Configuration des certificats numériques
Présentation des certificats numériques
Un certificat numérique permet d’authentifier les utilisateurs par l’intermédiaire d’une tierce partie de confiance appelée autorité de certification (CA). L’autorité de certification valide l’identité d’un titulaire de certificat et « signe » le certificat pour attester qu’il n’a pas été falsifié ou modifié.
Un certificat comprend les informations suivantes :
Nom unique (DN) du propriétaire. Un DN est un identifiant unique et se compose d’un nom complet comprenant le nom commun (CN) du propriétaire, l’organisation du propriétaire et d’autres informations distinctives.
La clé publique du propriétaire.
La date à laquelle le certificat a été émis.
Date d’expiration du certificat.
Le nom unique de l’autorité decertification.e.
La signature numérique de l’autorité decertification.e.
Les informations supplémentaires contenues dans un certificat permettent aux destinataires de décider d’accepter ou non le certificat. Le destinataire peut déterminer si le certificat est toujours valide en fonction de la date d’expiration. Le destinataire peut vérifier si l’autorité de certification est approuvée par le site en fonction de l’autorité de certification qui l’a émise.
Avec un certificat, une autorité de certification prend la clé publique du propriétaire, signe cette clé publique avec sa propre clé privée et la renvoie au propriétaire sous forme de certificat. Le destinataire peut extraire le certificat (contenant la signature de l’autorité de certification) avec la clé publique du propriétaire. En utilisant la clé publique de l’AUTORITÉ de certification et la signature de l’autorité de certification sur le certificat extrait, le destinataire peut valider la signature de l’autorité de certification et le propriétaire du certificat.
Lorsque vous utilisez des certificats numériques, vous envoyez d’abord une demande pour obtenir un certificat auprès de votre autorité de certification. Vous configurez ensuite des certificats numériques et une stratégie IKE de certificat numérique. Enfin, vous obtenez un certificat signé numériquement auprès d’une autorité de certification.
Les certificats sans autre nom d’objet ne sont pas appropriés pour les services IPsec.
Obtention d’un certificat auprès d’une autorité de certification pour un PIC ES
Les autorités de certification (CA) gèrent les demandes de certificat et délivrent des certificats aux équipements réseau IPsec participants. Lorsque vous créez une demande de certificat, vous devez fournir les informations sur le propriétaire du certificat. Les informations requises et leur format varient d’une autorité de certification à l’autre.
Les certificats utilisent des noms au format X.500, un protocole d’accès à l’annuaire qui fournit à la fois un accès en lecture et à la mise à jour. Le nom complet est appelé DN (nom unique). Il se compose d’un ensemble de composants, qui comprennent souvent un CN (nom commun), une organisation (O), une unité d’organisation (OU), un pays (C), une localité (L), etc.
Pour l’enregistrement dynamique des certificats numériques, Junos OS prend uniquement en charge le protocole SCEP (Simple Certificate Registration Protocol).
Voir aussi
Demander un certificat numérique CA pour un PIC ES sur un routeur M Series ou T Series
Pour une interface de chiffrement sur un routeur M Series ou T Series, émettez la commande suivante pour obtenir un certificat de clé publique auprès d’une autorité de certification. Les résultats sont enregistrés dans le fichier spécifié dans le répertoire /var/etc/ikecert . La clé publique de l’AUTORITÉ de certification vérifie les certificats des pairs distants.
user@host> request security certificate enroll filename filename ca-name ca-name parameters parameters
Voir aussi
Exemple : demander un certificat numérique de CA
Spécifiez une URL pour le serveur SCEP et le nom de l’autorité de certification dont vous souhaitez obtenir le certificat : mycompany.com. nom de fichier 1 est le nom du fichier qui stocke le résultat. La sortie, « Certificat d’autorité de certification reçue : » fournit la signature du certificat, ce qui vous permet de vérifier (hors ligne) que le certificat est authentique.
user@host> request security certificate enroll filename ca_verisign ca-file verisign ca-name xyzcompany url http://hostname/path/filename URL: http://hostname/path/filename name: example.com CA file: verisign Encoding: binary Certificate enrollment has started. To see the certificate enrollment status, check the key management process (kmd) log file at /var/log/kmd. <--------------
Chaque routeur est initialement inscrit manuellement auprès d’une autorité de certification.
Voir aussi
Génération d’une paire de clés privées et publiques pour les certificats numériques pour un PIC ES
Pour générer une clé privée et publique, la commande suivante :
user@host> request security key-pair name size key-size type ( rsa | dsa )
name spécifie le nom de fichier dans lequel stocker les clés publiques et privées.
key-size peut être 512, 1024, 1596 ou 2048 octets. La taille de la clé par défaut est de 1 024 octets.
type peut être rsa ou dsa. La valeur par défaut est RSA.
Lorsque vous utilisez SCEP, Junos OS prend uniquement en charge RSA.
L’exemple suivant montre comment générer une paire de clés privées et publiques :
user@host> request security key-pair batt Generated key pair, key size 1024, file batt Algorithm RSA