Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PKI en Junos OS

SUMMARY Ce sujet décrit les éléments de base de l’infrastructure à clé publique (PKI) dans Junos OS.

Une infrastructure à clé publique (PKI) prend en charge la distribution et l’identification des clés de chiffrement publiques, ce qui permet aux utilisateurs d’échanger des données en toute sécurité sur des réseaux tels qu’Internet et de vérifier l’identité de l’autre partie.

Introduction à PKI en Junos OS

Présentation des applications PKI

Le Junos OS utilise des clés publiques/privées dans les domaines suivants:

  • SSH/SCP (pour une administration interface de ligne de commande [CLI])

  • Secure Sockets Layer (SSL) (pour une administration Web sécurisée et une webauth https pour l’authentification des utilisateurs)

  • Internet Key Exchange (IKE) (pour les tunnels VPN IPsec)

Remarque :

Notez les points suivants:

  • Actuellement Junos OS seules les IKE de validation de clé publique (à l’aide de certificats PKI (Public Key Infrastructure).

  • Les protocoles SSH et SCP sont exclusivement utilisés pour l’administration du système et dépendent de l’utilisation d’empreintes hors bande pour l’identification et la validation de l’identification des clés publiques. Les détails sur SSH ne sont pas couverts dans ce sujet.

Composants pour l’administration de PKI en Junos OS

Pour l’administration du PKI dans les Junos OS:

  • AC certificats et configuration des autorité

  • Certificats locaux, y compris l’identité de l’équipement (par exemple: IKE type et valeur de l’ID) et clés privées et publiques

  • Validation de certificat par le biais d’une liste de révocation des certificats (CRL)

Éléments de base de PKI dans Junos OS

Junos OS prend en charge trois types spécifiques d’objets PKI:

  • Paire de clés privées/publiques

  • Certificats

    • Certificat local: le certificat local contient la clé publique et les informations d’identité de l Juniper Networks périphérique. L Juniper Networks périphérique privé est propriétaire de la clé privée associée. Ce certificat est généré à partir d’une demande de certificat provenant de Juniper Networks périphérique.

    • Certificat en attente: un certificat en attente contient une paire clé et des informations d’identité générées dans une demande de certificat PKCS10 et envoyées manuellement à une autorité de certification (AC). Pendant que l’Juniper Networks attend le certificat de l’AC, l’objet existant (paire clé et demande de certificat) est marqué comme une demande de certificat ou comme certificat en attente.

      Remarque :

      Junos OS version 9.0 et ultérieurement, l’envoi automatique des requêtes de certificats via SCEP est automatique.

    • AC: lorsque le certificat est publié par le AC et chargé sur l’équipement Junos OS, le certificat en attente est remplacé par le certificat local nouvellement généré. Tous les autres certificats chargés sur l’équipement sont considérés AC certificats.

  • Listes de révocation des certificats (CRL)

Notez les points suivants concernant les certificats:

  • Les certificats locaux sont généralement utilisés lorsqu’un Junos OS possède des VPN dans plusieurs domaines administratifs.

  • Tous les objets PKI sont stockés dans une partition séparée de mémoire persistante, à l’exception de Junos OS image et de la configuration générale du système.

  • Chaque objet PKI dispose d’un nom unique ou d’un ID de certificat qui lui est attribué lors de sa création et conserve cet ID jusqu’à sa suppression. Vous pouvez afficher l’ID de certificat à l’aide de la show security pki local-certificate commande.

  • Dans la plupart des cas, un certificat ne peut pas être copié à partir d’un équipement. La clé privée d’un équipement doit uniquement être générée sur cet équipement et ne doit jamais être vue ou enregistrée à partir de cet équipement. Les fichiers PKCS12 (qui contiennent un certificat contenant la clé publique et la clé privée associée) ne sont donc pas pris en charge Junos OS périphériques.

  • AC certificats valident les certificats reçus par l’IKE pair. Si le certificat est valide, il est vérifié dans le CRL pour savoir si le certificat a été révoqué.

    Chaque AC comprend une configuration AC qui stocke les informations suivantes:

    • AC qui est généralement le nom de domaine de la AC

    • Adresse électronique pour l’envoi des requêtes de certificat directement au AC

    • Paramètres devocation:

      • Option de vérification de lavocation activer/désactiver

      • Désactivation de la vérification de révocation en cas d’échec du téléchargement CRL.

      • Emplacement du point de distribution CRL (CDP) (pour un paramètre d’URL manuel)

      • Intervalle de actualisation CRL

Composants PKI dans Junos OS

Cette rubrique comprend les sections suivantes :

Gestion et implémentation PKI

Les éléments PKI minimum requis pour l’authentification basée sur un certificat dans Junos OS sont les éléments requis:

  • AC de certifications et de configuration des autorités.

  • Certificats locaux comprenant l’identité de l’équipement (par exemple: IKE type et valeur de l’ID) et clés privées et publiques

  • Validation de certificat via un CRL.

Junos OS prend en charge trois types différents d’objets PKI:

Internet Key Exchange

La procédure de signature numérique des messages envoyés par deux participants lors d’une session de Internet Key Exchange (IKE) est similaire à celle de la vérification numérique des certificats, avec les différences suivantes:

  • Plutôt que de faire un digeste à partir du AC, l’expéditeur le fait à partir des données de la charge utile du paquet IP.

  • Au lieu d’utiliser la paire de clés public-privé de AC, les participants utilisent la paire de clés public-privé de l’expéditeur.

Groupe AC de confiance

Une autorité de certification (AC) est un tiers fiable responsable de l’émission et de la révoquer des certificats. Vous pouvez grouper plusieurs CA (AC) dans un seul groupe AC pour une topologie donnée. Ces certificats sont utilisés pour établir une connexion entre deux points d’extrémité. Pour établir IKE ou IPsec, les deux points de terminaison doivent faire confiance aux mêmes AC. Si l’un des points de terminaison ne peut valider le certificat à l’aide de leur AC de confiance respectif (profil ca) ou du groupe de AC approuvé, la connexion n’est pas établie.

Par exemple, deux terminaux (points A et B) tentent d’établir une connexion sécurisée. Lorsque le point final B présente son certificat au point d’extrémité A, le point d’extrémité A vérifie si le certificat est valide. Le AC point d’extrémité A vérifie le certificat signé utilisé par le point de terminaison B pour obtenir une autorisation. Lorsque ou est configuré, l’équipement n’utilise que les profils d’AC ajoutés dans ce ou le profil AC configuré sous pour valider le certificat provenant du point de trusted-catrusted-ca-grouptrusted-ca-grouptrusted-ca terminaison B. Si le certificat est vérifié comme valide, la connexion est autorisée, si la connexion est rejetée.

Avantages :

  • Pour toute demande de connexion entrante, seul le certificat émis par AC de confiance particulier de ce point final est validé. Si ce n’est pas le cas, l’autorisation rejette l’établissement de la connexion.

Présentation du traitement des clés cryptographiques

Avec le traitement des clés cryptographiques, les clés persistantes sont stockées dans la mémoire de l’équipement sans tenter de les altérer. Bien que l’appareil de mémoire interne ne soit pas directement accessible à un adversaire potentiel, ceux qui nécessitent une deuxième couche de défense peuvent gérer des clés cryptographiques spéciales. Lorsqu’elle est activée, la clé cryptographique qui gère les clés chiffre les clés lorsqu’elles ne sont pas immédiatement utilisés, effectue la détection des erreurs lors de la copie d’une clé d’un emplacement de mémoire à un autre et overwres la position de mémoire d’une clé à l’aide d’un modèle aléatoire lorsque la clé n’est plus en utilisation. Les clés sont également protégées lorsqu’elles sont stockées dans la mémoire Flash de l’équipement. L’activation de la fonction de traitement des clés cryptographiques ne provoque aucun changement observable de l’extérieur du comportement de l’équipement, et l’équipement continue d’interopérabilité avec les autres équipements.

Un administrateur cryptographique peut activer et désactiver les fonctions d’auto-test cryptographique; cependant, l’administrateur sécurité peut modifier le comportement des fonctions d’auto-test cryptographique, par exemple la configuration d’auto-tests périodiques ou la sélection d’un sous-ensemble d’auto-tests cryptographiques.

Les clés persistantes suivantes sont actuellement sous la gestion de IKE et PKI:

  • IKE clés pré-partagées (IKE PSK)

  • Clés privées PKI

  • Clés VPN manuelles