Junos OS の PKI

PKI アプリケーションの概要

Junos OS では、次の領域で公開鍵と秘密鍵を使用します。

• SSHとSCPによるCLIベースのセキュアな管理

• セキュアなWebベースの管理用SSLとユーザー認証用httpsベースのWeb認証

• IPSec VPN トンネル用の IKE

次の点に注意してください。

• 現在、Junos OS は、公開鍵の検証に PKI 証明書を使用する IKE のみをサポートしています。

• SSH と SCP は、システム管理にのみ使用されます。Junos OS は、公開鍵の ID バインディングと検証に OOB フィンガープリントを使用します。

Junos OS における PKI の基本要素

Junos OS は、3 つの特定のタイプの PKI オブジェクトをサポートしています。

表 1: Junos OS の PKI の要素

PKI記述の要素
秘密鍵と公開鍵のペア	秘密鍵と公開鍵のペアは、安全な通信に使用される基本的なコンポーネントです。 公開キー: 公開キーは、データの暗号化に使用されます。これは公開され、セキュリティを損なうことなく他のユーザーと共有できます。公開鍵で暗号化されたデータは、対応する秘密鍵を使用してのみ復号化できます。 秘密鍵:秘密鍵は、公開鍵で暗号化されたデータの復号化に使用されます。それは秘密にされ、誰とも共有されるべきではありません。 プライベートキーとパブリックキーのペアを使用することで、デバイスのデバイスはセキュアな接続を確立し、パブリックネットワーク経由で転送されるデータを保護できます。
証明 書	ローカル証明書—ローカル証明書には、ジュニパーネットワークスデバイスの公開キーとID情報が含まれています。関連付けられた秘密キーは、ジュニパーネットワークスのデバイスが所有します。この証明書は、デバイスからの証明書要求に基づいて生成されます。 保留中の証明書—保留中の証明書には、PKCS10 証明書要求で生成され、手動で CA に送信される鍵ペアと ID 情報が含まれています。ジュニパーネットワークスのデバイスが CA からの証明書を待っている間、既存のオブジェクト(鍵ペアと証明書要求)は証明書要求または保留中の証明書としてタグ付けされます。 CA 証明—証明書が CA によって発行され、Junos OS デバイスに読み込まれると、保留中の証明書が新しく生成されたローカル証明書に置き換えられます。デバイスにロードされた他のすべての証明書は、CA 証明と見なされます。
CRLの	PKI の CRL は、CA によって取り消されたデジタル証明書のタイムスタンプ付きリストです。このリストは CA によって署名され、参加ピアが定期的に利用できるようになります。Junos OSでは、CRLを設定して、証明書が失効した場合に証明書が使用されないようにすることができます。

証明 書

証明書については、次の点に注意してください。

• ローカル証明書は通常、Junos OS デバイスが複数の管理ドメインに VPN がある場合に使用されます。

• すべてのPKIオブジェクトは、Junos OSイメージとシステムの一般的な設定とは別に、永続メモリの個別のパーティションに保存されます。

• 各 PKI オブジェクトには、作成時に付与された一意の名前または証明書IDがあり、この ID は削除されるまで維持されます。 show security pki local-certificate コマンドを使用して、証明書IDを表示できます。

• ほとんどの状況では、デバイスから証明書をコピーすることはできません。デバイス上の秘密キーは、そのデバイスでのみ生成する必要があり、そのデバイスから表示または保存しないでください。PKCS12 ファイルは、Junos OS デバイスではサポートされていません。

• CA 証明は、IKE ピアが受信した証明書を検証します。証明書が有効な場合は、証明書が失効しているかどうかを確認するために CRL で検証されます。

  各 CA 証明書には、次の情報を格納する CA プロファイル設定が含まれています。

  • CA ID (通常は CA のドメイン名)

  • 証明書要求を CA に直接送信するための電子メール アドレス

  • 失効設定:

    • 失効チェックの有効および無効化オプション

    • CRLダウンロードに失敗した場合の失効チェックの無効化

    • CRL 配布ポイント (CDP) の場所 (手動 URL 設定用)

    • CRL 更新間隔