Junos OS の PKI コンポーネント

PKI の管理と実装

Junos OS の証明書ベースの認証に必要な最小 PKI 要素は次のとおりです。

• CA 証明と認証局の設定。

• デバイスのID(IKE IDタイプと値など)と秘密鍵と公開鍵を含むローカル証明書

• CRL による証明書の検証

Junos OS は、以下の 3 種類の PKI オブジェクトをサポートしています。

インターネット重要な手がかり交換

インターネット鍵交換(IKE)セッションの 2 人の参加者間で送信されるメッセージにデジタル署名する手順は、デジタル証明書の検証と似ていますが、次の点が異なります。

• 送信者は、CA 証明書からダイジェストを作成する代わりに、IP パケット ペイロード内のデータからダイジェストを作成します。

• CA の公開鍵と秘密鍵のペアを使用する代わりに、参加者は送信者の公開鍵と秘密鍵のペアを使用します。

信頼されたcaグループ

認証局(CA)は、証明書の発行と取り消しを担当する信頼できるサードパーティです。特定のトポロジーに対して、複数の CA(CA プロファイル)を 1 つの信頼できる CA グループにグループ化できます。これらの証明書は、2 つのエンドポイント間の接続を確立するために使用されます。IKE または IPsec を確立するには、両方のエンドポイントが同じ CA を信頼する必要があります。いずれかのエンドポイントが、それぞれの信頼できる CA(ca-profile)または信頼できる CA グループを使用して証明書を検証できない場合、接続は確立されません。

たとえば、エンドポイント A とエンドポイント B の 2 つのエンドポイントがセキュアな接続を確立しようとしているとします。エンドポイント B がその証明書をエンドポイント A に提示すると、エンドポイント A は証明書が有効かどうかを確認します。エンドポイント A の CA は、エンドポイント B が承認を受けるために使用している署名付き証明書を検証します。 trusted-ca または trusted-ca-group が設定されている場合、デバイスは、この trusted-ca-group で追加された CA プロファイルまたは trusted-ca で設定された CA プロファイルのみを使用して、エンドポイント B からの証明書を検証します。証明書が有効であることが確認された場合、接続は許可され、そうでない場合は接続が拒否されます。

利点：

• 着信接続要求では、そのエンドポイントの特定の信頼できる CA によって発行された証明書のみが検証されます。そうでない場合、承認は接続の確立を拒否します。

暗号化キーの取り扱いの概要

暗号化キーの処理では、永続キーは変更を試みることなくデバイスのメモリに保存されます。内部メモリデバイスは潜在的な攻撃者から直接アクセスすることはできませんが、第 2 の防御層を必要とする場合は、暗号鍵の特別な処理を有効にすることができます。有効にすると、暗号化キー処理により、すぐに使用されていないときにキーが暗号化され、あるメモリ位置から別のメモリ位置にキーをコピーするときにエラー検出が実行され、キーが使用されなくなったときにキーのメモリ位置がランダムなビットパターンで上書きされます。また、キーはデバイスのフラッシュ メモリに保存されている場合にも保護されます。暗号キー処理機能を有効にしても、デバイスの動作に外部から観察できる変化は生じず、デバイスは引き続き他のデバイスと相互運用されます。

暗号管理者は、暗号自己診断テスト機能を有効または無効にすることができます。ただし、セキュリティー管理者は、定期的な自己診断テストを構成したり、暗号自己診断テストのサブセットを選択したりするなど、暗号自己診断機能の動作を変更することができます。

現在、次の永続キーは IKE と PKI の管理下にあります。

• IKE PSK(IKE事前共有鍵)

• PKI 秘密キー

• 手動 VPN キー