Authentification IKE (authentification basée sur des certificats)

Hiérarchie à plusieurs niveaux pour l’authentification des certificats

L’authentification basée sur un certificat est une méthode d’authentification prise en charge par les pare-feu SRX Series lors de la négociation IKE. Sur les grands réseaux, plusieurs autorités de certification (CA) peuvent émettre des certificats d’entité finale (EE) sur leurs terminaux respectifs. Il est courant d’avoir des autorités de certification distinctes pour chaque site, service ou organisation.

Lorsqu’une hiérarchie à un seul niveau est utilisée pour l’authentification basée sur les certificats, tous les certificats EE du réseau doivent être signés par la même autorité de certification. Tous les pare-feu doivent avoir le même certificat d’autorité de certification inscrit pour la validation du certificat pair. La charge utile de certificat envoyée lors de la négociation IKE contient uniquement des certificats EE.

Alternativement, la charge utile de certificat envoyée lors de la négociation IKE peut contenir une chaîne de certificats EE et CA. Une chaîne de certificats est la liste des certificats requis pour valider le certificat EE d’un pair. La chaîne de certificats inclut le certificat EE et tous les certificats d’autorité de certification qui ne sont pas présents dans l’homologue local.

L’administrateur réseau doit s’assurer que tous les homologues participant à une négociation IKE disposent d’au moins une autorité de certification de confiance commune dans leurs chaînes de certificats respectives. L’autorité de certification approuvée commune n’a pas besoin d’être l’autorité de certification racine. Le nombre de certificats dans la chaîne, y compris les certificats pour les EE et l’autorité de certification la plus élevée de la chaîne, ne peut pas dépasser 10.

À partir de Junos OS version 18.1R1, la validation d’un homologue IKE configuré peut être effectuée avec un serveur ou un groupe de serveurs d’autorité de certification spécifié. Avec les chaînes de certificats, l’autorité de certification racine doit correspondre au groupe d’autorités de certification approuvées ou au serveur d’autorités de certification configuré dans la stratégie IKE

Dans l’exemple de hiérarchie d’autorités de certification illustré à la Figure 1, l’autorité de certification racine est l’autorité de certification de confiance commune à tous les périphériques du réseau. L’autorité de certification racine délivre des certificats d’autorité de certification aux autorités de certification d’ingénierie et de vente, qui sont identifiées comme Eng-CA et Sales-CA, respectivement. Eng-CA délivre des certificats d’AC aux AC de développement et d’assurance de la qualité, qui sont identifiés comme Dev-CA et Qa-CA, respectivement. L’hôte-A reçoit son certificat EE de Dev-CA tandis que l’hôte-B reçoit son certificat EE de Sales-CA.

Figure 1 : Hiérarchie à plusieurs niveaux pour l’authentification basée sur les certificats

Chaque terminal doit être chargé avec les certificats CA dans sa hiérarchie. L’hôte-A doit avoir des certificats Root-CA, Eng-CA et Dev-CA ; Les certificats Sales-CA et Qa-CA ne sont pas nécessaires. L’hôte B doit avoir des certificats d’autorité de certification racine et d’autorité de certification de vente. Les certificats peuvent être chargés manuellement dans un appareil ou enrôlés à l’aide du processus d’inscription de certificats simple (SCEP).

Chaque terminal doit être configuré avec un profil d’autorité de certification pour chaque autorité de certification de la chaîne de certificats. La sortie suivante montre les profils d’autorité de certification configurés sur l’hôte A :

La sortie suivante montre les profils d’autorité de certification configurés sur l’hôte B :