Utilisation de certificats numériques pour IPsec

Pour les administrateurs réseau, les administrateurs réseau peuvent utiliser des certificats numériques plutôt que des clés prépartagées. Pour activer les certificats numériques dans votre réseau, vous devez utiliser une combinaison de commandes en mode opérationnel et d’instructions de configuration. Les tâches suivantes vous permettent d’implémenter des certificats numériques sur des PIC AS et multiservices installés dans les routeurs M Series et T Series :

• Configuration d’un profil d’autorité de certification

• Configuration d’une liste de révocation de certificats

• Demande d’un certificat numérique d’autorité de certification

• Génération d’une paire de clés privée/publique

• Génération et inscription d’un certificat numérique local

• Application du certificat numérique local à une configuration IPsec

• Configuration de la réinscription automatique des certificats numériques

• Surveillance des certificats numériques

• Compensation des certificats numériques

Le profil de l’autorité de certification contient le nom et l’URL de l’autorité de certification ou de l’autorité de certification, ainsi que certains paramètres du minuteur de nouvelle tentative. Les certificats d’autorité de certification émis par Entrust, VeriSign et Microsoft sont tous compatibles avec les routeurs M Series et T Series. Pour configurer le nom de domaine de l’autorité de certification ou de l’autorité de certification, incluez l’instruction ca-identity au niveau de la [edit security pki ca-profile ca-profile-name] hiérarchie. Pour configurer l’URL de l’autorité de certification, incluez l’instruction url au niveau de la [edit security pki ca-profile ca-profile-name enrollment] hiérarchie. Pour configurer le nombre de tentatives d’enrôlement que le routeur doit effectuer, incluez l’instruction retry au niveau de la [edit security pki ca-profile ca-profile-name enrollment] hiérarchie. Pour configurer la durée d’attente du routeur entre les tentatives d’enrôlement, incluez l’instruction retry-interval au niveau de la [edit security pki ca-profile ca-profile-name enrollment] hiérarchie.

Note:

Lorsque vous supprimez l’ensemble de la configuration de l’infrastructure à clé publique (PKI), tous les certificats d’autorité de certification de l’appareil ne sont pas supprimés comme prévu. Ces certificats d’autorité de certification sont accessibles une fois que vous avez créé à nouveau les profils d’autorité de certification.

Une liste de révocation de certificats (CRL) contient une liste de certificats numériques qui ont été annulés avant leur date d’expiration. Lorsqu’un homologue participant utilise un certificat numérique, il vérifie la signature et la validité du certificat. Il acquiert également la dernière CRL émise et vérifie que le numéro de série du certificat ne figure pas sur cette CRL. Par défaut, la vérification CRL est activée sur tout profil d’autorité de certification exécuté sous Junos OS version 8.1 ou ultérieure. Pour désactiver la vérification de la liste de révocation de certificats, incluez l’instruction disable au niveau de la hiérarchie [edit security pki ca-profile ca-profile-name revocation-check].

Pour spécifier l’URL du serveur LDAP (Lightweight Directory Access Protocol) sur lequel votre autorité de certification stocke sa liste de révocation de certificats actuelle, incluez l’instruction url au niveau de la hiérarchie [edit security pki ca-profile ca-profile-name revocation-check crl]. Si le serveur LDAP a besoin d’un mot de passe pour accéder à la CRL, incluez l’instruction password au niveau hiérarchique [edit security pki ca-profile ca-profile-name revocation-check crl url].

Note:

Vous n’avez pas besoin de spécifier d’URL pour le serveur LDAP si le certificat inclut un point de distribution de certificats (CDP). La CDP est un champ du certificat qui contient des informations sur la récupération de la CRL pour le certificat. Le routeur utilise ces informations pour télécharger automatiquement la liste de révocation de certificats. Toute URL LDAP que vous configurez est prioritaire sur la CDP incluse dans le certificat.

Si vous avez téléchargé manuellement la CRL, vous devez l’installer manuellement sur le routeur. Pour installer manuellement la liste de révocation de certificats, exécutez la request security pki crl load ca-profile ca-profile-name filename path/filename commande.

Pour configurer l’intervalle de temps entre les mises à jour de la CRL, incluez l’instruction refresh-interval au niveau hiérarchique [edit security ca-profile ca-profile-name revocation-check crl].

Pour remplacer le comportement par défaut et autoriser la poursuite de l’authentification par l’homologue IPsec lorsque le téléchargement de la CRL échoue, incluez l’instruction disable on-download-failure au niveau hiérarchique [edit security ca-profile ca-profile-name revocation-check crl].