Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Autoridad de certificación

Un perfil de entidad de certificación (CA) define todos los parámetros asociados a un certificado específico para establecer una conexión segura entre dos extremos. Los perfiles especifican qué certificados usar, cómo comprobar el estado de revocación de certificados y cómo ese estado restringe el acceso.

Configuración de un grupo de CA de confianza

En esta sección se describe el procedimiento para crear un grupo de CA de confianza para una lista de perfiles de CA y eliminar un grupo de CA de confianza.

Crear un grupo de CA de confianza para una lista de perfiles de CA

Puede configurar y asignar un grupo de CA de confianza para autorizar una entidad. Cuando un par intenta establecer una conexión con un cliente, solo se valida el certificado emitido por esa CA de confianza en particular de esa entidad. El dispositivo valida si el emisor del certificado y el que presenta el certificado pertenecen a la misma red cliente. Si el emisor y el presentador pertenecen a la misma red cliente, se establece la conexión. De lo contrario, no se establecerá la conexión.

Antes de comenzar, debe tener una lista de todos los perfiles de CA que desea agregar al grupo de confianza.

En este ejemplo, estamos creando tres perfiles de CA denominados , y asociando los siguientes identificadores de CA , y para los perfiles respectivos.orgA-ca-profileorgB-ca-profileorgC-ca-profileca-profile1ca-profile2ca-profile3 Puede agrupar los tres perfiles de CA para que pertenezcan a un grupo de CA de confianza.orgABC-trusted-ca-group

Puede configurar un máximo de 20 perfiles de CA para un grupo de CA de confianza.

  1. Cree perfiles de CA y asocie identificadores de CA al perfil.
  2. Agrupe los perfiles de CA en un grupo de CA de confianza.
  3. Confirme la configuración cuando haya terminado de configurar los perfiles de CA y los grupos de CA de confianza.

Para ver los perfiles de CA y los grupos de CA de confianza configurados en su dispositivo, ejecute comando.show security pki

El comando muestra todos los perfiles de CA agrupados en el .show security pkiorgABC_trusted-ca-group

Eliminar un perfil de CA de un grupo de CA de confianza

Puede eliminar un perfil de CA específico en un grupo de CA de confianza o puede eliminar el propio grupo de CA de confianza.

Por ejemplo, si desea eliminar un perfil de CA denominado de un grupo de CA de confianza, configurado en su dispositivo como se muestra en el tema, realice los siguientes pasos:orgC-ca-profileorgABC-trusted-ca-groupConfiguración de un grupo de CA de confianza

  1. Elimine un perfil de CA del grupo de CA de confianza.
  2. Si ha terminado de eliminar el perfil de CA del grupo de CA de confianza, confirme la configuración.

Para ver lo que se está eliminando del , ejecute el comando.orgC-ca-profileorgABC-trusted-ca-group show security pki

El resultado no muestra el perfil cuando se elimina del grupo de CA de confianza.orgC-ca-profile

Eliminación de un grupo de CA de confianza

Una entidad puede admitir muchos grupos de CA de confianza y puede eliminar cualquier grupo de CA de confianza de una entidad.

Por ejemplo, si desea eliminar un grupo de CA de confianza denominado , configurado en su dispositivo como se muestra en el tema, realice los pasos siguientes:orgABC-trusted-ca-groupConfiguración de un grupo de CA de confianza

  1. Elimine un grupo de CA de confianza.
  2. Si ha terminado de eliminar el perfil de CA del grupo de CA de confianza, confirme la configuración.

Para ver la eliminación de la entidad, ejecute el comando.orgABC-trusted-ca-groupshow security pki

El resultado no se muestra cuando se elimina de la entidad.orgABC-trusted-ca-group

Consulte también

Descripción de los perfiles de entidades emisoras de certificados

Una configuración de perfil de entidad de certificación (CA) contiene información específica de una CA. Puede tener varios perfiles de CA en un firewall de la serie SRX. Por ejemplo, puede tener un perfil para orgA y otro para orgB. Cada perfil está asociado a un certificado de CA. Si desea cargar un nuevo certificado de CA sin quitar el anterior, cree un nuevo perfil de CA (por ejemplo, Microsoft-2008).

A partir de Junos OS versión 18.1R1, el servidor de CA puede ser un servidor de CA IPv6.

El módulo PKI admite el formato de dirección IPv6 para permitir el uso de firewalls de la serie SRX en redes donde IPv6 es el único protocolo utilizado.

Una CA emite certificados digitales, lo que ayuda a establecer una conexión segura entre dos puntos de conexión mediante la validación de certificados. Puede agrupar varios perfiles de CA en un grupo de CA de confianza para una topología determinada. Estos certificados se utilizan para establecer una conexión entre dos extremos. Para establecer IKE o IPsec, ambos extremos deben confiar en la misma CA. Si alguno de los extremos no puede validar el certificado con su CA de confianza (perfil de ca) o grupo de CA de confianza respectivos, la conexión no se establece. Es obligatorio crear un mínimo de un perfil de CA de confianza y se permite un máximo de 20 CA en un grupo de CA de confianza. Cualquier CA de un grupo determinado puede validar el certificado para ese extremo concreto.

A partir de Junos OS versión 18.1R1, la validación de un par IKE configurado se puede realizar con un servidor de CA especificado o un grupo de servidores de CA. Se puede crear un grupo de servidores de CA de confianza con la instrucción configuration en el nivel de jerarquía []; se pueden especificar uno o varios perfiles de CA.trusted-ca-groupedit security pki El servidor de CA de confianza está enlazado a la configuración de política de IKE para el par en el nivel de jerarquía [].edit security ike policy policy certificate

Si el perfil de proxy está configurado en el perfil de CA, el dispositivo se conecta al host proxy en lugar del servidor de CA durante la inscripción, verificación o revocación del certificado. El host proxy se comunica con el servidor de CA con las solicitudes del dispositivo y, a continuación, transmite la respuesta al dispositivo.

El perfil de proxy de CA admite los protocolos SCEP, CMPv2 y OCSP.

El perfil de proxy de CA solo se admite en HTTP y no en el protocolo HTTPS.

Consulte también

Ejemplo: Configuración de un perfil de CA

En este ejemplo se muestra cómo configurar un perfil de CA.

Requisitos

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Descripción general

En este ejemplo, se crea un perfil de CA denominado con identidad de CA microsoft-2008.ca-profile-ipsec A continuación, cree el perfil de proxy en el perfil de CA. La configuración especifica que la CRL se actualice cada 48 horas y que la ubicación para recuperar la CRL es .http://www.my-ca.com En el ejemplo, establezca el valor de reintento de inscripción en 20. (El valor predeterminado de reintento es 10.)

El sondeo automático de certificados se establece en cada 30 minutos. Si configura el reintento solo sin configurar un intervalo de reintento, el intervalo de reintento predeterminado es de 900 segundos (o 15 minutos). Si no configura el reintento o un intervalo de reintento, no hay sondeo.

Configuración

Procedimiento

Procedimiento paso a paso

Para configurar un perfil de CA:

  1. Cree un perfil de CA.

  2. Opcionalmente, configure el perfil de proxy en el perfil de CA.

    La infraestructura de clave pública (PKI) usa un perfil de proxy configurado en el nivel del sistema. El perfil de proxy que se utiliza en el perfil de CA debe configurarse en la jerarquía.[edit services proxy] Puede haber más de un perfil de proxy configurado en la jerarquía.[edit services proxy] Cada perfil de CA se refiere a la mayoría de estos perfiles de proxy. Puede configurar el host y el puerto del perfil de proxy en la jerarquía.[edit system services proxy]

  3. Cree una comprobación de revocación para especificar un método para comprobar la revocación de certificados.

  4. Establezca el intervalo de actualización, en horas, para especificar la frecuencia con la que se actualizará la CRL. Los valores predeterminados son la hora de la próxima actualización en la CRL, o 1 semana, si no se especifica la hora de la próxima actualización.

  5. Especifique el valor de reintento de inscripción.

  6. Especifique el intervalo de tiempo en segundos entre los intentos de inscribir automáticamente el certificado de CA en línea.

  7. Cuando termine de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el comando.show security pki

Ejemplo: Configuración de una dirección IPv6 como dirección de origen para un perfil de CA

En este ejemplo se muestra cómo configurar una dirección IPv6 como dirección de origen para un perfil de CA.

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

En este ejemplo, cree un perfil de CA llamado con identidad de CA y establezca que la dirección de origen del perfil de CA sea una dirección IPv6, como .orgA-ca-profilev6-ca2001:db8:0:f101::1 Puede configurar la URL de inscripción para aceptar una dirección IPv6.http://[2002:db8:0:f101::1]:/.../

  1. Cree un perfil de CA.
  2. Configure la dirección de origen del perfil de CA para que sea una dirección IPv6.
  3. Especifique los parámetros de inscripción para la CA.
  4. Cuando termine de configurar el dispositivo, confirme la configuración.

Consulte también

Temas relacionados

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
18.1R1
A partir de Junos OS versión 18.1R1, el servidor de CA puede ser un servidor de CA IPv6.
18.1R1
A partir de Junos OS versión 18.1R1, la validación de un par IKE configurado se puede realizar con un servidor de CA especificado o un grupo de servidores de CA.