Sur cette page
Génération de certificats SSL pour un accès Web sécurisé (pare-feu SRX Series)
Génération de certificats SSL à utiliser pour un accès Web sécurisé (commutateur EX Series)
Comprendre les certificats autosignés sur les commutateurs EX Series
Génération manuelle de certificats auto-signés sur les commutateurs (procédure CLI)
Accès Web sécurisé pour la gestion à distance
Vous pouvez gérer un équipement Juniper Networks à distance via l’interface J-Web. Pour activer un accès Web sécurisé, les équipements Juniper Networks prennent en charge HTTP sur Secure Sockets Layer (HTTPS). Vous pouvez activer l’accès HTTP ou HTTPS sur des interfaces et des ports spécifiques de l’appareil, selon vos besoins. Lisez cette rubrique pour plus d’informations.
Présentation de l’accès Web sécurisé
Vous pouvez gérer un équipement Juniper Networks à distance via l’interface J-Web. Pour communiquer avec l’appareil, l’interface J-Web utilise le protocole HTTP (Hypertext Transfer Protocol). HTTP permet un accès facile au Web, mais pas de cryptage. Les données transmises entre le navigateur Web et l’appareil au moyen de HTTP sont vulnérables à l’interception et aux attaques. Pour activer un accès Web sécurisé, les équipements Juniper Networks prennent en charge HTTP sur Secure Sockets Layer (HTTPS). Vous pouvez activer l’accès HTTP ou HTTPS sur des interfaces et des ports spécifiques selon vos besoins.
L’équipement Juniper Networks utilise le protocole SSL (Secure Sockets Layer) pour assurer une gestion sécurisée des équipements via l’interface Web. SSL utilise une technologie de clé publique-privée qui nécessite une clé privée couplée et un certificat d’authentification pour fournir le service SSL. SSL crypte la communication entre votre appareil et le navigateur Web à l’aide d’une clé de session négociée par le certificat du serveur SSL.
Un certificat SSL comprend des informations d’identification telles qu’une clé publique et une signature établie par une autorité de certification (CA). Lorsque vous accédez à l’appareil via HTTPS, une négociation SSL authentifie le serveur et le client et commence une session sécurisée. Si les informations ne correspondent pas ou si le certificat a expiré, vous ne pouvez pas accéder à l’appareil via HTTPS.
Sans cryptage SSL, la communication entre votre appareil et le navigateur est envoyée au grand jour et peut être interceptée. Nous vous recommandons d’activer l’accès HTTPS sur vos interfaces WAN.
L’accès HTTP est activé par défaut sur les interfaces de gestion intégrées. Par défaut, l’accès HTTPS est pris en charge sur toute interface disposant d’un certificat de serveur SSL.
Voir également
Génération de certificats SSL pour un accès Web sécurisé (pare-feu SRX Series)
Pour générer un certificat SSL à l’aide de la openssl
commande :
Génération de certificats SSL à utiliser pour un accès Web sécurisé (commutateur EX Series)
Vous pouvez configurer un accès Web sécurisé pour un commutateur EX Series. Pour activer l’accès Web sécurisé, vous devez générer un certificat SSL (Secure Sockets Layer) numérique, puis activer l’accès HTTPS sur le commutateur.
Pour générer un certificat SSL :
Vous pouvez utiliser la page Configuration J-Web pour installer le certificat SSL sur le commutateur. Pour ce faire, copiez le fichier contenant le certificat du système BSD ou Linux sur le commutateur. Ouvrez ensuite le fichier, copiez son contenu et collez-le dans la zone Certificat de la page de configuration de J-Web Secure Access.
Vous pouvez également utiliser l’instruction CLI suivante pour installer le certificat SSL sur le commutateur :
[edit] user@switch# set security certificates local my-signed-cert load-key-file my-certificate.pem
Pour plus d’informations sur l’installation de certificats, consultez Exemple : Configuration de l’accès Web sécurisé.
Voir également
Génération automatique d’un certificat SSL auto-signé
Pour générer un certificat SSL auto-signé sur les équipements Juniper Networks :
Génération manuelle de certificats SSL auto-signés
Pour générer manuellement un certificat SSL autosigné sur un équipement Juniper Networks :
Suppression de certificats autosignés (procédure CLI)
Vous pouvez supprimer un certificat autosigné généré automatiquement ou manuellement à partir du commutateur EX Series. Lorsque vous supprimez le certificat auto-signé généré automatiquement, le commutateur génère un nouveau certificat auto-signé et le stocke dans le système de fichiers.
Pour supprimer le certificat généré automatiquement et la paire de clés associée du commutateur :
user@switch> clear security pki local-certificate system-generated
Pour supprimer un certificat généré manuellement et sa paire de clés associée du commutateur :
user@switch> clear security pki local-certificate certificate-id certificate-id-name
Pour supprimer tous les certificats générés manuellement et leurs paires de clés associées du commutateur :
user@switch> clear security pki local-certificate all
Comprendre les certificats autosignés sur les commutateurs EX Series
Lorsque vous initialisez un Juniper Networks EX Series Commutateur Ethernet avec la configuration d’usine par défaut, le commutateur génère un certificat auto-signé permettant un accès sécurisé au commutateur via le protocole SSL (Secure Sockets Layer). Hypertext Transfer Protocol over Secure Sockets Layer (HTTPS) et XML Network Management over Secure Sockets Layer (XNM-SSL) sont les deux services qui peuvent utiliser les certificats auto-signés.
Les certificats autosignés n’offrent pas de sécurité supplémentaire comme ceux générés par les autorités de certification (CA). En effet, un client ne peut pas vérifier que le serveur auquel il s’est connecté est bien celui annoncé dans le certificat.
Les commutateurs proposent deux méthodes pour générer un certificat auto-signé :
Génération automatique
Dans ce cas, le créateur du certificat est le commutateur. Un certificat auto-signé généré automatiquement (également appelé « généré par le système ») est configuré sur le commutateur par défaut.
Une fois le commutateur initialisé, il vérifie la présence d’un certificat auto-signé généré automatiquement. S’il n’en trouve pas, le commutateur en génère un et l’enregistre dans le système de fichiers.
Un certificat auto-signé généré automatiquement par le commutateur est similaire à une clé d’hôte SSH. Il est stocké dans le système de fichiers, et non dans le cadre de la configuration. Elle est conservée lorsqu’une commande est redémarrée et lorsqu’une
request system snapshot
commande est émise.Le commutateur utilise le nom distinctif suivant pour le certificat généré automatiquement :
“ CN=<device serial number>, CN=system generated, CN=self-signed”
Si vous supprimez le certificat auto-signé généré par le système sur le commutateur, celui-ci génère automatiquement un certificat auto-signé.
Génération manuelle
Dans ce cas, vous créez le certificat auto-signé pour le commutateur. Vous pouvez utiliser la CLI pour générer un certificat auto-signé. Les certificats auto-signés générés manuellement sont stockés dans le système de fichiers, et non dans le cadre de la configuration.
Les certificats autosignés sont valables cinq ans à compter de leur génération. Lorsque la validité d’un certificat auto-signé généré automatiquement expire, vous pouvez le supprimer du commutateur afin que le commutateur génère un nouveau certificat auto-signé.
Les certificats autosignés générés par le système et les certificats autosignés générés manuellement peuvent coexister sur le commutateur.
Génération manuelle de certificats auto-signés sur les commutateurs (procédure CLI)
Les commutateurs EX Series vous permettent de générer des certificats autosignés personnalisés et de les stocker dans le système de fichiers. Le certificat que vous générez manuellement peut coexister avec le certificat auto-signé généré automatiquement sur le commutateur. Pour activer un accès sécurisé au commutateur via SSL, vous pouvez utiliser le certificat auto-signé généré par le système ou un certificat que vous avez généré manuellement.
Pour générer manuellement des certificats autosignés, vous devez effectuer les tâches suivantes :
- Génération d’une paire de clés publique-privée sur les commutateurs
- Génération de certificats auto-signés sur les commutateurs
Génération d’une paire de clés publique-privée sur les commutateurs
Un certificat numérique est associé à une paire de clés cryptographiques qui est utilisée pour signer le certificat numériquement. La paire de clés cryptographiques est composée d’une clé publique et d’une clé privée. Lorsque vous générez un certificat auto-signé, vous devez fournir une paire de clés publique-privée qui peut être utilisée pour signer le certificat auto-signé. Par conséquent, vous devez générer une paire de clés publique-privée avant de pouvoir générer un certificat auto-signé.
Pour générer une paire de clés publique-privée :
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
Si vous le souhaitez, vous pouvez spécifier l’algorithme de chiffrement et la taille de la clé de chiffrement. Si vous ne spécifiez pas l’algorithme de chiffrement et la taille de la clé de chiffrement, les valeurs par défaut sont utilisées. L’algorithme de chiffrement par défaut est RSA et la taille de la clé de chiffrement par défaut est de 1024 bits.
Une fois la paire de clés publique-privée générée, le commutateur affiche les informations suivantes :
generated key pair certificate-id-name, key size 1024 bits
Génération de certificats auto-signés sur les commutateurs
Pour générer manuellement le certificat autosigné, incluez le nom de l’ID du certificat, l’objet du nom distinctif (DN), le nom de domaine, l’adresse IP du commutateur et l’adresse e-mail du titulaire du certificat :
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
Le certificat que vous avez généré est stocké dans le système de fichiers du commutateur. L’ID de certificat que vous avez spécifié lors de la génération du certificat est un identifiant unique que vous pouvez utiliser pour activer les services HTTPS ou XNM-SSL.
Pour vérifier que le certificat a été généré et chargé correctement, entrez la show security pki local-certificate
commande opérationnelle.
Exemple : Configuration de l’accès Web sécurisé
Cet exemple montre comment configurer l’accès Web sécurisé sur votre appareil.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Vous pouvez activer l’accès HTTPS sur les interfaces spécifiées. Si vous activez HTTPS sans spécifier d’interface, HTTPS est activé sur toutes les interfaces.
Présentation
Dans cet exemple, vous importez le certificat SSL que vous avez généré en tant que nouvelle clé privée au format PEM. Vous activez ensuite l’accès HTTPS et spécifiez le certificat SSL à utiliser pour l’authentification. Enfin, vous spécifiez le port 8443 sur lequel l’accès HTTPS doit être activé.
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security certificates local new load-key-file /var/tmp/new.pem set system services web-management https local-certificate new port 8443
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer l’accès Web sécurisé sur votre appareil :
Importez le certificat SSL et la clé privée.
[edit security] user@host# set certificates local new load-key-file /var/tmp/new.pem
Activez l’accès HTTPS et spécifiez le certificat et le port SSL.
[edit system] user@host# set services web-management https local-certificate new port 8443
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show security certificates { local { new { "-----BEGIN RSA PRIVATE KEY-----\nMIICXQIBAAKBgQC/C5UI4frNqbi qPwbTiOkJvqoDw2YgYse0Z5zzVJyErgSg954T\nEuHM67Ck8hAOrCnb0YO+SY Y5rCXLf4+2s8k9EypLtYRw/Ts66DZoXI4viqE7HSsK\n5sQw/UDBIw7/MJ+OpA ... KYiFf4CbBBbjlMQJ0HFudW6ISVBslONkzX+FT\ni95ddka6iIRnArEb4VFCRh+ e1QBdp1UjziYf7NuzDx4Z\n -----END RSA PRIVATE KEY-----\n-----BEGIN CERTIFICATE----- \nMIIDjDCCAvWgAwIBAgIBADANBgkqhkiG9w0BAQQ ... FADCBkTELMAkGA1UEBhMCdXMx\nCzAJBgNVBAgTAmNhMRIwEAYDVQQHEwlzdW5ue HB1YnMxDTALBgNVBAMTBGpucHIxJDAiBgkqhkiG\n9w0BCQEWFW5iaGFyZ2F2YUB fLUYAnBYmsYWOH\n -----END CERTIFICATE-----\n"; ## SECRET-DATA } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la configuration d’un certificat SSL
- Vérification d’une configuration d’accès sécurisé
Vérification de la configuration d’un certificat SSL
But
Vérifiez la configuration du certificat SSL.
Action
À partir du mode opérationnel, entrez la show security
commande.
Vérification d’une configuration d’accès sécurisé
But
Vérifiez la configuration de l’accès sécurisé.
Action
À partir du mode opérationnel, entrez la show system services
commande. L’exemple de sortie suivant affiche les exemples de valeurs pour l’accès Web sécurisé :
[edit] user@host# show system services web-management { http; https { port 8443; local-certificate new; } }