Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Descripción de certificados y PKI

 

Un certificado digital es un medio electrónico para comprobar su identidad a través de un tercero de confianza, conocido como entidad emisora de certificados (CA). De manera alternativa, puede usar un certificado autofirmado para atestiguar su identidad.

El servidor de entidad emisora de certificados que utilice puede ser propiedad de una entidad emisora de certificados independiente o de su propia organización, en cuyo caso se convertirá en su propia entidad emisora de certificados. Si utiliza una entidad emisora de certificados independiente, debe ponerse en contacto con ellos para obtener las direcciones de los servidores de la entidad emisora y la lista de revocación del certificado (para obtener certificados y CRL), así como la información que necesiten cuando envíe solicitudes de certificados personales. Cuando usted sea su propia entidad emisora de certificados, determine esta información.

La infraestructura de claves públicas (PKI) proporciona una infraestructura para la administración de certificados digitales.

Este tema incluye las siguientes secciones:

Firmas y comprobación de certificados

La entidad de certificación que emite un certificado utiliza un algoritmo hash para generar un resumen y “,” a continuación, firma el certificado mediante el cifrado de la síntesis con su clave privada. El resultado es una firma digital. A continuación, la entidad emisora crea el certificado firmado digitalmente para que pueda descargarse a la persona que lo solicitó. Figura 1 ilustra este proceso.

El destinatario del certificado genera otro compendio aplicando el mismo algoritmo hash al archivo de certificado y, a continuación, utiliza la clave pública de la entidad emisora para descifrar la firma digital. Mediante la comparación del compendio descifrado con el resumen que se acaba de generar, el destinatario puede confirmar la integridad de la firma de la entidad emisora y, por extensión, la integridad del certificado que lo acompaña. Figura 1 ilustra este proceso.

Nota

Un certificado se considera válido si se puede comprobar la firma digital y el número de serie del certificado no aparece en una lista de revocaciones de certificados.

Figura 1: Comprobación de la firma digital
Comprobación de la firma digital

Cuando se utilizan firmas de algoritmo de firma digital (DSA), se utiliza el algoritmo hash SHA-1 para generar el resumen. Cuando se utilizan firmas de Rivest-Shamir-Adleman (RSA), SHA-1 es el algoritmo hash predeterminado que se utiliza para generar la síntesis; puede especificar el algoritmo de hash SHA-256 con la digest opción de los request security pki generate-certificate-request comandos request security pki local-certificate generate-self-signed o. Cuando se utilizan firmas de algoritmos de firma digital de curva elíptica (ECDSA), el algoritmo de hash SHA-256 se usa para firmas ECDSA-256 y el algoritmo de hash SHA-384 se usa para firmas ECDSA-384.

A partir de Junos OS Release 18.1 R3, el algoritmo de cifrado predeterminado que se utiliza para validar certificados de PKI autofirmados automáticamente y generados manualmente es SHA-256 (algoritmo de hash seguro 256). Antes de Junos OS Release 18.1 R3, se utiliza SHA-1 como algoritmo predeterminado de cifrado.

Infraestructura de claves públicas

Para comprobar la confiabilidad de un certificado, debe ser capaz de realizar el seguimiento de una ruta de acceso de las entidades emisoras de certificados (CA) certificadas desde la que emite el certificado local a la entidad raíz de un dominio de CA. La infraestructura de claves públicas (PKI) se refiere a la estructura jerárquica de confianza necesaria para la correcta implementación de la criptografía mediante claves públicas.

Figura 2muestra la estructura de una entidad emisora de certificados de un único dominio con varios niveles de jerarquía.

Figura 2: Jerarquía PKI del dominio—CA de confianza
Jerarquía PKI del dominio—CA de confianza

Si los certificados se utilizan únicamente dentro de una organización, dicha organización puede tener su propio dominio de CA en el que la entidad emisora de certificados de la empresa emita y validen las certificaciones de sus empleados. Si esa organización desea que sus empleados intercambien sus certificados con certificados de otro dominio de entidad emisora (por ejemplo, con empleados de otra organización que tenga su propio dominio de entidad emisora), las dos entidades emisoras de certificados pueden desarrollar certificaciones cruzadas al aceptar Confíe en la autoridad entre sí. En este caso, la estructura de PKI no se extiende verticalmente pero se extiende horizontalmente. Consulte Figura 3la.

Figura 3: Certificación cruzada
Certificación cruzada

Administración e implementación de la PKI

Los elementos mínimos de PKI necesarios para la autenticación basada en certificados en Junos OS son:

  • Certificados de entidad emisora y configuración de la entidad.

  • Certificados locales, incluida la’identidad del dispositivo s (ejemplo: ICR el tipo y valor de ID.) y claves privadas y públicas

  • Validación de certificado a través de una CRL.

Junos OS admite tres tipos diferentes de objetos de PKI:

  • Par de claves privada y pública

  • Certificados

    • Certificado—local el certificado local contiene la clave pública y la información de identidad del dispositivo Juniper Networks. El dispositivo Juniper Networks es propietario de la clave privada asociada. Este certificado se genera a partir de una solicitud de certificado del dispositivo de Juniper Networks.

    • Certificado — pendiente un certificado pendiente contiene un par de claves e información de identidad que se genera en una solicitud de certificado PKCS10 y se envía manualmente a una entidad de certificación (CA). Mientras el Juniper Networks dispositivo espera a que el certificado de la CA, el objeto existente (par de claves y la solicitud de certificado) se etiqueta como solicitud de certificado o certificado pendiente.

Intercambio de claves por red

El procedimiento para firmar digitalmente los mensajes enviados entre dos participantes en una sesión Intercambio de claves por red (ICR) es similar a la comprobación de certificados digitales, con las siguientes diferencias:

  • En lugar de crear un resumen del certificado de CA, el remitente lo convierte a partir de los datos de la carga del paquete IP.

  • En lugar de utilizar el par de claves pública y privada de la entidad emisora de certificados, los participantes utilizan el par de claves pública y privada del remitente.

Grupo de CA de confianza

Una entidad emisora de certificados es una tercera persona a la que se confía para emitir y revocar certificados. Puede agrupar varias entidades emisoras (perfiles de entidades emisoras) en un grupo de entidades emisoras de certificados de confianza para una topología determinada. Estos certificados se utilizan para establecer una conexión entre dos extremos. Para establecer ICR o IPsec, ambos puntos de conexión deben confiar en la misma entidad emisora de certificados. Si alguno de los extremos no puede validar el certificado con su CA de confianza (CA-Profile) correspondiente o el grupo de CA de confianza, la conexión no se establece.

Por ejemplo, hay dos extremos, el extremo a y el extremo B intentan establecer una conexión segura. Cuando el extremo B presenta’el certificado s al extremo a, el extremo a comprobará si el certificado es válido. La entidad emisora del extremo A comprueba el certificado firmado que el extremo B utiliza para obtener la autorización. Cuando trusted-ca o trusted-ca-group está configurado, el dispositivo solo usará los perfiles de CA agregados en trusted-ca-group este o el perfil de CA trusted-ca configurado en para validar el certificado que procede del extremo B. Si el certificado se comprueba como válido, se permite la conexión, de lo contrario se rechaza la conexión.

Ventajas

  • Para cualquier solicitud de conexión entrante, solo se validará el certificado emitido por dicha entidad de certificación de confianza de ese extremo. Si no lo es, la autorización rechazará el establecimiento de la conexión.

Información general sobre el control de claves criptográficas

Con el control de claves de cifrado, las claves persistentes se almacenan en la memoria del dispositivo sin intentar modificarlas. Aunque el dispositivo de memoria interna no es directamente accesible para un posible adversario, aquellos que requieran una segunda capa de defensa pueden habilitar un tratamiento especial para las claves criptográficas. Cuando está habilitada, el control de claves de cifrado cifra las claves cuando no se utiliza inmediatamente, realiza la detección de errores cuando se copia una clave de una ubicación de memoria a otra y sobrescribe la ubicación de memoria de una clave con un patrón de bits aleatorio cuando la clave ya no está en uso . Las claves también se protegen cuando se almacenan en la memoria flash del dispositivo. La habilitación de la característica de control de claves de cifrado no provoca ningún cambio de observación externa en el comportamiento del dispositivo, y el dispositivo sigue interoperando con los demás dispositivos.

Nota

Un administrador de cifrado puede habilitar y deshabilitar las funciones de prueba automática criptográficas; sin embargo, el administrador de seguridad puede modificar el comportamiento de las funciones de prueba automática criptográficas, tales como configurar pruebas automáticas periódicas o seleccionar un subconjunto de pruebas automáticas criptográficas.

Actualmente, las siguientes claves persistentes se encuentran bajo la administración de ICR y la PKI:

  • ICR claves previamente compartidas (ICR PSKs)

  • Claves privadas de PKI

  • Claves VPN manuales

Release History Table
Publicación
Descripción
A partir de Junos OS Release 18.1 R3, el algoritmo de cifrado predeterminado que se utiliza para validar certificados de PKI autofirmados automáticamente y generados manualmente es SHA-256 (algoritmo de hash seguro 256). Antes de Junos OS Release 18.1 R3, se utiliza SHA-1 como algoritmo predeterminado de cifrado.