Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Autorité de certification

Comprendre comment gérer l’AC.

Un profil d’AC définit tous les paramètres associés à un certificat spécifique pour établir une connexion sécurisée entre deux points de terminaison. Les profils spécifient les certificats à utiliser, comment vérifier l’état de révocation des certificats et comment cet état limite l’accès.

Profils d’autorité de certification

La configuration d’un profil d’AC contient des informations spécifiques à une AC. Vous pouvez avoir plusieurs profils d’AC sur le pare-feu. Par exemple, vous pouvez avoir un profil pour orgA et un profil pour orgB. Chaque profil est associé à un certificat d’AC. Si vous souhaitez charger un nouveau certificat d’AC sans supprimer l’ancien, créez un profil d’AC (par exemple, Microsoft-2008).

À partir de Junos OS version 18.1R1, le serveur d’AC peut être un serveur d’AC IPv6.

Le module PKI prend en charge le format d’adresse IPv6 pour permettre l’utilisation de pare-feu dans les réseaux où IPv6 est le seul protocole utilisé.

Un AC émet des certificats numériques, ce qui permet d’établir une connexion sécurisée entre deux points de terminaison grâce à la validation des certificats. Vous pouvez regrouper plusieurs profils d’AC dans un groupe d’AC approuvé pour une topologie donnée. Ces certificats sont utilisés pour établir une connexion entre deux points de terminaison. Pour établir IKE ou IPsec, les deux points de terminaison doivent faire confiance à la même AC. Si l’un des points de terminaison n’est pas en mesure de valider le certificat à l’aide de son AC de confiance (ca-profile) ou de son groupe d’AC approuvé, la connexion n’est pas établie. Un minimum d’un profil d’AC est obligatoire pour créer un groupe d’AC approuvé, et un maximum de 20 AC sont autorisés dans un groupe d’AC approuvé. Toute AC d’un groupe particulier peut valider le certificat pour ce point de terminaison particulier.

À partir de Junos OS version 18.1R1, vous pouvez valider un homologue IKE configuré avec un serveur AC ou un groupe de serveurs AC spécifiés. Vous pouvez créer un groupe de serveurs d’AC approuvés avec l’instruction trusted-ca-group de configuration au niveau de la hiérarchie [edit security pki] ; vous pouvez spécifier un ou plusieurs profils d’AC. Le serveur d’AC approuvé est lié à la configuration de stratégie IKE de l’homologue au niveau de la hiérarchie [edit security ike policy policy certificate].

Si vous configurez le profil proxy dans le profil de l’AC, l’appareil se connecte à l’hôte proxy au lieu du serveur de l’AC lors de l’inscription, de la vérification ou de la révocation du certificat. L’hôte proxy communique avec le serveur de l’AC avec les demandes de l’appareil, puis relaie la réponse à l’appareil.

Le profil proxy AC prend en charge les protocoles SCEP, CMPv2 et OCSP.

Le profil de proxy AC est pris en charge uniquement sur HTTP et non sur le protocole HTTPS.

Configuration des profils d’AC

La configuration d’un profil d’AC contient des informations spécifiques à une AC. Vous pouvez avoir plusieurs profils d’AC sur le pare-feu. Par exemple, vous pouvez avoir un profil pour orgA et un profil pour orgB. Chaque profil est associé à un certificat d’AC. Si vous souhaitez charger un nouveau certificat d’AC sans supprimer l’ancien, créez un profil d’AC (par exemple, Microsoft-2008). Vous pouvez regrouper plusieurs profils d’AC dans un groupe d’AC approuvé pour une topologie donnée.

Dans l’exemple suivant, vous créez un profil d’AC appelé ca-profile-security avec l’identité d’AC microsoft-2008. Vous créez ensuite un profil proxy pour le profil de l’AC.

  1. À partir du mode de configuration, configurez le profil d’AC utilisé pour charger le certificat.

    Exemple :

  2. Validez la configuration.
  3. Depuis le mode opérationnel, chargez le certificat à l’aide des commandes PKI.

    Exemple :

  4. En mode configuration, désactivez la vérification de la révocation (si nécessaire).

    Exemple :

  5. À partir du mode de configuration, configurez le certificat chargé en tant qu’AC approuvée dans le profil de proxy SSL. Vous pouvez configurer plusieurs AC de confiance pour un profil.

    Exemple :

  6. (Facultatif) Si vous disposez de plusieurs certificats d’AC approuvés, vous n’avez pas besoin de spécifier chaque AC approuvée séparément. Vous pouvez charger all les certificats d’AC approuvés à l’aide de la commande suivante en mode configuration. Vous pouvez également importer un ensemble d’autorités de certification approuvées depuis votre navigateur dans le pare-feu.

Configuration d’un groupe d’AC approuvé

Cette section décrit la procédure de création d’un groupe d’AC approuvé pour une liste de profils d’AC et de suppression d’un groupe d’AC approuvé.

Créer un groupe d’AC approuvé

Vous pouvez configurer et affecter un groupe d’AC approuvé pour autoriser une entité. Lorsqu’un pair tente d’établir une connexion avec un client, seul le certificat émis par ce AC de confiance de cette entité est validé. L’appareil valide si l’émetteur du certificat et celui qui présente le certificat appartiennent au même réseau client. Si l’émetteur et le présentateur appartiennent au même réseau client, la connexion est établie. Sinon, la connexion ne sera pas établie.

Avant de commencer, vous devez disposer d’une liste de tous les profils d’AC que vous souhaitez ajouter au groupe de confiance.

Dans cet exemple, nous créons trois profils d’AC nommés orgA-ca-profile, orgB-ca-profileet orgC-ca-profile associons les identificateurs ca-profile1d’AC suivants , ca-profile2, et ca-profile3 pour les profils respectifs. Vous pouvez regrouper les trois profils d’AC pour qu’ils appartiennent à un groupe orgABC-trusted-ca-groupd’AC approuvé.

Vous pouvez configurer un maximum de 20 profils d’AC pour un groupe d’AC approuvé.

  1. Créez des profils d’AC et associez-y des identifiants d’AC.
  2. Regroupez les profils d’AC dans un groupe d’AC approuvé.
  3. Validez la configuration lorsque vous avez terminé de configurer les profils d’AC et les groupes d’AC approuvés.

Pour afficher les profils d’AC et les groupes d’AC approuvés configurés sur votre appareil, exécutez la show security pki commande.

La show security pki commande affiche tous les profils d’AC regroupés sous le orgABC_trusted-ca-group.

Suppression d’un profil d’AC d’un groupe d’AC approuvé

Vous pouvez supprimer un profil d’AC spécifique dans un groupe d’AC approuvé.

Par exemple, si vous souhaitez supprimer un profil d’AC nommé orgC-ca-profile à partir d’un groupe orgABC-trusted-ca-group d’AC approuvé configuré sur votre appareil, comme indiqué dans la rubrique Configuration d’un groupe d’AC approuvé :

  1. Supprimez un profil d’AC du groupe d’AC approuvé.
  2. Si vous avez terminé de supprimer le profil d’AC du groupe d’AC approuvé, validez la configuration.

Pour afficher la orgC-ca-profile suppression du orgABC-trusted-ca-group , exécutez la show security pki commande.

La sortie n’affiche pas le orgC-ca-profile profil car il est supprimé du groupe d’AC approuvé.

Supprimer un groupe d’AC approuvé

Une entité peut prendre en charge plusieurs groupes d’AC approuvés et vous pouvez supprimer n’importe quel groupe d’AC approuvé pour une entité.

Par exemple, si vous souhaitez supprimer un groupe d’AC approuvé nommé orgABC-trusted-ca-group, configuré sur votre appareil, comme indiqué dans la rubrique Configurer un groupe d’AC approuvé , effectuez les opérations suivantes :

  1. Supprimer un groupe d’AC approuvé.
  2. Si vous avez terminé de supprimer le profil d’AC du groupe d’AC approuvé, validez la configuration.

Pour afficher la suppression de l’entité orgABC-trusted-ca-group , exécutez la show security pki commande.

La sortie n’affiche pas le orgABC-trusted-ca-group lorsqu’il est supprimé de l’entité.

Exemple : Configuration d’un profil d’AC

Cet exemple montre comment configurer un profil d’AC.

Exigences

Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.

Vue d’ensemble

Dans cet exemple, vous créez un profil d’AC appelé ca-profile-ipsec avec l’identité d’AC microsoft-2008. Vous créez ensuite un profil proxy pour le profil de l’AC. La configuration spécifie que la liste de révocation de certificats doit être actualisée toutes les 48 heures et que l’emplacement de récupération de la liste de révocation de certificats est http://www.my-ca.com. Dans l’exemple, vous définissez la valeur de nouvelle tentative d’inscription sur 20. (La valeur par défaut des nouvelles tentatives est 10.)

L’interrogation automatique des certificats est définie sur toutes les 30 minutes. Si vous configurez une nouvelle tentative uniquement sans configurer d’intervalle de nouvelle tentative, l’intervalle de nouvelle tentative par défaut est de 900 secondes (ou 15 minutes). Si vous ne configurez pas de nouvelle tentative ou un intervalle de nouvelle tentative, il n’y a pas d’interrogation.

La configuration

Procédure

Procédure étape par étape

Pour configurer un profil d’AC :

  1. Créez un profil d’AC.

  2. Créez un contrôle de révocation pour spécifier une méthode de vérification de la révocation de certificat.

  3. Définissez l’intervalle d’actualisation, en heures, pour spécifier la fréquence à laquelle mettre à jour la liste de révocation de certificats. Les valeurs par défaut sont l’heure de la prochaine mise à jour dans la liste de révocation de certificats, ou 1 semaine, si aucune heure de prochaine mise à jour n’est spécifiée.

  4. Spécifiez la valeur de nouvelle tentative d’inscription.

  5. Spécifiez l’intervalle de temps en secondes entre les tentatives d’inscription automatique du certificat d’AC en ligne.

  6. Si vous avez terminé de configurer l’appareil, validez la configuration.

Prise en charge de l’authentification par proxy

Définissez des profils proxy au niveau du système pour gérer les connexions sortantes authentifiées. Vous pouvez configurer ces profils dans la [edit services proxy] hiérarchie, où plusieurs profils proxy peuvent être créés. Chaque profil d’AC peut faire référence à un profil proxy au maximum.

  • Définissez les paramètres d'hôte et de port du serveur proxy.

  • Configurez l’authentification par proxy dans le profil proxy. En définissant un nom d’utilisateur et un mot de passe, vous pouvez garantir un accès sécurisé aux flux et services externes.

  • Attachez le profil proxy au profil de l’AC.

Vérification

Pour vérifier que la configuration fonctionne correctement, entrez la show security pki commande.

Exemple : configuration d’une adresse IPv6 comme adresse source d’un profil AC

Cet exemple montre comment configurer une adresse IPv6 comme adresse source d’un profil d’AC.

Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.

Dans cet exemple, créez un profil d’AC appelé orgA-ca-profile avec une identité d’AC v6-ca et définissez l’adresse source du profil d’AC sur une adresse IPv6, telle que 2001:db8:0:f101::1. Vous pouvez configurer l’URL d’inscription pour accepter une adresse http://[2002:db8:0:f101::1]:/.../IPv6 .

  1. Créez un profil d’AC.
  2. Configurez l’adresse source du profil AC pour qu’elle soit une adresse IPv6.
  3. Spécifiez les paramètres d’inscription pour l’AC.
  4. Si vous avez terminé de configurer l’appareil, validez la configuration.