Importation de certificats SSL pour la prise en charge du protocole XML Junos
Pour le mode FIPS, les certificats de sécurité numérique doivent être conformes à la norme SP 800-131A du National Institute of Standards and Technology (NIST).
Une application cliente de protocole XML Junos peut utiliser l’un des quatre protocoles suivants pour se connecter au serveur de protocole XML Junos sur un routeur ou un commutateur : texte clair (protocole spécifique au protocole XML Junos pour l’envoi de texte non chiffré via une connexion TCP), SSH, SSL ou Telnet. Pour que les clients puissent utiliser le protocole SSL, vous devez copier un certificat d’authentification X.509 sur le routeur ou le commutateur, comme décrit dans cette rubrique. Vous devez également inclure l’instruction xnm-ssl au niveau de la [edit system services] hiérarchie.
Cette xnm-ssl déclaration ne s’applique pas aux services IPsec standard.
Après avoir obtenu un certificat d’authentification X.509 et une clé privée, copiez-le sur le routeur ou le commutateur en incluant l’instruction local au niveau de la [edit security certificates] hiérarchie :
[edit security certificates] local certificate-name { load-key-file (filename | url); }
certificate-name est un nom que vous choisissez pour identifier le certificat de manière unique (par exemple, Junos XML protocol-ssl-client-hostname, où hostname est l’ordinateur sur lequel l’application cliente s’exécute).
filename est le chemin d’accès du fichier sur le disque local qui contient le certificat et la clé privée couplés (en supposant que vous avez déjà utilisé une autre méthode pour les copier sur le disque local du routeur ou du commutateur).
url est l’URL du fichier qui contient un certificat et une clé privée appariés (par exemple, sur l’ordinateur sur lequel s’exécute l’application cliente de protocole XML Junos).
La CLI s’attend à ce que la clé privée du URL-or-path fichier ne soit pas chiffrée. Si la clé est chiffrée, l’interface de ligne de commande vous invite à entrer le mot de passe qui lui est associé, le déchiffre et stocke la version non chiffrée.
L’instruction load-key-file agit comme une directive qui copie le contenu du fichier de certificat dans la configuration. Lorsque vous affichez la configuration, l’interface de ligne de commande affiche la chaîne de caractères qui constitue la clé privée et le certificat, en les marquant comme SECRET-DATA. Le load-key-file mot-clé n’est pas enregistré dans la configuration.