IKE-Authentifizierung (zertifikatbasierte Authentifizierung)
Mehrstufige Hierarchie für die Zertifikatauthentifizierung
Die zertifikatbasierte Authentifizierung ist eine Authentifizierungsmethode, die von Firewalls der SRX-Serie während der IKE-Aushandlung unterstützt wird. In großen Netzwerken können mehrere Zertifizierungsstellen (CAs) End-Entity-Zertifikate (EE) für ihre jeweiligen Endgeräte ausstellen. Es ist üblich, separate Zertifizierungsstellen für einzelne Standorte, Abteilungen oder Organisationen zu haben.
Wenn eine einstufige Hierarchie für die zertifikatbasierte Authentifizierung verwendet wird, müssen alle EE-Zertifikate im Netzwerk von derselben CA signiert werden. Für alle Firewallgeräte muss dasselbe CA-Zertifikat für die Überprüfung von Peer-Zertifikaten registriert sein. Die während der IKE-Aushandlung gesendete Zertifikatsnutzlast enthält nur EE-Zertifikate.
Alternativ kann die während der IKE-Aushandlung gesendete Zertifikatsnutzlast eine Kette von EE- und CA-Zertifikaten enthalten. Eine Zertifikatskette ist die Liste der Zertifikate, die zur Validierung des EE-Zertifikats eines Peers erforderlich sind. Die Zertifikatskette umfasst das EE-Zertifikat und alle CA-Zertifikate, die nicht im lokalen Peer vorhanden sind.
Der Netzwerkadministrator muss sicherstellen, dass alle Peers, die an einer IKE-Aushandlung teilnehmen, mindestens eine gemeinsame vertrauenswürdige CA in ihren jeweiligen Zertifikatsketten haben. Die gemeinsame vertrauenswürdige CA muss nicht die Root-CA sein. Die Anzahl der Zertifikate in der Kette, einschließlich der Zertifikate für EEs und die oberste CA in der Kette, darf 10 nicht überschreiten.
Die Validierung eines konfigurierten IKE-Peers kann mit einem angegebenen CA-Server oder einer Gruppe von CA-Servern erfolgen. Bei Zertifikatketten muss der Stamm CA mit der vertrauenswürdigen CA Gruppe oder dem CA Server übereinstimmen, der in der IKE Richtlinie konfiguriert ist.
In der in Abbildung 1 dargestellten Beispiel-CA-Hierarchie ist Root-CA die gemeinsame vertrauenswürdige CA für alle Geräte im Netzwerk. Root-CA stellt CA Zertifikate für die Zertifizierungsstellen für Engineering und Sales aus, die als Eng-CA bzw. Sales-CA identifiziert werden. Eng-CA stellt CA-Zertifikate an die Entwicklungs- und Qualitätssicherungs-CAs aus, die als Dev-CA bzw. Qa-CA bezeichnet werden. Host-A erhält sein EE-Zertifikat von Dev-CA, während Host-B sein EE-Zertifikat von Sales-CA erhält.
Jedes Endgerät muss mit den CA-Zertifikaten in seiner Hierarchie geladen werden. Host-A muss über Root-CA-, Eng-CA- und Dev-CA-Zertifikate verfügen. Sales-CA- und Qa-CA-Zertifikate sind nicht erforderlich. Host-B muss über Root-CA- und Sales-CA-Zertifikate verfügen. Zertifikate können manuell in ein Gerät geladen oder mithilfe des Simple Certificate Enrollment Process (SCEP) registriert werden.
Jedes Endgerät muss für jede CA in der Zertifikatskette mit einem CA-Profil konfiguriert werden. Die folgende Ausgabe zeigt die auf Host-A konfigurierten CA-Profile:
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url “www.example.net/scep/Eng/”;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url “www.example.net/scep/Dev/”;
}
}
}
Die folgende Ausgabe zeigt die auf Host-B konfigurierten CA-Profile:
admin@host-B# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Sales-CA {
ca-identity Sales-CA;
enrollment {
url “www.example.net/scep/Sales/”;
}
}
}
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.