Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Descripción de las cadenas de certificados

 

Jerarquía multinivel para autenticación de certificados

La autenticación basada en certificados es un método de autenticación compatible con serie SRX dispositivos durante la negociación de ICR. En redes de gran tamaño, varias entidades emisoras de certificados (CA) pueden emitir certificados end Entity (EE) para sus dispositivos finales respectivos. Es habitual disponer de entidades emisoras independientes para ubicaciones, departamentos u organizaciones individuales.

Cuando se emplea una jerarquía de un solo nivel para la autenticación basada en certificados, todos los certificados EE en la red deben estar firmados por la misma CA. Todos los dispositivos Firewall deben tener el mismo certificado de CA inscrito para validar el certificado del mismo nivel. La carga de certificado enviada durante el ICR negociación solo contiene certificados EE.

De manera alternativa, la carga de certificado enviada durante la negociación de ICR puede contener una cadena de EE y certificados de CA. Una cadena de certificados es la lista de certificados necesarios para validar un’certificado s de mismo nivel. La cadena de certificados incluye el certificado EE y cualquier certificado de CA que no esté presente en el elemento del mismo nivel local.

El administrador de red debe asegurarse de que todos los interlocutores que participan en una negociación de ICR tengan al menos una entidad emisora de certificados de confianza común en sus respectivas cadenas de certificado. La entidad emisora de certificados de confianza común no tiene que ser necesariamente la entidad emisora raíz. El número de certificados de la cadena, incluidos los certificados de EEs y la de la mayor parte de la entidad emisora en la cadena, no puede ser superior a 10.

A partir de Junos OS versión 18.1 R1, se puede llevar a cabo la validación de una ICR del mismo nivel configurada con un servidor de CA especificado o con un grupo de servidores de entidad emisora. Con las cadenas de certificados, la entidad emisora raíz debe coincidir con el grupo de CA de confianza o el servidor de CA configurado en la Directiva de ICR

En el ejemplo de jerarquía de CA Figura 1que se muestra en la, CA raíz es la entidad emisora de certificados de confianza común para todos los dispositivos de la red. Raíz-CA emite certificados de CA para las CA de ingeniería y ventas, que se identifican como ENG-California y sales-CA, respectivamente. La CA ENG emite certificados de entidad emisora para las CA de desarrollo y garantía de calidad, que se identifican como dev-CA y QA-CA respectivamente. Host-A recibe su certificado EE de dev-CA, mientras que host-B recibe su certificado EE de sales-CA.

Figura 1: Jerarquía multinivel para la autenticación basada en certificados
 Jerarquía multinivel para la autenticación basada en certificados

Cada dispositivo final debe estar cargado con los certificados de la entidad emisora en su jerarquía. Los hosts a deben tener certificados raíz-CA, ENG-CA y dev-CA; Los certificados de CA y AC-CA no son necesarios. Host-B debe tener certificados raíz de CA y de ventas-CA. Los certificados se pueden cargar manualmente en un dispositivo o inscribirse con el proceso de inscripción de certificados simple (SCEP).

Cada dispositivo de extremo debe estar configurado con un perfil de CA para cada CA de la cadena de certificados. El resultado siguiente muestra los perfiles de CA configurados en host-A:

El resultado siguiente muestra los perfiles de CA configurados en host-B:

Release History Table
Publicación
Descripción
A partir de Junos OS versión 18.1 R1, se puede llevar a cabo la validación de una ICR del mismo nivel configurada con un servidor de CA especificado o con un grupo de servidores de entidad emisora.