証明書管理の概要
通常、ユーザーはユーザー名とパスワードに基づいてアプリケーションまたはシステムからリソースにアクセスできます。また、証明書を使用して、さまざまなサーバーおよびユーザー間のセッションを認証および承認することもできます。セキュア・ソケット・レイヤー (SSL) 接続を介した証明書ベースの認証は、最も安全なタイプの認証です。証明書は、スマート カード、USB トークン、またはコンピューターのハード ドライブに保存できます。ユーザーは通常、スマートカードをスワイプして、ユーザー名とパスワードを入力せずにシステムにログインします。
Junos Spaceネットワーク管理プラットフォームには、デフォルトのパスワードベースの認証モードが付属しています。管理者は、デフォルトの認証情報を使用して Junos Space プラットフォームにログインできます。Junos Space プラットフォームでは、証明書ベースの認証を使用できるほか、Junos Space ネットワーク管理プラットフォームリリース 15.2R1 以降では X.509 パラメータベースの認証を使用してユーザーを認証できます。これらの認証モードは、[管理] ワークスペースの [アプリケーション設定の変更] ページの [ユーザー] セクションで構成できます。
デフォルトでは、Junos Space プラットフォームは自己署名 SSL 証明書を使用します。ただし、独自のカスタム証明書を使用する必要がある場合は、カスタム証明書を X.509 または PKCS#12 形式でアップロードできます。完全証明書検証モードでは、ログイン プロセス中に X.509 証明書全体が検証されるため、すべてのユーザーのユーザー証明書をアップロードする必要があります。
X.509 パラメータベースの認証では、ログインプロセス中に検証されるユーザーごとに最大 4 つの X.509 証明書パラメータを指定できます。X.509 パラメータベースの認証により、新規ユーザーの証明書を Junos Space Platform にアップロードする必要がなくなります。Junos Space プラットフォームは、ユーザーの作成時に読み込まれた証明書から、既存のユーザー用のパラメーターの値を抽出します。X.509 証明書パラメーターは、[管理] ワークスペースの [アプリケーション設定の変更] ページの [X509-Certificate-Parameters] セクションで定義できます。
一度にサポートされる認証モードは 1 つだけで、すべてのユーザーは選択した認証モードを使用して認証されます。
Junos Space プラットフォームの認証モード、カスタム Junos Space サーバー証明書、ユーザー証明書、認証機関 (CA) 証明書、証明書失効リスト (CRL)、証明書の有効期限と無効条件のワークフローについては、以下のセクションを参照してください。
認証モードのワークフロー
さまざまな認証モードで SSL 接続を確立する手順は次のとおりです。
ユーザー名とパスワードベースの認証:
クライアントがJunos Spaceサーバーへのアクセスを要求します。
Junos Space サーバーは、その証明書をクライアントに提示します。
クライアントはサーバーの証明書を検証します。
証明書の検証が成功すると、クライアントはユーザー名とパスワードをサーバーに送信します。
サーバーは、クライアントの資格情報を検証します。
検証が成功すると、サーバーはクライアントによって要求された保護リソースへのアクセスを許可します。
認定書ベースの認証:
クライアントがJunos Spaceサーバーへのアクセスを要求します。
Junos Space サーバーは、その証明書をクライアントに提示します。
クライアントはサーバーの証明書を検証します。
証明書の検証が成功すると、クライアントはその証明書をサーバーに送信します。
サーバーはクライアントの証明書を検証します。
検証が成功すると、サーバーはクライアントによって要求された保護リソースへのアクセスを許可します。
検証に失敗した場合、Junos Space プラットフォームはログイン失敗のページをユーザーに表示します。
X509証明書パラメータベースの認証:
クライアントがJunos Spaceサーバーへのアクセスを要求します。
Junos Space サーバーは、その X.509 証明書をクライアントに提示します。
クライアントは、サーバーの X.509 証明書を検証します。
証明書の検証が成功すると、クライアントはその証明書をサーバーに送信します。
サーバーは、クライアントの X.509 証明書から指定された値を抽出し、Junos Space プラットフォーム データベース内の値と検証します。
検証が成功すると、サーバーはクライアントによって要求された保護リソースへのアクセスを許可します。
検証に失敗した場合、Junos Space プラットフォームはログイン失敗のページをユーザーに表示します。
完全な証明書ベースまたは証明書パラメーターベースの認証を使用する場合、ログインに使用されるスマートカードまたはセキュアカード(証明書と秘密鍵を含む)がクライアントシステムから取り外されるか、削除されると、セッションは終了します。
カスタム Junos Space サーバー証明書
デフォルトでは、Junos Spaceネットワーク管理プラットフォームは、自己署名SSL証明書を使用します。ただし、独自のカスタム証明書を使用する必要がある場合は、[管理] > [プラットフォーム証明書] ページに移動し 、[プラットフォーム証明書] ページでカスタム X.509 または PKCS#12 証明書をアップロードします。
X.509 は、デジタル証明書の定義に広く使用されている標準です。通常、X.509 では、証明書とキーは別々に格納されます。秘密キーは、暗号化することも、暗号化しないこともできます。パスフレーズはオプションですが、秘密キーが暗号化されている場合は必須です。
個人情報交換構文標準 (PKCS) #12 形式は、Windows オペレーティング システムのデジタル証明書に広く使用されている形式です。この標準は、ユーザーの秘密キー、証明書、およびパスフレーズを 1 つの暗号化可能なファイルに格納または転送するための移植可能な形式を指定します。
カスタム証明書をアップロードする手順については、「 Junos Space ServerへのカスタムSSL証明書のインストール」を参照してください。
証明書の属性
表 1 に、証明書でよく見られる属性を示します。
証明書属性 |
説明 |
---|---|
|
"OID.1.2.840.113549.1.9.1" は、この署名アルゴリズムを識別するために使用される ASN.1 オブジェクト識別子です。"user1@10.205.57.195" は、証明書所有者の電子メール アドレスです。 |
|
証明書所有者の共通名 |
|
証明書の所有者が属する組織部門の名前 例えば、ジュニパーネットワークスが署名したJunos Spaceネットワーク管理プラットフォームのSSL証明書には、この属性に「 |
|
証明書所有者が所属する組織 例えば、ジュニパーネットワークスが署名したJunos Spaceネットワーク管理プラットフォームのSSL証明書には、この属性に「 |
|
証明書所有者の場所 例えば、ジュニパーネットワークスが署名したJunos Spaceネットワーク管理プラットフォームのSSL証明書には、この属性に「 |
|
証明書所有者の居住地 例えば、ジュニパーネットワークスが署名したJunos Spaceネットワーク管理プラットフォームのSSL証明書には、この属性に「 |
|
証明書所有者の居住国 例えば、ジュニパーネットワークスが署名したJunos Spaceネットワーク管理プラットフォームのSSL証明書には、この属性に「 |
|
"OID.1.2.840.113549.1.9.1" は、この署名アルゴリズムを識別するために使用される ASN.1 オブジェクト識別子です。「user1@10.205.57.195」は発行者のメールアドレスです。 |
|
証明書発行者の共通名 これはシステムの IP アドレスです。共通名 (CN) は、この証明書の発行者のホスト名と一致する必要があります。通常は、発行者のホスト名にする必要があります。 |
|
証明書発行者が属する組織単位の名前 例えば、ジュニパーネットワークスが署名したJunos Spaceネットワーク管理プラットフォームのSSL証明書には、この属性に「 |
|
証明書発行者の所属機関 例えば、ジュニパーネットワークスが署名したJunos Spaceネットワーク管理プラットフォームのSSL証明書には、この属性に「 |
|
証明書発行者の場所 例えば、ジュニパーネットワークスが署名したJunos Spaceネットワーク管理プラットフォームのSSL証明書には、この属性に「 |
|
証明書発行者の居住地 例えば、ジュニパーネットワークスが署名したJunos Spaceネットワーク管理プラットフォームのSSL証明書には、この属性に「 |
|
証明書発行者の居住国 例えば、ジュニパーネットワークスが署名したJunos Spaceネットワーク管理プラットフォームのSSL証明書には、この属性に「 |
|
認証局が証明書に署名するために使用するアルゴリズム たとえば、ジュニパーネットワークスが署名したJunos Spaceネットワーク管理プラットフォームのSSL証明書には、この属性に「 |
|
証明書のシリアル番号 |
|
証明書が有効になる日付 |
|
証明書が無効になる日付 |
ユーザー証明書
証明書ベースの認証モードを使用する場合、ユーザーを認証するには、Junos Space サーバーに対応する証明書をユーザーごとにアップロードする必要があります。証明書をユーザーに関連付けるには、ユーザーを作成するとき、またはユーザー設定を変更する必要があります。証明書を既存のユーザーに関連付けるには、[ユーザー アカウント>ロール ベースのアクセス制御] > [ユーザーの変更] ページ>ユーザーを選択します 。
ユーザー証明書のアップロード手順については、 ユーザー証明書のアップロードを参照してください。
CA 証明書と CRL
証明機関 (CA) 証明書またはルート証明書は、ユーザー証明書を検証するために使用されます。ルート証明書の秘密キーを使用してユーザー証明書に署名し、ユーザー証明書はルート証明書の信頼性を継承します。
CA によって管理される証明書失効リスト (CRL) は、スケジュールされた有効期限前にその CA によって発行および失効された証明書と、失効の理由の一覧です。CA は、証明書で指定されたユーザーがキーを使用する権限を失った、証明書で指定されたキーが侵害された、別の証明書が現在の証明書を置き換えているなど、さまざまな理由で証明書を取り消すことができます。
CA 証明書または CRL をアップロードする手順については、 『CA 証明書および証明書失効リストのアップロード』を参照してください。
ユーザー認証モードの変更
Junos Space ユーザー インターフェイスまたは VIP ノードの CLI から、認証モードをユーザー名とパスワード ベースから、証明書ベースまたは X.509 証明書パラメーター ベースに変更できます。認証モードを変更する前に、認証機関(CA)証明書と個人証明書またはユーザー証明書(Junos Spaceサーバー証明書はオプション)をJunos Spaceサーバーにアップロードする必要があります。Junos Space プラットフォームでは、アップロード前にすべての証明書を検証します。無効な証明書または不正な形式の証明書はアップロードされません。
認証モードが変更されると、認証モードを変更している現在の管理者のセッションを除く、既存のすべてのユーザーセッションが自動的に終了し、ユーザーは強制的にログアウトされます。認証モードを切り替える場合、Junos Space プラットフォームを再起動する必要はありません。
認証モードを変更する手順については、「 ユーザー認証モードの変更」を参照してください。
証明書の有効期限
X.509 Junos Space サーバー証明書の有効期限が現在の日付から 30 日以内に切れるようにスケジュールされている場合、Junos Space プラットフォームでは管理者がログインするたびに警告メッセージが表示されます。例えば:Your platform certificate is going to expire on May 24, 2015. Space will automatically use default certificate if your certificate will expire within 1 day. Change platform certificate using "Administration > Platform Certificate" page. Would you like to change it now?
管理者として、次のいずれかの操作を実行します。
新しい証明書のアップロード - [ 管理] > [プラットフォーム 証明書] を選択し、[証明書のアップロード] 領域から証明書をアップロードします。Junos Space プラットフォームは、古いユーザー証明書を削除し、新しくアップロードされた証明書の使用を開始します。
デフォルトの証明書を使用する - [ 管理] > [ プラットフォーム証明書] を選択し、[現在のプラットフォーム証明書] 領域で [ デフォルトの証明書を使用 ] をクリックします。
X.509 Junos Space サーバー証明書の有効期限が 1 日で切れるようにスケジュールすると、Junos Space プラットフォームはデフォルトの自己署名証明書の使用を開始します。インストール中に作成された自己署名のJunos Space PlatformSSL証明書の有効期間は5年間です。
ユーザー証明書の有効期限が現在の日付から 30 日以内にスケジュールされている場合、ユーザーが認証ベースの認証モードを使用してログインしていると、Junos Space プラットフォームで警告メッセージが表示されます。詳細については、「 ユーザー証明書のアップロード」を参照してください。
無効なユーザー証明書
ユーザー証明書は、次の理由で無効になる可能性があります。
証明書の有効期限が切れています。
証明書の有効期限は 1 日以内です。
証明書は後でのみ有効になります。
証明書が秘密キーと一致しません。
証明書または秘密キー ファイルが壊れています。
同じ証明書が Junos Space サーバーに存在します。
ユーザーが無効または期限切れの証明書を使用してログインしようとすると、Junos Space プラットフォームではログイン失敗ページが表示され、次のエラー メッセージが表示されます No user mapped for this certificate
。