Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Un accès Web sécurisé pour la gestion à distance

Vous pouvez gérer un équipement Juniper Networks à distance via l’interface J-Web. Pour garantir un accès Web sécurisé, les équipements Juniper Networks prendre en charge HTTP sur la couche HTTPS (Secure Sockets Layer). Vous pouvez activer l’accès HTTP ou HTTPS sur des interfaces et des ports spécifiques sur l’équipement selon les besoins. Lisez ce sujet pour plus d’informations.

Présentation de Secure Web Access

Vous pouvez gérer un équipement Juniper Networks à distance via l’interface J-Web. Pour communiquer avec l’équipement, l’interface J-Web utilise le protocole HTTP (Hypertext Transfer Protocol). HTTP permet un accès Web facile, mais pas de chiffrement. Les données transmises entre le navigateur Web et l’équipement par le moyen de HTTP sont vulnérables à l’interception et à l’attaque. Pour garantir un accès Web sécurisé, les équipements Juniper Networks prendre en charge HTTP sur la couche HTTPS (Secure Sockets Layer). Vous pouvez activer l’accès HTTP ou HTTPS sur des interfaces et des ports spécifiques selon les besoins.

Le Juniper Networks utilise le protocole SSL (Secure Sockets Layer) pour assurer une gestion sécurisée des équipements via l’interface Web. SSL utilise une technologie de clé public-privé qui nécessite une clé privée couplée et un certificat d’authentification pour la fourniture du service SSL. Le SSL chiffre les communications entre votre équipement et le navigateur Web à l’aide d’une clé de session négociée par le certificat du serveur SSL.

Un certificat SSL inclut l’identification d’informations telles qu’une clé publique et une signature faite par une autorité de certification (AC). Lorsque vous accédez à l’équipement via HTTPS, une négociation SSL authentifier le serveur et le client et lance une session sécurisée. Si les informations ne correspondent pas ou que le certificat a expiré, vous ne pouvez pas accéder à l’équipement via HTTPS.

Sans chiffrement SSL, les communications entre votre équipement et le navigateur sont envoyées dans l’open et peuvent être interceptées. Il est recommandé d’activer l’accès HTTPS sur vos interfaces WAN.

L’accès HTTP est activé par défaut sur les interfaces de gestion intégrées. Par défaut, l’accès HTTPS est pris en charge sur n’importe quelle interface 100 % serveur SSL.

Génération de certificats SSL pour un accès Web sécurisé (SRX Series périphériques)

Pour générer un certificat SSL à l’aide de la openssl commande:

  1. Entrez openssl dans la CLI. La openssl commande génère un certificat SSL autosigné au format PEM (Privacy-Enhanced Mail). Il écrit le certificat et une clé privée RSA 1024 bits non cryptée dans le fichier spécifié.
    Remarque :

    Exécutez cette commande sur un équipement LINUX ou UNIX car les passerelles Juniper Networks services ne les openssl exécutent pas.

    Remplacez-le par le nom d’un fichier dans lequel vous souhaitez écrire le certificat filename SSL(par new.pem exemple).

  2. Lorsque vous y invitez, tapez les informations appropriées dans le formulaire d’identification. Par exemple, US tapez le nom du pays.
  3. Afficher le contenu du fichier new.pem .

    cat new.pem

    Copiez le contenu de ce fichier pour l’installation du certificat SSL.

Génération de certificats SSL à utiliser pour l’accès Web sécurisé (EX Series Switch)

Vous pouvez configurer un accès Web sécurisé pour un EX Series réseau. Pour activer un accès Web sécurisé, vous devez générer un certificat SSL (Secure Sockets Layer) numérique, puis activer l’accès HTTPS sur le commutateur.

Pour générer un certificat SSL:

  1. Saisissez la commande suivante dans votre interface de ligne de commande SSH sur un système BSD ou Linux sur lequel opensslopenssl vous avez installé. La openssl commande génère un certificat SSL autosigné au format PEM (Privacy-Enhanced Mail). Il écrit le certificat et une clé privée RSA 1024 bits non cryptée dans le fichier spécifié.

    % openssl req –x509 –nodes –newkey rsa:1024 –keyout filename.pem -out filename.pem

    où est le nom d’un fichier dans lequel vous souhaitez écrire le certificat filename SSL(par exemple). my-certificate

  2. Lorsque vous y invitez, tapez les informations appropriées dans le formulaire d’identification. Par exemple, US tapez le nom du pays.
  3. Affichez le contenu du fichier que vous avez créé.

    cat my-certificate.pem

Vous pouvez utiliser la page de configuration J-Web pour installer le certificat SSL sur le commutateur. Pour ce faire, copiez le fichier contenant le certificat du système BSD ou Linux au commutateur. Ensuite, ouvrez le fichier, copiez son contenu et collez-les dans la zone Certificat de la page J-Web Secure Access Configuration.

Vous pouvez également utiliser l’instruction de CLI suivante pour installer le certificat SSL sur le commutateur:

Pour plus d’informations sur l’installation de certificats, consultez l’exemple: Configuration de l’accès Web sécurisé .

Génération automatique d’un certificat SSL autosigné

Pour générer un certificat SSL autosigné sur Juniper Networks périphériques:

  1. Établir une connectivité de base.
  2. Redémarrez le système. Le certificat autosigné est automatiquement généré au moment du démarrage.
  3. Spécifiez system-generated-certificate sous la gestion Web HTTPS.

Génération manuelle de certificats SSL autosignés

Pour générer manuellement un certificat SSL autosigné sur Juniper Networks périphériques:

  1. Établir une connectivité de base.
  2. Si vous avez un accès root login, vous pouvez générer manuellement le certificat autosigné en utilisant les commandes suivantes:
    Remarque :

    Lors de la génération du certificat, vous devez spécifier l’objet, l’adresse e-mail et l’adresse ip du domaine.

  3. Pour vérifier que le certificat a été correctement généré et chargé, saisissez la commande opérationnelle et show security pki local-certificate indiquez-la local-certificate sous gestion Web HTTPS.

Suppression des certificats autosignés (CLI)

Vous pouvez supprimer un certificat autosigné généré automatiquement ou manuellement à partir du commutateur EX Series. Lorsque vous supprimez le certificat autosigné automatiquement généré, le commutateur génère un nouveau certificat autosigné et le stocke dans le système de fichiers.

  • Pour supprimer le certificat généré automatiquement et la paire clé associée du commutateur:

  • Pour supprimer un certificat généré manuellement et la paire clé associée du commutateur:

  • Pour supprimer tous les certificats générés manuellement et leurs paires clés associées du commutateur:

Understanding Self-Signed Certificates on EX Series Switches

Lorsque vous initialisez une Juniper Networks EX Series Commutateur Ethernet avec la configuration par défaut en usine, le commutateur génère un certificat autosigné, permettant un accès sécurisé au commutateur via le protocole SSL (Secure Sockets Layer). Les deux services disponibles sont les suivants: HTTPS (Hypertext Transfer Protocol over Secure Sockets Layer) et XML Network Management over Secure Sockets Layer (XNM-SSL).

Remarque :

Les certificats autosignés ne fournissent pas de sécurité supplémentaire, de même que ceux générés par les certificats d’autorité de certification (CA). En cause: un client ne peut pas vérifier que le serveur sur qui il a été connecté est celui du certificat annoncé.

Les commutateurs fournissent deux méthodes de génération d’un certificat autosigné:

  • Génération automatique

    Dans ce cas, le créateur du certificat est le commutateur. Un certificat autosigné généré automatiquement (également appelé « généré par système ») est configuré par défaut sur le commutateur.

    Une fois le commutateur initialisé, il vérifie la présence d’un certificat autosigné automatiquement généré. Si ce dernier n’en trouve pas un, le commutateur en génère un et l’enregistre dans le système de fichiers.

    Un certificat autosigné généré automatiquement par le commutateur est similaire à une clé d’hôte SSH. Elle est stockée dans le système de fichiers, et non dans le cadre de la configuration. Il persiste lors du redémarrage du commutateur et il est préservé lorsqu’une request system snapshot commande est émise.

    Le commutateur utilise le nom éminent suivant du certificat généré automatiquement:

    “ CN=<device serial number>, CN=system generated, CN=self-signed”

    Si vous supprimez le certificat autosigné généré par le système sur le commutateur, le commutateur génère automatiquement un certificat autosigné.

  • Génération manuelle

    Vous créez alors le certificat autosigné du commutateur. Vous pouvez à tout moment utiliser la CLI pour générer un certificat autosigné. Les certificats autosignés générés manuellement sont stockés dans le système de fichiers, et non dans le cadre de la configuration.

Les certificats autosignés sont valables cinq ans à partir du moment où ils sont générés. Lorsque la validité d’un certificat autosigné automatiquement expire, vous pouvez le supprimer du commutateur afin que celui-ci génère un nouveau certificat autosigné.

Les certificats autosignés générés par le système et les certificats autosignés manuellement peuvent coexister sur le commutateur.

Génération manuelle de certificats autosignés sur les commutateurs (CLI processus)

EX Series vous permettent de générer des certificats autosignés personnalisés et de les stocker dans le système de fichiers. Le certificat que vous générez manuellement peut coexister avec le certificat autosigné automatiquement généré sur le commutateur. Pour activer un accès sécurisé au commutateur sur SSL, vous pouvez utiliser soit le certificat autosigné généré par le système, soit un certificat que vous avez généré manuellement.

Pour générer manuellement des certificats autosignés, vous devez effectuer les tâches suivantes:

Création d’une paire de clés entre les secteurs public et privé sur les commutateurs

Un certificat numérique dispose d’une paire de clés cryptographiques associée qui est utilisée pour signer le certificat numériquement. La paire de clés cryptographiques est constituée d’une clé publique et d’une clé privée. Lorsque vous générez un certificat autosigné, vous devez fournir une paire de clés public-privé qui peut être utilisée pour signer le certificat autosigné. Vous devez donc générer une paire de clés public-privé avant de générer un certificat autosigné.

Pour générer une paire de clés public-privé:

Remarque :

Vous pouvez également spécifier l’algorithme de chiffrement et la taille de la clé de chiffrement. Si vous ne spécifiez pas la taille de l’algorithme de chiffrement et de la clé de chiffrement, des valeurs par défaut sont utilisées. L’algorithme de chiffrement par défaut est RSA, et la clé de chiffrement par défaut est de 1 024 bits.

Une fois la paire de clés public-privé générée, le commutateur affiche les éléments suivants:

Génération de certificats autosignés sur les commutateurs

Pour générer manuellement le certificat autosigné, inclure le nom de l’ID de certificat, l’objet du nom de l’éminent (DN), le nom de domaine, l’adresse IP du commutateur et l’adresse électronique du détenteur du certificat:

Le certificat généré est stocké dans le système de fichiers du commutateur. L’ID de certificat que vous avez spécifié lors de la génération du certificat est un identifiant unique que vous pouvez utiliser pour activer les services HTTPS ou XNM-SSL.

Pour vérifier que le certificat a été correctement généré et chargé, saisissez show security pki local-certificate la commande opérationnelle.

Exemple: Configuration d’un accès Web sécurisé

Cet exemple montre comment configurer un accès Web sécurisé sur votre appareil.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.

Remarque :

Vous pouvez activer l’accès HTTPS sur des interfaces spécifiées. Si vous activez HTTPS sans spécifier une interface, HTTPS est activé sur toutes les interfaces.

Présentation

Dans cet exemple, vous importez le certificat SSL généré sous la forme d’une clé nouvelle et privée au format PEM. Vous activez ensuite l’accès HTTPS et spécifiez le certificat SSL à utiliser pour l’authentification. Enfin, vous spécifiez le port 8443 sur lequel l’accès HTTPS doit être activé.

Topologie

Configuration

Procédure

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer un accès Web sécurisé sur votre appareil:

  1. Importer le certificat SSL et la clé privée.

  2. Activez l’accès HTTPS et spécifiez le certificat et le port SSL.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant la show security commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Vérifier que la configuration fonctionne correctement.

Vérifier la configuration d’un certificat SSL

But

Vérifier la configuration du certificat SSL.

Action

À partir du mode opérationnel, saisissez la show security commande.

Vérification de la configuration d’un accès sécurisé

But

Vérifier la configuration d’accès sécurisé.

Action

À partir du mode opérationnel, saisissez la show system services commande. La sortie de l’exemple suivant affiche les valeurs d’exemple pour un accès Web sécurisé: