認証機関
証明機関 (CA) について学習し、CA を管理する方法を理解します。
認証局(CA)プロファイルは、特定の証明書に関連するすべてのパラメーターを定義して、2つのエンドポイント間のセキュアな接続を確立します。プロファイルは、使用する証明書、証明書失効状態を確認する方法、およびその状態がアクセスを制限する方法を指定します。
信頼されたcaグループを設定する
この項では、CA プロファイルのリストに対して信頼できる CA グループを作成し、信頼できる CA グループを削除する手順について説明します。
CA プロファイルのリストの信頼されたca グループを作成する
信頼できる CA グループを設定し、割り当てて、エンティティを承認できます。ピアがクライアントとの接続を確立しようとすると、そのエンティティの特定の信頼できる CA によって発行された証明書のみが検証されます。デバイスは、証明書の発行者と証明書を提示する発行者が同じクライアントネットワークに属しているかどうかを検証します。発行者とプレゼンターが同じクライアント ネットワークに属している場合、接続が確立されます。そうでない場合、接続は確立されません。
開始する前に、信頼済みグループに追加するすべての CA プロファイルのリストが必要です。
この例では、 orgA-ca-profile、 orgB-ca-profile、および orgC-ca-profile という名前の 3 つの CA プロファイルを作成し、それぞれのプロファイルに CA 識別子 ca-profile1、 ca-profile2、 ca-profile3 を関連付けています。3 つの CA プロファイルすべてをグループ化して、信頼できる CA グループ orgABC-trusted-ca-groupに所属させることができます。
信頼できる CA グループには、最大 20 個の CA プロファイルを設定できます。
デバイスに設定されている CA プロファイルと信頼できる CA グループを表示するには、 show security pki コマンドを実行します。
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
ca-profile orgC-ca-profile {
ca-identity ca-profile3;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile orgC-ca-profile ];
}
show security pki コマンドは、orgABC_trusted-ca-groupの下にグループ化されているすべての CA プロファイルを表示します。
信頼されたca グループからの CA プロファイルの削除
信頼できる CA グループ内の特定の CA プロファイルを削除することも、信頼できる CA グループ自体を削除することもできます。
たとえば、「信頼されたca グループの設定」トピックに示すように、デバイスに設定された信頼できる CA グループ orgABC-trusted-ca-groupから orgC-ca-profile という名前の CA プロファイルを削除する場合は、次の手順を実行します。
orgABC-trusted-ca-group から削除されるorgC-ca-profileを表示するには、show security pki コマンドを実行します。
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile ];
}
orgC-ca-profileプロファイルは信頼できるCAグループから削除されるため、出力には表示されません。
信頼されたcaグループを削除する
エンティティは多くの信頼できる CA グループをサポートでき、エンティティの信頼できる CA グループを削除できます。
たとえば、「信頼されたca グループの設定」のトピックに示すように、デバイスに設定された orgABC-trusted-ca-group という名前の信頼できる CA グループを削除する場合は、次の手順を実行します。
エンティティから削除される orgABC-trusted-ca-group を表示するには、 show security pki コマンドを実行します。
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
orgABC-trusted-ca-groupはエンティティから削除されるため、出力には表示されません。
認証局プロファイル
認証局(CA)プロファイル設定には、CA に固有の情報が含まれています。SRXシリーズファイアウォールには、複数のCAプロファイルを設定できます。たとえば、orgA 用に 1 つのプロファイルがあり、orgB 用に 1 つのプロファイルがあるとします。各プロファイルは、CA 証明書に関連付けられています。古い CA 証明書を削除せずに新しい CA 証明書を読み込む場合は、新しい CA プロファイル (Microsoft-2008 など) を作成します。
Junos OS リリース 18.1R1 以降では、CA サーバを IPv6 CA サーバにすることができます。
PKIモジュールはIPv6アドレス形式をサポートしており、IPv6が使用される唯一のプロトコルであるネットワークでSRXシリーズファイアウォールを使用できるようにします。
CA はデジタル証明書を発行し、証明書の検証によって 2 つのエンドポイント間のセキュアな接続を確立するのに役立ちます。特定のトポロジに対して、複数の CA プロファイルを 1 つの信頼できる CA グループにグループ化できます。これらの証明書は、2 つのエンドポイント間の接続を確立するために使用されます。IKE または IPsec を確立するには、両方のエンドポイントが同じ CA を信頼する必要があります。いずれかのエンドポイントが、それぞれの信頼できる CA(ca-profile)または信頼できる CA グループを使用して証明書を検証できない場合、接続は確立されません。信頼できる CA グループを作成するには、最低 1 つの CA プロファイルが必須であり、1 つの信頼できる CA グループには最大 20 の CA を含めることができます。特定のグループの CA は、その特定のエンドポイントの証明書を検証できます。
Junos OS リリース 18.1R1 以降では、設定された IKE ピアの検証を、指定された CA サーバーまたは CA サーバーのグループで実行できるようになりました。信頼できる CA サーバーのグループは、 trusted-ca-group 設定ステートメントを使用して [edit security pki] 階層レベルで作成できます。1 つまたは複数の CA プロファイルを指定できます。信頼できる CA サーバは、[edit security ike policy policy certificate] 階層レベルでピアの IKE ポリシー設定にバインドされます。
プロキシプロファイルがCAプロファイルで設定されている場合、証明書の登録、検証、または失効中に、デバイスはCAサーバーではなくプロキシホストに接続します。プロキシ ホストは、デバイスからの要求で CA サーバーと通信し、応答をデバイスにリレーします。
CA プロキシ プロファイルは、SCEP、CMPv2、および OCSP プロトコルをサポートします。
CA プロキシ プロファイルは HTTP でのみサポートされ、HTTPS プロトコルではサポートされていません。
例:CA プロファイルの設定
この例では、CA プロファイルを設定する方法を示しています。
必要条件
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、CA ID が microsoft-2008 の ca-profile-ipsec という CA プロファイルを作成します。次に、CA プロファイルのプロキシ プロファイルを作成します。構成では、CRL が 48 時間ごとに更新され、CRL を取得する場所が http://www.my-ca.com に指定されています。この例では、登録の再試行値を 20 に設定しています。(デフォルトの再試行値は 10 です。
証明書の自動ポーリングは 30 分ごとに設定されています。再試行間隔を構成せずに再試行のみを設定した場合、デフォルトの再試行間隔は 900 秒(または 15 分)です。再試行または再試行間隔を設定しない場合、ポーリングは行われません。
構成
プロシージャ
手順
CA プロファイルを設定するには:
CA プロファイルを作成します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 user@host#
必要に応じて、プロキシ プロファイルを CA プロファイルに構成します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec proxy-profile px-profile
公開鍵基盤(PKI)は、システムレベルで構成されたプロキシプロファイルを使用します。CA プロファイルで使用されるプロキシ プロファイルは、
[edit services proxy]階層で設定する必要があります。[edit services proxy]階層で複数のプロキシプロファイルを設定できます。各 CA プロファイルは、このようなプロキシ プロファイルを 1 つ多く参照します。プロキシプロファイルのホストとポートを[edit system services proxy]階層で設定できます。失効チェックを作成して、証明書の失効を確認する方法を指定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
更新間隔を時間単位で設定して、CRL を更新する頻度を指定します。デフォルト値は、CRL の次の更新時間、または次の更新時間が指定されていない場合は 1 週間です。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl refresh-interval 48 url http://www.my-ca.com/my-crl.crl
登録の再試行値を指定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry 20
CA 証明書をオンラインで自動的に登録する間隔を秒単位で指定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry-interval 1800
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 show security pki コマンドを入力します。
例:CA プロファイルの送信元アドレスとして IPv6 アドレスを設定します
この例では、CA プロファイルの送信元アドレスとして IPv6 アドレスを設定する方法を示しています。
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
この例では、CA ID v6-caを使用して orgA-ca-profile という CA プロファイルを作成し、CA プロファイルの送信元アドレスを 2001:db8:0:f101::1 などの IPv6 アドレスに設定します。IPv6 アドレスhttp://[2002:db8:0:f101::1]:/.../を受け入れるように登録 URL を構成できます。