Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Accès Web sécurisé pour la gestion à distance

Vous pouvez gérer un équipement Juniper Networks à distance via l’interface J-Web. Pour permettre un accès Web sécurisé, les équipements Juniper Networks prennent en charge HTTP sur la couche HTTPS (Secure Sockets Layer). Vous pouvez activer l’accès HTTP ou HTTPS sur des interfaces et des ports spécifiques sur l’équipement selon les besoins. Lisez ce sujet pour plus d’informations.

Présentation de Secure Web Access

Vous pouvez gérer un équipement Juniper Networks à distance via l’interface J-Web. Pour communiquer avec l’équipement, l’interface J-Web utilise le protocole HTTP (Hypertexte Transfer Protocol). HTTP permet un accès Web facile, mais pas de chiffrement. Les données transmises par HTTP entre le navigateur Web et l’équipement sont vulnérables à l’interception et aux attaques. Pour permettre un accès Web sécurisé, les équipements Juniper Networks prennent en charge HTTP sur la couche HTTPS (Secure Sockets Layer). Vous pouvez activer l’accès HTTP ou HTTPS sur des interfaces et des ports spécifiques selon les besoins.

L’équipement Juniper Networks utilise le protocole SSL (Secure Sockets Layer) pour assurer la gestion sécurisée des équipements via l’interface Web. SSL utilise une technologie de clé publique-privée qui nécessite une clé privée associée et un certificat d’authentification pour fournir le service SSL. SSL chiffre la communication entre votre équipement et le navigateur Web à l’aide d’une clé de session négociée par le certificat du serveur SSL.

Un certificat SSL comprend des informations d’identification telles qu’une clé publique et une signature faite par une autorité de certification (CA). Lorsque vous accédez à l’équipement via HTTPS, une négociation SSL authentifie le serveur et le client et commence une session sécurisée. Si les informations ne correspondent pas ou si le certificat a expiré, vous ne pouvez pas accéder à l’équipement via HTTPS.

Sans chiffrement SSL, les communications entre votre équipement et le navigateur sont envoyées à l’air libre et peuvent être interceptées. Nous vous recommandons d’activer l’accès HTTPS sur vos interfaces WAN.

L’accès HTTP est activé par défaut sur les interfaces de gestion intégrées. Par défaut, l’accès HTTPS est pris en charge sur n’importe quelle interface avec un certificat de serveur SSL.

Génération de certificats SSL pour l’accès Web sécurisé (équipements SRX Series)

Pour générer un certificat SSL à l’aide de la openssl commande :

  1. Entrez openssl dans la CLI. La openssl commande génère un certificat SSL auto-signé au format PEM (Privacy-Enhanced Mail). Il écrit le certificat et une clé privée RSA 1024 bits non chiffrée dans le fichier spécifié.
    REMARQUE :

    Exécutez cette commande sur un équipement LINUX ou UNIX, car les passerelles de services Juniper Networks ne la openssl prennent pas en charge.

    Remplacez par filename le nom d’un fichier dans lequel vous souhaitez que le certificat SSL soit écrit, par exemple, new.pem.

  2. Lorsque vous y êtes invité, saisissez les informations appropriées dans le formulaire d’identification. Par exemple, saisissez US le nom du pays.
  3. Affichez le contenu du fichier new.pem.

    cat new.pem

    Copiez le contenu de ce fichier pour installer le certificat SSL.

Génération de certificats SSL à utiliser pour un accès Web sécurisé (commutateur EX Series)

Vous pouvez configurer un accès Web sécurisé pour un commutateur EX Series. Pour permettre un accès Web sécurisé, vous devez générer un certificat SSL (Digital Secure Sockets Layer), puis activer l’accès HTTPS sur le commutateur.

Pour générer un certificat SSL :

  1. Saisissez la commande suivante openssl dans votre interface de ligne de commande SSH sur un système BSD ou Linux sur lequel openssl est installé. La openssl commande génère un certificat SSL auto-signé dans le format privacy-enhanced mail (PEM). Il écrit le certificat et une clé privée RSA 1024 bits non chiffrée dans le fichier spécifié.

    % openssl req –x509 –nodes –newkey rsa:1024 –keyout filename.pem -out filename.pem

    filename est le nom d’un fichier dans lequel vous souhaitez écrire le certificat SSL, par exemple, my-certificate.

  2. Lorsque vous y êtes invité, saisissez les informations appropriées dans le formulaire d’identification. Par exemple, saisissez US le nom du pays.
  3. Affichez le contenu du fichier que vous avez créé.

    cat my-certificate.pem

Vous pouvez utiliser la page de configuration J-Web pour installer le certificat SSL sur le commutateur. Pour ce faire, copiez le fichier contenant le certificat du système BSD ou Linux sur le commutateur. Ouvrez ensuite le fichier, copiez son contenu et collez-le dans la zone certificat sur la page de configuration de l’accès sécurisé J-Web.

Vous pouvez également utiliser l’instruction CLI suivante pour installer le certificat SSL sur le commutateur :

Pour plus d’informations sur l’installation de certificats, consultez l’exemple : Configuration d’un accès Web sécurisé.

Génération automatique d’un certificat SSL auto-signé

Pour générer un certificat SSL auto-signé sur les équipements Juniper Networks :

  1. Établissez une connectivité de base.
  2. Redémarrez le système. Le certificat auto-signé est automatiquement généré au moment du démarrage.
  3. Spécifiez system-generated-certificate sous gestion Web HTTPS.

Génération manuelle de certificats SSL auto-signés

Pour générer manuellement un certificat SSL auto-signé sur les équipements Juniper Networks :

  1. Établissez une connectivité de base.
  2. Si vous disposez d’un accès de connexion racine, vous pouvez générer manuellement le certificat auto-signé à l’aide des commandes suivantes :
    REMARQUE :

    Lors de la génération du certificat, vous devez spécifier l’objet, l’adresse e-mail et le nom du domaine ou l’adresse IP.

  3. Pour vérifier que le certificat a été correctement généré et chargé, saisissez la show security pki local-certificate commande opérationnelle et spécifiez local-certificate sous gestion Web HTTPS.

Suppression des certificats auto-signés (procédure CLI)

Vous pouvez supprimer un certificat auto-signé généré automatiquement ou manuellement à partir du commutateur EX Series. Lorsque vous supprimez le certificat auto-signé automatiquement généré, le commutateur génère un nouveau certificat auto-signé et le stocke dans le système de fichiers.

  • Pour supprimer le certificat généré automatiquement et la paire de clés associée du commutateur :

  • Pour supprimer un certificat généré manuellement et la paire de clés associée du commutateur :

  • Pour supprimer tous les certificats générés manuellement et les paires de clés associées du commutateur :

Comprendre les certificats auto-signés sur les commutateurs EX Series

Lorsque vous initialisez un commutateur Ethernet EX Series de Juniper Networks avec la configuration d’usine par défaut, le commutateur génère un certificat auto-signé qui permet un accès sécurisé au commutateur via le protocole SSL (Secure Sockets Layer). Le protocole HTTPS (Hypertexte Transfer Protocol over Secure Sockets Layer) et la gestion du réseau XML sur secure sockets layer (XNM-SSL) sont les deux services qui peuvent utiliser les certificats auto-signés.

REMARQUE :

Les certificats auto-signés ne fournissent pas de sécurité supplémentaire, tout comme ceux générés par les autorités de certification (CA). En effet, un client ne peut pas vérifier que le serveur auquel il s’est connecté est bien celui annoncé dans le certificat.

Les commutateurs fournissent deux méthodes pour générer un certificat auto-signé :

  • Génération automatique

    Dans ce cas, le créateur du certificat est le commutateur. Un certificat auto-signé généré automatiquement (également appelé « généré par le système ») est configuré sur le commutateur par défaut.

    Une fois le commutateur initialisé, il vérifie la présence d’un certificat auto-signé généré automatiquement. S’il n’en trouve pas, le commutateur en génère un et l’enregistre dans le système de fichiers.

    Un certificat auto-signé généré automatiquement par le commutateur est similaire à une clé d’hôte SSH. Il est stocké dans le système de fichiers, et non dans le cadre de la configuration. Il persiste lorsque le commutateur est redémarré, et il est préservé lorsqu’une request system snapshot commande est émise.

    Le commutateur utilise le nom unique suivant pour le certificat généré automatiquement :

    “ CN=<device serial number>, CN=system generated, CN=self-signed”

    Si vous supprimez le certificat auto-signé généré par le système sur le commutateur, le commutateur génère automatiquement un certificat auto-signé.

  • Génération manuelle

    Dans ce cas, vous créez le certificat auto-signé pour le commutateur. À tout moment, vous pouvez utiliser l’interface cli pour générer un certificat auto-signé. Les certificats auto-signés manuellement sont stockés dans le système de fichiers, et non dans le cadre de la configuration.

Les certificats auto-signés sont valables cinq ans à compter de leur génération. Lorsque la validité d’un certificat auto-signé automatiquement expire, vous pouvez le supprimer du commutateur afin que le commutateur génère un nouveau certificat auto-signé.

Les certificats auto-signés par le système et les certificats auto-signés générés manuellement peuvent coexister sur le commutateur.

Génération manuelle de certificats auto-signés sur les commutateurs (procédure CLI)

Les commutateurs EX Series vous permettent de générer des certificats personnalisés auto-signés et de les stocker dans le système de fichiers. Le certificat que vous générez manuellement peut coexister avec le certificat auto-signé généré automatiquement sur le commutateur. Pour permettre un accès sécurisé au commutateur via SSL, vous pouvez utiliser le certificat auto-signé généré par le système ou un certificat que vous avez généré manuellement.

Pour générer manuellement des certificats auto-signés, vous devez effectuer les tâches suivantes :

Génération d’une paire de clés publiques-privées sur les commutateurs

Un certificat numérique est associé à une paire de clés cryptographiques qui est utilisée pour signer le certificat numériquement. La paire de clés cryptographiques comprend une clé publique et une clé privée. Lorsque vous générez un certificat auto-signé, vous devez fournir une paire de clés publiques-privées qui peut être utilisée pour signer le certificat auto-signé. Par conséquent, vous devez générer une paire de clés publiques et privées avant de pouvoir générer un certificat auto-signé.

Pour générer une paire de clés public-privé :

REMARQUE :

Vous pouvez éventuellement spécifier l’algorithme de chiffrement et la taille de la clé de chiffrement. Si vous ne spécifiez pas l’algorithme de chiffrement et la taille de la clé de chiffrement, les valeurs par défaut sont utilisées. L’algorithme de chiffrement par défaut est RSA et la taille de la clé de chiffrement par défaut est de 1 024 bits.

Une fois la paire de clés public-privé générée, le commutateur affiche les éléments suivants :

Génération de certificats auto-signés sur les commutateurs

Pour générer le certificat auto-signé manuellement, incluez le nom de l’ID de certificat, l’objet du nom unique (DN), le nom de domaine, l’adresse IP du commutateur et l’adresse e-mail du détenteur du certificat :

Le certificat que vous avez généré est stocké dans le système de fichiers du commutateur. L’ID de certificat que vous avez spécifié lors de la génération du certificat est un identifiant unique que vous pouvez utiliser pour activer les services HTTPS ou XNM-SSL.

Pour vérifier que le certificat a été généré et correctement chargé, saisissez la show security pki local-certificate commande opérationnelle.

Exemple : Configuration d’un accès Web sécurisé

Cet exemple montre comment configurer un accès Web sécurisé sur votre équipement.

Conditions préalables

Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cette fonctionnalité.

REMARQUE :

Vous pouvez activer l’accès HTTPS sur des interfaces spécifiées. Si vous activez HTTPS sans spécifier d’interface, HTTPS est activé sur toutes les interfaces.

Présentation

Dans cet exemple, vous importez le certificat SSL que vous avez généré en tant que nouvelle clé privée au format PEM. Vous activez ensuite l’accès HTTPS et spécifiez le certificat SSL à utiliser pour l’authentification. Enfin, vous spécifiez le port 8443 sur lequel l’accès HTTPS doit être activé.

topologie

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.

Pour configurer un accès Web sécurisé sur votre équipement :

  1. Importez le certificat SSL et la clé privée.

  2. Activez l’accès HTTPS et spécifiez le certificat SSL et le port.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification d’une configuration de certificat SSL

But

Vérifiez la configuration du certificat SSL.

Action

Depuis le mode opérationnel, saisissez la show security commande.

Vérification d’une configuration d’accès sécurisé

But

Vérifiez la configuration de l’accès sécurisé.

Action

Depuis le mode opérationnel, saisissez la show system services commande. L’exemple de sortie suivant affiche les valeurs d’exemple d’accès Web sécurisé :