Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

Junos OS の PKI

PKI を必要とする Junos OS アプリケーションと PKI の基本要素について説明します。

PKI アプリケーションの概要

Junos OS では、次のエリアで公開/秘密キーを使用します。

  • セキュアなコマンドラインインターフェイス(CLI)ベースの管理用SSH/SCP

  • セキュアなWebベースの管理のためのSSL(Secure Sockets Layer)とユーザー認証のためのhttpsベースのWeb認証

  • IPSec VPN トンネル用のインターネット鍵交換(IKE)

次の点に注意してください。

  • 現在、Junos OSは、公開鍵検証に公開鍵基盤(PKI)証明書を使用するIKEのみをサポートしています。

  • SSHとSCPはシステム管理にのみ使用され、公開キーIDのバインディングと検証のためのアウトオブバンドフィンガープリントの使用に依存します。SSH の詳細については、このトピックでは説明しません。

Junos OS における PKI の基本要素

Junos OS は、3 つの特定のタイプの PKI オブジェクトをサポートしています。

  • 秘密鍵/公開鍵ペア

  • 証明 書

    • ローカル証明書—ローカル証明書には、ジュニパーネットワークスデバイスの公開キーとID情報が含まれています。関連付けられた秘密キーは、ジュニパーネットワークスのデバイスが所有します。この証明書は、ジュニパーネットワークス デバイスからの証明書要求に基づいて生成されます。

    • 保留中の証明書 — 保留中の証明書には、PKCS10 証明書要求で生成され、認証局 (CA) に手動で送信されるキー ペアと ID 情報が含まれています。ジュニパーネットワークスのデバイスが CA からの証明書を待っている間、既存のオブジェクト(鍵ペアと証明書要求)は、証明書要求または保留中の証明書としてタグ付けされます。

    • CA証明書:証明書がCAによって発行され、Junos OSデバイスにロードされると、保留中の証明書は新しく生成されたローカル証明書に置き換えられます。デバイスにロードされた他のすべての証明書は、CA 証明と見なされます。

  • 証明書失効リスト (CRL)

証明書については、次の点に注意してください。

  • ローカル証明書は通常、Junos OS デバイスが複数の管理ドメインに VPN がある場合に使用されます。

  • すべてのPKIオブジェクトは、Junos OSイメージとシステムの一般的な設定とは別に、永続メモリの個別のパーティションに保存されます。

  • 各 PKI オブジェクトは、作成時に付与された一意の名前または証明書 ID を持ち、削除されるまでその ID を維持します。 show security pki local-certificate コマンドを使用して、証明書 ID を表示できます。

  • ほとんどの状況では、デバイスから証明書をコピーすることはできません。デバイス上の秘密キーは、そのデバイスでのみ生成する必要があり、そのデバイスから表示または保存しないでください。そのため、PKCS12ファイル(公開鍵と関連する秘密鍵を含む証明書を含む)は、Junos OSデバイスではサポートされていません。

  • CA 証明は、IKE ピアが受信した証明書を検証します。証明書が有効な場合は、証明書が失効しているかどうかを確認するために CRL で検証されます。

    各 CA 証明書には、次の情報を格納する CA プロファイル設定が含まれています。

    • CA ID (通常は CA のドメイン名)

    • 証明書要求を CA に直接送信するための電子メール アドレス

    • 失効設定:

      • 失効チェックの有効/無効オプション

      • CRL のダウンロードに失敗した場合の失効チェックの無効化。

      • CRL 配布ポイント (CDP) の場所 (手動 URL 設定用)

      • CRL 更新間隔