Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Certificats numériques autosignés

Un certificat auto-signé est un certificat signé par la même entité qui l’a créé plutôt que par une autorité de certification (CA). Junos OS propose deux méthodes pour générer un certificat auto-signé : la génération automatique et la génération manuelle.

Comprendre les certificats autosignés

Un certificat auto-signé est un certificat signé par son créateur plutôt que par une autorité de certification (CA).

Les certificats auto-signés permettent d’utiliser des services SSL (Secure Sockets Layer) sans que l’utilisateur ou l’administrateur n’ait à entreprendre la tâche considérable d’obtenir un certificat d’identité signé par une autorité de certification.

Les certificats autosignés n’offrent pas de sécurité supplémentaire comme ceux générés par les autorités de certification. Cela est dû au fait qu’un client ne peut pas vérifier que le serveur auquel il est connecté est bien celui annoncé dans le certificat.

Junos OS propose deux méthodes pour générer un certificat auto-signé :

  • Génération automatique

    Dans ce cas, le créateur du certificat est l’équipement Juniper Networks. Un certificat auto-signé généré automatiquement est configuré sur l’appareil par défaut.

    Une fois l’appareil initialisé, il vérifie la présence d’un certificat auto-signé généré automatiquement. S’il n’en trouve pas, l’appareil en génère un et l’enregistre dans le système de fichiers.

  • Génération manuelle

    Dans ce cas, vous créez le certificat auto-signé de l’appareil.

    Vous pouvez utiliser la CLI pour générer un certificat auto-signé. Ces certificats sont également utilisés pour accéder aux services SSL.

Les certificats autosignés sont valables cinq ans à compter du moment où ils ont été générés.

Un certificat auto-signé généré automatiquement permet d’utiliser des services SSL sans que l’administrateur n’ait besoin d’obtenir un certificat d’identité signé par une autorité de certification.

Un certificat auto-signé généré automatiquement par l’appareil est similaire à une clé d’hôte Secure Shell (SSH). Il est stocké dans le système de fichiers, et non dans le cadre de la configuration. Il persiste lorsque l’appareil est redémarré et est conservé lorsqu’une request system snapshot commande est émise.

Un certificat auto-signé que vous générez manuellement permet d’utiliser des services SSL sans avoir besoin d’obtenir un certificat d’identité signé par une autorité de certification. Un certificat auto-signé généré manuellement est un exemple de certificat local d’infrastructure à clé publique (PKI). Comme c’est le cas pour tous les certificats locaux PKI, les certificats auto-signés générés manuellement sont stockés dans le système de fichiers.

Voir également

Exemple : Génération d’une paire de clés publique-privée

Cet exemple montre comment générer une paire de clés publique-privée.

Conditions préalables

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.

Présentation

Dans cet exemple, vous générez une paire de clés publique-privée nommée self-cert.

Configuration

Procédure

Procédure étape par étape

Pour générer une paire de clés publique-privée :

  • Créez une paire de clés de certificat.

Vérification

Une fois la paire de clés publique-privée générée, l’équipement Juniper Networks affiche les informations suivantes :

Voir également

Exemple : Génération manuelle de certificats auto-signés

Cet exemple montre comment générer manuellement des certificats auto-signés.

Conditions préalables

Avant de commencer, générez une paire de clés de réseau privé public. Reportez-vous à la section Certificats numériques.

Présentation

Pour un certificat auto-signé généré manuellement, vous spécifiez le nom distinctif (DN) lorsque vous le créez. Dans le cas d’un certificat auto-signé généré automatiquement, le système fournit le DN en s’identifiant comme le créateur.

Dans cet exemple, vous générez un certificat auto-signé dont l’adresse e-mail est mholmes@example.net. Vous spécifiez un certificate-id de self-cert à référencer par la gestion web.

Configuration

Procédure

Procédure étape par étape

Pour générer manuellement le certificat auto-signé, entrez la commande suivante en mode opérationnel :

Pour spécifier le certificat auto-signé généré manuellement pour les services HTTPS de gestion Web, entrez la commande suivante en mode configuration :

Vérification

Pour vérifier que le certificat est correctement généré et chargé, entrez la commande suivante en mode opérationnel :

Notez les informations pour Issued to, validity, algorithmet keypair location les Certificate identifier détails dans la sortie affichée.

Pour vérifier le certificat associé à la gestion web, entrez la commande suivante en mode configuration :

Utilisation de certificats auto-signés générés automatiquement (procédure CLI)

Une fois l’appareil initialisé, il vérifie la présence d’un certificat auto-signé. En l’absence d’un certificat auto-signé, l’appareil en génère automatiquement un. Si l’appareil est redémarré, un certificat auto-signé est automatiquement généré au démarrage.

Pour vérifier le certificat généré par le système, exécutez la commande suivante en mode opérationnel :

Notez les Certificate identifier détails dans la sortie. Il affiche les détails suivants : Nom distinctif (DN) pour le certificat généré automatiquement :

  • CN = device serial number

  • CN = system generated

  • CN = self-signed

Utilisez la commande suivante en mode configuration pour spécifier le certificat auto-signé généré automatiquement à utiliser pour les services HTTPS de gestion Web :

Utilisez la commande opérationnelle suivante pour supprimer le certificat auto-signé généré automatiquement :

Une fois que vous avez supprimé le certificat auto-signé généré par le système, l’appareil en génère automatiquement un nouveau et l’enregistre dans le système de fichiers.

Rubriques connexes