Sur cette page
Autorité de certification
Un profil d’autorité de certification définit chaque paramètre associé à un certificat spécifique afin d’établir une connexion sécurisée entre deux points de terminaison. Les profils spécifient les certificats à utiliser, comment vérifier l’état de révocation du certificat et comment cet état limite l’accès.
Configuration d’un groupe d’autorités de certification approuvées
Cette section décrit la procédure de création d’un groupe d’autorités de certification de confiance pour une liste de profils d’autorités de certification et de suppression d’un groupe d’autorités de certification de confiance.
- Création d’un groupe d’autorités de certification de confiance pour une liste de profils d’autorités de certification
- Suppression d’un profil d’autorité de certification d’un groupe d’autorités de certification de confiance
- Suppression d’un groupe d’autorités de certification de confiance
Création d’un groupe d’autorités de certification de confiance pour une liste de profils d’autorités de certification
Vous pouvez configurer et affecter un groupe d’autorités de certification approuvé pour autoriser une entité. Lorsqu’un homologue tente d’établir une connexion avec un client, seul le certificat émis par l’autorité de certification approuvée de cette entité est validé. L’appareil valide si l’émetteur du certificat et celui qui présente le certificat appartiennent au même réseau client. Si l’émetteur et le présentateur appartiennent au même réseau client, la connexion est établie. Si ce n’est pas le cas, la connexion ne sera pas établie.
Avant de commencer, vous devez disposer d’une liste de tous les profils d’autorité de certification que vous souhaitez ajouter au groupe de confiance.
Dans cet exemple, nous créons trois profils d’autorité de certification nommés orgA-ca-profile
, et , et associons les identificateurs ca-profile1
d’autorité de certification suivants , , orgB-ca-profile
ca-profile2
et orgC-ca-profile
ca-profile3
pour les profils respectifs. Vous pouvez regrouper les trois profils d’autorités de certification pour qu’ils appartiennent à un groupe orgABC-trusted-ca-group
d’autorités de certification approuvées.
Vous pouvez configurer un maximum de 20 profils d’autorités de certification pour un groupe d’autorités de certification approuvées.
Pour afficher les profils d’autorité de certification et les groupes d’autorités de certification approuvés configurés sur votre appareil, exécutez show security pki
la commande.
user@host# show security pki ca-profile orgA-ca-profile { ca-identity ca-profile1; } ca-profile orgB-ca-profile { ca-identity ca-profile2; } ca-profile orgC-ca-profile { ca-identity ca-profile3; } trusted-ca-group orgABC-trusted-ca-group { ca-profiles [ orgA-ca-profile orgB-ca-profile orgC-ca-profile ]; }
La show security pki
commande affiche tous les profils d’autorité de certification qui sont regroupés sous le orgABC_trusted-ca-group
fichier .
Suppression d’un profil d’autorité de certification d’un groupe d’autorités de certification de confiance
Vous pouvez supprimer un profil d’autorité de certification spécifique dans un groupe d’autorités de certification de confiance ou vous pouvez supprimer le groupe d’autorités de certification de confiance lui-même.
Par exemple, si vous souhaitez supprimer un profil d’autorité de certification nommé orgC-ca-profile
à partir d’un groupe orgABC-trusted-ca-group
d’autorités de certification approuvées , configuré sur votre appareil comme indiqué dans la rubrique, procédez comme Configuration d’un groupe d’autorités de certification approuvées suit :
Pour afficher la suppression à partir du orgABC-trusted-ca-group
, exécutez la orgC-ca-profile
show security pki
commande.
user@host# show security pki ca-profile orgA-ca-profile { ca-identity ca-profile1; } ca-profile orgB-ca-profile { ca-identity ca-profile2; } trusted-ca-group orgABC-trusted-ca-group { ca-profiles [ orgA-ca-profile orgB-ca-profile ]; }
La sortie n’affiche pas le orgC-ca-profile
profil car il est supprimé du groupe d’autorités de certification approuvées.
Suppression d’un groupe d’autorités de certification de confiance
Une entité peut prendre en charge de nombreux groupes d’autorités de certification approuvées et vous pouvez supprimer n’importe quel groupe d’autorités de certification approuvées pour une entité.
Par exemple, si vous souhaitez supprimer un groupe d’autorités de certification approuvé nommé orgABC-trusted-ca-group
, configuré sur votre appareil comme indiqué dans Configuration d’un groupe d’autorités de certification approuvées la rubrique, procédez comme suit :
Pour afficher la suppression de l’entité, exécutez la orgABC-trusted-ca-group
show security pki
commande.
user@host# show security pki ca-profile orgA-ca-profile { ca-identity ca-profile1; } ca-profile orgB-ca-profile { ca-identity ca-profile2; }
La sortie n’affiche pas le orgABC-trusted-ca-group
tel qu’il est supprimé de l’entité.
Présentation des profils d’autorités de certification
La configuration d’un profil d’autorité de certification contient des informations spécifiques à une autorité de certification. Vous pouvez avoir plusieurs profils d’autorité de certification sur un pare-feu SRX Series. Par exemple, vous pouvez avoir un profil pour orgA et un autre pour orgB. Chaque profil est associé à un certificat d’autorité de certification. Si vous souhaitez charger un nouveau certificat d’autorité de certification sans supprimer l’ancien, créez un nouveau profil d’autorité de certification (par exemple, Microsoft-2008).
À partir de Junos OS version 18.1R1, le serveur d’autorité de certification peut être un serveur d’autorité de certification IPv6.
Le module PKI prend en charge le format d’adresse IPv6 pour permettre l’utilisation des pare-feu SRX Series dans les réseaux où IPv6 est le seul protocole utilisé.
Une autorité de certification émet des certificats numériques, ce qui permet d’établir une connexion sécurisée entre deux points de terminaison grâce à la validation des certificats. Vous pouvez regrouper plusieurs profils d’autorités de certification dans un groupe d’autorités de certification de confiance pour une topologie donnée. Ces certificats permettent d’établir une connexion entre deux points de terminaison. Pour établir IKE ou IPsec, les deux points de terminaison doivent faire confiance à la même autorité de certification. Si l’un des points de terminaison n’est pas en mesure de valider le certificat à l’aide de son autorité de certification approuvée (profil ca) ou de son groupe d’autorités de certification approuvées respectifs, la connexion n’est pas établie. Un minimum d’un profil d’autorité de certification est obligatoire pour créer un groupe d’autorités de certification de confiance et un maximum de 20 autorités de certification sont autorisées dans un groupe d’autorités de certification de confiance. N’importe quelle autorité de certification d’un groupe particulier peut valider le certificat de ce point de terminaison particulier.
À partir de Junos OS version 18.1R1, la validation d’un homologue IKE configuré peut être effectuée avec un serveur ou un groupe de serveurs d’autorité de certification spécifié. Un groupe de serveurs d’autorité de certification approuvés peut être créé à l’aide de l’instruction trusted-ca-group
de configuration au niveau de la hiérarchie [edit security pki
] ; un ou plusieurs profils d’autorité de certification peuvent être spécifiés. Le serveur d’autorité de certification approuvé est lié à la configuration de stratégie IKE de l’homologue au niveau de la hiérarchie [edit security ike policy policy certificate
].
Si le profil proxy est configuré dans le profil de l’autorité de certification, l’appareil se connecte à l’hôte proxy au lieu du serveur de l’autorité de certification lors de l’inscription, de la vérification ou de la révocation du certificat. L’hôte proxy communique avec le serveur d’autorité de certification avec les demandes de l’appareil, puis relaie la réponse à l’appareil.
Le profil proxy de l’autorité de certification prend en charge les protocoles SCEP, CMPv2 et OCSP.
Le profil de proxy CA est pris en charge uniquement sur HTTP et n’est pas pris en charge sur le protocole HTTPS.
Voir également
Exemple : Configuration d’un profil d’autorité de certification
Cet exemple montre comment configurer un profil d’autorité de certification.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Présentation
Dans cet exemple, vous créez un profil d’autorité de certification appelé ca-profile-ipsec
avec l’identité d’autorité de certification microsoft-2008. Vous créez ensuite un profil proxy pour le profil de l’autorité de certification. La configuration spécifie que la CRL doit être actualisée toutes les 48 heures et que l’emplacement de récupération de la CRL est http://www.my-ca.com
. Dans l’exemple, vous définissez la valeur de nouvelle tentative d’inscription sur 20. (La valeur de nouvelle tentative par défaut est 10.)
L’interrogation automatique des certificats est définie sur toutes les 30 minutes. Si vous configurez une nouvelle tentative uniquement sans configurer d’intervalle de nouvelle tentative, l’intervalle de nouvelle tentative par défaut est de 900 secondes (ou 15 minutes). Si vous ne configurez pas de nouvelle tentative ou d’intervalle de nouvelle tentative, il n’y a pas d’interrogation.
Configuration
Procédure
Procédure étape par étape
Pour configurer un profil d’autorité de certification :
Créez un profil d’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 user@host#
Vous pouvez également configurer le profil proxy sur le profil de l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile-ipsec proxy-profile px-profile
L’infrastructure à clé publique (PKI) utilise un profil proxy configuré au niveau du système. Le profil proxy utilisé dans le profil de l’autorité de certification doit être configuré au niveau de la
[edit services proxy]
hiérarchie. Il peut y avoir plusieurs profils proxy configurés sous[edit services proxy]
la hiérarchie. Chaque profil d’autorité de certification est référencé à l’un de ces profils de proxy. Vous pouvez configurer l’hôte et le port du profil proxy au niveau de la[edit system services proxy]
hiérarchie.Créez une vérification de révocation pour spécifier une méthode de vérification de la révocation du certificat.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
Définissez l’intervalle d’actualisation, en heures, pour spécifier la fréquence de mise à jour de la liste de révocation de certificats. Les valeurs par défaut sont l’heure de la prochaine mise à jour dans la CRL ou 1 semaine, si aucune heure de la prochaine mise à jour n’est spécifiée.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl refresh-interval 48 url http://www.my-ca.com/my-crl.crl
Spécifiez la valeur de nouvelle tentative d’enrôlement.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry 20
Spécifiez l’intervalle de temps en secondes entre les tentatives d’inscription automatique du certificat d’autorité de certification en ligne.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry-interval 1800
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show security pki
commande.
Exemple : Configuration d’une adresse IPv6 en tant qu’adresse source d’un profil d’autorité de certification
Cet exemple montre comment configurer une adresse IPv6 en tant qu’adresse source d’un profil d’autorité de certification.
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Dans cet exemple, créez un profil d’autorité de certification appelé orgA-ca-profile
avec l’identité v6-ca
d’autorité de certification et définissez l’adresse source du profil d’autorité de certification comme étant une adresse IPv6, par exemple 2001:db8:0:f101::1
. Vous pouvez configurer l’URL d’inscription pour qu’elle accepte une adresse http://[2002:db8:0:f101::1]:/.../
IPv6 .
Voir également
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.