Révocation de certificat
Les certificats numériques ont une date d’expiration, cependant, avant l’expiration, un certificat peut ne plus être valide pour de nombreuses raisons. Vous pouvez gérer les révocations et les validations de certificats localement et en référençant une liste de révocation de certificats (CRL) d’autorité de certification (CA).
Présentation du protocole d’état des certificats en ligne et des listes de révocation de certificats
OCSP est utilisé pour vérifier l’état de révocation des certificats X509. OCSP fournit le statut de révocation des certificats en temps réel et est utile dans les situations urgentes telles que les transactions bancaires et les transactions boursières.
L’état de révocation d’un certificat est vérifié en envoyant une requête à un serveur OCSP résidant en dehors d’un pare-feu SRX Series. En fonction de la réponse du serveur, la connexion VPN est autorisée ou refusée. Les réponses OCSP ne sont pas mises en cache sur les pare-feu SRX Series.
Le serveur OCSP peut être l’autorité de certification (CA) qui émet un certificat ou un répondant autorisé désigné. L’emplacement du serveur OCSP peut être configuré manuellement ou extrait du certificat en cours de vérification. Les demandes sont d’abord envoyées aux emplacements de serveur OCSP qui sont configurés manuellement dans les profils d’autorité de certification avec l’instruction au niveau de la hiérarchie [edit security pki ca-profile profile-name revocation-check] ; jusqu’à deux emplacements peuvent être configurés pour chaque profil d’autorité ocsp url de certification. Si le premier serveur OCSP configuré n’est pas joignable, la requête est envoyée au second serveur OCSP. Si le deuxième serveur OCSP n’est pas accessible, la demande est alors envoyée à l’emplacement indiqué dans le champ d’extension AuthorityInfoAccess du certificat. L’option use-ocsp doit également être configurée, car la liste de révocation de certificats (CRL) est la méthode de vérification par défaut.
Les pare-feu SRX Series acceptent uniquement les réponses OCSP signées de l’autorité de certification ou de l’intervenant autorisé. La réponse reçue est validée à l’aide de certificats de confiance. La réponse est validée comme suit :
-
Le certificat d’autorité de certification inscrit pour le profil d’autorité de certification configuré est utilisé pour valider la réponse.
-
La réponse OCSP peut contenir un certificat pour valider la réponse OCSP. Le certificat reçu doit être signé par un certificat d’autorité de certification inscrit dans le pare-feu SRX Series. Une fois que le certificat reçu est validé par le certificat de l’autorité de certification, il est utilisé pour valider la réponse OCSP.
La réponse du serveur OCSP peut être signée par différentes autorités de certification. Les scénarios suivants sont pris en charge :
-
Le serveur de l’autorité de certification qui émet le certificat d’entité finale pour un périphérique signe également la réponse d’état de révocation OCSP. Le pare-feu SRX Series vérifie la signature de réponse OCSP à l’aide du certificat d’autorité de certification inscrit dans le pare-feu SRX Series. Une fois la réponse OCSP validée, l’état de révocation du certificat est vérifié.
-
Un répondeur autorisé signe la réponse sur l’état de révocation de l’OCSP. Le certificat de l’intervenant autorisé et le certificat de l’entité finale en cours de vérification doivent être émis par la même autorité de certification. L’intervenant autorisé est d’abord vérifié à l’aide du certificat d’autorité de certification inscrit dans le pare-feu SRX Series. La réponse OCSP est validée à l’aide du certificat d’autorité de certification du répondant. Le pare-feu SRX Series utilise ensuite la réponse OCSP pour vérifier l’état de révocation du certificat de l’entité finale.
-
Il existe différents signataires d’autorité de certification pour le certificat d’entité finale en cours de vérification et la réponse OCSP. La réponse OCSP est signée par une autorité de certification dans la chaîne de certificats du certificat de l’entité finale en cours de vérification. (Tous les homologues participant à une négociation IKE doivent disposer d’au moins une autorité de certification de confiance commune dans leurs chaînes de certificats respectives.) L’autorité de certification du répondeur OCSP est vérifiée à l’aide d’une autorité de certification dans la chaîne de certificats. Après avoir validé le certificat de l’autorité de certification du répondeur, la réponse OCSP est validée à l’aide du certificat de l’autorité de certification du répondant.
Pour empêcher les attaques par rejeu, une charge utile nonce peut être envoyée dans une requête OCSP. Les charges utiles Nonce sont envoyées par défaut, sauf si elles sont explicitement désactivées. Si cette option est activée, le pare-feu SRX Series s’attend à ce que la réponse OCSP contienne une charge utile nonce, sinon la vérification de révocation échoue. Si les intervenants OCSP ne sont pas capables de répondre avec une charge utile nonce, celle-ci doit être désactivée sur le pare-feu SRX Series.
Dans le cours normal des affaires, les certificats sont révoqués pour diverses raisons. Vous pouvez révoquer un certificat si vous soupçonnez qu’il a été compromis, par exemple, ou lorsqu’un titulaire du certificat quitte l’entreprise.
Vous pouvez gérer les révocations et les validations de certificats de deux manières :
-
Localement : il s’agit d’une solution limitée.
-
En référençant une liste de révocation de certificats (CRL) de l’autorité de certification (CA) : vous pouvez accéder automatiquement à la CRL en ligne aux intervalles que vous spécifiez ou à l’intervalle par défaut défini par l’autorité de certification.
Dans les négociations de phase 1, le pare-feu SRX Series vérifie le certificat EE reçu de l’homologue lors d’un échange IKE et utilise la CRL pour s’assurer que le certificat EE n’est pas révoqué par son autorité de certification.
Si aucune CRL n’est chargée sur l’appareil et que l’émetteur du certificat homologue est une autorité de certification approuvée :
- Junos OS récupère la CRL via les emplacements LDAP ou CRL HTTP configurés (c’est-à-dire les points de distribution CRL (CDP)), s’ils sont définis dans le profil de l’autorité de certification.
- Si les points de distribution CRL ne sont pas configurés dans le profil de l’autorité de certification, l’appareil utilise l’extension CDP dans un certificat émis par l’autorité de certification (le cas échéant). Le certificat émis par l’autorité de certification peut être un certificat enregistré par l’administrateur ou reçu lors de la négociation de phase 1.
Si le certificat EE n’est pas émis par une autorité de certification racine, les certificats de chaque autorité de certification intermédiaire sont soumis à la même vérification et à la même vérification de révocation. La CRL de l’autorité de certification racine est utilisée pour vérifier si le certificat émis par l’autorité de certification racine est révoqué. Si la CDP n’est pas configurée dans le profil de l’autorité de certification racine, l’appareil utilise l’extension CDP dans le certificat émis par l’autorité de certification (le cas échéant).
L’extension de point de distribution CRL (.cdp) d’un certificat X509 peut être ajoutée à une URL HTTP ou à une URL LDAP.
Si le certificat ne contient pas d’extension de point de distribution de certificat et que vous ne pouvez pas récupérer automatiquement la CRL via le protocole LDAP (Lightweight Directory Access Protocol) ou le protocole HTTP (Hypertext Transfer Protocol), vous pouvez récupérer une CRL manuellement et la charger dans l’appareil.
Les certificats locaux sont validés par rapport à la liste de révocation de certificats (CRL), même lorsque la vérification de la CRL est désactivée. Cela peut être arrêté en désactivant la vérification de la liste de révocation de certificats via la configuration de l’infrastructure à clé publique (PKI). Lorsque la vérification de la CRL est désactivée, la PKI ne valide pas le certificat local par rapport à la CRL.
Comparaison du protocole d’état des certificats en ligne et de la liste de révocation des certificats
L’OCSP (Online Certificate Status Protocol) et la liste de révocation de certificats (CRL) peuvent tous deux être utilisés pour vérifier l’état de révocation d’un certificat. Il y a des avantages et des inconvénients à chaque méthode.
-
OCSP fournit l’état du certificat en temps réel, tandis que la CRL utilise les données mises en cache. Pour les applications urgentes, OCSP est l’approche privilégiée.
-
La vérification de la CRL est plus rapide, car la recherche de l’état du certificat est effectuée sur les informations mises en cache sur le périphérique VPN. OCSP a besoin de temps pour obtenir le statut de révocation à partir d’un serveur externe.
-
La CRL nécessite de la mémoire supplémentaire pour stocker la liste de révocation reçue d’un serveur de CRL. OCSP n’a pas besoin de mémoire supplémentaire pour enregistrer l’état de révocation des certificats.
-
OCSP exige que le serveur OCSP soit disponible à tout moment. La CRL peut utiliser les données mises en cache pour vérifier l’état de révocation des certificats lorsque le serveur est inaccessible.
Sur les pare-feu MX Series et SRX Series, la CRL est la méthode par défaut utilisée pour vérifier l’état de révocation d’un certificat.
Voir également
Exemple : Chargement manuel d’une CRL sur l’appareil
Cet exemple montre comment charger manuellement une CRL sur l’appareil.
Conditions préalables
Avant de commencer :
Générez une paire de clés publique et privée. Reportez-vous à la section Certificats numériques autosignés.
Générez une demande de certificat. Voir l’exemple : Génération manuelle d’une CSR pour le certificat local et envoi de celle-ci au serveur de l’autorité de certification.
Configurez un profil d’autorité de certification (CA). Voir l’exemple : Configuration d’un profil d’autorité de certification.
Chargez votre certificat sur l’appareil. Voir l’exemple : Chargement manuel de l’autorité de certification et des certificats locaux.
Présentation
Vous pouvez charger une CRL manuellement, ou vous pouvez demander à l’appareil de la charger automatiquement, lorsque vous vérifiez la validité du certificat. Pour charger une CRL manuellement, vous devez l’obtenir auprès d’une autorité de certification et la transférer sur l’appareil (par exemple, à l’aide de FTP).
Dans cet exemple, vous chargez un certificat CRL appelé revoke.crl à partir du répertoire /var/tmp de l’appareil. Le profil de l’autorité de certification s’appelle ca-profile-ipsec. (La taille maximale du fichier est de 5 Mo.)
Si une CRL est déjà chargée dans le profil ca, la commande clear security pki crl ca-profile ca-profile-ipsec doit d’abord être exécutée pour effacer l’ancienne CRL.
Configuration
Procédure
Procédure étape par étape
Pour charger manuellement un certificat CRL :
Chargez un certificat CRL.
[edit] user@host> request security pki crl load ca-profile ca-profile-ipsec filename /var/tmp/revoke.crl
Junos OS prend en charge le chargement des certificats d’autorité de certification aux formats X509, PKCS #7, DER ou PEM.
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la commande mode show security pki crl opérationnel.
Comprendre le téléchargement et la vérification de la CRL dynamique
Les certificats numériques sont émis pour une période définie et ne sont plus valides après la date d’expiration spécifiée. Une autorité de certification peut révoquer un certificat émis en l’inscrivant dans une liste de révocation de certificats (CRL). Lors de la validation du certificat homologue, l’état de révocation d’un certificat homologue est vérifié en téléchargeant la liste de révocation de certificats d’un serveur d’autorité de certification vers l’équipement local.
Pour faciliter la vérification de la CRL pour les certificats lorsqu’un profil d’autorité de certification n’est pas configuré, un profil d’autorité de certification dynamique est créé. Un profil d’autorité de certification dynamique est automatiquement créé sur l’appareil local au format dynamic-nnn.
Un profil de CA dynamique :
- Permet à l’appareil local de télécharger l’autorité de certification dynamique et la CRL dynamique (pour l’autorité de certification correspondante) conformément à l’émetteur localcert de l’homologue
- Vérifie l’état de révocation du certificat de l’homologue
Un périphérique VPN vérifie l’état de révocation du certificat EE d’un homologue. Un périphérique VPN utilise le certificat reçu de son homologue pour effectuer les opérations suivantes :
- Extraire l’URL pour télécharger dynamiquement la CRL de l’autorité de certification
- Vérifier l’état de révocation du certificat EE de l’homologue
Dans Figure 1, l’hôte A peut utiliser les certificats Sales-CA et EE reçus de l’hôte B pour télécharger dynamiquement la liste de révocation de certificats de Sales-CA et vérifier l’état de révocation du certificat de l’hôte B.
Dans le cas de serveurs d’autorité de certification à hiérarchie unique ou d’une chaîne de certificats d’autorité de certification, le certificat EE local et le certificat EE homologue reçu sont émis à partir du même serveur d’autorité de certification.
Voici quelques-uns des comportements du pare-feu SRX Series en fonction de différentes configurations :
- Si vous avez configuré un pare-feu SRX Series avec une autorité de certification de confiance ou un groupe d’autorité de certification de confiance, l’équipement ne valide ni ne fait confiance à aucune autre autorité de certification.
- Si vous avez défini un profil d’autorité de certification qui a une chaîne d’autorités de certification où le pare-feu SRX Series approuve uniquement l’autorité de certification racine et l’homologue a un certificat signé par une sous-autorité de certification à cette racine, l’autorité de certification dynamique et la liste de révocation de certificats sont ajoutées à l’appareil.
Tableau 1 fournit quelques exemples de scénarios dans lesquels l’autorité de certification dynamique ou la liste de révocation de certificats n’est pas créée :
|
Scénario |
Condition |
|---|---|
|
Exemple de scénario 1 |
Dans le profil de l’autorité de certification, vous avez défini une autorité de certification approuvée pour ca-profile-name, et vous recevez une connexion d’un appareil dont le certificat a été signé par une autre autorité de certification qui n’a pas été définie comme une autorité de certification approuvée dans votre profil d’autorité de certification. |
|
Exemple de scénario 2 |
Vous avez défini un profil d’autorité de certification qui a une chaîne d’autorités de certification où le pare-feu SRX Series ne fait confiance qu’à une sous-autorité de certification et l’homologue a un certificat signé par un niveau supérieur à cette sous-autorité de certification. |
Pour activer les profils d’autorité de certification dynamiques, vous devez configurer l’option sur un profil d’autorité revocation-check crl de certification racine au niveau de la hiérarchie [edit security pki ca-profile profile-name].
Les propriétés de vérification de révocation d’un profil d’autorité de certification racine sont héritées pour les profils d’autorité de certification dynamique. Dans Figure 1, la configuration du profil d’autorité de certification sur l’hôte A pour l’autorité de certification racine active les profils d’autorité de certification dynamiques, comme illustré dans la sortie suivante :
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
revocation-check {
crl;
}
}
}Un profil d’autorité de certification dynamique est créé sur l’hôte A pour Sales-CA. La vérification de révocation est héritée pour le profil d’autorité de certification dynamique Sales-CA de l’autorité de certification racine.
Si l’instruction est configurée dans un profil d’autorité revocation-check disable de certification racine, les profils d’autorité de certification dynamique ne sont pas créés et le téléchargement et la vérification dynamiques de la liste de révocation de certificats ne sont pas effectués.
Les données des listes de révocation de certificats téléchargées à partir de profils d’autorité de certification dynamiques sont affichées avec la show security pki crl commande de la même manière que les listes de révocation de certificats téléchargées à partir de profils d’autorité de certification configurés. La liste de révocation de certificats d’un profil d’autorité de certification dynamique est mise à jour périodiquement, de même que celles des profils d’autorité de certification configurés dans l’appareil. Le certificat de l’autorité de certification homologue est également requis pour la validation de la signature de la liste de révocation de certificats téléchargée à partir du serveur de l’autorité de certification.
Le certificat de l’autorité de certification est nécessaire pour valider la liste de révocation de certificats reçue d’un serveur d’autorité de certification ; par conséquent, le certificat d’autorité de certification reçu d’un homologue est stocké sur l’appareil local. Le certificat d’autorité de certification reçu de l’homologue est utilisé pour valider la CRL et le certificat qu’il a émis. Étant donné que le certificat d’autorité de certification reçu n’est pas inscrit par un administrateur, le résultat d’une vérification réussie du certificat n’est pas concluant tant que l’ensemble de la chaîne de certificats jusqu’à l’autorité de certification racine n’est pas vérifié. Le certificat de l’autorité de certification racine doit être inscrit par un administrateur.
Voir également
Exemple : Configuration d’un profil d’autorité de certification avec des emplacements CRL
Cet exemple montre comment configurer un profil d’autorité de certification avec des emplacements CRL.
Conditions préalables
Avant de commencer :
Générez une paire de clés dans l’appareil. Reportez-vous à la section Certificats numériques.
Créez un ou plusieurs profils d’autorité de certification contenant des informations spécifiques à une autorité de certification. Voir l’exemple : Configuration d’un profil d’autorité de certification.
Obtenir un certificat personnel de l’autorité de certification. Voir l’exemple : Génération manuelle d’une CSR pour le certificat local et envoi de celle-ci au serveur de l’autorité de certification.
Chargez le certificat sur l’appareil. Voir l’exemple : Chargement manuel de l’autorité de certification et des certificats locaux.
Configurez la réinscription automatique. Voir l’exemple : Configuration de l’authentification de l’utilisateur SecurID.
Si nécessaire, chargez la CRL du certificat sur l’appareil. Voir l’exemple : Chargement manuel d’une CRL sur l’appareil.
Présentation
Dans cet exemple, vous demandez à l’appareil de vérifier la validité du profil d’autorité de certification appelé my_profile et, si une CRL n’accompagne pas un certificat d’autorité de certification et n’est pas chargée sur l’appareil, de récupérer la CRL à partir de l’URL http://abc/abc-crl.crl.
Configuration
Procédure
Procédure étape par étape
Pour configurer un certificat à l’aide de la liste de révocation de certificats :
Spécifiez le profil et l’URL de l’autorité de certification.
[edit] user@host# set security pki ca-profile my_profile revocation-check crl url http://abc/abc-crl.crl
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la commande mode show security pki opérationnel.
Exemple : Vérification de la validité du certificat
Cet exemple montre comment vérifier la validité d’un certificat.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Présentation
Dans cet exemple, vous vérifiez manuellement les certificats pour savoir si un certificat a été révoqué ou si le certificat d’autorité de certification utilisé pour créer un certificat local n’est plus présent sur l’appareil.
Lorsque vous vérifiez des certificats manuellement, l’appareil utilise le certificat d’autorité de certification () pour vérifier le certificat local (ca-certlocal.cert ). Si le certificat local est valide et s’il est activé dans le profil de l’autorité de certification, l’appareil revocation-check vérifie que la liste de révocation de certificats est chargée et valide. Si la CRL n’est pas chargée et valide, l’appareil télécharge la nouvelle CRL.
Pour les certificats émis par une autorité de certification ou les certificats d’autorité de certification, un DNS doit être configuré dans la configuration de l’appareil. Le DNS doit être en mesure de résoudre l’hôte dans la CRL de distribution et dans l’URL de la liste de certification/révocation de l’autorité de certification dans la configuration du profil CA. De plus, vous devez avoir l’accessibilité du réseau au même hôte pour que les chèques soient reçus.
Configuration
Procédure
Procédure étape par étape
Pour vérifier manuellement la validité d’un certificat :
Vérifiez la validité d’un certificat local.
[edit] user@host> request security pki local-certificate verify certificate-id local.cert
Vérifiez la validité d’un certificat d’autorité de certification.
[edit] user@host> request security pki ca-certificate verify ca-profile ca-profile-ipsec
La clé privée associée et la signature sont également vérifiées.
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show security pki ca-profile commande.
Si une erreur est renvoyée au lieu d’une vérification positive, l’échec est enregistré dans pkid.
Suppression d’une CRL chargée (procédure CLI)
Vous pouvez choisir de supprimer une CRL chargée si vous n’avez plus besoin de l’utiliser pour gérer les révocations et la validation des certificats.
Utilisez la commande suivante pour supprimer une liste de révocation de certificats chargée :
user@host> clear security pki crl ca-profile (ca-profile all)
Spécifiez un profil d’autorité de certification pour supprimer une CRL associée à l’autorité de certification identifiée par le profil, ou utilisez-le all pour supprimer toutes les CRL.