Configuration de certificats numériques pour les interfaces de services adaptatifs
L’implémentation d’un certificat numérique utilise l’infrastructure à clé publique (PKI), qui nécessite que vous génériez une paire de clés composée d’une clé publique et d’une clé privée. Les clés sont créées à l’aide d’un générateur de nombres aléatoires et sont utilisées pour chiffrer et déchiffrer les données. Dans les réseaux qui n’utilisent pas de certificats numériques, un équipement compatible IPsec chiffre les données à l’aide de la clé privée et les homologues IPsec déchiffrent les données à l’aide de la clé publique.
Avec les certificats numériques, le processus de partage de clés nécessite un niveau de complexité supplémentaire. Tout d’abord, vous et vos homologues IPsec demandez à une autorité de certification (CA) de vous envoyer un certificat d’autorité de certification contenant la clé publique de l’autorité de certification. Ensuite, vous demandez à l’autorité de certification de vous attribuer un certificat numérique local contenant la clé publique et des informations supplémentaires. Lorsque l’autorité de certification traite votre demande, elle signe votre certificat local avec la clé privée de l’autorité de certification. Ensuite, vous installez le certificat d’autorité de certification et le certificat local dans votre routeur et vous chargez l’autorité de certification sur les périphériques distants avant de pouvoir établir des tunnels IPsec avec vos homologues.
Pour les certificats numériques, Junos OS prend en charge les autorités de certification VeriSign, Entrust, Cisco Systems et Microsoft Windows pour les PIC Adaptive Services (AS) et multiservices.
Pour définir la configuration des certificats numériques pour les routeurs de services J Series et les PIC AS et multiservices installés sur les routeurs M Series et T Series, incluez les instructions suivantes au niveau de la [edit security pki] hiérarchie :
[edit security] pki { ca-profile ca-profile-name { ca-identity ca-identity; enrollment { url-name; retry number-of-enrollment-attempts; retry-interval seconds; } revocation-check { disable; crl { disable on-download-failure; refresh-interval number-of-hours; url { url-name; password; } } } } }
Les tâches suivantes vous permettent d’implémenter des certificats numériques sur les routeurs de services J Series et les PIC AS et multiservices installés sur les routeurs M Series et T Series :
Configuration des propriétés de l’autorité de certification
Une autorité de certification est une organisation tierce de confiance qui crée, enregistre, valide et révoque des certificats numériques.
Pour configurer une autorité de certification et ses propriétés pour les PIC AS et multiservices, incluez les instructions suivantes au niveau de la [edit security pki] hiérarchie :
[edit security pki] ca-profile ca-profile-name { ca-identity ca-identity; enrollment { url url-name; retry number-of-attempts; retry-interval seconds; } }
Les tâches de configuration des propriétés de l’autorité de certification sont les suivantes :
- Spécification du nom du profil de l’autorité de certification
- Spécification d’une URL d’inscription
- Spécification des propriétés d’enrôlement
Spécification du nom du profil de l’autorité de certification
Le profil de l’autorité de certification contient le nom et l’URL de l’autorité de certification ou de l’autorité de certification, ainsi que certains paramètres du minuteur de nouvelle tentative. Les certificats d’autorité de certification émis par Entrust, VeriSign, Cisco Systems et Microsoft sont compatibles avec les routeurs de services J Series et les PIC AS et multiservices installés dans les routeurs M Series et T Series.
Pour spécifier le nom du profil de l’autorité de certification, incluez le ca-profile statement [edit security pki] au niveau de sécurité :
[edit security pki] ca-profile ca-profile-name;
Vous devez également spécifier le nom de l’identité de l’autorité de certification utilisée dans la demande de certificat. Ce nom est généralement le nom de domaine. Pour spécifier le nom de l’identité de l’autorité de certification, incluez l’instruction ca-identity au [edit security pki ca-profile ca-profile-name] niveau :
[edit security pki ca-profile ca-profile-name] ca-identity ca-identity;
Spécification d’une URL d’inscription
Vous spécifiez l’emplacement de l’autorité de certification où votre routeur doit envoyer les demandes d’inscription de certificats SCEP. Pour spécifier l’emplacement de l’autorité de certification en nommant l’URL de l’autorité de certification, incluez l’instruction url au niveau de la [edit security pki enrollment] hiérarchie :
[edit security pki ca-profile ca-profile-name enrollment] url url-name;
url-name correspond à l’emplacement de l’autorité de certification. Le format est http://CA_name, où CA_name est le nom DNS ou l’adresse IP de l’hôte de l’autorité de certification.
Spécification des propriétés d’enrôlement
Vous pouvez spécifier le nombre de fois qu’un routeur renverra une demande de certificat et le temps, en secondes, pendant lequel le routeur doit attendre entre les tentatives d’enrôlement.
Par défaut, le nombre de nouvelles tentatives d’inscription est défini sur 0, soit un nombre infini de tentatives. Pour spécifier le nombre de fois qu’un routeur renverra une demande de certificat, incluez l’instruction retry number-of-attempts au niveau de la [edit security pki ca-profile ca-profile-name enrollment] hiérarchie :
[edit security pki ca-profile ca-profile-name enrollment] retry number-of-attempts;
La plage de 0 number-of-attempts à 100.
Pour spécifier la durée, en secondes, qu’un routeur doit attendre entre les tentatives d’enrôlement, incluez l’instruction retry-interval seconds au niveau de la [edit security pki ca-profile ca-profile-name enrollment] hiérarchie :
[edit security pki ca-profile ca-profile-name enrollment] retry-interval seconds;
La plage de 0 seconds à 3600.
Configuration de la liste des révocations de certificats
Les tâches permettant de configurer la liste des révocations de certificats sont les suivantes :
- Spécification d’une URL LDAP
- configuration de l’intervalle entre les mises à jour de la liste de révocation de certificats
- Remplacement de la vérification du certificat en cas d’échec du téléchargement de la CRL
Spécification d’une URL LDAP
Vous pouvez spécifier l’URL du serveur LDAP (Lightweight Directory Access Protocol) sur lequel votre autorité de certification stocke sa CRL actuelle. Si l’autorité de certification inclut le point de distribution de certificats (CDP) dans le certificat numérique, vous n’avez pas besoin de spécifier d’URL pour le serveur LDAP. La CDP est un champ du certificat qui contient des informations sur la récupération de la CRL pour le certificat. Le routeur utilise ces informations pour télécharger automatiquement la liste de révocation de certificats.
Configurez une URL LDAP si vous souhaitez utiliser une CDP différente de celle spécifiée dans le certificat. Toute URL LDAP que vous configurez est prioritaire sur la CDP incluse dans le certificat.
Vous pouvez configurer jusqu’à trois URL pour chaque profil d’autorité de certification.
Si le serveur LDAP a besoin d’un mot de passe pour accéder à la CRL, vous devez inclure l’instruction password .
Pour configurer le routeur afin qu’il récupère la CRL à partir du serveur LDAP, incluez l’instruction url et spécifiez le nom de l’URL au niveau de la [edit security pki ca-profile ca-profile-name revocation-check crl] hiérarchie :
[edit security pki ca-profile ca-profile-name revocation-check crl] url { url-name; }
url-name est le nom du serveur LDAP de l’autorité de certification. Le format est ldap://server-name, où server-name est le nom DNS ou l’adresse IP de l’hôte de l’autorité de certification.
Pour spécifier l’utilisation d’un mot de passe pour accéder à la CRL, incluez l’instruction password au niveau de la [edit security pki ca-profile ca-profile-name revocation-check crl url] hiérarchie :
[edit security pki ca-profile ca-profile-name revocation-check crl url] password password;
password est le mot de passe secret requis par le serveur LDAP pour y accéder.
configuration de l’intervalle entre les mises à jour de la liste de révocation de certificats
Par défaut, l’intervalle de temps entre les mises à jour de la liste de révocation de certificats est de 24 heures. Pour configurer le délai entre les mises à jour de la liste de révocation de certificats, incluez l’instruction refresh-interval au niveau de la [edit security pki ca-profile ca-profile-name revocation-check crl] hiérarchie :
[edit security pki ca-profile ca-profile-name revocation-check crl] refresh-interval number-of-hours;
La plage de nombre d’heures est comprise entre 0 et 8784.
Remplacement de la vérification du certificat en cas d’échec du téléchargement de la CRL
Par défaut, si le routeur ne peut pas accéder à l’URL LDAP ou récupérer une liste de révocation de certificat valide, la vérification du certificat échoue et le tunnel IPsec n’est pas établi. Pour remplacer ce comportement et autoriser l’authentification de l’homologue IPsec lorsque la CRL n’est pas téléchargée, incluez l’instruction au disable on-download-failure niveau de la [edit security pki ca-profile ca-profile-name revocation-check crl] hiérarchie :
[edit security pki ca-profile ca-profile-name revocation-check crl] disable on-download-failure;
Gestion des certificats numériques
Une fois que vous avez configuré le profil de l’autorité de certification, vous pouvez demander un certificat d’autorité de certification à l’autorité de certification approuvée. Ensuite, vous devez générer une paire de clés publique/privée. Lorsque la paire de clés est disponible, vous pouvez générer un certificat local en ligne ou manuellement.
Les tâches de gestion des certificats numériques sont les suivantes :
- Demande d’un certificat numérique d’autorité de certification pour les RIC AS et multiservices installés sur les routeurs M Series et T Series
- Génération d’une paire de clés publique/privée
- Génération et inscription d’un certificat numérique local
Demande d’un certificat numérique d’autorité de certification pour les RIC AS et multiservices installés sur les routeurs M Series et T Series
Pour les routeurs de services J Series et les PIC AS et multiservices installés sur les routeurs M Series et T Series, exécutez la commande suivante pour obtenir un certificat numérique auprès d’une autorité de certification. Spécifiez un configuré ca-profile-name pour demander un certificat d’autorité de certification à l’autorité de certification approuvée.
user@host>request security pki ca-certificate enroll ca-profile ca-profile-name
Pour plus d’informations sur la configuration d’un profil d’autorité de certification, consultez Configuration des propriétés de l’autorité de certification.
Dans cet exemple, le certificat est enregistré en ligne et installé automatiquement dans le routeur.
user@host> request security pki ca-certificate enroll ca-profile entrust
Received following certificates: Certificate: C=us, O=juniper Fingerprint:00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10 Certificate: C=us, O=juniper, CN=First Officer Fingerprint:bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17 Certificate: C=us, O=juniper, CN=First Officer Fingerprint:46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f Do you want to load the above CA certificate ? [yes,no] (no) yes
Si vous obtenez le certificat de l’autorité de certification directement à partir de l’autorité de certification (par exemple, en tant que pièce jointe d’un e-mail ou téléchargement d’un site Web), vous pouvez l’installer à l’aide de la request security pki ca-certificate load commande. Pour plus d’informations, consultez l’Explorateur CLI.
Génération d’une paire de clés publique/privée
Après avoir obtenu un certificat pour un PIC AS ou un PIC multiservices, vous devez générer une clé publique-privée avant de pouvoir générer un certificat local. La clé publique est incluse dans le certificat numérique local et la clé privée est utilisée pour déchiffrer les données reçues des homologues. Pour générer une paire de clés publique-privée, exécutez la request security pki generate-key-pair certificate-id certificate-id-name commande.
L’exemple suivant montre comment générer une clé publique-privée pour un PIC AS ou un PIC multiservices :
user@host>request security pki generate-key-pair certificate-id local-entrust2 Generated key pair local-entrust2, key size 1024 bits
Génération et inscription d’un certificat numérique local
Vous pouvez générer et enregistrer des certificats numériques locaux en ligne ou manuellement. Pour générer et inscrire un certificat local en ligne à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol) pour un PIC AS ou un PIC multiservices, exécutez la request security pki local-certificate enroll commande. Pour générer manuellement une demande de certificat local au format PKCS-10, exécutez la request security pki generate-certificate-request commande.
Si vous créez la demande de certificat local manuellement, vous devez également charger le certificat manuellement. Pour installer manuellement un certificat sur votre routeur, exécutez la request security pki local-certificate load commande.
L’exemple suivant montre comment générer manuellement une demande de certificat local et l’envoyer à l’autorité de certification pour traitement :
user@host> request security pki generate-certificate-request certificate-id local-entrust2 domain-name router2.example.com filename entrust-req2 subject cn=router2.example.com
Generated certificate request -----BEGIN CERTIFICATE REQUEST----- MIIBoTCCAQoCAQAwGjEYMBYGA1UEAxMPdHAxLmp1bmlwZXIubmV0MIGfMA0GCSqG SIb3DQEBAQUAA4GNADCBiQKBgQCiUFklQws1Ud+AqN5DDxRs2kVyKEhh9qoVFnz+ Hz4c9vsy3B8ElwTJlkmIt2cB3yifB6zePd+6WYpf57Crwre7YqPkiXM31F6z3YjX H+1BPNbCxNWYvyrnSyVYDbFj8o0Xyqog8ACDfVL2JBWrPNBYy7imq/K9soDBbAs6 5hZqqwIDAQABoEcwRQYJKoZIhvcNAQkOMTgwNjAOBgNVHQ8BAf8EBAMCB4AwJAYD VR0RAQH/BBowGIIWdHAxLmVuZ2xhYi5qdW5pcGVyLm5ldDANBgkqhkiG9w0BAQQF AAOBgQBc2rq1v5SOQXH7LCb/FdqAL8ZM6GoaN5d6cGwq4bB6a7UQFgtoH406gQ3G 3iH0Zfz4xMIBpJYuGd1dkqgvcDoH3AgTsLkfn7Wi3x5H2qeQVs9bvL4P5nvEZLND EIMUHwteolZCiZ70fO9Fer9cXWHSQs1UtXtgPqQJy2xIeImLgw== -----END CERTIFICATE REQUEST----- Fingerprint: 0d:90:b8:d2:56:74:fc:84:59:62:b9:78:71:9c:e4:9c:54:ba:16:97 (sha1) 1b:08:d4:f7:90:f1:c4:39:08:c9:de:76:00:86:62:b8 (md5)
L’autorité de certification approuvée signe numériquement le certificat local et vous le renvoie. Copiez le fichier de certificat dans le routeur et chargez-le :
user@host> request security pki local-certificate load filename /tmp/router2-cert certificate-id local-entrust2 Local certificate local-entrust2 loaded successfully
Le nom du fichier qui vous a été envoyé par l’autorité de certification peut ne pas correspondre au nom de l’identificateur de certificat. Toutefois, le certificate-id nom doit toujours correspondre au nom de la paire de clés que vous avez générée pour le routeur.
Une fois les certificats locaux et CA chargés, vous pouvez les référencer dans votre configuration IPsec. En utilisant les valeurs par défaut dans les PIC AS et multiservices, vous n’avez pas besoin de configurer une proposition IPsec ou une stratégie IPsec. Toutefois, vous devez configurer une proposition IKE qui spécifie l’utilisation de certificats numériques, référencer la proposition IKE et localiser le certificat dans une stratégie IKE, puis appliquer le profil d’autorité de certification à l’ensemble de services.
Configuration de la réinscription automatique d’un certificat de routeur
Utilisez l’instruction pour configurer la auto-re-enrollment réinscription automatique d’un certificat de routeur existant spécifié avant sa date d’expiration. Cette fonction réinscrit automatiquement le certificat du routeur. Le processus de réinscription demande à l’autorité de certification d’émettre un nouveau certificat de routeur avec une nouvelle date d’expiration. La date de réinscription automatique est déterminée par les paramètres suivants :
re-enroll-trigger-time—Le pourcentage de la différence entre la date/heure de début du certificat de routeur (lorsque le certificat a été généré) et la période de validité ; Permet de spécifier le délai de réinscription automatique qui doit être initié avant l’expiration.validity-period: nombre de jours après l’émission de l’expiration du certificat de routeur, tel que défini lors de la génération d’un certificat.
Par défaut, cette fonctionnalité n’est activée que si elle est configurée explicitement. Cela signifie qu’un certificat pour lequel la réinscription automatique n’est pas configurée expirera à sa date d’expiration normale.
La ca-profile déclaration spécifie quelle autorité de certification sera contactée pour réinscrire le certificat arrivant à expiration. Il s’agit de l’autorité de certification qui a émis le certificat de routeur d’origine.
La challenge-password déclaration fournit à l’autorité de certification émettrice le mot de passe du certificat de routeur, tel que défini par l’administrateur et normalement obtenu à partir de la page Web d’inscription SCEP de l’autorité de certification. Le mot de passe comporte 16 caractères.
Si vous le souhaitez, la paire de clés de certificat de routeur peut être régénérée à l’aide de l’instruction re-generate-keypair .
Pour configurer les propriétés de réinscription automatique, incluez les instructions suivantes au niveau de la [edit security pki] hiérarchie :
[edit security pki] auto-re-enrollment { certificate-id { ca-profile ca-profile-name; challenge-password password; re-enroll-trigger-time-percentage percentage; re-generate-keypair; validity-period days; } }
percentage est le pourcentage du temps de déclenchement de la réinscription. La plage peut aller de 1 à 99 %.
days est le nombre de jours de la période de validité. La plage peut aller de 1 à 4095.
Les tâches permettant de configurer le réenrôlement automatique des certificats sont les suivantes :
- Spécifier l’ID de certificat
- Spécification du profil de l’autorité de certification
- Spécifier le mot de passe de contestation
- Spécifier l’heure de déclenchement de la réinscription
- Spécifier la paire de clés Régénérer
- Spécifier la période de validité
Spécifier l’ID de certificat
Utilisez l’instruction certificate-id pour spécifier le nom du certificat de routeur à configurer pour la réinscription automatique. Pour spécifier l’ID de certificat, incluez l’instruction au niveau de la [edit security pki auto-re-enrollment] hiérarchie :
[edit security pki auto-re-enrollment] certificate-id certificate-name;
Spécification du profil de l’autorité de certification
Utilisez l’instruction ca-profile pour spécifier le nom du profil de l’autorité de certification à partir du certificat de routeur précédemment spécifié par l’ID de certificat. Pour spécifier le profil de l’autorité de certification, incluez l’instruction au niveau de la [edit security pki auto-re-enrollment certificate-id certificate-name] hiérarchie :
[edit security pki auto-re-enrollment certificate-id certificate-name] ca-profile ca-profile-name;
L’URL d’inscription référencée ca-profile doit être configurée au niveau de la [edit security pki ca-profile ca-profile-name enrollment url] hiérarchie.
Spécifier le mot de passe de contestation
Le mot de passe de demande est utilisé par l’autorité de certification spécifiée par l’ID de certificat PKI pour la réinscription et la révocation. Pour spécifier le mot de passe de défi, incluez l’instruction suivante au niveau de la [edit security pki auto-re-enrollment certificate-id certificate-name] hiérarchie :
[edit security pki auto-re-enrollment certificate-id certificate-name] challenge-password password;
Spécifier l’heure de déclenchement de la réinscription
Utilisez l’instruction re-enroll-trigger-time pour définir le pourcentage de la période de validité avant l’expiration à laquelle la réinscription se produit. Pour spécifier l’heure de déclenchement de la réinscription, incluez l’instruction suivante au niveau de la [edit security pki auto-re-enrollment certificate-id certificate-name] hiérarchie :
[edit security pki auto-re-enrollment certificate-id certificate-name] re-enroll-trigger-time percentage;
percentage est le pourcentage du temps de déclenchement de la réinscription. La plage peut aller de 1 à 99 %.
Spécifier la paire de clés Régénérer
Lorsqu’une paire de clés de régénération est configurée, une nouvelle paire de clés est générée lors de la réinscription. Une fois la réinscription réussie, une nouvelle paire de clés et un nouveau certificat remplacent l’ancien certificat et l’ancienne paire de clés. Pour générer une nouvelle paire de clés, incluez l’instruction suivante au niveau de la [edit security pki auto-re-enrollment certificate-id certificate-name] hiérarchie :
[edit security pki auto-re-enrollment certificate-id certificate-name] re-generate-keypair;
Spécifier la période de validité
L’instruction validity-period spécifie la période de validité du certificat de routeur, en nombre de jours, pendant laquelle le certificat de routeur spécifié reste valide. Pour spécifier la période de validité, incluez l’instruction au niveau de la [edit security pki auto-re-enrollment certificate-id certificate-name] hiérarchie :
[edit security pki auto-re-enrollment certificate-id certificate-name] validity-period days;
days est le nombre de jours de la période de validité. La plage peut aller de 1 à 4095.