適応型サービス インターフェイス用のデジタル証明書の設定
デジタル証明書の実装では、公開鍵基盤(PKI)を使用します。そのためには、公開鍵と秘密鍵で構成される鍵ペアを生成する必要があります。鍵は乱数ジェネレータで作成され、データの暗号化と暗号化解除に使用されます。デジタル証明書を使用しないネットワークでは、IPsec 対応デバイスが秘密鍵でデータを暗号化し、IPsec ピアはデータを公開キーで暗号化解除します。
デジタル証明書を使用すると、鍵共有プロセスにさらなる複雑さが必要になります。まず、自分と IPsec ピアは、CA(証明機関)から CA の公開キーを含む CA 証明書を送信することを要求します。次に、公開キーとその他の情報を含むローカル デジタル証明書を割り当てるよう CA に要求します。CA が要求を処理すると、CA の秘密鍵を使用してローカル証明書に署名します。次に、CA 証明書とローカル証明書をルーターにインストールし、リモート デバイスに CA をロードしてから、ピアとの IPsec トンネルを確立します。
デジタル証明書の場合、Junos OSはVeriSign、Entrust、Cisco Systems、Microsoft Windows CA for the Adaptive Services(AS)およびマルチサービスPICをサポートしています。
MシリーズおよびTシリーズルーターにインストールされているJシリーズサービスルーターとASおよびマルチサービスPICのデジタル証明書設定を定義するには、階層レベルで次のステートメントを [edit security pki] 含めます。
[edit security] pki { ca-profile ca-profile-name { ca-identity ca-identity; enrollment { url-name; retry number-of-enrollment-attempts; retry-interval seconds; } revocation-check { disable; crl { disable on-download-failure; refresh-interval number-of-hours; url { url-name; password; } } } } }
以下のタスクでは、MシリーズおよびTシリーズルーターにインストールされたJシリーズサービスルーターとASおよびマルチサービスPICにデジタル証明書を実装できます。
証明機関のプロパティの構成
CA は、デジタル証明書の作成、登録、検証、取り消しを行う信頼できるサードパーティー組織です。
ASおよびマルチサービスPICの認証機関とそのプロパティを設定するには、階層レベルで次のステートメントを [edit security pki] 含めます。
[edit security pki] ca-profile ca-profile-name { ca-identity ca-identity; enrollment { url url-name; retry number-of-attempts; retry-interval seconds; } }
証明機関のプロパティを構成するためのタスクは次のとおりです。
CA プロファイル名の指定
CA プロファイルには、CA または RA の名前と URL、再試行タイマー設定が含まれています。Entrust、VeriSign、Cisco Systems、Microsoftが発行するCA証明書は、MシリーズおよびTシリーズルーターにインストールされているJシリーズサービスルーターおよびASおよびマルチサービスPICと互換性があります。
CA プロファイル名を指定するには、セキュリティ レベルに以下をca-profile statement[edit security pki]含めます。
[edit security pki] ca-profile ca-profile-name;
証明書要求で使用される CA ID の名前も指定する必要があります。通常、この名前はドメイン名です。CA アイデンティティの名前を指定するには、ステートメントをレベルにca-identity[edit security pki ca-profile ca-profile-name]含めます。
[edit security pki ca-profile ca-profile-name] ca-identity ca-identity;
登録 URL の指定
ルーターが SCEP ベースの証明書登録要求を送信する CA の場所を指定します。CA URL に名前を付けて CA の場所を指定するには、階層レベルで url ステートメントを [edit security pki enrollment] 含めます。
[edit security pki ca-profile ca-profile-name enrollment] url url-name;
url-nameは CA の場所です。形式は、http://CA_nameCA_nameCA ホストの DNS 名または IP アドレスです。
登録プロパティの指定
ルーターが証明書要求を再送信する回数と、ルーターが登録の試行間に待機する時間(秒)を指定できます。
既定では、登録再試行回数は 0 に設定され、再試行回数は無限です。ルーターが証明書要求を再送信する回数を指定するには、階層レベルでステートメントをretry number-of-attempts[edit security pki ca-profile ca-profile-name enrollment]含めます。
[edit security pki ca-profile ca-profile-name enrollment] retry number-of-attempts;
の number-of-attempts 範囲は 0~100 です。
ルーターが登録の試行の間に待機する時間を秒単位で指定するには、階層レベルでステートメントをretry-interval seconds[edit security pki ca-profile ca-profile-name enrollment]含めます。
[edit security pki ca-profile ca-profile-name enrollment] retry-interval seconds;
の seconds 範囲は0~3600です。
証明書失効リストの設定
証明書失効リストを構成するタスクは次のとおりです。
LDAP URL の指定
CA が現在の CRL を格納する軽量ディレクトリ アクセス プロトコル(LDAP)サーバーの URL を指定できます。CA にデジタル証明書に証明書配布ポイント(CDP)が含まれている場合、LDAP サーバーの URL を指定する必要はありません。CDP は、証明書の CRL を取得する方法に関する情報を含む証明書内のフィールドです。ルーターは、この情報を使用して CRL を自動的にダウンロードします。
証明書で指定された CDP とは異なる CDP を使用する場合は、LDAP URL を設定します。設定した LDAP URL は、証明書に含まれる CDP よりも優先されます。
各 CA プロファイルに対して最大 3 つの URL を設定できます。
LDAP サーバーが CRL にアクセスするためにパスワードを必要とする場合は、ステートメントを password 含める必要があります。
LDAP サーバーから CRL を取得するようにルーターを構成するには、ステートメントを url 含め、階層レベルで URL 名を [edit security pki ca-profile ca-profile-name revocation-check crl] 指定します。
[edit security pki ca-profile ca-profile-name revocation-check crl] url { url-name; }
url-name は、認証機関 LDAP サーバー名です。形式は ldap://server-name で、 server-name CAホストのDNS名またはIPアドレスです。
パスワードを使用して CRL にアクセスするように指定するには、階層レベルでステートメントをpassword[edit security pki ca-profile ca-profile-name revocation-check crl url]含めます。
[edit security pki ca-profile ca-profile-name revocation-check crl url] password password;
password は、LDAP サーバーがアクセスに必要とする秘密パスワードです。
CRL 更新間隔の設定
デフォルトでは、CRL の更新間隔は 24 時間です。CRL の更新間隔を設定するには、階層レベルでステートメントをrefresh-interval[edit security pki ca-profile ca-profile-name revocation-check crl]含めます。
[edit security pki ca-profile ca-profile-name revocation-check crl] refresh-interval number-of-hours;
時間数の範囲は、0~8784 です。
CRL のダウンロードに失敗した場合の証明書検証の上書き
デフォルトでは、ルーターが LDAP URL にアクセスできない場合、または有効な証明書失効リストを取得できない場合、証明書の検証は失敗し、IPsec トンネルは確立されません。この動作をオーバーライドし、CRL がダウンロードされていないときに IPsec ピアの認証を許可するには、階層レベルでステートメントをdisable on-download-failure[edit security pki ca-profile ca-profile-name revocation-check crl]含めます。
[edit security pki ca-profile ca-profile-name revocation-check crl] disable on-download-failure;
デジタル証明書の管理
CA プロファイルを設定した後、信頼できる CA から CA 証明書を要求できます。次に、公開鍵と秘密鍵のペアを生成する必要があります。鍵ペアが使用可能な場合は、オンラインまたは手動でローカル証明書を生成できます。
デジタル証明書を管理するタスクは次のとおりです。
MシリーズおよびTシリーズルーターにインストールされているASおよびマルチサービスPICのCAデジタル証明書の要求
MシリーズおよびTシリーズルーターにインストールされているJシリーズサービスルーターおよびASおよびマルチサービスPICでは、次のコマンドを発行してCAからデジタル証明書を取得します。信頼できるCAからCA証明書を要求するように設定を ca-profile-name 指定します。
user@host>request security pki ca-certificate enroll ca-profile ca-profile-name
CA プロファイルを構成する方法の詳細については、「 証明機関のプロパティの構成」を参照してください。
この例では、証明書はオンラインで登録され、ルーターに自動的にインストールされます。
user@host> request security pki ca-certificate enroll ca-profile entrust
Received following certificates: Certificate: C=us, O=juniper Fingerprint:00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10 Certificate: C=us, O=juniper, CN=First Officer Fingerprint:bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17 Certificate: C=us, O=juniper, CN=First Officer Fingerprint:46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f Do you want to load the above CA certificate ? [yes,no] (no) yes
CA から直接 CA 証明書を取得する場合(電子メールの添付ファイルや Web サイトのダウンロードなど)、コマンドを使用して CA 証明書を request security pki ca-certificate load インストールできます。詳細については、 CLI エクスプローラーを参照してください。
公開鍵と秘密鍵のペアの生成
AS PICまたはマルチサービスPICの証明書を取得した後、ローカル証明書を生成する前にパブリックプライベートキーを生成する必要があります。公開鍵はローカルデジタル証明書に含まれており、秘密鍵はピアから受信したデータの暗号化解除に使用されます。公開鍵と秘密鍵のペアを生成するには、コマンドを request security pki generate-key-pair certificate-id certificate-id-name 発行します。
次の例は、AS PICまたはマルチサービスPICのパブリックプライベートキーを生成する方法を示しています。
user@host>request security pki generate-key-pair certificate-id local-entrust2 Generated key pair local-entrust2, key size 1024 bits
ローカルデジタル証明書の生成と登録
ローカルデジタル証明書は、オンラインまたは手動で生成して登録できます。AS PICまたはマルチサービスPICのSCEP(簡易証明書登録プロトコル)を使用して、ローカル証明書をオンラインで生成して登録するには、コマンドを request security pki local-certificate enroll 発行します。PKCS-10 形式でローカル証明書要求を手動で生成するには、コマンドを request security pki generate-certificate-request 発行します。
ローカル証明書要求を手動で作成する場合は、証明書を手動でロードする必要もあります。ルーターに証明書を手動でインストールするには、コマンドを request security pki local-certificate load 発行します。
次の例では、ローカル証明書要求を手動で生成し、それを CA に送信して処理する方法を示しています。
user@host> request security pki generate-certificate-request certificate-id local-entrust2 domain-name router2.example.com filename entrust-req2 subject cn=router2.example.com
Generated certificate request -----BEGIN CERTIFICATE REQUEST----- MIIBoTCCAQoCAQAwGjEYMBYGA1UEAxMPdHAxLmp1bmlwZXIubmV0MIGfMA0GCSqG SIb3DQEBAQUAA4GNADCBiQKBgQCiUFklQws1Ud+AqN5DDxRs2kVyKEhh9qoVFnz+ Hz4c9vsy3B8ElwTJlkmIt2cB3yifB6zePd+6WYpf57Crwre7YqPkiXM31F6z3YjX H+1BPNbCxNWYvyrnSyVYDbFj8o0Xyqog8ACDfVL2JBWrPNBYy7imq/K9soDBbAs6 5hZqqwIDAQABoEcwRQYJKoZIhvcNAQkOMTgwNjAOBgNVHQ8BAf8EBAMCB4AwJAYD VR0RAQH/BBowGIIWdHAxLmVuZ2xhYi5qdW5pcGVyLm5ldDANBgkqhkiG9w0BAQQF AAOBgQBc2rq1v5SOQXH7LCb/FdqAL8ZM6GoaN5d6cGwq4bB6a7UQFgtoH406gQ3G 3iH0Zfz4xMIBpJYuGd1dkqgvcDoH3AgTsLkfn7Wi3x5H2qeQVs9bvL4P5nvEZLND EIMUHwteolZCiZ70fO9Fer9cXWHSQs1UtXtgPqQJy2xIeImLgw== -----END CERTIFICATE REQUEST----- Fingerprint: 0d:90:b8:d2:56:74:fc:84:59:62:b9:78:71:9c:e4:9c:54:ba:16:97 (sha1) 1b:08:d4:f7:90:f1:c4:39:08:c9:de:76:00:86:62:b8 (md5)
信頼できる CA がローカル証明書にデジタル署名し、それを返します。証明書ファイルをルーターにコピーし、証明書をロードします。
user@host> request security pki local-certificate load filename /tmp/router2-cert certificate-id local-entrust2 Local certificate local-entrust2 loaded successfully
CA から送信されたファイルの名前が、証明書識別子の名前と一致しない場合があります。ただし、名前は certificate-id 常にルーターで生成したキー ペアの名前と一致する必要があります。
ローカル証明書と CA 証明書を読み込んだ後、IPsec 設定で証明書を参照できます。ASおよびマルチサービスPICのデフォルト値を使用して、IPsecプロポーザルやIPsecポリシーを設定する必要はありません。ただし、デジタル証明書の使用を指定する IKE プロポーザルを設定し、IKE プロポーザルを参照して IKE ポリシーで証明書を探し、CA プロファイルをサービス セットに適用する必要があります。
ルーター証明書の自動再登録の設定
ステートメントを使用して、既存の auto-re-enrollment 有効期限日より前に、指定された既存のルーター証明書の自動再登録を設定します。この機能により、ルーター証明書が自動的に再登録されます。再登録プロセスでは、証明機関(CA)に、新しい有効期限日を持つ新しいルーター証明書を発行するよう要求します。自動再登録の日付は、以下のパラメーターによって決まります。
re-enroll-trigger-time—ルーター証明書の開始日/時刻(証明書が生成されたとき)と有効期間の違いの割合。は、有効期限が切れになる前に自動再登録を開始する時間を指定するために使用されます。validity-period—証明書の生成時に設定したとおり、ルーター証明書の有効期限が切れる発行日の日数。
デフォルトでは、この機能は明示的に設定されていない限り有効ではありません。つまり、自動再登録が構成されていない証明書は、通常の有効期限日に期限切れになります。
ステートメントは ca-profile 、期限切れになる証明書を再登録するために接続する CA を指定します。これは、元のルーター証明書を発行した CA です。
このステートメントは challenge-password 、管理者によって設定され、通常は CA の SCEP 登録 Web ページから取得したルーター証明書のパスワードを使用して、ISSUING CA を提供します。パスワードの長さは 16 文字です。
オプションで、ステートメントを使用してルーター証明書鍵ペアを re-generate-keypair 再生成することもできます。
自動再登録プロパティを設定するには、階層レベルで次のステートメントを [edit security pki] 含めます。
[edit security pki] auto-re-enrollment { certificate-id { ca-profile ca-profile-name; challenge-password password; re-enroll-trigger-time-percentage percentage; re-generate-keypair; validity-period days; } }
percentage は、再登録トリガー時間の割合です。範囲は 1~ 99% です。
days は有効期間の日数です。範囲は 1~4095 です。
証明書の自動再登録を構成するタスクは次のとおりです。
証明書 ID を指定します。
ステートメントを certificate-id 使用して、自動再登録用に設定するルーター証明書の名前を指定します。証明書 ID を指定するには、階層レベルでステートメントを [edit security pki auto-re-enrollment] 含めます。
[edit security pki auto-re-enrollment] certificate-id certificate-name;
CA プロファイルの指定
ステートメントを ca-profile 使用して、以前に証明書 ID で指定したルーター証明書から CA プロファイルの名前を指定します。CA プロファイルを指定するには、階層レベルでステートメントを [edit security pki auto-re-enrollment certificate-id certificate-name] 含めます。
[edit security pki auto-re-enrollment certificate-id certificate-name] ca-profile ca-profile-name;
参照される ca-profile URL には、階層レベルで構成された登録 URL が [edit security pki ca-profile ca-profile-name enrollment url] 必要です。
チャレンジ パスワードの指定
チャレンジ パスワードは、再登録および取り消しのために PKI 証明書 ID で指定された CA によって使用されます。チャレンジ パスワードを指定するには、階層レベルで次のステートメントを [edit security pki auto-re-enrollment certificate-id certificate-name] 含めます。
[edit security pki auto-re-enrollment certificate-id certificate-name] challenge-password password;
再登録のトリガー時間を指定する
ステートメントを re-enroll-trigger-time 使用して、再登録が行われる有効期限までの有効期間の割合を設定します。再登録トリガー時間を指定するには、階層レベルに以下のステートメントを [edit security pki auto-re-enrollment certificate-id certificate-name] 含めます。
[edit security pki auto-re-enrollment certificate-id certificate-name] re-enroll-trigger-time percentage;
percentage は、再登録トリガー時間の割合です。範囲は 1~ 99% です。
キー ペアの再生成を指定する
再生成キー ペアが設定されている場合、再ロール中に新しいキー ペアが生成されます。再登録が成功すると、新しい鍵ペアと新しい証明書が古い証明書と鍵のペアを置き換えます。新しいキー ペアを生成するには、階層レベルで次のステートメントを [edit security pki auto-re-enrollment certificate-id certificate-name] 含めます。
[edit security pki auto-re-enrollment certificate-id certificate-name] re-generate-keypair;
有効期間の指定
ステートメントは validity-period 、指定されたルーター証明書が有効なままであることを、ルーター証明書の有効期間(日数)で指定します。有効期間を指定するには、階層レベルでステートメントを [edit security pki auto-re-enrollment certificate-id certificate-name] 含めます。
[edit security pki auto-re-enrollment certificate-id certificate-name] validity-period days;
days は有効期間の日数です。範囲は 1~4095 です。