Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Autorité de certification

Un profil d’autorité de certification définit chaque paramètre associé à un certificat spécifique afin d’établir une connexion sécurisée entre deux points de terminaison. Les profils spécifient les certificats à utiliser, comment vérifier l’état de révocation du certificat et comment cet état limite l’accès.

Configuration d’un groupe d’autorités de certification approuvées

Cette section décrit la procédure de création d’un groupe d’autorités de certification de confiance pour une liste de profils d’autorités de certification et de suppression d’un groupe d’autorités de certification de confiance.

Création d’un groupe d’autorités de certification de confiance pour une liste de profils d’autorités de certification

Vous pouvez configurer et affecter un groupe d’autorités de certification approuvé pour autoriser une entité. Lorsqu’un homologue tente d’établir une connexion avec un client, seul le certificat émis par l’autorité de certification approuvée de cette entité est validé. L’appareil valide si l’émetteur du certificat et celui qui présente le certificat appartiennent au même réseau client. Si l’émetteur et le présentateur appartiennent au même réseau client, la connexion est établie. Si ce n’est pas le cas, la connexion ne sera pas établie.

Avant de commencer, vous devez disposer d’une liste de tous les profils d’autorité de certification que vous souhaitez ajouter au groupe de confiance.

Dans cet exemple, nous créons trois profils d’autorité de certification nommés orgA-ca-profile, et , et associons les identificateurs ca-profile1d’autorité de certification suivants , , orgB-ca-profileca-profile2et orgC-ca-profileca-profile3 pour les profils respectifs. Vous pouvez regrouper les trois profils d’autorités de certification pour qu’ils appartiennent à un groupe orgABC-trusted-ca-groupd’autorités de certification approuvées.

Vous pouvez configurer un maximum de 20 profils d’autorités de certification pour un groupe d’autorités de certification approuvées.

  1. Créez des profils d’autorité de certification et associez-y des identificateurs d’autorité de certification.
  2. Regroupez les profils d’autorité de certification sous un groupe d’autorités de certification approuvées.
  3. Validez la configuration lorsque vous avez terminé de configurer les profils d’autorité de certification et les groupes d’autorités de certification approuvés.

Pour afficher les profils d’autorité de certification et les groupes d’autorités de certification approuvés configurés sur votre appareil, exécutez show security pki la commande.

La show security pki commande affiche tous les profils d’autorité de certification qui sont regroupés sous le orgABC_trusted-ca-groupfichier .

Suppression d’un profil d’autorité de certification d’un groupe d’autorités de certification de confiance

Vous pouvez supprimer un profil d’autorité de certification spécifique dans un groupe d’autorités de certification de confiance ou vous pouvez supprimer le groupe d’autorités de certification de confiance lui-même.

Par exemple, si vous souhaitez supprimer un profil d’autorité de certification nommé orgC-ca-profile à partir d’un groupe orgABC-trusted-ca-groupd’autorités de certification approuvées , configuré sur votre appareil comme indiqué dans la rubrique, procédez comme Configuration d’un groupe d’autorités de certification approuvées suit :

  1. Supprimez un profil d’autorité de certification du groupe d’autorités de certification approuvées.
  2. Si vous avez terminé de supprimer le profil d’autorité de certification du groupe d’autorités de certification approuvées, validez la configuration.

Pour afficher la suppression à partir du orgABC-trusted-ca-group , exécutez la orgC-ca-profileshow security pki commande.

La sortie n’affiche pas le orgC-ca-profile profil car il est supprimé du groupe d’autorités de certification approuvées.

Suppression d’un groupe d’autorités de certification de confiance

Une entité peut prendre en charge de nombreux groupes d’autorités de certification approuvées et vous pouvez supprimer n’importe quel groupe d’autorités de certification approuvées pour une entité.

Par exemple, si vous souhaitez supprimer un groupe d’autorités de certification approuvé nommé orgABC-trusted-ca-group, configuré sur votre appareil comme indiqué dans Configuration d’un groupe d’autorités de certification approuvées la rubrique, procédez comme suit :

  1. Supprimez un groupe d’autorités de certification approuvées.
  2. Si vous avez terminé de supprimer le profil d’autorité de certification du groupe d’autorités de certification approuvées, validez la configuration.

Pour afficher la suppression de l’entité, exécutez la orgABC-trusted-ca-groupshow security pki commande.

La sortie n’affiche pas le orgABC-trusted-ca-group tel qu’il est supprimé de l’entité.

Voir également

Présentation des profils d’autorités de certification

La configuration d’un profil d’autorité de certification contient des informations spécifiques à une autorité de certification. Vous pouvez avoir plusieurs profils d’autorité de certification sur un pare-feu SRX Series. Par exemple, vous pouvez avoir un profil pour orgA et un autre pour orgB. Chaque profil est associé à un certificat d’autorité de certification. Si vous souhaitez charger un nouveau certificat d’autorité de certification sans supprimer l’ancien, créez un nouveau profil d’autorité de certification (par exemple, Microsoft-2008).

À partir de Junos OS version 18.1R1, le serveur d’autorité de certification peut être un serveur d’autorité de certification IPv6.

Le module PKI prend en charge le format d’adresse IPv6 pour permettre l’utilisation des pare-feu SRX Series dans les réseaux où IPv6 est le seul protocole utilisé.

Une autorité de certification émet des certificats numériques, ce qui permet d’établir une connexion sécurisée entre deux points de terminaison grâce à la validation des certificats. Vous pouvez regrouper plusieurs profils d’autorités de certification dans un groupe d’autorités de certification de confiance pour une topologie donnée. Ces certificats permettent d’établir une connexion entre deux points de terminaison. Pour établir IKE ou IPsec, les deux points de terminaison doivent faire confiance à la même autorité de certification. Si l’un des points de terminaison n’est pas en mesure de valider le certificat à l’aide de son autorité de certification approuvée (profil ca) ou de son groupe d’autorités de certification approuvées respectifs, la connexion n’est pas établie. Un minimum d’un profil d’autorité de certification est obligatoire pour créer un groupe d’autorités de certification de confiance et un maximum de 20 autorités de certification sont autorisées dans un groupe d’autorités de certification de confiance. N’importe quelle autorité de certification d’un groupe particulier peut valider le certificat de ce point de terminaison particulier.

À partir de Junos OS version 18.1R1, la validation d’un homologue IKE configuré peut être effectuée avec un serveur ou un groupe de serveurs d’autorité de certification spécifié. Un groupe de serveurs d’autorité de certification approuvés peut être créé à l’aide de l’instruction trusted-ca-group de configuration au niveau de la hiérarchie [edit security pki] ; un ou plusieurs profils d’autorité de certification peuvent être spécifiés. Le serveur d’autorité de certification approuvé est lié à la configuration de stratégie IKE de l’homologue au niveau de la hiérarchie [edit security ike policy policy certificate].

Si le profil proxy est configuré dans le profil de l’autorité de certification, l’appareil se connecte à l’hôte proxy au lieu du serveur de l’autorité de certification lors de l’inscription, de la vérification ou de la révocation du certificat. L’hôte proxy communique avec le serveur d’autorité de certification avec les demandes de l’appareil, puis relaie la réponse à l’appareil.

Le profil proxy de l’autorité de certification prend en charge les protocoles SCEP, CMPv2 et OCSP.

Le profil de proxy CA est pris en charge uniquement sur HTTP et n’est pas pris en charge sur le protocole HTTPS.

Voir également

Exemple : Configuration d’un profil d’autorité de certification

Cet exemple montre comment configurer un profil d’autorité de certification.

Conditions préalables

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.

Présentation

Dans cet exemple, vous créez un profil d’autorité de certification appelé ca-profile-ipsec avec l’identité d’autorité de certification microsoft-2008. Vous créez ensuite un profil proxy pour le profil de l’autorité de certification. La configuration spécifie que la CRL doit être actualisée toutes les 48 heures et que l’emplacement de récupération de la CRL est http://www.my-ca.com. Dans l’exemple, vous définissez la valeur de nouvelle tentative d’inscription sur 20. (La valeur de nouvelle tentative par défaut est 10.)

L’interrogation automatique des certificats est définie sur toutes les 30 minutes. Si vous configurez une nouvelle tentative uniquement sans configurer d’intervalle de nouvelle tentative, l’intervalle de nouvelle tentative par défaut est de 900 secondes (ou 15 minutes). Si vous ne configurez pas de nouvelle tentative ou d’intervalle de nouvelle tentative, il n’y a pas d’interrogation.

Configuration

Procédure

Procédure étape par étape

Pour configurer un profil d’autorité de certification :

  1. Créez un profil d’autorité de certification.

  2. Vous pouvez également configurer le profil proxy sur le profil de l’autorité de certification.

    L’infrastructure à clé publique (PKI) utilise un profil proxy configuré au niveau du système. Le profil proxy utilisé dans le profil de l’autorité de certification doit être configuré au niveau de la [edit services proxy] hiérarchie. Il peut y avoir plusieurs profils proxy configurés sous [edit services proxy] la hiérarchie. Chaque profil d’autorité de certification est référencé à l’un de ces profils de proxy. Vous pouvez configurer l’hôte et le port du profil proxy au niveau de la [edit system services proxy] hiérarchie.

  3. Créez une vérification de révocation pour spécifier une méthode de vérification de la révocation du certificat.

  4. Définissez l’intervalle d’actualisation, en heures, pour spécifier la fréquence de mise à jour de la liste de révocation de certificats. Les valeurs par défaut sont l’heure de la prochaine mise à jour dans la CRL ou 1 semaine, si aucune heure de la prochaine mise à jour n’est spécifiée.

  5. Spécifiez la valeur de nouvelle tentative d’enrôlement.

  6. Spécifiez l’intervalle de temps en secondes entre les tentatives d’inscription automatique du certificat d’autorité de certification en ligne.

  7. Si vous avez terminé de configurer l’appareil, validez la configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, entrez la show security pki commande.

Exemple : Configuration d’une adresse IPv6 en tant qu’adresse source d’un profil d’autorité de certification

Cet exemple montre comment configurer une adresse IPv6 en tant qu’adresse source d’un profil d’autorité de certification.

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.

Dans cet exemple, créez un profil d’autorité de certification appelé orgA-ca-profile avec l’identité v6-ca d’autorité de certification et définissez l’adresse source du profil d’autorité de certification comme étant une adresse IPv6, par exemple 2001:db8:0:f101::1. Vous pouvez configurer l’URL d’inscription pour qu’elle accepte une adresse http://[2002:db8:0:f101::1]:/.../IPv6 .

  1. Créez un profil d’autorité de certification.
  2. Configurez l’adresse source du profil de l’autorité de certification pour qu’elle soit une adresse IPv6.
  3. Spécifiez les paramètres d’enrôlement de l’autorité de certification.
  4. Si vous avez terminé de configurer l’appareil, validez la configuration.

Voir également

Rubriques connexes

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version
Description
18.1R1
À partir de Junos OS version 18.1R1, le serveur d’autorité de certification peut être un serveur d’autorité de certification IPv6.
18.1R1
À partir de Junos OS version 18.1R1, la validation d’un homologue IKE configuré peut être effectuée avec un serveur ou un groupe de serveurs d’autorité de certification spécifié.