証明書の更新

このトピックでは、Junos OS デバイス上のデフォルトの信頼できる CA 証明の動的更新を理解し、設定することができます。

信頼されたca証明書の動的更新

Junos OSデバイスは、デフォルトの信頼できるCA 証明のリストを提供します。Junos OS デバイスは、これらの証明書を動的に管理します。また、信頼できるCA 証明のカスタムリストを作成し、CA 証明をデバイスにロードすることもできます。ただし、カスタムの信頼できる CA 証明は手動で管理する必要があります。このセクションでは、デフォルトの信頼できる CA 証明の動的管理に焦点を当てます。

デフォルトの信頼できるCAバンドルの動的更新により、

セキュリティ侵害が発生した場合の CA の削除は、自動的に行われます。
新しいJunos OSのリリースを待たずに、新しい信頼できるCAバンドルに新しいCAを即座に追加できます。

信頼されたcaバンドルの動的更新に関連するプロセス

デフォルトの信頼できる CA バンドルの動的更新には、次のプロセスが含まれます。

Juniper CDNサーバー(http://signatures.juniper.net/cacert)は、デフォルトの信頼できるCA 証明をホストします。
サーバーは、ターゲット・ファイルおよびマニフェスト・ファイルの署名付きコピーを EE 証明書とともにホストし、これらのファイルの署名付きコピーを検証します。ターゲット・ファイルには、デフォルトの信頼できるCA 証明(default-trusted-ca-certs)のリストが含まれています。マニフェストファイルには、既定の信頼できる CA バンドルのリビジョン番号と日付が含まれています。
Junos OSデバイスは、デフォルトで、信頼できるCAバンドルを自動的にダウンロードします。既定または既定以外のルーティングインスタンスを使用してインターネットに接続し、既定の信頼できるCA 証明をダウンロードおよび更新できます。
PKID を使用する PKI プロセスは、デフォルトの信頼できる CA バンドル (default-trusted-ca-certs) を CDN サーバーからデバイスに安全にダウンロードします。

信頼されたCA 証明の動的更新では、以前に読み込まれた ca-profile-group、手動で追加されたCA 証明、および他の信頼されたグループの一部である証明書は変更されません。

信頼されたca証明書の動的更新の設定を参照してください。
ca-profile-group load コマンドを発行すると、PKI プロセスはバックグラウンドでデフォルトの信頼できるCA 証明をロードし、CLI のブロックを解除して、他のタスクを続行できるようにします。
default-trusted-ca-certsに関連付けられたca-profile-groupがない場合でも、定期的なポーリングのたびに、PKI は信頼できる CA バンドルの最新のコピーをデバイスにダウンロードします。
CA 証明書が既定の信頼できる CA リストから削除されると、PKI プロセスにより、CA 証明書へのすべての参照が確実に削除されます。 trusted-ca-groupに参照が存在する場合、PKI プロセスは、実際のCA 証明が既に削除された ca-profile 名への参照のみを保持します。信頼されたca証明書の動的更新の設定を参照してください。
既定では、PKI プロセスは 24 時間ごとに CDN サーバーをポーリングして最新の既定の信頼できる CA バンドルを探し、バンドル内の信頼された CA に対する変更の一覧を更新します。変更がある場合、PKI プロセスはそれらをバックグラウンドで読み込みます。必要に応じて、ポーリング期間を変更したり、この自動更新プロセスを無効にしたりすることもできます。信頼されたca証明書の動的更新の設定を参照してください。

信頼されたca証明書の動的更新を設定する

前提条件

既定の信頼できる CA 証明の動的更新を構成する前に、次の前提条件を満たしていることを確認してください。

以上で、Junos OSデバイスの基本設定は完了です。
Junos OS デバイスに Juniper CDN サーバーにアクセスできること。デフォルト以外のルーティングインスタンスを使用してインターネットに接続し、デフォルトの信頼できる CA 証明をダウンロードすることもできます。信頼できるCA 証明の動的更新を構成する前に、既定以外のルーティングインスタンスを構成してください。Juniper CDNサーバーの詳細については、ジュニパーの営業担当までお問い合わせください。
カスタム CDN サーバーの場合は、最新の CA 証明と URL があることを確認します。カスタム CDN サーバーの構成は、このトピックの範囲外です。

要件に基づいて、次のタスクにナビゲートし、デフォルトの信頼できる CA バンドルの動的更新を構成します。

CDN サーバーへの接続を確認する
デフォルトの信頼されたca証明書の自動ダウンロードを有効にする
デフォルトの信頼されたca証明書を自動的にダウンロードするplsはタイトルを短くしてみてください-はい、更新されました
デフォルトの信頼されたca証明書を手動でダウンロードするデフォルトの信頼されたca証明書を手動でダウンロードする
デフォルトの信頼されたca証明書のダウンロードステータスを確認する
信頼されたca証明書の自動ダウンロードを無効にする

概要

次のコマンドを使用して CDN サーバーへの接続を確認し、既定の信頼された CA 証明をダウンロードします。このコマンドはマニフェストファイルをダウンロードし、CDN サーバーで使用可能な trusted-ca-bundle バージョンを表示します。

コマンドの詳細については、「 request security pki ca-certificate ca-profile-group default-trusted-ca-certs 」を参照してください。

構成

Junos OSデバイスの動作モードからCDNサーバーへの接続を確認するには、次のコマンドを発行します。

デフォルトの信頼されたca証明書の自動ダウンロードを有効にする

概要
構成

概要

ジュニパーネットワークスは、Juniper CDNサーバー上のデフォルトの信頼できるCA 証明を定期的に更新しており、Junos OSデバイスで証明書をダウンロードできます。Junos OSデバイスでは、デフォルトの信頼できるCA 証明の自動ダウンロードがデフォルトで有効になっています。設定をカスタマイズし、指定した間隔で最新のデフォルトの信頼できる CA 証明を読み込むことができます。値を指定しない場合、デフォルトの周期は 24 時間です。デフォルトの Juniper CDN Server(http://signatures.juniper.net/cacert)を使用する場合、別途設定する必要はありません。

この例では、デフォルトの設定を使用して、Junos OS デバイスでデフォルトの信頼できる CA 証明の自動ダウンロードを有効にする方法を示しています。設定ステートメントの詳細については、 default-trusted-ca-certs(セキュリティ) を参照してください。ダウンロードされたデフォルトの信頼できる CA 証明は、ステートメント request security pki ca-certificate ca-profile-group load コマンドを使用して、バックグラウンドで自動的にロードされます。証明書を読み込むために、このコマンドを明示的に実行する必要はありません。