適応型サービス インターフェイスのデジタル証明書の設定
デジタル 証明書の実装 では、公開鍵基盤(PKI)を使用します。公開鍵とプライベートキーで構成された鍵ペアを生成する必要があります。鍵は、ランダム番号ジェネレータを使用して作成され、データの暗号化と暗号化解除に使用されます。デジタル証明書を使用しないネットワークでは、IPsec対応デバイスがプライベートキーでデータを暗号化し 、IPsecピアが公開キーでデータを暗号化解除します。
デジタル証明書を使用して鍵を共有するには、さらに複雑さをレベルアップする必要があります。まず、ユーザーおよび IPsec ピアから、認証機関( CA)から、デバイスの公開鍵を含む CA 証明書を送信CA。次に、パブリック キー CA含むローカルデジタル証明書を割り当て、その他の情報を割り当てる要求を行います。要求をCA処理すると、アプリケーションのプライベート キーを使用してローカル証明書に署名CA。次に、ピアとのIPsecトンネルを確立する前に、CA証明書とローカル証明書をルーターにインストールし、リモートデバイスにCAをロードします。
デジタル証明書の場合、Junos OS は、VeriSign、Entrust、Cisco Systems、Microsoft Windows CA によるアダプティブ サービス(AS)およびマルチサービス PIC をサポートしています。
J シリーズ サービス ルーターおよび M Series および T Series ルーターにインストールされた AS およびマルチサービス PIC のデジタル証明書の設定を定義するには、階層レベルに次のステートメントを含 [edit security pki] める必要があります。
[edit security] pki { ca-profile ca-profile-name { ca-identity ca-identity; enrollment { url-name; retry number-of-enrollment-attempts; retry-interval seconds; } revocation-check { disable; crl { disable on-download-failure; refresh-interval number-of-hours; url { url-name; password; } } } } }
次のタスクでは、Jシリーズ サービスルーター上にデジタル証明書を実装し、ASとリモートルーターにインストールM SeriesマルチT Seriesできます。
認証機関のプロパティの設定
認定CAは、デジタル証明書の作成、登録、検証、取り消しを行う信頼できるサードパーティー組織です。
認証機関 およびマルチAS PIC に対して AS とそのプロパティを設定するには、階層レベルに以下のステートメント [edit security pki] を含める必要があります。
[edit security pki] ca-profile ca-profile-name { ca-identity ca-identity; enrollment { url url-name; retry number-of-attempts; retry-interval seconds; } }
認証機関のプロパティを設定するためのタスクは次のとおりです。
デバイス プロファイル名CA指定
アプリケーション プロファイルCAには、デバイス の名前と URL CAまたはイベント RA、およびいくつかの大まかなタイマー設定が含されています。CA、VeriSign、Cisco Systems、Microsoft が発行する認定書は、M Series および T Series ルーターにインストールされている J シリーズ サービス ルーターおよび AS およびマルチサービス PIC と互換性があります。
CA プロファイル名を指定するには、セキュリティ レベル ca-profile statement に以下を [edit security pki] 含める:
[edit security pki] ca-profile ca-profile-name;
証明書要求で使用されているアイデンティティのCA指定する必要があります。この名前は通常、ドメイン名です。アイデンティティの名前を指定CA、ステートメント ca-identity をレベルに含 [edit security pki ca-profile ca-profile-name] める:
[edit security pki ca-profile ca-profile-name] ca-identity ca-identity;
登録 URL の指定
ルーターが SCEP CA証明書登録要求を送信する必要がある場所を指定します。URL に名前をCAしてサービスの場所を指定するにはCA、 url ステートメントを階層レベルに [edit security pki enrollment] 含める:
[edit security pki ca-profile ca-profile-name enrollment] url url-name;
url-name 場所CAします形式は http://CA_name 、 のホスト CA_name DNS CA IP アドレスです。
登録プロパティの指定
ルーターが証明書要求を再送信する回数と、ルーターが登録試行間隔を待機する時間(秒)を指定できます。
デフォルトでは、登録の再試行回数は、無限の再試行回数の0に設定されています。ルーターが証明書要求を再送信する回数を指定するには、ステートメント retry number-of-attempts を階層レベルに [edit security pki ca-profile ca-profile-name enrollment] 含める:
[edit security pki ca-profile ca-profile-name enrollment] retry number-of-attempts;
の範囲 number-of-attempts は 0~100 です。
ルーターが登録試行から待機する時間(秒)を指定するには、ステートメントを階層レベルに retry-interval seconds [edit security pki ca-profile ca-profile-name enrollment] 含める必要があります。
[edit security pki ca-profile ca-profile-name enrollment] retry-interval seconds;
の範囲 seconds は 0~3600 です。
証明書失効リストの設定
証明書失効リストを設定するタスクは次のとおりです。
LDAP URL の指定
軽量ディレクトリ アクセス プロトコル(LDAP)サーバーの URL は、デバイスに現在の CAを格納できます。証明書にCA証明書配布ポイント(CDP)がデジタル証明書に含まれる場合は、LDAP サーバーの URL を指定する必要があります。CDP は証明書内のフィールドで、証明書に対して CDP を取得する方法に関する情報を含むフィールドです。この情報をルーターが使用して、自動的にこの PDF ファイルをダウンロードします。
証明書で指定された CDP と異なる CDP を使用する場合は、LDAP URL を設定します。設定した LDAP URL が、証明書に含まれる CDP よりも優先されます。
ネットワーク プロファイルごとに最大 3 つの URL をCAできます。
LDAP サーバーが LDAP にアクセスするためにパスワードを必要とする場合は、 ステートメントを含める必要 password があります。
LDAP サーバーから LDAP を取得するようにルーターを設定するには、ステートメントを含め、階層レベルで url URL 名を [edit security pki ca-profile ca-profile-name revocation-check crl] 指定します。
[edit security pki ca-profile ca-profile-name revocation-check crl] url { url-name; }
url-nameは LDAP 認証機関名です。形式は dns server-name ldap://ホストの DNS 名CA IP アドレス server-name です。
パスワードを使用して権限を持つSL(階層レベル)にステートメントを含めるには、次 password の [edit security pki ca-profile ca-profile-name revocation-check crl url] 手順に示します。
[edit security pki ca-profile ca-profile-name revocation-check crl url] password password;
password は、LDAP サーバーがアクセスに必要とする秘密パスワードです。
THE の更新間隔の設定
デフォルトでは、同士のSLポート更新間隔は24時間です。高い時間を設定するには、次のステートメントを階層レベルに refresh-interval [edit security pki ca-profile ca-profile-name revocation-check crl] 含てます。
[edit security pki ca-profile ca-profile-name revocation-check crl] refresh-interval number-of-hours;
時間数の範囲は 0~8784 です。
証明の検証を上書きする([証明のダウンロードが失敗した場合に証明を上書き]
デフォルトでは、ルーターがLDAP URLにアクセスできない場合、または有効な証明書失効リストを取得できない場合、証明書の検証は失敗し、IPsecトンネルは確立されません。この動作をオーバーライドし、THE をダウンロードしていない場合に IPsec ピアの認証を許可するには、次のステートメントを階層レベル disable on-download-failure に [edit security pki ca-profile ca-profile-name revocation-check crl] 含てます。
[edit security pki ca-profile ca-profile-name revocation-check crl] disable on-download-failure;
デジタル証明書の管理
CA プロファイルを設定した後、信頼できるプロファイルにCA要求できます。CA。次に、パブリック/プライベート キーペアを生成する必要があります。鍵ペアが使用可能な場合は、オンラインまたは手動でローカル証明書を生成できます。
デジタル証明書を管理するタスクは次のとおりです。
- デバイスおよびCAにインストールされているASおよびマルチサービス PIC 用のデジタル証明書M Series要求T Seriesする
- パブリック/プライベート キー ペアの生成
- ローカルデジタル証明書の生成と登録
デバイスおよびCAにインストールされているASおよびマルチサービス PIC 用のデジタル証明書M Series要求T Seriesする
M Series および T Series ルーターにインストールされた J シリーズ サービス ルーターおよび AS およびマルチサービス PIC については、次のコマンドを発行して CA からデジタル証明書を取得します。 信頼できる CA から CA 証明書を要求するように設定済みを指定します。 ca-profile-name
user@host>request security pki ca-certificate enroll ca-profile ca-profile-name
認証プロファイルの設定方法については、「 CA 認証機関のプロパティの設定 」を参照 してください。
この例では、証明書がオンラインで登録され、自動的にルーターにインストールされます。
user@host> request security pki ca-certificate enroll ca-profile entrust
Received following certificates: Certificate: C=us, O=juniper Fingerprint:00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10 Certificate: C=us, O=juniper, CN=First Officer Fingerprint:bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17 Certificate: C=us, O=juniper, CN=First Officer Fingerprint:46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f Do you want to load the above CA certificate ? [yes,no] (no) yes
CA 証明書を CA から直接取得した場合(電子メールの添付ファイルや Web サイトのダウンロードなど)、 コマンドを使用してこの証明書をインストール request security pki ca-certificate load できます。詳細については、 CLI Explorer をご覧ください。
パブリック/プライベート キー ペアの生成
AS PICまたはマルチサービスPICの証明書を取得した後、ローカル証明書を生成する前に、パブリックプライベートキーを生成する必要があります。公開鍵はローカルのデジタル証明書に含まれており、プライベートキーはピアから受信したデータの暗号化解除に使用されます。公開鍵とプライベートキーのペアを生成するには、 コマンドを発行 request security pki generate-key-pair certificate-id certificate-id-name します。
次の例は、特定のPICまたはマルチサービスPICに対してASプライベート キーを生成する方法を示しています。
user@host>request security pki generate-key-pair certificate-id local-entrust2 Generated key pair local-entrust2, key size 1024 bits
ローカルデジタル証明書の生成と登録
ローカルのデジタル証明書は、オンラインまたは手動で作成して登録できます。AS PIC またはマルチサービス PIC に対して簡易証明書登録プロトコル(SCEP)を使用して、ローカル証明書をオンラインで生成して登録するには、コマンドを発行 request security pki local-certificate enroll します。PKCS-10 形式でローカル証明書要求を手動で生成するには、 コマンドを発行 request security pki generate-certificate-request します。
ローカル証明書要求を手動で作成する場合は、証明書を手動でロードする必要があります。ルーターに証明書を手動でインストールするには、 コマンドを発行 request security pki local-certificate load します。
次の例では、ローカル証明書要求を手動で生成して、ローカル証明書要求をCAする方法を示しています。
user@host> request security pki generate-certificate-request certificate-id local-entrust2 domain-name router2.example.com filename entrust-req2 subject cn=router2.example.com
Generated certificate request -----BEGIN CERTIFICATE REQUEST----- MIIBoTCCAQoCAQAwGjEYMBYGA1UEAxMPdHAxLmp1bmlwZXIubmV0MIGfMA0GCSqG SIb3DQEBAQUAA4GNADCBiQKBgQCiUFklQws1Ud+AqN5DDxRs2kVyKEhh9qoVFnz+ Hz4c9vsy3B8ElwTJlkmIt2cB3yifB6zePd+6WYpf57Crwre7YqPkiXM31F6z3YjX H+1BPNbCxNWYvyrnSyVYDbFj8o0Xyqog8ACDfVL2JBWrPNBYy7imq/K9soDBbAs6 5hZqqwIDAQABoEcwRQYJKoZIhvcNAQkOMTgwNjAOBgNVHQ8BAf8EBAMCB4AwJAYD VR0RAQH/BBowGIIWdHAxLmVuZ2xhYi5qdW5pcGVyLm5ldDANBgkqhkiG9w0BAQQF AAOBgQBc2rq1v5SOQXH7LCb/FdqAL8ZM6GoaN5d6cGwq4bB6a7UQFgtoH406gQ3G 3iH0Zfz4xMIBpJYuGd1dkqgvcDoH3AgTsLkfn7Wi3x5H2qeQVs9bvL4P5nvEZLND EIMUHwteolZCiZ70fO9Fer9cXWHSQs1UtXtgPqQJy2xIeImLgw== -----END CERTIFICATE REQUEST----- Fingerprint: 0d:90:b8:d2:56:74:fc:84:59:62:b9:78:71:9c:e4:9c:54:ba:16:97 (sha1) 1b:08:d4:f7:90:f1:c4:39:08:c9:de:76:00:86:62:b8 (md5)
信頼できるセキュリティ CA証明書にデジタル署名して返します。証明書ファイルをルーターにコピーして、証明書をロードします。
user@host> request security pki local-certificate load filename /tmp/router2-cert certificate-id local-entrust2 Local certificate local-entrust2 loaded successfully
ホストによって送信されたファイルの名前CA証明書識別子の名前と一致しない可能性があります。ただし、名前 certificate-id は常にルーターで生成したキー ペアの名前と一致する必要があります。
ローカル証明書およびリモート 証明書CAロードした後、IPsec 設定で証明書を参照できます。マルチサービスPIC ASのデフォルト値を使用して、IPsecプロポーザルやIPsecポリシーを設定する必要があります。ただし、デジタル証明書の使用を指定する IKE プロポーザルを設定し、IKE プロポーザルを参照して、IKE ポリシーで証明書を探し、CA プロファイルをサービス セットに適用する必要があります。
ルーター証明書の自動再送信の設定
ステートメントを使用して、既存の有効期限までに指定された既存のルーター証明書の auto-re-enrollment 自動再設定を行います。この機能により、ルーター証明書が自動的に再送信されます。再送信プロセスにより、認証機関(CA)に新しいルーター証明書を発行要求します。自動再設定の日付は、以下のパラメータによって決定されます。
re-enroll-trigger-time—ルーター証明書の開始日/時刻(証明書が生成された日時)と有効期間の差の割合。を使用して、有効期限まで自動再設定を開始する期間を指定します。validity-period—証明書の生成時に設定された、ルーター証明書の有効期限(発行後の日数)。
デフォルトでは、この機能は明示的に設定されていない限り有効になりません。つまり、自動再認証が設定されていない証明書は、通常の有効期限で期限切れとなります。
ステートメント ca-profile は、有効期限切れCAアクセスするユーザーを指定します。これは元のルーター CA発行した証明書の一部です。
ステートメントは CA、管理者が設定し、通常はルーターの SCEP 登録 Web ページから取得する、ルーター証明書のパスワードを使用して発行元 challenge-password CA。パスワードの長さは16文字です。
必要に応じて、 ステートメントを使用して、ルーター証明書キーのペアを再生成 re-generate-keypair できます。
自動再設定プロパティを設定するには、階層レベルに以下のステートメント [edit security pki] を含てます。
[edit security pki] auto-re-enrollment { certificate-id { ca-profile ca-profile-name; challenge-password password; re-enroll-trigger-time-percentage percentage; re-generate-keypair; validity-period days; } }
percentage は reen分トリガー時間の割合です範囲は 1~99 %です。
days は有効期間の日数です。範囲は1~4095です。
証明書の自動再設定を行うタスクは次のとおりです。
- 証明書 ID を指定します。
- デバイス プロファイルをCAします。
- Challenge Passwordを指定します。
- Reen何トリガー時間を指定します
- 再生成キー ペアを指定します。
- 有効期間を指定します。
証明書 ID を指定します。
ステートメントを certificate-id 使用して、自動再送信を設定するルーター証明書の名前を指定します。証明書 ID を指定するには、次のステートメントを階層レベルに [edit security pki auto-re-enrollment] 含てます。
[edit security pki auto-re-enrollment] certificate-id certificate-name;
デバイス プロファイルをCAします。
ステートメントを使用して、以前証明書 ID で指定されたCA ca-profile プロファイルの名前を指定します。CA プロファイルを指定するには、 ステートメントを階層レベルに [edit security pki auto-re-enrollment certificate-id certificate-name] 含てます。
[edit security pki auto-re-enrollment certificate-id certificate-name] ca-profile ca-profile-name;
参照先 ca-profile には、階層レベルで設定された登録 URL が [edit security pki ca-profile ca-profile-name enrollment url] 必要です。
Challengeパスワードを指定します。
challenge パスワードは、再認証CA PKI 証明書 ID で指定された要求によって使用されます。challenge パスワードを指定するには、階層レベルに次のステートメント [edit security pki auto-re-enrollment certificate-id certificate-name] を含てます。
[edit security pki auto-re-enrollment certificate-id certificate-name] challenge-password password;
Reen何トリガー時間を指定します
ステートメントを使用して、有効期限が発生する前の有効期間の re-enroll-trigger-time 割合を設定します。reen分トリガー時間を指定するには、階層レベルに次のステートメント [edit security pki auto-re-enrollment certificate-id certificate-name] を含てます。
[edit security pki auto-re-enrollment certificate-id certificate-name] re-enroll-trigger-time percentage;
percentage は reen分トリガー時間の割合です範囲は 1~99 %です。
再生成キー ペアを指定します。
再生成鍵ペアが設定されている場合、再設定時に新しいキー ペアが生成されます。再送信を成功すると、新しいキー ペアと新しい証明書によって、古い証明書とキー ペアが置き換されます。新しいキー ペアを生成するには、階層レベルに以下のステートメント [edit security pki auto-re-enrollment certificate-id certificate-name] を含てます。
[edit security pki auto-re-enrollment certificate-id certificate-name] re-generate-keypair;
有効期間を指定します。
ステートメント validity-period は、指定されたルーター証明書が有効のままであるルーター証明書の有効期間(日数)を指定します。有効期間を指定するには、次のステートメントを階層レベルに [edit security pki auto-re-enrollment certificate-id certificate-name] 含てます。
[edit security pki auto-re-enrollment certificate-id certificate-name] validity-period days;
days は有効期間の日数です。範囲は1~4095です。