Cryptographie à clé publique
Comprendre le chiffrement des clés publiques sur les commutateurs
Cryptographie décrit les techniques liées aux aspects suivants de la sécurité de l’information :
Confidentialité ou confidentialité
Intégrité des données
Authentification
Non-repudiation ou non-repudiation de l’origine : la non-repudiation de l’origine signifie que les signataires ne peuvent prétendre qu’ils n’ont pas signé un message en prétendant que leur clé privée reste secrète. Dans certains schémas de non-repudiation utilisés dans les signatures numériques, un horodatage est associé à la signature numérique, de sorte que même si la clé privée est exposée, la signature reste valide. Les clés publiques et privées sont décrites dans le texte suivant.
Dans la pratique, les méthodes cryptographiques protègent les données transférées d’un système à un autre sur les réseaux publics en chiffrant les données à l’aide d’une clé de chiffrement. Le cryptographie à clé publique (PKC), utilisé sur les commutateurs Ethernet EX Series de Juniper Networks, utilise une paire de clés de chiffrement : une clé publique et une clé privée. Les clés publiques et privées sont créées simultanément à l’aide du même algorithme de chiffrement. La clé privée est gardée secrètement par un utilisateur et la clé publique est publiée. Les données chiffrées à l’aide d’une clé publique ne peuvent être déchiffrées qu’à l’aide de la clé privée correspondante, et vice versa. Lorsque vous générez une paire de clés publiques/privées, le commutateur enregistre automatiquement la paire de clés dans un fichier du magasin de certificats, à partir duquel elle est ensuite utilisée dans les commandes de demande de certificat. La paire de clés générée est enregistrée sous certificate-id. Priv.
La taille de la clé RSA et DSA par défaut est de 1 024 bits. Si vous utilisez le protocole SCEP (Simple Certificate Enrollment Protocol), le système d’exploitation Junos OS de Juniper Networks prend uniquement en charge RSA.
Infrastructure à clé publique (PKI) et certificats numériques
L’infrastructure à clé publique (PKI) permet de distribuer et d’utiliser les clés publiques en cryptographie à clé publique avec sécurité et intégrité. PKI gère les clés publiques à l’aide de certificats numériques. Un certificat numérique fournit un moyen électronique de vérifier l’identité d’une personne, d’une entreprise ou d’un service d’annuaire capable de stocker des certificats numériques.
Une PKI se compose généralement d’une autorité d’enregistrement (RA) qui vérifie l’identité des entités, autorise leurs demandes de certificat et génère des paires de clés asymétriques uniques (sauf si les requêtes de certificat des utilisateurs contiennent déjà des clés publiques) ; et une autorité de certification (CA) qui émet les certificats numériques correspondants pour les entités demandant une demande. Vous pouvez éventuellement utiliser un référentiel de certificats qui stocke et distribue les certificats et une liste d’annulation des certificats (CRL) identifiant les certificats qui ne sont plus valides. Chaque entité possédant la clé publique authentique d’une autorité de certification peut vérifier les certificats délivrés par cette autorité de certification.
Les signatures numériques exploitent le système cryptographique à clé publique comme suit :
Un expéditeur signe numériquement des données en appliquant une opération cryptographique, impliquant sa clé privée, sur un digesting des données.
La signature résultante est jointe aux données et envoyée au destinataire.
Le destinataire obtient le certificat numérique de l’expéditeur, qui fournit la clé publique de l’expéditeur et la confirmation du lien entre son identité et la clé publique. Le certificat de l’expéditeur est souvent joint aux données signées.
Le destinataire fait confiance à ce certificat ou tente de le vérifier. Le destinataire vérifie la signature des données à l’aide de la clé publique contenue dans le certificat. Cette vérification garantit l’authenticité et l’intégrité des données reçues.
En alternative à l’utilisation d’une PKI, une entité peut distribuer sa clé publique directement à tous les vérificateurs de signatures potentiels, tant que l’intégrité de la clé est protégée. Le commutateur utilise un certificat autosigné comme conteneur pour la clé publique et l’identité de l’entité correspondante.
Voir aussi
Comprendre les certificats autosignés sur les commutateurs EX Series
Lorsque vous initialisez un commutateur Ethernet EX Series de Juniper Networks avec la configuration par défaut définie en usine, le commutateur génère un certificat autosigné, permettant ainsi un accès sécurisé au commutateur via le protocole SSL (Secure Sockets Layer). Préséquemment, le protocole Présommation de transfert sur la couche HTTPS (Secure Sockets Layer) et le protocole XML Network Management over Secure Sockets Layer (XNM-SSL) sont les deux services qui peuvent utiliser les certificats autosignés.
Les certificats autosignés n’offrent pas de sécurité supplémentaire, tout comme ceux générés par les autorités de certification (CA). En effet, un client ne peut pas vérifier que le serveur auquel il s’est connecté est celui annoncé dans le certificat.
Les commutateurs fournissent deux méthodes pour générer un certificat autosigné :
Génération automatique
Dans ce cas, le créateur du certificat est le commutateur. Un certificat autosigné généré automatiquement (également appelé « généré par le système ») est configuré par défaut sur le commutateur.
Une fois l’initialisation du commutateur initialisée, il vérifie la présence d’un certificat auto-signé automatiquement généré. S’il n’en trouve pas, le commutateur en génère un et l’enregistre dans le système de fichiers.
Un certificat autosigné généré automatiquement par le commutateur est similaire à une clé d’hôte SSH. Il est stocké dans le système de fichiers, et non dans la configuration. Il persiste lors du redémarrage du commutateur et est conservé lors de l’émission d’une
request system snapshotcommande.Le commutateur utilise le nom distingué suivant pour le certificat généré automatiquement :
« CN=< numéro de série de l’équipement>, CN=généré par le système, CN=auto-signé »
Si vous supprimez le certificat autosigné généré par le système sur le commutateur, le commutateur génère automatiquement un certificat autosigné.
Génération manuelle
Dans ce cas, vous créez le certificat autosigné pour le commutateur. À tout moment, vous pouvez utiliser l’interface de ligne de commande pour générer un certificat autosigné. Les certificats auto-signés générés manuellement sont stockés dans le système de fichiers, et non dans la configuration.
Les certificats autosignés sont valables cinq ans à compter de leur génération. Lorsque la validité d’un certificat auto-signé généré automatiquement expire, vous pouvez le supprimer du commutateur afin qu’il génère un nouveau certificat autosigné.
Les certificats autosignés générés par le système et les certificats autosignés manuellement peuvent coexister sur le commutateur.
Génération manuelle de certificats autosignés sur les commutateurs (procédure CLI)
Les commutateurs EX Series vous permettent de générer des certificats personnalisés autosignés et de les stocker dans le système de fichiers. Le certificat que vous générez manuellement peut coexister avec le certificat auto-signé généré automatiquement sur le commutateur. Pour activer un accès sécurisé au commutateur via SSL, vous pouvez utiliser le certificat auto-signé généré par le système ou un certificat que vous avez généré manuellement.
Pour générer manuellement des certificats autosignés, vous devez effectuer les tâches suivantes :
- Génération d’une paire de clés public-privé sur les commutateurs
- Génération de certificats autosignés sur les commutateurs
Génération d’une paire de clés public-privé sur les commutateurs
Un certificat numérique contient une paire de clés cryptographiques associée qui est utilisée pour signer le certificat numériquement. La paire de clés cryptographiques comprend une clé publique et une clé privée. Lorsque vous générez un certificat autosigné, vous devez fournir une paire de clés public-privé pouvant être utilisée pour signer le certificat autosigné. Par conséquent, vous devez générer une paire de clés publiques-privées avant de pouvoir générer un certificat auto-signé.
Pour générer une paire de clés public-privé :
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
Vous pouvez éventuellement spécifier l’algorithme de chiffrement et la taille de la clé de chiffrement. Si vous ne spécifiez pas l’algorithme de chiffrement et la taille de la clé de chiffrement, des valeurs par défaut sont utilisées. L’algorithme de chiffrement par défaut est RSA et la taille de la clé de chiffrement par défaut est de 1 024 bits.
Une fois la paire de clés public-privé générée, le commutateur affiche les éléments suivants :
generated key pair certificate-id-name, key size 1024 bits
Génération de certificats autosignés sur les commutateurs
Pour générer manuellement le certificat auto-signé, incluez le nom de l’ID de certificat, l’objet du nom distingué (DN), le nom de domaine, l’adresse IP du commutateur et l’adresse électronique du détenteur du certificat :
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
Le certificat que vous avez généré est stocké dans le système de fichiers du commutateur. L’ID de certificat que vous avez spécifié lors de la génération du certificat est un identifiant unique que vous pouvez utiliser pour activer les services HTTPS ou XNM-SSL.
Pour vérifier que le certificat a été généré et chargé correctement, saisissez la show security pki local-certificate commande opérationnelle.
Suppression des certificats autosignés (procédure CLI)
Vous pouvez supprimer un certificat auto-signé généré automatiquement ou manuellement à partir du commutateur EX Series. Lorsque vous supprimez le certificat auto-signé généré automatiquement, le commutateur génère un nouveau certificat autosigné et le stocke dans le système de fichiers.
Pour supprimer le certificat généré automatiquement et sa paire de clés associée du commutateur :
user@switch> clear security pki local-certificate system-generated
Pour supprimer un certificat généré manuellement et sa paire de clés associée du commutateur :
user@switch> clear security pki local-certificate certificate-id certificate-id-name
Pour supprimer tous les certificats générés manuellement et leurs paires de clés associées du commutateur :
user@switch> clear security pki local-certificate all
Activation des services HTTPS et XNM-SSL sur les commutateurs à l’aide de certificats autosignés (procédure CLI)
Vous pouvez utiliser le certificat auto-signé généré par le système ou un certificat auto-signé généré manuellement pour activer la gestion Web des services HTTPS et XNM-SSL.
Pour activer les services HTTPS à l’aide du certificat autosigné automatiquement :
[edit] user@switch# set system services web-management https system-generated-certificate
Pour activer les services HTTPS à l’aide d’un certificat auto-signé généré manuellement :
[edit] user@switch# set system services web-management https pki-local-certificate certificate-id-name
Note:La valeur de ce certificate-id-name certificat doit correspondre au nom que vous avez spécifié lorsque vous avez généré le certificat auto-signé manuellement.
Pour activer les services XNM-SSL à l’aide d’un certificat auto-signé généré manuellement :
[edit] user@switch# set system services xnm-ssl local-certificate certificate-id-name
Note:La valeur de ce certificate-id-name certificat doit correspondre au nom que vous avez spécifié lorsque vous avez généré le certificat auto-signé manuellement.