Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Accès Web sécurisé pour la gestion à distance

Vous pouvez gérer un équipement Juniper Networks à distance via l’interface J-Web. Pour activer un accès Web sécurisé, les équipements Juniper Networks prennent en charge HTTP sur Secure Sockets Layer (HTTPS). Vous pouvez activer l’accès HTTP ou HTTPS sur des interfaces et des ports spécifiques de l’appareil, selon vos besoins. Lisez cette rubrique pour plus d’informations.

Présentation de l’accès Web sécurisé

Vous pouvez gérer un équipement Juniper Networks à distance via l’interface J-Web. Pour communiquer avec l’appareil, l’interface J-Web utilise le protocole HTTP (Hypertext Transfer Protocol). HTTP permet un accès facile au Web, mais pas de cryptage. Les données transmises entre le navigateur Web et l’appareil au moyen de HTTP sont vulnérables à l’interception et aux attaques. Pour activer un accès Web sécurisé, les équipements Juniper Networks prennent en charge HTTP sur Secure Sockets Layer (HTTPS). Vous pouvez activer l’accès HTTP ou HTTPS sur des interfaces et des ports spécifiques selon vos besoins.

L’équipement Juniper Networks utilise le protocole SSL (Secure Sockets Layer) pour assurer une gestion sécurisée des équipements via l’interface Web. SSL utilise une technologie de clé publique-privée qui nécessite une clé privée couplée et un certificat d’authentification pour fournir le service SSL. SSL crypte la communication entre votre appareil et le navigateur Web à l’aide d’une clé de session négociée par le certificat du serveur SSL.

Un certificat SSL comprend des informations d’identification telles qu’une clé publique et une signature établie par une autorité de certification (CA). Lorsque vous accédez à l’appareil via HTTPS, une négociation SSL authentifie le serveur et le client et commence une session sécurisée. Si les informations ne correspondent pas ou si le certificat a expiré, vous ne pouvez pas accéder à l’appareil via HTTPS.

Sans cryptage SSL, la communication entre votre appareil et le navigateur est envoyée au grand jour et peut être interceptée. Nous vous recommandons d’activer l’accès HTTPS sur vos interfaces WAN.

L’accès HTTP est activé par défaut sur les interfaces de gestion intégrées. Par défaut, l’accès HTTPS est pris en charge sur toute interface disposant d’un certificat de serveur SSL.

Voir également

Génération de certificats SSL pour un accès Web sécurisé (pare-feu SRX Series)

Pour générer un certificat SSL à l’aide de la openssl commande :

  1. Entrez openssl dans la CLI. La openssl commande génère un certificat SSL auto-signé au format PEM (Privacy-Enhanced Mail). Il écrit le certificat et une clé privée RSA 1024 bits non chiffrée dans le fichier spécifié.
    REMARQUE :

    Exécutez cette commande sur un équipement LINUX ou UNIX, car les passerelles de services Juniper Networks ne sont pas compatibles avec la openssl commande.

    Remplacez-le filename par le nom du fichier dans lequel vous souhaitez que le certificat SSL soit écrit (par exemple, new.pem.

  2. Lorsque vous y êtes invité, saisissez les informations appropriées dans le formulaire d’identification. Par exemple, saisissez US le nom du pays.
  3. Affichez le contenu du fichier new.pem.

    cat new.pem

    Copiez le contenu de ce fichier pour installer le certificat SSL.

Génération de certificats SSL à utiliser pour un accès Web sécurisé (commutateur EX Series)

Vous pouvez configurer un accès Web sécurisé pour un commutateur EX Series. Pour activer l’accès Web sécurisé, vous devez générer un certificat SSL (Secure Sockets Layer) numérique, puis activer l’accès HTTPS sur le commutateur.

Pour générer un certificat SSL :

  1. Entrez la commande suivante openssl dans votre interface de ligne de commande SSH sur un système BSD ou Linux sur lequel openssl est installé. La openssl commande génère un certificat SSL auto-signé au format PEM (Privacy-Enhanced Mail). Il écrit le certificat et une clé privée RSA 1024 bits non chiffrée dans le fichier spécifié.

    % openssl req –x509 –nodes –newkey rsa:1024 –keyout filename.pem -out filename.pem

    filename est le nom d’un fichier dans lequel vous souhaitez que le certificat SSL soit écrit, par exemple, my-certificate.

  2. Lorsque vous y êtes invité, saisissez les informations appropriées dans le formulaire d’identification. Par exemple, saisissez US le nom du pays.
  3. Affichez le contenu du fichier que vous avez créé.

    cat my-certificate.pem

Vous pouvez utiliser la page Configuration J-Web pour installer le certificat SSL sur le commutateur. Pour ce faire, copiez le fichier contenant le certificat du système BSD ou Linux sur le commutateur. Ouvrez ensuite le fichier, copiez son contenu et collez-le dans la zone Certificat de la page de configuration de J-Web Secure Access.

Vous pouvez également utiliser l’instruction CLI suivante pour installer le certificat SSL sur le commutateur :

Pour plus d’informations sur l’installation de certificats, consultez Exemple : Configuration de l’accès Web sécurisé.

Voir également

Génération automatique d’un certificat SSL auto-signé

Pour générer un certificat SSL auto-signé sur les équipements Juniper Networks :

  1. Établissez une connectivité de base.
  2. Redémarrez le système. Le certificat auto-signé est généré automatiquement au démarrage.
  3. Spécifiez-le system-generated-certificate sous Gestion Web HTTPS.

Génération manuelle de certificats SSL auto-signés

Pour générer manuellement un certificat SSL autosigné sur un équipement Juniper Networks :

  1. Établissez une connectivité de base.
  2. Si vous disposez d’un accès de connexion root, vous pouvez générer manuellement le certificat auto-signé à l’aide des commandes suivantes :
    REMARQUE :

    Lors de la génération du certificat, vous devez spécifier l’objet, l’adresse e-mail et le nom de domaine ou l’adresse IP.

  3. Pour vérifier que le certificat a été généré et chargé correctement, entrez la commande opérationnelle et spécifiez-la show security pki local-certificate local-certificate sous Gestion Web HTTPS.

Suppression de certificats autosignés (procédure CLI)

Vous pouvez supprimer un certificat autosigné généré automatiquement ou manuellement à partir du commutateur EX Series. Lorsque vous supprimez le certificat auto-signé généré automatiquement, le commutateur génère un nouveau certificat auto-signé et le stocke dans le système de fichiers.

  • Pour supprimer le certificat généré automatiquement et la paire de clés associée du commutateur :

  • Pour supprimer un certificat généré manuellement et sa paire de clés associée du commutateur :

  • Pour supprimer tous les certificats générés manuellement et leurs paires de clés associées du commutateur :

Comprendre les certificats autosignés sur les commutateurs EX Series

Lorsque vous initialisez un Juniper Networks EX Series Commutateur Ethernet avec la configuration d’usine par défaut, le commutateur génère un certificat auto-signé permettant un accès sécurisé au commutateur via le protocole SSL (Secure Sockets Layer). Hypertext Transfer Protocol over Secure Sockets Layer (HTTPS) et XML Network Management over Secure Sockets Layer (XNM-SSL) sont les deux services qui peuvent utiliser les certificats auto-signés.

REMARQUE :

Les certificats autosignés n’offrent pas de sécurité supplémentaire comme ceux générés par les autorités de certification (CA). En effet, un client ne peut pas vérifier que le serveur auquel il s’est connecté est bien celui annoncé dans le certificat.

Les commutateurs proposent deux méthodes pour générer un certificat auto-signé :

  • Génération automatique

    Dans ce cas, le créateur du certificat est le commutateur. Un certificat auto-signé généré automatiquement (également appelé « généré par le système ») est configuré sur le commutateur par défaut.

    Une fois le commutateur initialisé, il vérifie la présence d’un certificat auto-signé généré automatiquement. S’il n’en trouve pas, le commutateur en génère un et l’enregistre dans le système de fichiers.

    Un certificat auto-signé généré automatiquement par le commutateur est similaire à une clé d’hôte SSH. Il est stocké dans le système de fichiers, et non dans le cadre de la configuration. Elle est conservée lorsqu’une commande est redémarrée et lorsqu’une request system snapshot commande est émise.

    Le commutateur utilise le nom distinctif suivant pour le certificat généré automatiquement :

    “ CN=<device serial number>, CN=system generated, CN=self-signed”

    Si vous supprimez le certificat auto-signé généré par le système sur le commutateur, celui-ci génère automatiquement un certificat auto-signé.

  • Génération manuelle

    Dans ce cas, vous créez le certificat auto-signé pour le commutateur. Vous pouvez utiliser la CLI pour générer un certificat auto-signé. Les certificats auto-signés générés manuellement sont stockés dans le système de fichiers, et non dans le cadre de la configuration.

Les certificats autosignés sont valables cinq ans à compter de leur génération. Lorsque la validité d’un certificat auto-signé généré automatiquement expire, vous pouvez le supprimer du commutateur afin que le commutateur génère un nouveau certificat auto-signé.

Les certificats autosignés générés par le système et les certificats autosignés générés manuellement peuvent coexister sur le commutateur.

Génération manuelle de certificats auto-signés sur les commutateurs (procédure CLI)

Les commutateurs EX Series vous permettent de générer des certificats autosignés personnalisés et de les stocker dans le système de fichiers. Le certificat que vous générez manuellement peut coexister avec le certificat auto-signé généré automatiquement sur le commutateur. Pour activer un accès sécurisé au commutateur via SSL, vous pouvez utiliser le certificat auto-signé généré par le système ou un certificat que vous avez généré manuellement.

Pour générer manuellement des certificats autosignés, vous devez effectuer les tâches suivantes :

Génération d’une paire de clés publique-privée sur les commutateurs

Un certificat numérique est associé à une paire de clés cryptographiques qui est utilisée pour signer le certificat numériquement. La paire de clés cryptographiques est composée d’une clé publique et d’une clé privée. Lorsque vous générez un certificat auto-signé, vous devez fournir une paire de clés publique-privée qui peut être utilisée pour signer le certificat auto-signé. Par conséquent, vous devez générer une paire de clés publique-privée avant de pouvoir générer un certificat auto-signé.

Pour générer une paire de clés publique-privée :

REMARQUE :

Si vous le souhaitez, vous pouvez spécifier l’algorithme de chiffrement et la taille de la clé de chiffrement. Si vous ne spécifiez pas l’algorithme de chiffrement et la taille de la clé de chiffrement, les valeurs par défaut sont utilisées. L’algorithme de chiffrement par défaut est RSA et la taille de la clé de chiffrement par défaut est de 1024 bits.

Une fois la paire de clés publique-privée générée, le commutateur affiche les informations suivantes :

Génération de certificats auto-signés sur les commutateurs

Pour générer manuellement le certificat autosigné, incluez le nom de l’ID du certificat, l’objet du nom distinctif (DN), le nom de domaine, l’adresse IP du commutateur et l’adresse e-mail du titulaire du certificat :

Le certificat que vous avez généré est stocké dans le système de fichiers du commutateur. L’ID de certificat que vous avez spécifié lors de la génération du certificat est un identifiant unique que vous pouvez utiliser pour activer les services HTTPS ou XNM-SSL.

Pour vérifier que le certificat a été généré et chargé correctement, entrez la show security pki local-certificate commande opérationnelle.

Voir également

Exemple : Configuration de l’accès Web sécurisé

Cet exemple montre comment configurer l’accès Web sécurisé sur votre appareil.

Conditions préalables

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.

REMARQUE :

Vous pouvez activer l’accès HTTPS sur les interfaces spécifiées. Si vous activez HTTPS sans spécifier d’interface, HTTPS est activé sur toutes les interfaces.

Présentation

Dans cet exemple, vous importez le certificat SSL que vous avez généré en tant que nouvelle clé privée au format PEM. Vous activez ensuite l’accès HTTPS et spécifiez le certificat SSL à utiliser pour l’authentification. Enfin, vous spécifiez le port 8443 sur lequel l’accès HTTPS doit être activé.

Topologie

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.

Pour configurer l’accès Web sécurisé sur votre appareil :

  1. Importez le certificat SSL et la clé privée.

  2. Activez l’accès HTTPS et spécifiez le certificat et le port SSL.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification de la configuration d’un certificat SSL

But

Vérifiez la configuration du certificat SSL.

Action

À partir du mode opérationnel, entrez la show security commande.

Vérification d’une configuration d’accès sécurisé

But

Vérifiez la configuration de l’accès sécurisé.

Action

À partir du mode opérationnel, entrez la show system services commande. L’exemple de sortie suivant affiche les exemples de valeurs pour l’accès Web sécurisé :

Rubriques connexes