Chiffrement à clé publique
Comprendre la cryptographie à clé publique sur les commutateurs
La cryptographie décrit les techniques liées aux aspects suivants de la sécurité de l’information :
Protection de la vie privée ou confidentialité
Intégrité des données
Authentification
Non-répudiation ou non-répudiation de l’origine : la non-répudiation de l’origine signifie que les signataires ne peuvent pas prétendre qu’ils n’ont pas signé un message tout en affirmant que leur clé privée reste secrète. Dans certains schémas de non-répudiation utilisés dans les signatures numériques, un horodatage est attaché à la signature numérique, de sorte que même si la clé privée est exposée, la signature reste valide. Les clés publiques et privées sont décrites dans le texte suivant.
En pratique, les méthodes cryptographiques protègent les données transférées d’un système à un autre sur les réseaux publics en cryptant les données à l’aide d’une clé de chiffrement. La cryptographie à clé publique (PKC), qui est utilisée sur Juniper Networks EX Series Commutateurs Ethernet, utilise une paire de clés de chiffrement : une clé publique et une clé privée. Les clés publique et privée sont créées simultanément à l’aide du même algorithme de chiffrement. La clé privée est secrètement détenue par un utilisateur et la clé publique est publiée. Les données chiffrées avec une clé publique ne peuvent être déchiffrées qu’avec la clé privée correspondante et vice versa. Lorsque vous générez une paire de clés publique/privée, le commutateur enregistre automatiquement la paire de clés dans un fichier du magasin de certificats, à partir duquel elle est ensuite utilisée dans les commandes de demande de certificat. La paire de clés générée est enregistrée sous le nom certificate-id.Priv.
La taille de clé RSA et DSA par défaut est de 1024 bits. Si vous utilisez le protocole SCEP (Simple Certificate Enrollment Protocol), Juniper Networks Système d'exploitation Junos (Junos OS) prend uniquement en charge RSA.
Infrastructure à clé publique (PKI) et certificats numériques
L’infrastructure à clé publique (PKI) permet la distribution et l’utilisation des clés publiques dans la cryptographie à clé publique avec sécurité et intégrité. La PKI gère les clés publiques à l’aide de certificats numériques. Un certificat numérique est un moyen électronique de vérifier l’identité d’un individu, d’une organisation ou d’un service d’annuaire qui peut stocker des certificats numériques.
Une PKI se compose généralement d’une autorité d’enregistrement (RA) qui vérifie l’identité des entités, autorise leurs demandes de certificat et génère des paires de clés asymétriques uniques (sauf si les demandes de certificat des utilisateurs contiennent déjà des clés publiques). et une autorité de certification (CA) qui émet les certificats numériques correspondants pour les entités requérantes. Si vous le souhaitez, vous pouvez utiliser un référentiel de certificats qui stocke et distribue les certificats, ainsi qu’une liste de révocation de certificats (CRL) identifiant les certificats qui ne sont plus valides. Chaque entité possédant la clé publique authentique d’une autorité de certification peut vérifier les certificats émis par cette autorité de certification.
Les signatures numériques exploitent le système cryptographique à clé publique comme suit :
Un expéditeur signe numériquement les données en appliquant une opération cryptographique, impliquant sa clé privée, sur un résumé des données.
La signature résultante est jointe aux données et envoyée au destinataire.
Le destinataire obtient le certificat numérique de l’expéditeur, qui fournit la clé publique de l’expéditeur et la confirmation du lien entre son identité et la clé publique. Le certificat de l’expéditeur est souvent joint aux données signées.
Soit le destinataire fait confiance à ce certificat, soit il tente de le vérifier. Le destinataire vérifie la signature sur les données à l’aide de la clé publique contenue dans le certificat. Cette vérification permet de s’assurer de l’authenticité et de l’intégrité des données reçues.
Au lieu d’utiliser une PKI, une entité peut distribuer sa clé publique directement à tous les vérificateurs de signatures potentiels, à condition que l’intégrité de la clé soit protégée. Pour ce faire, le commutateur utilise un certificat auto-signé comme conteneur pour la clé publique et l’identité de l’entité correspondante.
Voir aussi
Comprendre les certificats autosignés sur les commutateurs EX Series
Lorsque vous initialisez un Juniper Networks EX Series Commutateur Ethernet avec la configuration d’usine par défaut, le commutateur génère un certificat auto-signé permettant un accès sécurisé au commutateur via le protocole SSL (Secure Sockets Layer). Hypertext Transfer Protocol over Secure Sockets Layer (HTTPS) et XML Network Management over Secure Sockets Layer (XNM-SSL) sont les deux services qui peuvent utiliser les certificats auto-signés.
Les certificats autosignés n’offrent pas de sécurité supplémentaire comme ceux générés par les autorités de certification (CA). En effet, un client ne peut pas vérifier que le serveur auquel il s’est connecté est bien celui annoncé dans le certificat.
Les commutateurs proposent deux méthodes pour générer un certificat auto-signé :
Génération automatique
Dans ce cas, le créateur du certificat est le commutateur. Un certificat auto-signé généré automatiquement (également appelé « généré par le système ») est configuré sur le commutateur par défaut.
Une fois le commutateur initialisé, il vérifie la présence d’un certificat auto-signé généré automatiquement. S’il n’en trouve pas, le commutateur en génère un et l’enregistre dans le système de fichiers.
Un certificat auto-signé généré automatiquement par le commutateur est similaire à une clé d’hôte SSH. Il est stocké dans le système de fichiers, et non dans le cadre de la configuration. Elle est conservée lorsqu’une commande est redémarrée et lorsqu’une
request system snapshotcommande est émise.Le commutateur utilise le nom distinctif suivant pour le certificat généré automatiquement :
« CN=<numéro de série de l’appareil>, CN=généré par le système, CN=auto-signé »
Si vous supprimez le certificat auto-signé généré par le système sur le commutateur, celui-ci génère automatiquement un certificat auto-signé.
Génération manuelle
Dans ce cas, vous créez le certificat auto-signé pour le commutateur. Vous pouvez utiliser la CLI pour générer un certificat auto-signé. Les certificats auto-signés générés manuellement sont stockés dans le système de fichiers, et non dans le cadre de la configuration.
Les certificats autosignés sont valables cinq ans à compter de leur génération. Lorsque la validité d’un certificat auto-signé généré automatiquement expire, vous pouvez le supprimer du commutateur afin que le commutateur génère un nouveau certificat auto-signé.
Les certificats autosignés générés par le système et les certificats autosignés générés manuellement peuvent coexister sur le commutateur.
Génération manuelle de certificats auto-signés sur les commutateurs (procédure CLI)
Les commutateurs EX Series vous permettent de générer des certificats autosignés personnalisés et de les stocker dans le système de fichiers. Le certificat que vous générez manuellement peut coexister avec le certificat auto-signé généré automatiquement sur le commutateur. Pour activer un accès sécurisé au commutateur via SSL, vous pouvez utiliser le certificat auto-signé généré par le système ou un certificat que vous avez généré manuellement.
Pour générer manuellement des certificats autosignés, vous devez effectuer les tâches suivantes :
- Génération d’une paire de clés publique-privée sur les commutateurs
- Génération de certificats auto-signés sur les commutateurs
Génération d’une paire de clés publique-privée sur les commutateurs
Un certificat numérique est associé à une paire de clés cryptographiques qui est utilisée pour signer le certificat numériquement. La paire de clés cryptographiques est composée d’une clé publique et d’une clé privée. Lorsque vous générez un certificat auto-signé, vous devez fournir une paire de clés publique-privée qui peut être utilisée pour signer le certificat auto-signé. Par conséquent, vous devez générer une paire de clés publique-privée avant de pouvoir générer un certificat auto-signé.
Pour générer une paire de clés publique-privée :
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
Si vous le souhaitez, vous pouvez spécifier l’algorithme de chiffrement et la taille de la clé de chiffrement. Si vous ne spécifiez pas l’algorithme de chiffrement et la taille de la clé de chiffrement, les valeurs par défaut sont utilisées. L’algorithme de chiffrement par défaut est RSA et la taille de la clé de chiffrement par défaut est de 1024 bits.
Une fois la paire de clés publique-privée générée, le commutateur affiche les informations suivantes :
generated key pair certificate-id-name, key size 1024 bits
Génération de certificats auto-signés sur les commutateurs
Pour générer manuellement le certificat autosigné, incluez le nom de l’ID du certificat, l’objet du nom distinctif (DN), le nom de domaine, l’adresse IP du commutateur et l’adresse e-mail du titulaire du certificat :
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
Le certificat que vous avez généré est stocké dans le système de fichiers du commutateur. L’ID de certificat que vous avez spécifié lors de la génération du certificat est un identifiant unique que vous pouvez utiliser pour activer les services HTTPS ou XNM-SSL.
Pour vérifier que le certificat a été généré et chargé correctement, entrez la show security pki local-certificate commande opérationnelle.
Suppression de certificats autosignés (procédure CLI)
Vous pouvez supprimer un certificat autosigné généré automatiquement ou manuellement à partir du commutateur EX Series. Lorsque vous supprimez le certificat auto-signé généré automatiquement, le commutateur génère un nouveau certificat auto-signé et le stocke dans le système de fichiers.
Pour supprimer le certificat généré automatiquement et la paire de clés associée du commutateur :
user@switch> clear security pki local-certificate system-generated
Pour supprimer un certificat généré manuellement et sa paire de clés associée du commutateur :
user@switch> clear security pki local-certificate certificate-id certificate-id-name
Pour supprimer tous les certificats générés manuellement et leurs paires de clés associées du commutateur :
user@switch> clear security pki local-certificate all
Activation des services HTTPS et XNM-SSL sur les commutateurs à l’aide de certificats auto-signés (procédure CLI)
Vous pouvez utiliser le certificat auto-signé généré par le système ou un certificat auto-signé généré manuellement pour activer les services HTTPS et XNM-SSL de gestion Web.
Pour activer les services HTTPS à l’aide du certificat auto-signé généré automatiquement :
[edit] user@switch# set system services web-management https system-generated-certificate
Pour activer les services HTTPS à l’aide d’un certificat auto-signé généré manuellement :
[edit] user@switch# set system services web-management https pki-local-certificate certificate-id-name
Note:La valeur de doit certificate-id-name correspondre au nom que vous avez spécifié lorsque vous avez généré manuellement le certificat autosigné.
Pour activer les services XNM-SSL à l’aide d’un certificat auto-signé généré manuellement :
[edit] user@switch# set system services xnm-ssl local-certificate certificate-id-name
Note:La valeur de doit certificate-id-name correspondre au nom que vous avez spécifié lorsque vous avez généré manuellement le certificat autosigné.