Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

適応型サービス インターフェイスのデジタル証明書の設定

デジタル 証明書の実装 では、公開鍵基盤(PKI)を使用します。公開鍵とプライベートキーで構成された鍵ペアを生成する必要があります。鍵は、ランダム番号ジェネレータを使用して作成され、データの暗号化と暗号化解除に使用されます。デジタル証明書を使用しないネットワークでは、IPsec対応デバイスがプライベートキーでデータを暗号化し 、IPsecピアが公開キーでデータを暗号化解除します。

デジタル証明書を使用して鍵を共有するには、さらに複雑さをレベルアップする必要があります。まず、ユーザーおよび IPsec ピアから、認証機関( CA)から、デバイスの公開鍵を含む CA 証明書を送信CA。次に、パブリック キー CA含むローカルデジタル証明書を割り当て、その他の情報を割り当てる要求を行います。要求をCA処理すると、アプリケーションのプライベート キーを使用してローカル証明書に署名CA。次に、ピアとのIPsecトンネルを確立する前に、CA証明書とローカル証明書をルーターにインストールし、リモートデバイスにCAをロードします。

注:

デジタル証明書の場合、Junos OS は、VeriSign、Entrust、Cisco Systems、Microsoft Windows CA によるアダプティブ サービス(AS)およびマルチサービス PIC をサポートしています。

J シリーズ サービス ルーターおよび M Series および T Series ルーターにインストールされた AS およびマルチサービス PIC のデジタル証明書の設定を定義するには、階層レベルに次のステートメントを含 [edit security pki] める必要があります。

次のタスクでは、Jシリーズ サービスルーター上にデジタル証明書を実装し、ASとリモートルーターにインストールM SeriesマルチT Seriesできます。

認証機関のプロパティの設定

認定CAは、デジタル証明書の作成、登録、検証、取り消しを行う信頼できるサードパーティー組織です。

認証機関 およびマルチAS PIC に対して AS とそのプロパティを設定するには、階層レベルに以下のステートメント [edit security pki] を含める必要があります。

認証機関のプロパティを設定するためのタスクは次のとおりです。

デバイス プロファイル名CA指定

アプリケーション プロファイルCAには、デバイス の名前と URL CAまたはイベント RA、およびいくつかの大まかなタイマー設定が含されています。CA、VeriSign、Cisco Systems、Microsoft が発行する認定書は、M Series および T Series ルーターにインストールされている J シリーズ サービス ルーターおよび AS およびマルチサービス PIC と互換性があります。

CA プロファイル名を指定するには、セキュリティ レベル ca-profile statement に以下を [edit security pki] 含める:

証明書要求で使用されているアイデンティティのCA指定する必要があります。この名前は通常、ドメイン名です。アイデンティティの名前を指定CA、ステートメント ca-identity をレベルに含 [edit security pki ca-profile ca-profile-name] める:

登録 URL の指定

ルーターが SCEP CA証明書登録要求を送信する必要がある場所を指定します。URL に名前をCAしてサービスの場所を指定するにはCA、 url ステートメントを階層レベルに [edit security pki enrollment] 含める:

url-name 場所CAします形式は http://CA_name 、 のホスト CA_name DNS CA IP アドレスです。

登録プロパティの指定

ルーターが証明書要求を再送信する回数と、ルーターが登録試行間隔を待機する時間(秒)を指定できます。

デフォルトでは、登録の再試行回数は、無限の再試行回数の0に設定されています。ルーターが証明書要求を再送信する回数を指定するには、ステートメント retry number-of-attempts を階層レベルに [edit security pki ca-profile ca-profile-name enrollment] 含める:

の範囲 number-of-attempts は 0~100 です。

ルーターが登録試行から待機する時間(秒)を指定するには、ステートメントを階層レベルに retry-interval seconds [edit security pki ca-profile ca-profile-name enrollment] 含める必要があります。

の範囲 seconds は 0~3600 です。

証明書失効リストの設定

証明書失効リストを設定するタスクは次のとおりです。

LDAP URL の指定

軽量ディレクトリ アクセス プロトコル(LDAP)サーバーの URL は、デバイスに現在の CAを格納できます。証明書にCA証明書配布ポイント(CDP)がデジタル証明書に含まれる場合は、LDAP サーバーの URL を指定する必要があります。CDP は証明書内のフィールドで、証明書に対して CDP を取得する方法に関する情報を含むフィールドです。この情報をルーターが使用して、自動的にこの PDF ファイルをダウンロードします。

証明書で指定された CDP と異なる CDP を使用する場合は、LDAP URL を設定します。設定した LDAP URL が、証明書に含まれる CDP よりも優先されます。

ネットワーク プロファイルごとに最大 3 つの URL をCAできます。

LDAP サーバーが LDAP にアクセスするためにパスワードを必要とする場合は、 ステートメントを含める必要 password があります。

LDAP サーバーから LDAP を取得するようにルーターを設定するには、ステートメントを含め、階層レベルで url URL 名を [edit security pki ca-profile ca-profile-name revocation-check crl] 指定します。

url-nameは LDAP 認証機関名です。形式は dns server-name ldap://ホストの DNS 名CA IP アドレス server-name です。

パスワードを使用して権限を持つSL(階層レベル)にステートメントを含めるには、次 password[edit security pki ca-profile ca-profile-name revocation-check crl url] 手順に示します。

password は、LDAP サーバーがアクセスに必要とする秘密パスワードです。

THE の更新間隔の設定

デフォルトでは、同士のSLポート更新間隔は24時間です。高い時間を設定するには、次のステートメントを階層レベルに refresh-interval [edit security pki ca-profile ca-profile-name revocation-check crl] 含てます。

時間数の範囲は 0~8784 です。

証明の検証を上書きする([証明のダウンロードが失敗した場合に証明を上書き]

デフォルトでは、ルーターがLDAP URLにアクセスできない場合、または有効な証明書失効リストを取得できない場合、証明書の検証は失敗し、IPsecトンネルは確立されません。この動作をオーバーライドし、THE をダウンロードしていない場合に IPsec ピアの認証を許可するには、次のステートメントを階層レベル disable on-download-failure[edit security pki ca-profile ca-profile-name revocation-check crl] 含てます。

デジタル証明書の管理

CA プロファイルを設定した後、信頼できるプロファイルにCA要求できます。CA。次に、パブリック/プライベート キーペアを生成する必要があります。鍵ペアが使用可能な場合は、オンラインまたは手動でローカル証明書を生成できます。

デジタル証明書を管理するタスクは次のとおりです。

デバイスおよびCAにインストールされているASおよびマルチサービス PIC 用のデジタル証明書M Series要求T Seriesする

M Series および T Series ルーターにインストールされた J シリーズ サービス ルーターおよび AS およびマルチサービス PIC については、次のコマンドを発行して CA からデジタル証明書を取得します。 信頼できる CA から CA 証明書を要求するように設定済みを指定します。 ca-profile-name

認証プロファイルの設定方法については、「 CA 認証機関のプロパティの設定 」を参照 してください

この例では、証明書がオンラインで登録され、自動的にルーターにインストールされます。

注:

CA 証明書を CA から直接取得した場合(電子メールの添付ファイルや Web サイトのダウンロードなど)、 コマンドを使用してこの証明書をインストール request security pki ca-certificate load できます。詳細については、 CLI Explorer をご覧ください

パブリック/プライベート キー ペアの生成

AS PICまたはマルチサービスPICの証明書を取得した後、ローカル証明書を生成する前に、パブリックプライベートキーを生成する必要があります。公開鍵はローカルのデジタル証明書に含まれており、プライベートキーはピアから受信したデータの暗号化解除に使用されます。公開鍵とプライベートキーのペアを生成するには、 コマンドを発行 request security pki generate-key-pair certificate-id certificate-id-name します。

次の例は、特定のPICまたはマルチサービスPICに対してASプライベート キーを生成する方法を示しています。

ローカルデジタル証明書の生成と登録

ローカルのデジタル証明書は、オンラインまたは手動で作成して登録できます。AS PIC またはマルチサービス PIC に対して簡易証明書登録プロトコル(SCEP)を使用して、ローカル証明書をオンラインで生成して登録するには、コマンドを発行 request security pki local-certificate enroll します。PKCS-10 形式でローカル証明書要求を手動で生成するには、 コマンドを発行 request security pki generate-certificate-request します。

ローカル証明書要求を手動で作成する場合は、証明書を手動でロードする必要があります。ルーターに証明書を手動でインストールするには、 コマンドを発行 request security pki local-certificate load します。

次の例では、ローカル証明書要求を手動で生成して、ローカル証明書要求をCAする方法を示しています。

信頼できるセキュリティ CA証明書にデジタル署名して返します。証明書ファイルをルーターにコピーして、証明書をロードします。

注:

ホストによって送信されたファイルの名前CA証明書識別子の名前と一致しない可能性があります。ただし、名前 certificate-id は常にルーターで生成したキー ペアの名前と一致する必要があります。

ローカル証明書およびリモート 証明書CAロードした後、IPsec 設定で証明書を参照できます。マルチサービスPIC ASのデフォルト値を使用して、IPsecプロポーザルやIPsecポリシーを設定する必要があります。ただし、デジタル証明書の使用を指定する IKE プロポーザルを設定し、IKE プロポーザルを参照して、IKE ポリシーで証明書を探し、CA プロファイルをサービス セットに適用する必要があります。

ルーター証明書の自動再送信の設定

ステートメントを使用して、既存の有効期限までに指定された既存のルーター証明書の auto-re-enrollment 自動再設定を行います。この機能により、ルーター証明書が自動的に再送信されます。再送信プロセスにより、認証機関(CA)に新しいルーター証明書を発行要求します。自動再設定の日付は、以下のパラメータによって決定されます。

  • re-enroll-trigger-time—ルーター証明書の開始日/時刻(証明書が生成された日時)と有効期間の差の割合。を使用して、有効期限まで自動再設定を開始する期間を指定します。

  • validity-period—証明書の生成時に設定された、ルーター証明書の有効期限(発行後の日数)。

注:

デフォルトでは、この機能は明示的に設定されていない限り有効になりません。つまり、自動再認証が設定されていない証明書は、通常の有効期限で期限切れとなります。

ステートメント ca-profile は、有効期限切れCAアクセスするユーザーを指定します。これは元のルーター CA発行した証明書の一部です。

ステートメントは CA、管理者が設定し、通常はルーターの SCEP 登録 Web ページから取得する、ルーター証明書のパスワードを使用して発行元 challenge-password CA。パスワードの長さは16文字です。

必要に応じて、 ステートメントを使用して、ルーター証明書キーのペアを再生成 re-generate-keypair できます。

自動再設定プロパティを設定するには、階層レベルに以下のステートメント [edit security pki] を含てます。

percentage は reen分トリガー時間の割合です範囲は 1~99 %です。

days は有効期間の日数です。範囲は1~4095です。

証明書の自動再設定を行うタスクは次のとおりです。

証明書 ID を指定します。

ステートメントを certificate-id 使用して、自動再送信を設定するルーター証明書の名前を指定します。証明書 ID を指定するには、次のステートメントを階層レベルに [edit security pki auto-re-enrollment] 含てます。

デバイス プロファイルをCAします。

ステートメントを使用して、以前証明書 ID で指定されたCA ca-profile プロファイルの名前を指定します。CA プロファイルを指定するには、 ステートメントを階層レベルに [edit security pki auto-re-enrollment certificate-id certificate-name] 含てます。

注:

参照先 ca-profile には、階層レベルで設定された登録 URL が [edit security pki ca-profile ca-profile-name enrollment url] 必要です。

Challengeパスワードを指定します。

challenge パスワードは、再認証CA PKI 証明書 ID で指定された要求によって使用されます。challenge パスワードを指定するには、階層レベルに次のステートメント [edit security pki auto-re-enrollment certificate-id certificate-name] を含てます。

Reen何トリガー時間を指定します

ステートメントを使用して、有効期限が発生する前の有効期間の re-enroll-trigger-time 割合を設定します。reen分トリガー時間を指定するには、階層レベルに次のステートメント [edit security pki auto-re-enrollment certificate-id certificate-name] を含てます。

percentage は reen分トリガー時間の割合です範囲は 1~99 %です。

再生成キー ペアを指定します。

再生成鍵ペアが設定されている場合、再設定時に新しいキー ペアが生成されます。再送信を成功すると、新しいキー ペアと新しい証明書によって、古い証明書とキー ペアが置き換されます。新しいキー ペアを生成するには、階層レベルに以下のステートメント [edit security pki auto-re-enrollment certificate-id certificate-name] を含てます。

有効期間を指定します。

ステートメント validity-period は、指定されたルーター証明書が有効のままであるルーター証明書の有効期間(日数)を指定します。有効期間を指定するには、次のステートメントを階層レベルに [edit security pki auto-re-enrollment certificate-id certificate-name] 含てます。

days は有効期間の日数です。範囲は1~4095です。