Politique IKE pour les certificats numériques sur un PIC ES
Configuration d’une stratégie IKE pour les certificats numériques d’un PIC ES
Une stratégie IKE pour les certificats numériquesdéfinit une combinaison de paramètres de sécurité (propositions IKE) à utiliser lors de la négociation IKE. Il définit une adresse homologue et les propositions nécessaires pour cette connexion. Au cours de la négociation IKE, IKE recherche une stratégie IKE identique sur les deux homologues. L’homologue qui initie la négociation envoie toutes ses stratégies à l’homologue distant, qui tente de trouver une correspondance.
Pour configurer une stratégie IKE pour les certificats numériques d’un PIC ES, incluez les instructions suivantes au niveau de la [edit security ike policy ike-peer-address] hiérarchie :
[edit security ike] policy ike-peer-address{ encoding (binary | pem); identity identity-name; local-certificate certificate-filename; local-key-pair private-public-key-file; }
Les tâches de configuration d’une stratégie IKE pour les certificats numériques sont les suivantes :
- Configuration du type d’encodage pris en charge par votre autorité de certification
- Configuration de l’identité pour définir le nom du certificat distant
- Spécification du nom de fichier du certificat
- Spécification des fichiers de clés privées et publiques
Configuration du type d’encodage pris en charge par votre autorité de certification
Par défaut, l’encodage est défini sur binaire. Encoding spécifie le format de fichier utilisé pour les local-certificate instructions and local-key-pair . Par défaut, le format binaire (règles d’encodage distinguées) est activé. PEM est un format codé en ASCII base 64. Renseignez-vous auprès de votre autorité de certification pour déterminer les formats de fichiers qu’elle prend en charge.
Pour configurer le format de fichier pris en charge par votre autorité de certification, incluez l’instruction encoding et spécifiez un format binaire ou PEM au niveau de la [edit security ike policy ike-peer-address] hiérarchie :
[edit security ike policy ike-peer-address ] encoding (binary | pem);
Configuration de l’identité pour définir le nom du certificat distant
Pour définir le nom du certificat distant, incluez l’instruction identity au niveau de la [edit security ike policy ike-peer-address] hiérarchie :
[edit security ike policy ike-peer-address] identity identity-name;
identity-name définit l’identité du nom du certificat distant si l’identité ne peut pas être apprise via IKE (ID, charge utile ou adresse IP).
Spécification du nom de fichier du certificat
Pour configurer le nom de fichier du certificat à partir duquel lire le certificat local, incluez l’instruction local-certificate au niveau de la [edit security ike policy ike-peer-address] hiérarchie :
[edit security ike policy ike-peer-address] local-certificate certificate-filename;
certificate-filename Spécifie le fichier à partir duquel lire le certificat local.
Spécification des fichiers de clés privées et publiques
Pour spécifier le nom de fichier à partir duquel lire la clé publique et la clé privée, incluez l’instruction local key-pair au niveau de la [edit security ike policy ike-peer-address] hiérarchie :
[edit security ike policy ike-peer-address ] local-key-pair private-public-key-file;
private-public-key-file Spécifie le fichier à partir duquel lire la clé de paire.
Voir aussi
Obtention d’un certificat signé de l’autorité de certification pour un ES PIC
Pour obtenir un certificat signé auprès de l’autorité de certification, exécutez la commande suivante :
user@host> request security certificate enroll filename filename subject c=us,o=x alternative-subject certificate-ip-address certification-authority certificate-authority key-file key-file-name domain-name domain-name
Les résultats sont enregistrés dans un fichier spécifié dans le répertoire /var/etc/ikecert .
L’exemple suivant montre comment obtenir un certificat signé par une autorité de certification en référençant l’instruction local configuréecertification-authority. Cette instruction est référencée par la request security certificate enroll filename filename subject subject alternative-subject alternative-subject certification-authority certification-authority commande.
[edit]
security {
certificates {
certification-authority local {
ca-name xyz.company.com;
file l;
enrollment-url "http://www.xyzcompany.com";
}
}
}
Pour obtenir un certificat signé auprès de l’autorité de certification, exécutez la commande suivante :
user@host> request security certificate enroll filename I subject c=uk,o=london alternative-subject 10.50.1.4 certification-authority verisign key-file host-1.prv domain-name host.xyzcompany.com CA name: xyz.company.com CA file: ca_verisign local pub/private key pair: host.prv subject: c=uk,o=london domain name: host.example.com alternative subject: 10.50.1.4 Encoding: binary Certificate enrollment has started. To see the certificate enrollment status, check the key management process (kmd) log file at /var/log/kmd. <--------------
Pour plus d’informations sur l’utilisation des commandes du mode opérationnel pour obtenir un certificat signé, consultez l’Explorateur CLI.
Une autre façon d’obtenir un certificat signé auprès de l’autorité de certification consiste à référencer les instructions configurées telles que l’URL, le nom de l’autorité de certification et le fichier de certificat de l’autorité de certification à l’aide de l’instruction suivante certification-authority :
user@host> request security certificate enroll filename m subject c=us ,o=x alternative-subject 192.0.2.1 certification-authority local key-file y domain-name abc.company.com
Voir aussi
Association de sécurité configurée à une interface logique
La configuration de l’ES PIC associe la SA configurée à une interface logique. Cette configuration définit le tunnel lui-même (sous-unité logique, adresses de tunnel, unité de transmission maximale [MTU], adresses d’interface facultatives et nom de la SA à appliquer au trafic).
Les adresses configurées en tant que source et destination du tunnel sont les adresses de l’en-tête IP externe du tunnel.
L’adresse source du tunnel doit être configurée localement sur le routeur et l’adresse de destination du tunnel doit être une adresse valide pour la passerelle de sécurité qui termine le tunnel.
Les routeurs M5, M10, M20 et M40 prennent en charge l’ES PIC.
Il doit s’agir d’une SA en mode tunnel valide. L’adresse de l’interface et l’adresse de destination indiquées sont facultatives. L’adresse de destination permet à l’utilisateur de configurer un itinéraire statique pour chiffrer le trafic. Si une route statique utilise cette adresse de destination comme tronçon suivant, le trafic est transféré via la partie du tunnel dans laquelle le chiffrement a lieu.
L’exemple suivant montre comment configurer un tunnel IPsec en tant qu’interface logique sur le PIC ES. L’interface logique spécifie le tunnel par lequel transite le trafic chiffré. L’instruction ipsec-sa associe le profil de sécurité à l’interface.
[edit interfaces]
es-0/0/0 {
unit 0 {
tunnel {
source tunnel 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
ipsec-sa ipsec-sa; # name of security association to apply to packet
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}