezeigt, wie Sie ein CRL manuell auf das Gerät laden.

Anforderungen

Bevor Sie beginnen:

  1. Generierung eines Kopplungspaars für öffentliche und private Schlüssel. Siehe selbst signierte digitale Zertifikate.

  2. Zertifikatsanfrage generieren. Siehe Beispiel: Manuelles Erstellen eines CSR für das lokale Zertifikat und Senden an den CA Server.

  3. Konfigurieren Sie ein Profil für eine CA Zertifizierungsstelle. Siehe Beispiel: Konfigurieren eines CA Profils

  4. Laden Sie Ihr Zertifikat auf das Gerät. Siehe Beispiel: Manuelle CA und lokaler Zertifikate.

Überblick

Sie können ein CRL manuell laden oder das Gerät automatisch laden, wenn Sie die Gültigkeit des Zertifikats verifizieren. Wenn Sie ein CRL manuell laden möchten, erhalten Sie das CRL von einem Gerät CA und übertragen es auf das Gerät (z. B. über FTP).

In diesem Beispiel laden Sie ein CRL-Zertifikat namens revoke.crl /var/tmp auf dem Gerät. Das CA-Profil heißt ca-profile-ipsec . (Die maximale Dateigröße beträgt 5 MB.)

Wenn bereits ein CRL in das ca-Profile geladen wird, muss der Befehl zuerst ausgeführt clear security pki crl ca-profile ca-profile-ipsec werden, um das alte CRL zu löschen.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

Ein CRL-Zertifikat manuell laden:

  1. Laden Sie ein CRL-Zertifikat.

    Junos OS unterstützt die Auslastung CA Zertifikate im X509-, PKCS #7-, DER- oder PEM-Format.

Überprüfung

Geben Sie den Betriebsmodusbefehl ein, um sicherzustellen, dass die Konfiguration show security pki crl ordnungsgemäß funktioniert.

Understanding Dynamic CRL Download and Checking

Digitale Zertifikate werden über einen bestimmten Zeitraum ausgegeben und sind nach dem angegebenen Ablaufdatum ungültig. Ein CA kann eine ausgestellte Zertifizierung durch eine Auflistung in eine Zertifikatsentzugsliste (CRL) widerrufen. Während der Validierung des Peer-Zertifikats wird der Iststatus eines Peer-Zertifikats geprüft, indem das CRL von einem Server CA auf das lokale Gerät heruntergeladen wird.

Ein VPN-Gerät muss in der Lage sein, das Peer-Zertifikat auf seinen Entzugsstatus zu prüfen. Ein Gerät kann das Zertifizierungszertifikat CA verwenden.

, das von seinem Peer empfangen wurde, um die URL zu extrahieren, um das CRL des CA dynamisch herunterzuladen und den Abstellungsstatus des Peer-Zertifikats zu prüfen. Ein dynamisches CA wird automatisch auf dem lokalen Gerät mit dem Format dynamic-nnn erstellt. Ein dynamisches CA-Profil ermöglicht es dem lokalen Gerät, das CRL vom Peer-Zertifikat herunterzuladen CA und den Abwahlstatus des Peer-Zertifikats zu prüfen. Host-A kann die von Host-B empfangenen Sales-CA- und EE-Zertifikate verwenden, um das CRL für Sales-CA dynamisch herunterzuladen und den Abstellungsstatus der Abbildung 1 Host-B-Zertifizierung zu prüfen.

Abbildung 1: Multilevel-Hierarchie für zertifikatbasierte AuthentifizierungMultilevel-Hierarchie für zertifikatbasierte Authentifizierung

Zur Aktivierung dynamischer CA Profils muss die Option auf einem übergeordneten profil revocation-check crl CA der [ ] edit security pki ca-profile profile-name Hierarchieebene konfiguriert werden.

Die Eigenschaften der Prüfung der Prüfung der Aufhebung eines übergeordneten CA werden für dynamische CA übernommen. In Abbildung 1 aktiviert die CA-Profilkonfiguration auf Host-A für Root-CA dynamische Konfigurationsprofile CA, wie in der folgenden Ausgabe dargestellt:

Unter Host-A für Vertrieb CA Profil wird ein dynamisches CA erstellt. Die Prüfung der Aufhebung wird für das dynamische CA Benutzerprofil CA Root-CA.

Wenn die Anweisung in einem übergeordneten Netzwerkprofil konfiguriert CA, werden keine dynamischen CA erstellt und die dynamische revocation-check disable CRL-Download- und -Überprüfung wird nicht durchgeführt.

Die Daten für CRLs, die von dynamischen Profilen heruntergeladen CA werden mit dem Befehl genauso angezeigt wie von von konfigurierten Benutzerprofilen heruntergeladene show security pki crl CR CA Ls. Das CRL aus einem dynamischen CA wird regelmäßig entsprechend der Profileinstellungen CA im Gerät aktualisiert.

Das CA-Zertifikat ist erforderlich, um das von einem Server empfangene CRL CA zu validieren. Daher wird das CA Zertifikat, das von einem Peer empfangen wurde, auf dem lokalen Gerät gespeichert. Da das CA-Zertifikat nicht von einem Administrator registriert ist, wird es nur für die Validierung des vom CA-Server empfangenen CRL und nicht für die Validierung des Peer-Zertifikats verwendet.

Beispiel: Konfigurieren eines Certificate Authority-Profils für CRL-Standorte

In diesem Beispiel wird veranschaulicht, wie ein Zertifikatsstelle-Profil mit CRL-Standorten konfiguriert wird.

Anforderungen

Bevor Sie beginnen:

  1. Generieren Sie ein Schlüsselpaar auf dem Gerät. Siehe digitale Zertifikate.

  2. Erstellen Sie CA Profil oder Profile mit Informationen, die für einen bestimmten CA. Siehe Beispiel: Konfigurieren eines CA Profils

  3. Erhalten Sie ein persönliches Zertifikat vom CA. Siehe Beispiel: Manuelles Erstellen eines CSR für das lokale Zertifikat und Senden an den CA Server.

  4. Laden Sie das Zertifikat auf das Gerät. Siehe Beispiel: Manuelle CA und lokaler Zertifikate .

  5. Konfigurieren Sie automatische erneute Registrierung. Siehe Beispiel: Konfigurieren der SecurID-Benutzerauthentifizierung

  6. Laden Sie bei Bedarf das CRL des Zertifikats auf das Gerät. Siehe Beispiel: Manuelles Laden einer CRL auf das Gerät.

Überblick

In Phase-1-Aus verhandlungen prüfen Sie die CRL-Liste, um zu sehen, ob das Zertifikat, das Sie während eines Austauschs IKE erhalten haben, immer noch gültig ist. Wenn ein CRL nicht mit einem CA-Zertifikat begleiten und nicht auf das Gerät geladen wird, versucht Junos OS, das CRL über die LDAP- oder HTTP CRL-Position abzurufen, die innerhalb des CA-Zertifikats selbst definiert ist. Wenn keine URL-Adresse im CA-Zertifikat definiert wird, verwendet das Gerät die URL des Servers, die Sie für dieses CA definieren. Wenn Sie für ein bestimmtes Zertifikat keine CRL-CA URL definieren, ruft das Gerät das CRL von der URL in der Konfigurationsdaten für CA Netzwerkprofil ab.

Die Erweiterung des CRL-Verteilungspunkts (.cdp) in einem X509-Zertifikat kann entweder einer HTTP-URL oder einer LDAP-URL hinzugefügt werden.

In diesem Beispiel leitet sie das Gerät an, um die Echtheit des aufgerufenen CA-Profils zu prüfen. Wenn ein CRL nicht mit einem CA-Zertifikat enthalten ist und nicht auf das Gerät geladen wird, ruft es das CRL von der my_profile URL http://abc/abc-crl.crl ab.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

So konfigurieren Sie das Zertifikat mit CRL:

  1. Geben Sie das CA Profil und die URL an.

  2. Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, commit die Konfiguration.

Überprüfung

Geben Sie den Betriebsmodusbefehl ein, um sicherzustellen, dass die Konfiguration show security pki ordnungsgemäß funktioniert.

Beispiel: Überprüfung der Echtheit des Zertifikats

In diesem Beispiel wird veranschaulicht, wie die Echtheit eines Zertifikats überprüft wird.

Anforderungen

Vor der Konfiguration dieser Funktion ist keine besondere Konfiguration über die Gerätein initialisierung hinaus erforderlich.

Überblick

In diesem Beispiel überprüfen Sie Zertifikate manuell, um herauszufinden, ob ein Zertifikat widerrufen wurde oder ob das CA-Zertifikat, das zur Erstellung eines lokalen Zertifikats verwendet wird, nicht mehr auf dem Gerät vorhanden ist.

Wenn Sie Zertifikate manuell überprüfen, verwendet das Gerät das CA Zertifikat ( ca-cert ), um das lokale Zertifikat ( ) zu verifizieren. local.cert Wenn das lokale Zertifikat gültig ist und im Profil CA aktiviert ist, überprüft das Gerät, ob CRL geladen und revocation-check gültig ist. Wenn das CRL nicht geladen und gültig ist, lädt das Gerät das neue CRL herunter.

Für CA Zertifikate oder Zertifikate CA DNS in der Konfiguration des Geräts konfiguriert werden. Dns muss in der Lage sein, den Host im CRL der Verteilung und im CA-LISTE mit der Zertifizierungs-/Abnahmeliste in der Ca-Profile-Konfiguration zu lösen. Darüber hinaus müssen Sie über eine Netzwerkverfügbarkeit zum selben Host verfügen, um die Prüfungen zu erhalten.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

Um die Echtheit eines Zertifikats manuell zu prüfen:

  1. Prüfen Sie die Echtheit eines lokalen Zertifikats.

  2. Prüfen Sie die Echtheit eines CA Zertifikats.

    Der zugehörige private Schlüssel und die Signatur werden ebenfalls geprüft.

Überprüfung

Geben Sie den Befehl ein, um sicherzustellen, dass die Konfiguration ordnungsgemäß show security pki ca-profile funktioniert.

Wenn ein Fehler anstelle einer positiven Überprüfung zurückgegeben wird, wird der Fehler in pkid protokolliert.

Laden Sie eine geladene CRL (CLI Zedur)

Sie können wählen, ob Sie ein geladenes CRL löschen möchten, wenn Sie es nicht mehr zur Verwaltung der Zertifikatsüberprüfung und -validierung verwenden müssen.

Verwenden Sie den folgenden Befehl, um eine Liste zur Nichtbenutzung geladener Zertifikate zu löschen:

Geben Sie ein CA an, um ein dem vom Profil identifiziertes C CA RL zu löschen oder zum Löschen aller all CRLs zu verwenden.