Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Utiliser des certificats numériques

Procédez comme suit pour générer et utiliser des certificats pour le serveur RADIUS intégré à Juniper Mist Access Assurance pour chaque organisation.

Lors de l’utilisation de l’authentification EAP, le client et le serveur doivent vérifier l’identité de l’autre. Le client doit faire confiance au serveur avec lequel il communique, et le serveur doit authentifier le client. Le certificat du serveur est la première étape de ce processus d’authentification mutuelle, et le client doit le valider ou lui faire confiance avant de poursuivre la communication.

Si nous examinons une transaction EAP (par exemple, EAP-TLS ou EAP-TTLS), qu’il s’agisse d’une authentification sans fil ou filaire, la première étape consiste pour le serveur à s’identifier en envoyant un message « Server Hello » à l’équipement client.

Lorsqu’un périphérique client reçoit un certificat de serveur, il consulte la liste des autorités de certification (CA) de confiance dans le profil Wi-Fi ou LAN et vérifie si le certificat de serveur est signé par l’une des autorités de certification de confiance. Si elle est configurée, elle vérifie si le nom du serveur correspond à la liste des noms de serveurs approuvés dans la configuration du client.

Nous vous recommandons de ne pas ignorer l’étape de validation et le certificat du serveur de confiance. Il s’agit d’un risque de sécurité élevé qui peut ouvrir la voie à des attaques de l’homme du milieu.

Vous pouvez utiliser l’une des méthodes suivantes pour générer et utiliser des certificats pour le serveur RADIUS intégré à Juniper Mist Access Assurance pour chaque organisation.

  • Certificat d’autorité de certification : Juniper Mist nécessite des certificats d’autorité de certification spécifiques pour établir la confiance avec vos appareils clients. Ces certificats, émis par des autorités de certification (CA) de confiance, permettent à Juniper Mist Access Assurance d’accorder un accès réseau aux appareils clients. La validation des équipements clients par Juniper Mist est basée sur la présentation des certificats par les appareils, qui doivent être signés par la même autorité de certification.
  • Certificat Access Assurance Juniper Mist par défaut : Mist organisation conserve son autorité de certification Mist (CA) unique et privée responsable de l’émission du certificat du serveur Access Assurance. En l’absence de configurations spécifiques, les clients recevront un certificat par défaut authentifié par leur autorité de certification de l’organisation Mist respective. Ce certificat correspond au domaine « auth.mist.com ».
  • Certificat de serveur personnalisé : le certificat de serveur personnalisé est privilégié lorsque vous préférez ne pas modifier la configuration client actuelle et que vous souhaitez que les clients fassent confiance aux certificats de serveur émis par la même autorité de certification (CA) que celle qui a fourni les certificats clients. Vous devez entrer la clé privée et le certificat signé que vous avez obtenus auprès de votre serveur RADIUS.

Lisez les procédures ci-dessous pour comprendre comment utiliser les certificats ci-dessus.

Utiliser un certificat d’autorité de certification

Pour que l’authentification basée sur le certificat EAP-TLS (Extensible Authentication Protocol-couche transport Security) fonctionne, vous devez ajouter le certificat d’autorité de certification approuvé sur le portail Juniper Mist.

Cette étape permet à l’authentification d’accès Juniper Mist de faire confiance aux certificats clients signés par les autorités de certification que vous avez ajoutées.

Vous pouvez obtenir le certificat auprès d’une autorité de certification externe. Il peut s’agir d’une autorité de certification publique bien connue ou d’une autorité de certification d’entreprise.

Regardez la vidéo suivante pour savoir comment générer un certificat à des fins de test ou de laboratoire :

How to create certificates both CA certificates and client certificates that you could use for lab testing to repeat all the steps in our tutorials. So in order to do things easily and quickly, assuming there is no existing infrastructure, assuming there is nothing you can use that you're available on-hand, you could use some open source tools that are out there on the internet. I will use degree-based certificate authority and key management called XCA.

You can Google it. You can download it. It's available for everyone to use. So now, when we will use XCA tool, first thing we will need to do, we'll need to create a new database. You could think of this creating a specific BQ infrastructure right on your laptop. So we can just say missed access insurance tutorial. Database, save it in there, it will ask you to encrypt it, which is a good thing. Click OK. So now we have the database created.

So the first thing we will need to create our certificate infrastructure is the certificate authority. That's the thing that will sign all the certificates of all your client devices that you will be using for testing. And that's the ultimate source of trust in your BQ infrastructure. So I'm going to click on new certificate. I'm going to select that, this is going to be a self-signed certificate because technically, every certificate authority, the root certificate authority is a self-signed.

Has a self-signed certificate. We'll select the template called CA from this list, will then go to subject. We can give it some internal name but doesn't matter, we could just say lab mist CA. You can fill in some of the data in there. Again, it doesn't really matter what you will put in there. But for testing purposes, just use anything you really like, organization name. Common name is important. This is how you identify certificates in real life. So one of the important attributes is common name. And we will take a look at the other one later, which is called the subject alternative name.

So common name, let's just call it lab-mist-ca@justify.com. Maybe something like this. I'm going to click that. We'll need to create a private key. A private key is what will prove that the certificate-- oh, owned and certificate holder is actually that same device or it's same CA. So we'll generate a new key, we'll set it to be 4,000 bytes, create. It will automatically selected here. It's good. We'll go to extensions. The type will be certification authority. It will add a few attributes in the certificate saying this is a CA cert.

This is where we will add the subject to alternative name. So typically what you'll do is you click edit, you will say I want to copy common name and there. Click apply. That's it. This will typically go and take your common name and copy it into a assign attribute.

Nowadays, many clients are using SAN to validate-- certificate validity. And the key usage, what do we need there? We need certificate signs, CRL sign. That's pretty much it. So we'll click OK. This now created our certificate authority in here. So we have the certificate. This is a CA cert, it has a common name.

The expiry date is, well, next year, but typically CA cert would be valid for like 10 years or something like that. For our intents and purposes, this is just a lot testing one year is more than enough.

So what will then need to do is will create a client cert. So click select our CA, will click new certificate. Now see under signing section, we are going to use this CA cert for signing certificates. It's not going to be self-signed anymore. So now our certificate authority will sign a new certificate that will be issued by the client. This is how we will establish this chain of trust. So create, select the template-- TLS client. We'll go to subject. That just say this is going to be a test lab client. Doesn't matter.

So common name is important. So this is where I would recommend you to use something that is an actual username that you want to use later on with your testing, whether you have an identity provider with your test username or things like that. So in my case, I will use one username I have in my Okta IdP that I will use later on. So I'm going to just use my Juniper email address. I'm going to copy it. We'll need to generate a private key, again, 4,000 bits.

We'll go to extensions, we'll select end entity. We'll click on subject, alternative name. Again, we'll just say copy common name. We'll go to key usage, will now need to select that this is a client certificate not the service certificate. And we will need key encipherments, digital signature, it should be OK. Now we click OK. We now have a client certificate.

So now we see there is a little dropdown in there. So we have a CA but now sign the client certificate. So now we have a CA and now we have a client certificate. What we'll do will need to export the CA. I will click on export. The CA cert, we are only exporting the public certificate, we are not touching the private key. Private Key stays untouched. It it is never exported anywhere. This is the only thing that protects the ownership of that certificate.

So we are exporting the private key in our test folder-- .mistCRT that's all we need. Click OK. The next thing we'll need is we'll need to export the certificate and the private key that we will use for client testing. Again, normally in production environment, you're not going to export private keys, they will be automatically pushed and distributed through MDM securely so they're never exposed to the network or anybody. But in our case, since we're testing, that's OK to do for now. So we'll click export.

In this case, the export format is pfx. That's the format that will include the client certificate, the client private key, and the CA cert in one package. So you can later on imported to one of your testing clients. And generally, this format is well understood by different operating systems.

It will ask you to encrypt that package. So just do a very secure password of 1234. Now we have to search, export it. We have a CA cert and we have a client cert. For now, this is good enough for our testin

Pour ajouter un certificat d’autorité de certification :

  1. Dans le menu de gauche du portail Juniper Mist, sélectionnez Organisation > accès > certificats.
    La page Autorités de certification s’affiche et affiche la liste des certificats.
  2. Cliquez sur Ajouter une autorité de certification.
  3. Collez votre certificat d’autorité de certification dans le champ Certificat signé.
    Figure 1 : ajout d’une autorité Add Certificate Authority de certification

    Le texte doit inclure les lignes et —–BEGIN CERTIFICATE—– —–END CERTIFICATE—– .

    Le système analyse et décode le certificat d’autorité de certification importé et affiche les propriétés du certificat dans le volet Propriétés . Nous vous recommandons d’ajouter votre autorité de certification racine, ainsi que toutes vos autorités de certification intermédiaires ou certificats émetteurs.

Utiliser le certificat de serveur par défaut de Juniper Mist Access Assurance

Juniper Mist cloud agit en tant qu’autorité de certification (CA) privée pour chaque organisation ajoutée au cloud Juniper Mist. Juniper Mist émet un certificat de serveur. Si aucun certificat n’est configuré, le portail Juniper Mist présente un certificat de serveur par défaut signé par Juniper Mist autorité de certification aux périphériques clients.

Un certificat sera émis pour le nom auth.mist.com et affiche les informations similaires à celles de la figure 2.

Figure 2 : certificat de serveur émis par Mist Access Assurance Server Certificate Issued by Mist Access Assurance
Côté client, vous devez configurer les périphériques clients pour qu’ils approuvent le certificat de l’autorité de certification Mist et, si vous le souhaitez, valider le nom du certificat du serveur en tant que auth.mist.com.

Pour télécharger le certificat du serveur Juniper Mist :

  1. Dans le menu de gauche Juniper Mist du portail, sélectionnez Organisation > accès > certificats.
    La page Autorités de certification s’affiche et affiche la liste des certificats.
  2. Cliquez sur Afficher Mist certificat.
    L’écran affiche les détails du certificat signé . Copiez le contenu du certificat à partir du champ Certificat signé .
    Figure 3 : affichage et copie Mist certificat View and Copy Mist Certificate
  3. Stockez le contenu du certificat sur votre ordinateur local et ajoutez l’extension .crt ou .cer dans le nom du fichier. Par exemple : mymistorgca.crt.
  4. Importez le fichier de certificat sur tous vos appareils clients en tant que certificat racine de confiance.

    Une fois que vous avez configuré un périphérique client pour qu’il approuve le certificat de l’autorité de certification Juniper Mist, vous pouvez utiliser le certificat jusqu’à ce qu’il soit valide.

Utiliser des certificats de serveur personnalisés

Vous disposez peut-être déjà d’une PKI et souhaitez préserver la configuration existante. Dans ce cas, vous devez télécharger le certificat public de votre autorité de certification racine et la paire de clés publique/privée du serveur RADIUS sur le portail Juniper Mist.

Assurez-vous que vos périphériques clients utilisent également les mêmes certificats afin que le serveur RADIUS valide le certificat de chaque client (demandeur). Effectuez cette tâche si vous souhaitez conserver la configuration actuelle de vos clients inchangée et que vous souhaitez que les clients approuvent le certificat de serveur émis par la même autorité de certification qui a émis leurs certificats.

Pour télécharger votre certificat sur le portail Juniper Mist :

  1. Dans le menu de gauche Juniper Mist du portail, sélectionnez Organisation > accès > certificats.
    La page affiche la liste des certificats.
  2. Cliquez sur Importer un certificat Radius personnalisé pour ouvrir la page du certificat.
    Figure 4 : importation d’un certificat Import Custom RADIUS Server Certificate de serveur RADIUS personnalisé
  3. Sur la page Importer un certificat de serveur RADIUS personnalisé, entrez les détails de votre certificat d’autorité de certification :
    Figure 5 : entrez les détails Enter Custom Server Certificate Details du certificat de serveur personnalisé
    • Clé privée : copiez et collez les informations de la clé privée. Le texte doit inclure les lignes et BEGIN RSA PRIVATE KEY END RSA PRIVATE KEY .
    • Private Key Password (Mot de passe de la clé privée) : saisissez la phrase secrète de la clé privée (si disponible).
    • Signed Certificate (Certificat signé) : copiez et collez le certificat sous forme de texte. Assurez-vous d’inclure toutes les autorités de certification intermédiaires et le certificat de l’autorité de certification racine. Le texte doit inclure les lignes et —–BEGIN CERTIFICATE—– —–END CERTIFICATE—– .
  4. Cliquez sur Save (Enregistrer).
  5. Configurez vos périphériques clients pour qu’ils fassent confiance à l’autorité de certification racine (CA) qui a signé votre certificat de serveur.
    Avec cette étape, vous vous assurez que lorsque vous mettez à jour ou modifiez votre certificat de serveur (ce qui est généralement fait tous les ans ou après quelques années), les périphériques clients font confiance au nouveau certificat de serveur, car ils font confiance à l’autorité de certification parent qui l’a signé.

Guidelines for using custom server certificates:

  • Do not use a wildcard certificate, for example: *.abc.com for 802.1X authentication.
  • You can use a certificate that contains a common name (CN) or a subject alternative name (SAN) for 802.1X authentication..
  • We recommend the following x509 extension attributes. The majority of the client device operating systems support these extensions.
    • Use certificate version 3 or v3 (not legacy v1)
    • If the server name is being used as a validation criterion on the client side, then the certificate should include the SAN extension with the DNS name of the server.
    • Include Extended Key Usage as a TLS web server authentication criterion (required for most Android devices).

Vous pouvez maintenant aller de l’avant avec le processus d’authentification basée sur les certificats.

Voir aussi