Certificats numériques autosignés
Un certificat auto-signé est un certificat signé par la même entité qui l’a créé plutôt que par une autorité de certification (CA). Junos OS propose deux méthodes pour générer un certificat auto-signé : la génération automatique et la génération manuelle.
Comprendre les certificats autosignés
Un certificat auto-signé est un certificat signé par son créateur plutôt que par une autorité de certification (CA).
Les certificats auto-signés permettent d’utiliser des services SSL (Secure Sockets Layer) sans que l’utilisateur ou l’administrateur n’ait à entreprendre la tâche considérable d’obtenir un certificat d’identité signé par une autorité de certification.
Les certificats autosignés n’offrent pas de sécurité supplémentaire comme ceux générés par les autorités de certification. Cela est dû au fait qu’un client ne peut pas vérifier que le serveur auquel il est connecté est bien celui annoncé dans le certificat.
Junos OS propose deux méthodes pour générer un certificat auto-signé :
Génération automatique
Dans ce cas, le créateur du certificat est l’équipement Juniper Networks. Un certificat auto-signé généré automatiquement est configuré sur l’appareil par défaut.
Une fois l’appareil initialisé, il vérifie la présence d’un certificat auto-signé généré automatiquement. S’il n’en trouve pas, l’appareil en génère un et l’enregistre dans le système de fichiers.
Génération manuelle
Dans ce cas, vous créez le certificat auto-signé de l’appareil.
Vous pouvez utiliser la CLI pour générer un certificat auto-signé. Ces certificats sont également utilisés pour accéder aux services SSL.
Les certificats autosignés sont valables cinq ans à compter du moment où ils ont été générés.
Un certificat auto-signé généré automatiquement permet d’utiliser des services SSL sans que l’administrateur n’ait besoin d’obtenir un certificat d’identité signé par une autorité de certification.
Un certificat auto-signé généré automatiquement par l’appareil est similaire à une clé d’hôte Secure Shell (SSH). Il est stocké dans le système de fichiers, et non dans le cadre de la configuration. Il persiste lorsque l’appareil est redémarré et est conservé lorsqu’une request system snapshot
commande est émise.
Un certificat auto-signé que vous générez manuellement permet d’utiliser des services SSL sans avoir besoin d’obtenir un certificat d’identité signé par une autorité de certification. Un certificat auto-signé généré manuellement est un exemple de certificat local d’infrastructure à clé publique (PKI). Comme c’est le cas pour tous les certificats locaux PKI, les certificats auto-signés générés manuellement sont stockés dans le système de fichiers.
Voir également
Exemple : Génération d’une paire de clés publique-privée
Cet exemple montre comment générer une paire de clés publique-privée.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Présentation
Dans cet exemple, vous générez une paire de clés publique-privée nommée self-cert.
Configuration
Procédure
Procédure étape par étape
Pour générer une paire de clés publique-privée :
Créez une paire de clés de certificat.
user@host> request security pki generate-key-pair certificate-id self-cert
Vérification
Une fois la paire de clés publique-privée générée, l’équipement Juniper Networks affiche les informations suivantes :
generated key pair ca-ipsec, key size 1024 bits
Exemple : Génération manuelle de certificats auto-signés
Cet exemple montre comment générer manuellement des certificats auto-signés.
Conditions préalables
Avant de commencer, générez une paire de clés de réseau privé public. Reportez-vous à la section Certificats numériques.
Présentation
Pour un certificat auto-signé généré manuellement, vous spécifiez le nom distinctif (DN) lorsque vous le créez. Dans le cas d’un certificat auto-signé généré automatiquement, le système fournit le DN en s’identifiant comme le créateur.
Dans cet exemple, vous générez un certificat auto-signé dont l’adresse e-mail est mholmes@example.net
. Vous spécifiez un certificate-id de self-cert à référencer par la gestion web.
Configuration
Procédure
Procédure étape par étape
Pour générer manuellement le certificat auto-signé, entrez la commande suivante en mode opérationnel :
user@host> request security pki local-certificate generate-self-signed certificate-id self-cert subject CN=abc domain-name example.net ip-address 1.2.3.4 email mholmes@example.net
Pour spécifier le certificat auto-signé généré manuellement pour les services HTTPS de gestion Web, entrez la commande suivante en mode configuration :
[edit] user@host# set system services web-management https local-certificate self-cert
Vérification
Pour vérifier que le certificat est correctement généré et chargé, entrez la commande suivante en mode opérationnel :
user@host> show security pki local-certificate
Notez les informations pour Issued to
, validity
, algorithm
et keypair location
les Certificate identifier
détails dans la sortie affichée.
Pour vérifier le certificat associé à la gestion web, entrez la commande suivante en mode configuration :
user@host# show system services web-management https local-certificate
Utilisation de certificats auto-signés générés automatiquement (procédure CLI)
Une fois l’appareil initialisé, il vérifie la présence d’un certificat auto-signé. En l’absence d’un certificat auto-signé, l’appareil en génère automatiquement un. Si l’appareil est redémarré, un certificat auto-signé est automatiquement généré au démarrage.
Pour vérifier le certificat généré par le système, exécutez la commande suivante en mode opérationnel :
user@host> show security pki local-certificate system-generated
Notez les Certificate identifier
détails dans la sortie. Il affiche les détails suivants : Nom distinctif (DN) pour le certificat généré automatiquement :
-
CN = device serial number
-
CN = system generated
-
CN = self-signed
Utilisez la commande suivante en mode configuration pour spécifier le certificat auto-signé généré automatiquement à utiliser pour les services HTTPS de gestion Web :
[edit] user@host# set system services web-management https system-generated-certificate
Utilisez la commande opérationnelle suivante pour supprimer le certificat auto-signé généré automatiquement :
user@host# exit user@host> clear security pki local-certificate system-generated
Une fois que vous avez supprimé le certificat auto-signé généré par le système, l’appareil en génère automatiquement un nouveau et l’enregistre dans le système de fichiers.