Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リモート管理のためのセキュアなWebアクセス

J-Web インターフェイスを介して、ジュニパーネットワークスのデバイスをリモートで管理できます。セキュアなWebアクセスを有効にするために、ジュニパーネットワークスのデバイスはHTTPS over Secure Sockets Layer(HTTPS)をサポートしています。必要に応じて、デバイス上の特定のインターフェイスとポートで HTTP または HTTPS アクセスを有効にすることができます。詳細については、このトピックをお読みください。

セキュアWebアクセスの概要

J-Web インターフェイスを介して、ジュニパーネットワークスのデバイスをリモートで管理できます。デバイスと通信するために、J-Webインターフェイスはハイパーテキスト転送プロトコル(HTTP)を使用します。HTTPでは簡単にWebにアクセスできますが、暗号化はできません。HTTP によって Web ブラウザーとデバイス間で送信されるデータは、傍受や攻撃に対して脆弱です。セキュアなWebアクセスを有効にするために、ジュニパーネットワークスのデバイスはHTTPS over Secure Sockets Layer(HTTPS)をサポートしています。必要に応じて、特定のインターフェイスとポートでHTTPまたはHTTPSアクセスを有効にすることができます。

ジュニパーネットワークスのデバイスは、セキュアソケットレイヤー(SSL)プロトコルを使用して、ウェブインターフェイスを介したセキュアなデバイス管理を提供します。SSL は、SSL サービスを提供するために、ペアの秘密鍵と認証証明書を必要とする公開秘密鍵技術を使用します。SSLは、SSLサーバー証明書によってネゴシエートされたセッションキーを使用して、デバイスとWebブラウザー間の通信を暗号化します。

SSL証明書には、公開鍵や認証局(CA)による署名などの識別情報が含まれます。HTTPS 経由でデバイスにアクセスすると、SSL ハンドシェイクによってサーバーとクライアントが認証され、セキュアなセッションが開始されます。情報が一致しない場合、または証明書の有効期限が切れている場合は、HTTPS 経由でデバイスにアクセスできません。

SSL暗号化を使用しないと、デバイスとブラウザ間の通信が公開され、傍受される可能性があります。WAN インターフェイスで HTTPS アクセスを有効にすることをお勧めします。

HTTP アクセスは、組み込みの管理インターフェイスでデフォルトで有効になっています。デフォルトでは、HTTPS アクセスは、SSL サーバー証明書を持つすべてのインターフェイスでサポートされています。

セキュアWebアクセス用のSSL証明書の生成(SRXシリーズファイアウォール)

コマンドを使用してSSL証明書 を生成するには:openssl

  1. CLI で を入力します 。openssl このコマンドは 、プライバシー拡張メール(PEM)形式の自己署名 SSL 証明書を生成します。openssl 証明書と暗号化されていない 1024 ビット RSA 秘密キーが指定されたファイルに書き込まれます。
    注:

    このコマンドは、ジュニパーネットワークスのサービス ゲートウェイがサポートしていない ため、LINUX または UNIX デバイスで実行します。openssl

    は、SSL 証明書を書き込むファイルの名前(例:)に置き換えます。filenamenew.pem

  2. プロンプトが表示されたら、ID フォームに適切な情報を入力します。たとえば、国名を入力します 。US
  3. ファイル の内容を表示します。new.pem

    cat new.pem

    SSL 証明書をインストールするために、このファイルの内容をコピーします。

セキュアなWebアクセスに使用するSSL証明書の生成(EXシリーズスイッチ)

EXシリーズスイッチにセキュアWebアクセスを設定できます。セキュア Web アクセスを有効にするには、デジタル SSL(セキュア ソケット レイヤー)証明書を生成してから、スイッチで HTTPS アクセスを有効にする必要があります。

SSL 証明書を生成するには:

  1. がインストールされている BSD または Linux システム上の SSH コマンド行インターフェースに、以下のコマンドを入力します。opensslopenssl このコマンドは 、プライバシー拡張メール (PEM) 形式の自己署名 SSL 証明書を生成します。openssl 証明書と暗号化されていない 1024 ビット RSA 秘密キーが指定されたファイルに書き込まれます。

    % openssl req –x509 –nodes –newkey rsa:1024 –keyout filename.pem -out filename.pem

    ここで 、は SSL 証明書を書き込むファイルの名前(例: )。filenamemy-certificate

  2. プロンプトが表示されたら、ID フォームに適切な情報を入力します。たとえば、国名を入力します 。US
  3. 作成したファイルの内容を表示します。

    cat my-certificate.pem

J-Web設定ページを使用して、スイッチにSSL証明書をインストールできます。これを行うには、証明書を含むファイルをBSDまたはLinuxシステムからスイッチにコピーします。次に、ファイルを開いて内容をコピーし、[J-Web Secure Access Configuration]ページの[証明書]ボックスに貼り付けます。

また、次の CLI ステートメントを使用して、スイッチに SSL 証明書をインストールすることもできます。

証明書のインストールについて詳しくは、 例: セキュアWebアクセスの設定。

自己署名 SSL 証明書の自動生成

ジュニパーネットワークスのデバイスで自己署名SSL証明書を生成するには、次の手順に従います。

  1. 基本的な接続性を確立します。
  2. システムを再起動します。自己署名証明書は、起動時に自動的に生成されます。
  3. [HTTPS Web 管理] で指定します 。system-generated-certificate

自己署名 SSL 証明書の手動生成

ジュニパーネットワークスのデバイスで自己署名SSL証明書を手動で生成するには、次の手順に従います。

  1. 基本的な接続性を確立します。
  2. root ログインアクセス権がある場合は、次のコマンドを使用して自己署名証明書を手動で生成できます。
    注:

    証明書を生成するときは、サブジェクト、電子メール アドレス、およびドメイン名または IP アドレスを指定する必要があります。

  3. 証明書が生成され、正しく読み込まれたことを確認するには、操作コマンドを入力し 、HTTPS Web 管理で を指定します 。show security pki local-certificate local-certificate

自己署名証明書の削除(CLI手順)

EX シリーズ スイッチから自動または手動で生成された自己署名証明書を削除できます。自動的に生成された自己署名証明書を削除すると、スイッチは新しい自己署名証明書を生成し、ファイル システムに保存します。

  • 自動的に生成された証明書とそれに関連付けられたキーペアをスイッチから削除するには:

  • 手動で生成された証明書とそれに関連付けられたキーペアをスイッチから削除するには:

  • 手動で生成されたすべての証明書とそれに関連付けられたキーペアをスイッチから削除するには:

EXシリーズスイッチの自己署名証明書について

ジュニパーネットワークスEXシリーズイーサネットスイッチを工場出荷時のデフォルト設定で初期化すると、スイッチは自己署名証明書を生成し、SSL(セキュアソケットレイヤー)プロトコルを介してスイッチに安全にアクセスできるようにします。セキュアソケットレイヤーを介したハイパーテキスト転送プロトコル(HTTPS)とセキュアソケットレイヤーを介したXMLネットワーク管理(XNM-SSL)は、自己署名証明書を利用できる2つのサービスです。

注:

自己署名証明書は、認証局 (CA) によって生成されるような追加のセキュリティを提供しません。これは、クライアントが接続したサーバーが証明書でアドバタイズされているサーバーであることを確認できないためです。

スイッチには、自己署名証明書を生成する方法が 2 つあります。

  • 自動生成

    この場合、証明書の作成者はスイッチです。自動生成された(「システム生成」とも呼ばれる)自己署名証明書は、デフォルトでスイッチで設定されます。

    スイッチが初期化されると、自動的に生成された自己署名証明書が存在するかどうかが確認されます。見つからない場合、スイッチは生成してファイル システムに保存します。

    スイッチによって自動的に生成される自己署名証明書は、SSHホストキーに似ています。これは、構成の一部としてではなく、ファイル システムに格納されます。これは、スイッチがリブートされても保持され、コマンドが発行されても 保持されます。request system snapshot

    スイッチは、自動的に生成された証明書に次の識別名を使用します。

    “ CN=<device serial number>, CN=system generated, CN=self-signed”

    スイッチでシステム生成の自己署名証明書を削除すると、スイッチは自動的に自己署名証明書を生成します。

  • 手動生成

    ここでは、スイッチの自己署名証明書を作成します。CLI を使用して、いつでも自己署名証明書を生成できます。手動で生成された自己署名証明書は、構成の一部としてではなく、ファイル システムに格納されます。

自己署名証明書は、生成されてから 5 年間有効です。自動生成された自己署名証明書の有効期限が切れた場合、スイッチからその証明書を削除して、スイッチが新しい自己署名証明書を生成するようにすることができます。

システム生成の自己署名証明書と手動で生成された自己署名証明書は、スイッチ上で共存できます。

スイッチでの自己署名証明書の手動生成(CLI手順)

EX シリーズ スイッチでは、カスタムの自己署名証明書を生成して、ファイル システムに保存できます。手動で生成した証明書は、スイッチ上で自動生成された自己署名証明書と共存できます。SSL 経由でスイッチへのセキュアなアクセスを有効にするには、システム生成の自己署名証明書または手動で生成した証明書を使用できます。

自己署名証明書を手動で生成するには、以下のタスクを完了する必要があります。

スイッチでの公開鍵と秘密鍵のペアの生成

デジタル証明書には、証明書のデジタル署名に使用される暗号化キーのペアが関連付けられています。暗号化キーのペアは、公開キーと秘密キーで構成されます。自己署名証明書を生成するときは、自己署名証明書の署名に使用できる公開鍵と秘密鍵のペアを指定する必要があります。したがって、自己署名証明書を生成する前に、公開キーと秘密キーのペアを生成する必要があります。

公開鍵と秘密鍵のペアを生成するには:

注:

必要に応じて、暗号化アルゴリズムと暗号化キーのサイズを指定できます。暗号化アルゴリズムと暗号化キーのサイズを指定しない場合は、デフォルト値が使用されます。デフォルトの暗号化アルゴリズムは RSA で、デフォルトの暗号化キーのサイズは 1024 ビットです。

公開鍵と秘密鍵のペアが生成されると、スイッチは次のように表示します。

スイッチでの自己署名証明書の生成

自己署名証明書を手動で生成するには、証明書 ID 名、識別名(DN)のサブジェクト、ドメイン名、スイッチの IP アドレス、証明書所有者の電子メール アドレスを含めます。

生成した証明書は、スイッチのファイル システムに保存されます。証明書の生成時に指定した証明書 ID は、HTTPS または XNM-SSL サービスを有効にするために使用できる一意の識別子です。

証明書が生成され、正しく読み込まれたことを確認するには、 操作コマンドを入力します 。show security pki local-certificate

例:セキュアWebアクセスの設定

この例では、デバイスでセキュアな Web アクセスを設定する方法を示しています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

注:

指定したインターフェイスでHTTPSアクセスを有効にすることができます。インターフェイスを指定せずに HTTPS を有効にすると、すべてのインターフェイスで HTTPS が有効になります。

概要

この例では、生成した SSL 証明書を新しい秘密キーとして PEM 形式でインポートします。次に、HTTPS アクセスを有効にし、認証に使用する SSL 証明書を指定します。最後に、HTTPS アクセスを有効にするポート 8443 を指定します。

トポロジー

設定

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

デバイスでセキュアWebアクセスを設定するには:

  1. SSL 証明書と秘密キーをインポートします。

  2. HTTPS アクセスを有効にし、SSL 証明書とポートを指定します。

結果

設定モードから、show securityコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

SSL 証明書の設定の確認

目的

SSL 証明書の構成を確認します。

アクション

動作モードからshow securityコマンドを入力します。

セキュアアクセス設定の検証

目的

セキュア・アクセス構成を検証します。

アクション

動作モードからshow system servicesコマンドを入力します。次のサンプル出力は、セキュアな Web アクセスのサンプル値を示しています。