認証機関
CAの管理方法を理解します。
CAプロファイルは、特定の証明書に関連付けられたすべてのパラメーターを定義し、2つのエンドポイント間の安全な接続を確立します。プロファイルは、使用する証明書、証明書失効ステータスを確認する方法、およびそのステータスがアクセスを制限する方法を指定します。
認証機関プロファイル
CAプロファイル設定には、CAに固有の情報が含まれています。SRXシリーズファイアウォールには複数のCAプロファイルを含めることができます。たとえば、組織 A 用と組織 B 用に 1 つのプロファイルがあるとします。各プロファイルは CA 証明書に関連付けられています。古い CA 証明書を削除せずに新しい CA 証明書を読み込む場合は、新しい CA プロファイルを作成します (Microsoft-2008 など)。
Junos OSリリース18.1R1以降、CAサーバーをIPv6 CAサーバーにすることができます。
PKIモジュールはIPv6アドレスフォーマットをサポートしており、IPv6のみが使用されるプロトコルであるネットワークでSRXシリーズファイアウォールを使用できるようにします。
CA はデジタル証明書を発行します。これは、証明書の検証を通じて 2 つのエンドポイント間の安全な接続を確立するのに役立ちます。特定のトポロジーに対して、複数の CA プロファイルを 1 つの信頼できる CA グループにグループ化できます。これらの証明書は、2つのエンドポイント間の接続を確立するために使用されます。IKEまたはIPsecを確立するには、両方のエンドポイントが同じCAを信頼する必要があります。いずれかのエンドポイントが、それぞれの信頼できるCA(caプロファイル)または信頼できるCAグループを使用して証明書を検証できない場合、接続は確立されません。信頼できるCAグループを作成するには、少なくとも1つのCAプロファイルが必須であり、1つの信頼できるCAグループに最大20のCAを使用できます。特定のグループの任意のCAが、その特定のエンドポイントの証明書を検証できます。
Junos OSリリース18.1R1以降、指定されたCAサーバーまたはCAサーバーグループを使用して、設定されたIKEピアを検証CAできます。[edit security pki]階層レベルでtrusted-ca-group設定ステートメントを使用して、信頼できるCAサーバーのグループを作成できます。1つまたは複数のCAプロファイルを指定できます。信頼できるCAサーバーは、[edit security ike policy policy certificate]階層レベルでピアのIKEポリシー設定にバインドされます。
CAプロファイルでプロキシプロファイルを設定すると、デバイスは証明書の登録、検証、または失効時にCAサーバーではなくプロキシホストに接続します。プロキシ ホストは、デバイスからの要求と CA サーバーと通信し、その応答をデバイスに中継します。
CAプロキシプロファイルは、SCEP、CMPv2、およびOCSPプロトコルをサポートします。
CAプロキシプロファイルは、HTTPSプロトコルでのみサポートされ、HTTPSプロトコルではサポートされていません。
CAプロファイルの設定
CAプロファイル設定には、CAに固有の情報が含まれています。SRXシリーズファイアウォールには複数のCAプロファイルを含めることができます。たとえば、組織 A 用と組織 B 用に 1 つのプロファイルがあるとします。各プロファイルは CA 証明書に関連付けられています。古いCA証明書を削除せずに新しいCA証明書を読み込む場合は、CAプロファイルを作成します(Microsoft-2008など)。特定のトポロジーに対して、複数の CA プロファイルを 1 つの信頼できる CA グループにグループ化できます。
次の例では、IDがmicrosoft-2008 CA ca-profile-securityというCAプロファイルを作成します。次に、CAプロファイルへのプロキシプロファイルを作成します。
信頼できる CA グループを設定する
このセクションでは、CAプロファイルのリスト用に信頼できるCAグループを作成し、信頼できるCAグループを削除する手順について説明します。
信頼できるCAグループの作成
信頼できる CA グループを設定して割り当て、エンティティを承認できます。ピアがクライアントとの接続を確立しようとすると、そのエンティティの特定の信頼できる CA によって発行された証明書のみが検証されます。デバイスは、証明書の発行者と証明書を提示する者が同じクライアントネットワークに属しているかどうかを検証します。発行者と発表者が同じクライアントネットワークに属している場合、接続が確立されます。そうでない場合、接続は確立されません。
開始する前に、信頼できるグループに追加するすべてのCAプロファイルのリストを用意しておく必要があります。
この例では、 orgA-ca-profile、 orgB-ca-profile、 orgC-ca-profile という名前の3つのCAプロファイルを作成し、それぞれのプロファイルに次のCA識別子 ca-profile1、 ca-profile2、 ca-profile3 を関連付けます。3つのCAプロファイルすべてをグループ化して、信頼できるCAグループ orgABC-trusted-ca-groupに属することができます。
信頼できるCAグループには、最大20個のCAプロファイルを設定できます。
デバイスに設定されているCAプロファイルと信頼できるCAグループを表示するには、 show security pki コマンドを実行します。
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
ca-profile orgC-ca-profile {
ca-identity ca-profile3;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile orgC-ca-profile ];
}
show security pkiコマンドは、orgABC_trusted-ca-groupの下にグループ化されたすべてのCAプロファイルを表示します。
信頼できる CA グループから CA プロファイルを削除する
信頼できるCAグループ内の特定のCAプロファイルを削除できます。
例えば、「信頼できるCAグループを設定する」のトピックに示すように、デバイスに設定されている信頼できるCAグループからorgC-ca-profileという名前のCAプロファイルを削除したい場合orgABC-trusted-ca-group:
orgABC-trusted-ca-group から削除されているorgC-ca-profileを表示するには、show security pkiコマンドを実行します。
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile ];
}
信頼されたCAグループから削除されるため、出力には orgC-ca-profile プロファイルは表示されません。
信頼できる CA グループを削除する
エンティティは多くの信頼できる CA グループをサポートでき、エンティティの信頼できる CA グループを削除できます。
たとえば、「信頼できるCAグループを設定する」トピックを参照するようにデバイス上で設定されているorgABC-trusted-ca-groupという名前の信頼できるCAグループを削除する場合は、以下の手順を実行します。
エンティティから削除されている orgABC-trusted-ca-group を表示するには、 show security pki コマンドを実行します。
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
エンティティから削除された orgABC-trusted-ca-group 出力には表示されません。
例:CAプロファイルの設定
この例では、CAプロファイルを設定する方法を示しています。
要件
この機能を設定する前に、デバイスの初期化以外の特別な設定を行う必要はありません。
概要
この例では、CA ID microsoft-2008 を持つ ca-profile-ipsec というCAプロファイルを作成します。次に、CAプロファイルへのプロキシプロファイルを作成します。この設定では、CRLを48時間ごとに更新し、CRLを取得する場所を http://www.my-ca.comにするように指定しています。この例では、登録再試行値を 20 に設定しています。(デフォルトの再試行値は10です。)
証明書の自動ポーリングは30分ごとに設定されています。再試行間隔を設定せずに再試行のみするように設定した場合、デフォルトの再試行間隔は900秒(または15分)になります。再試行または再試行間隔を設定しない場合、ポーリングは行われません。
設定
手順
ステップバイステップの手順
CAプロファイルを設定するには:
CAプロファイルを作成します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 user@host#
失効チェックを作成して、証明書失効をチェックする方法を指定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
更新間隔を時間単位で設定し、CRLを更新する頻度を指定します。デフォルト値は、CRLの次の更新時間、または次の更新時間が指定されていない場合は1週間です。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl refresh-interval 48 url http://www.my-ca.com/my-crl.crl
登録再試行値を指定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry 20
CA証明書をオンラインで自動的に登録する試行の間隔を秒単位で指定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry-interval 1800
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
プロキシ認証のサポート
システムレベルでプロキシプロファイルを定義して、認証されたアウトバウンド接続を管理します。これらのプロファイルは、複数のプロキシプロファイルを作成できる [edit services proxy] 階層の下で設定できます。各CAプロファイルは、最大1つのプロキシプロファイルを参照できます。
-
プロキシサーバーのホストとポートの設定を定義します。
[edit] user@host# set services proxy profile px-profile protocol http host x.x.x.x port xxxx
-
プロキシプロファイル内でプロキシ認証を設定します。ユーザー名とパスワードを設定することで、外部のフィードやサービスに安全にアクセスできます。
[edit] user@host# set services proxy profile px-profile protocol http username <username> user@host# set services proxy profile px-profile protocol http password <password>
-
プロキシプロファイルをCAプロファイルにアタッチします。
[edit] user@host# set security pki ca-profile ca-profile-ipsec proxy-profile px-profile
検証
設定が正常に機能していることを確認するには、 show security pki コマンドを入力します。
例:CAプロファイルの送信元アドレスとしてIPv6アドレスを設定する
この例では、CAプロファイルの送信元アドレスとしてIPv6アドレスを設定する方法を示しています。
この機能を設定する前に、デバイスの初期化以外の特別な設定を行う必要はありません。
この例では、CA ID v6-caを持つ orgA-ca-profile というCAプロファイルを作成し、CAプロファイルの送信元アドレスを 2001:db8:0:f101::1 などの IPv6 アドレスに設定します。IPv6アドレスhttp://[2002:db8:0:f101::1]:/.../を受け入れるように登録URLを設定できます。