Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IKE-Authentifizierung (zertifikatsbasierte Authentifizierung)

Mehrstufige Hierarchie für die Zertifikatsauthentifizierung

Die zertifikatsbasierte Authentifizierung ist eine Authentifizierungsmethode, die von Firewalls der SRX-Serie während der IKE-Aushandlung unterstützt wird. In großen Netzwerken können mehrere Zertifizierungsstellen (Certificate Authorities, CAs) EndEntitätszertifikate (EE) an ihre jeweiligen Endgeräte ausstellen. Es ist üblich, separate CAs für einzelne Standorte, Abteilungen oder Organisationen zu haben.

Wenn für die zertifikatsbasierte Authentifizierung eine Hierarchie auf einer einzigen Ebene verwendet wird, müssen alle EE-Zertifikate im Netzwerk von derselben Zertifizierungsstelle signiert werden. Alle Firewall-Geräte müssen über dasselbe CA-Zertifikat verfügen, das für die Peer-Zertifikatsprüfung registriert ist. Die während der IKE-Aushandlung gesendete Zertifikatsnutzlast enthält nur EE-Zertifikate.

Alternativ kann die während der IKE-Aushandlung gesendete Zertifikatsnutzlast eine Kette von EE- und CA-Zertifikaten enthalten. Eine Zertifikatskette ist die Liste der Zertifikate, die zur Validierung des EE-Zertifikats eines Peers erforderlich sind. Die Zertifikatskette umfasst das EE-Zertifikat und alle CA-Zertifikate, die im lokalen Peer nicht vorhanden sind.

Der Netzwerkadministrator muss sicherstellen, dass alle Peers, die an einer IKE-Aushandlung teilnehmen, mindestens eine gemeinsame vertrauenswürdige Zertifizierungsstelle in ihren jeweiligen Zertifikatsketten haben. Die gemeinsame vertrauenswürdige Ca muss nicht die Stammzertifizierungsstelle sein. Die Anzahl der Zertifikate in der Kette, einschließlich der Zertifikate für EEs und der obersten Zertifizierungsstelle in der Kette, darf 10 nicht überschreiten.

Ab Junos OS Version 18.1R1 kann die Validierung eines konfigurierten IKE-Peers mit einem angegebenen CA-Server oder einer gruppe von CA-Servern durchgeführt werden. Bei Zertifikatsketten muss die Stammzertifizierungsstelle mit der vertrauenswürdigen CA-Gruppe oder dem CA-Server übereinstimmen, der in der IKE-Richtlinie konfiguriert ist

In der in Abbildung 1 dargestellten Beispiel-CA-Hierarchie ist Root-CA die gemeinsame vertrauenswürdige ZERTIFIZIERUNGsstelle für alle Geräte im Netzwerk. Root-CA stellt ca-Zertifikate an die Engineering- und Sales-CAs aus, die als Eng-CA bzw. Sales-CA identifiziert werden. Eng-CA stellt ca-Zertifikate für die Entwicklungs- und Qualitätssicherungs-CAs aus, die als Dev-CA bzw. Qa-CA identifiziert werden. Host-A erhält sein EE-Zertifikat von Dev-CA, während Host-B sein EE-Zertifikat von Sales-CA erhält.

Abbildung 1: Hierarchie auf mehreren Ebenen für zertifikatsbasierte Authentifizierung Multilevel Hierarchy for Certificate-Based Authentication

Jedes Endgerät muss mit den CA-Zertifikaten in seiner Hierarchie geladen werden. Host-A benötigt Root-CA-, Eng-CA- und Dev-CA-Zertifikate. Sales-CA- und Qa-CA-Zertifikate sind nicht erforderlich. Host-B muss über Root-CA- und Sales-CA-Zertifikate verfügen. Zertifikate können manuell in ein Gerät geladen oder mithilfe des SCEP (Simple Certificate Enrollment Process) registriert werden.

Jedes Endgerät muss für jede Zertifizierungsstelle in der Zertifikatskette mit einem CA-Profil konfiguriert werden. Die folgende Ausgabe zeigt die auf Host-A konfigurierten CA-Profile:

Die folgende Ausgabe zeigt die auf Host-B konfigurierten CA-Profile:

Tabelle "Versionshistorie"
Release
Beschreibung
18.1R1
Ab Junos OS Version 18.1R1 kann die Validierung eines konfigurierten IKE-Peers mit einem angegebenen CA-Server oder einer gruppe von CA-Servern durchgeführt werden.