このページの内容

認証モードのワークフロー
カスタム Junos Space サーバー証明書
証明書の属性
ユーザー証明書
CA証明書とCRL
ユーザー認証モードの変更
証明書の有効期限
無効なユーザー証明書

証明書管理の概要

通常、ユーザーはユーザー名とパスワードに基づいてアプリケーションまたはシステムからリソースへのアクセスを取得します。証明書を使用して、さまざまなサーバーやユーザー間のセッションを認証および承認することもできます。SSL(Secure Sockets Layer)接続を介した証明書ベースの認証は、最も安全なタイプの認証です。証明書は、スマートカード、USBトークン、またはコンピューターのハードドライブに保存できます。ユーザーは通常、ユーザー名とパスワードを入力せずにスマートカードをスワイプしてシステムにログインします。

Junos Spaceネットワーク管理プラットフォームには、デフォルトのパスワードベース認証モードが付属しています。管理者は、デフォルトの認証情報を使用して Junos Space プラットフォームにログインできます。Junos Spaceプラットフォームでは、証明書ベースの認証と、Junos Spaceネットワーク管理プラットフォームリリース15.2R1以降のX.509パラメーターベースの認証を使用してユーザーを認証できます。これらの認証モードは、管理ワークスペースのアプリケーション設定の変更ページにあるユーザーセクションから設定できます。

デフォルトでは、Junos Spaceプラットフォームは自己署名SSL証明書を使用します。ただし、独自のカスタム証明書を使用する必要がある場合は、X.509またはPKCS#12形式でカスタム証明書をアップロードできます。完全な証明書検証モードでは、ログインプロセス中にX.509証明書全体が検証され、すべてのユーザーのユーザー証明書をアップロードする必要があります。

X.509パラメーターベースの認証では、ログインプロセス中に検証されるX.509証明書パラメーターをユーザーごとに最大4つ指定できます。X.509パラメータベースの認証により、新規ユーザーの証明書をJunos Spaceプラットフォームにアップロードする必要がなくなります。Junos Spaceプラットフォームは、ユーザーの作成時に読み込まれた証明書から、既存のユーザーのパラメーターの値を抽出します。X.509証明書パラメーターは、管理ワークスペースのアプリケーション設定の変更ページにあるX509証明書パラメーターセクションで定義できます。

注:

一度にサポートされる認証モードは1つだけで、選択した認証モードを使用してすべてのユーザーが認証されます。

Junos Spaceプラットフォームの認証モード、カスタムJunos Spaceサーバー証明書、ユーザー証明書、認証機関(CA)証明書、証明書失効リスト(CRL)、証明書の有効期限と無効状態のワークフローについては、以下のセクションを参照してください。

認証モードのワークフロー

さまざまな認証モードのSSL接続を確立する手順は次のとおりです。

ユーザー名とパスワードベースの認証:
1. クライアントが Junos Space サーバーへのアクセスを要求します。
2. Junos Spaceサーバーは、証明書をクライアントに提示します。
3. クライアントはサーバーの証明書を検証します。
4. 証明書の検証に成功すると、クライアントはユーザー名とパスワードをサーバーに送信します。
5. サーバーは、クライアントの資格情報を検証します。
6. 検証に成功すると、サーバーはクライアントによって要求された保護リソースへのアクセスを許可します。
証明書ベースの認証:
1. クライアントが Junos Space サーバーへのアクセスを要求します。
2. Junos Spaceサーバーは、証明書をクライアントに提示します。
3. クライアントはサーバーの証明書を検証します。
4. 証明書の検証に成功すると、クライアントは証明書をサーバーに送信します。
5. サーバーはクライアントの証明書を検証します。
6. 検証に成功すると、サーバーはクライアントによって要求された保護リソースへのアクセスを許可します。
  
  検証に失敗した場合、Junos Spaceプラットフォームはユーザーにログイン失敗ページを表示します。
X509証明書パラメーターベースの認証:
1. クライアントが Junos Space サーバーへのアクセスを要求します。
2. Junos Spaceサーバーは、X.509証明書をクライアントに提示します。
3. クライアントは、サーバーのX.509証明書を検証します。
4. 証明書の検証に成功すると、クライアントは証明書をサーバーに送信します。
5. サーバーは、クライアントのX.509証明書から指定された値を抽出し、Junos Spaceプラットフォームデータベース内の値で値を検証します。
6. 検証に成功すると、サーバーはクライアントによって要求された保護リソースへのアクセスを許可します。
  
  検証に失敗した場合、Junos Spaceプラットフォームはユーザーにログイン失敗ページを表示します。

注:

完全な証明書ベースまたは証明書パラメーターベースの認証を使用している場合、ログインに使用されたスマートカードまたはセキュアカード(証明書と秘密鍵を含む)がクライアントシステムから抜かれるか、クライアントシステムから取り外されると、セッションは終了します。

カスタム Junos Space サーバー証明書

デフォルトでは、Junos Spaceネットワーク管理プラットフォームは自己署名SSL証明書を使用します。ただし、独自のカスタム証明書を使用する必要がある場合は、管理>プラットフォーム証明書ページに移動し、プラットフォーム証明書ページにカスタムX.509またはPKCS#12証明書をアップロードします。

X.509は、デジタル証明書を定義するために広く使用されている標準です。通常、X.509 では、証明書とキーは別々に保存されます。秘密鍵は、暗号化または非暗号化のいずれかです。パスフレーズはオプションですが、プライベートキーが暗号化されている場合は必要です。

個人情報交換構文標準 (PKCS) #12 形式は、Windows オペレーティングシステムでデジタル証明書に広く使用されている形式です。この規格は、ユーザーの秘密鍵、証明書、およびパスフレーズを1つの暗号化可能なファイルに保存または転送するためのポータブル形式を指定します。

カスタム証明書をアップロードする手順については、「 Junos SpaceサーバーへのカスタムSSL証明書のインストール」を参照してください。

証明書の属性

表1 は、証明書でよく見られる属性を示しています。

表1:証明書の属性
証明書属性	説明
`Subject Name: OID.1.2.840.113549.1.9.1=user1@10.205.57.195`	「OID.1.2.840.113549.1.9.1」は、このシグネチャアルゴリズムの識別に使用されるASN.1オブジェクト識別子です。「user1@10.205.57.195」は、証明書所有者の電子メールアドレスです。
`Subject Name: CN`	証明書所有者の共通名
`Subject Name: OU`	証明書所有者が属する組織単位の名前たとえば、ジュニパーネットワークスによって署名されたJunos Spaceネットワーク管理プラットフォームSSL証明書には、この属性の「`Junos Space`」が含まれています。
`Subject Name: O`	証明書所有者が属する組織たとえば、ジュニパーネットワークスによって署名されたJunos Spaceネットワーク管理プラットフォームSSL証明書には、この属性の「`Juniper Networks, Inc.`」が含まれています。
`Subject Name: L`	証明書所有者の所在地たとえば、ジュニパーネットワークスによって署名されたJunos Spaceネットワーク管理プラットフォームSSL証明書には、この属性の「`Sunnyvale`」が含まれています。
`Subject Name: ST`	証明書所有者の居住州たとえば、ジュニパーネットワークスによって署名されたJunos Spaceネットワーク管理プラットフォームSSL証明書には、この属性の「`California`」が含まれています。
`Subject Name: C`	証明書所有者の居住国たとえば、ジュニパーネットワークスによって署名されたJunos Spaceネットワーク管理プラットフォームSSL証明書には、この属性の「`US`」が含まれています。
`Issuer Name: OID.1.2.840.113549.1.9.1=user1@10.205.57.195`	「OID.1.2.840.113549.1.9.1」は、このシグネチャアルゴリズムの識別に使用されるASN.1オブジェクト識別子です。「user1@10.205.57.195」は発行者の電子メールアドレスです。
`Issuer Name: CN`	証明書発行者の一般名システムのIPアドレスです。共通名(CN)は、この証明書の発行者のホスト名と一致する必要があります。一般的には、発行者のホスト名である必要があります。
`Issuer Name: OU`	証明書発行者が属する組織単位の名前たとえば、ジュニパーネットワークスによって署名されたJunos Spaceネットワーク管理プラットフォームSSL証明書には、この属性の「`Junos Space`」が含まれています。
`Issuer Name: O`	証明書発行者が所属する組織たとえば、ジュニパーネットワークスによって署名されたJunos Spaceネットワーク管理プラットフォームSSL証明書には、この属性の「`Juniper Networks, Inc.`」が含まれています。
`Issuer Name: L`	証明書発行者の所在地たとえば、ジュニパーネットワークスによって署名されたJunos Spaceネットワーク管理プラットフォームSSL証明書には、この属性の「`Sunnyvale`」が含まれています。
`Issuer Name: ST`	証明書発行者の居住州たとえば、ジュニパーネットワークスによって署名されたJunos Spaceネットワーク管理プラットフォームSSL証明書には、この属性の「`California`」が含まれています。
`Issuer Name: C`	証明書発行者の居住国たとえば、ジュニパーネットワークスによって署名されたJunos Spaceネットワーク管理プラットフォームSSL証明書には、この属性の「`US`」が含まれています。
`Signature Algorithm Name`	認証局が証明書に署名するために使用するアルゴリズムたとえば、ジュニパーネットワークスによって署名されたJunos Spaceネットワーク管理プラットフォームSSL証明書には、この属性の「`SHA1withRSA`」を含めることができます。
`Serial Number`	証明書のシリアル番号
`Not Before`	証明書が有効になる日付
`Not After`	証明書が無効になった日付

ユーザー証明書

証明書ベースの認証モードを使用する場合、ユーザーごとに、Junos Spaceサーバーに対応する証明書をアップロードしてユーザーを認証する必要があります。証明書は、ユーザーを作成するとき、またはユーザー設定を変更することで、ユーザーに関連付けることができます。証明書を既存のユーザーに関連付けるには、ロールベースのアクセス制御>ユーザーアカウント>ユーザーの選択>ユーザーの変更ページに移動します。

ユーザー証明書をアップロードする手順については、ユーザー証明書のアップロードを参照してください。

CA証明書とCRL

認定機関(CA)証明書またはルート証明書は、ユーザー証明書の検証に使用されます。ルート証明書の秘密鍵はユーザー証明書の署名に使用され、その後、ルート証明書の信頼性を継承します。

CA によって管理される証明書失効リスト (CRL) は、その CA によって発行された証明書のリストと、失効の理由です。CA は、証明書で指定されたユーザーがキーを使用する権限を持たなくなった可能性がある、証明書で指定されたキーが侵害された可能性がある、別の証明書が現在の証明書に置き換えられているなど、さまざまな理由で証明書を失効させる場合があります。

CA証明書またはCRLをアップロードする手順については、 CA証明書および証明書失効リストのアップロードを参照してください。

ユーザー認証モードの変更

認証モードをユーザー名とパスワードベースから証明書ベースまたはX.509証明書パラメーターベースに変更するには、Junos SpaceユーザーインターフェイスまたはVIPノードのCLIから変更できます。認証モードを変更する前に、認定機関(CA)証明書と個人証明書またはユーザー証明書(Junos Spaceサーバー証明書はオプション)をJunos Spaceサーバーにアップロードする必要があります。Junos Spaceプラットフォームは、アップロードされる前にすべての証明書を検証します。無効または形式が正しくない証明書はアップロードされません。

注意:

認証モードを変更すると、認証モードを変更する現在の管理者のセッションを除くすべての既存のユーザーセッションが自動的に終了し、ユーザーは強制的にログアウトされます。認証モードJunos Space切り替えるときに、プラットフォームを再起動する必要はありません。

認証モードを変更する手順については、ユーザー認証モードの変更を参照してください。

証明書の有効期限

X.509 Junos Spaceサーバー証明書の有効期限が現在の日付から30日以内に切れるようにスケジュールされている場合、Junos Spaceプラットフォームは管理者がログインするたびに警告メッセージを表示します。次に例を示します。Your platform certificate is going to expire on May 24, 2015. Space will automatically use default certificate if your certificate will expire within 1 day. Change platform certificate using "Administration > Platform Certificate" page. Would you like to change it now?

管理者は、以下のいずれかのアクションを実行します。

新しい証明書をアップロード— 管理>プラットフォーム証明書を選択し、証明書のアップロード領域から証明書をアップロードします。Junos Spaceプラットフォームは、古いユーザー証明書を削除し、新しくアップロードされた証明書の使用を開始します。
デフォルトの証明書を使用— 管理>プラットフォーム証明書を選択し、現在のプラットフォーム証明書領域でデフォルト証明書を使用をクリックします。

注:

X.509 Junos Spaceサーバー証明書が1日後に期限切れになるようスケジュールされている場合、Junos Spaceプラットフォームはデフォルトの自己署名証明書の使用を開始します。インストール中に作成された自己署名の Junos Space プラットフォーム SSL 証明書の有効期間は 5 年間です。

ユーザー証明書が現在の日付から 30 日以内に期限切れになるようスケジュールされている場合、ユーザーが認定ベースの認証モードを使用してログインした場合、Junos Space プラットフォームは警告メッセージを表示します。詳細については、「ユーザー証明書のアップロード」を参照してください。

無効なユーザー証明書

ユーザー証明書は、以下の理由で無効になる可能性があります。

証明書の有効期限が切れています。
証明書は1日以内に期限切れになります。
証明書は後から有効になります。
証明書がプライベートキーと一致しません。
証明書またはプライベートキーファイルが壊れています。
同じ証明書が Junos Space サーバーに存在します。

ユーザーが無効または期限切れの証明書でログインしようとすると、Junos Space Platformは次のエラーメッセージを含むログイン失敗ページを表示します: No user mapped for this certificate。

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。機能エクスプローラーを使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース

説明

15.2R1

Junos Spaceプラットフォームでは、証明書ベースの認証と、Junos Spaceネットワーク管理プラットフォームリリース15.2R1以降のX.509パラメーターベースの認証を使用してユーザーを認証できます。