適応サービスインターフェイス用のデジタル証明書の設定
デジタル証明書の実装では、公開キー基盤 (PKI) を使用するため、公開キーと秘密キーで構成されるキー ペアを生成する必要があります。キーは乱数ジェネレーターで作成され、データの暗号化と復号化に使用されます。デジタル証明書を使用しないネットワークでは、IPsec 対応デバイスが秘密キーでデータを暗号化し、IPsec ピアが公開キーでデータを復号化します。
デジタル証明書では、鍵共有プロセスにさらに複雑なレベルが必要になります。まず、ユーザーおよびユーザーの IPsec ピアは、認証局 (CA) から、CA の公開キーを含む CA 証明書を送信するように要求します。次に、公開鍵と追加情報を含むローカル・デジタル証明書を割り当てるように CA に要求します。CA が要求を処理すると、CA の秘密キーを使用してローカル証明書に署名します。次に、CA 証明書とローカル証明書をルーターにインストールし、リモート デバイスに CA をロードしてから、ピアと IPsec トンネルを確立します。
デジタル証明書の場合、Junos OSは、アダプティブサービス(AS)およびマルチサービスPIC向けのVeriSign、Entrust、Cisco Systems、Microsoft Windows CAをサポートします。
M SeriesとT SeriesルーターにインストールされているJシリーズサービスルーターとASおよびマルチサービスPICのデジタル証明書設定を定義するには、 [edit security pki] 階層レベルで次のステートメントを含めます。
[edit security] pki { ca-profile ca-profile-name { ca-identity ca-identity; enrollment { url-name; retry number-of-enrollment-attempts; retry-interval seconds; } revocation-check { disable; crl { disable on-download-failure; refresh-interval number-of-hours; url { url-name; password; } } } } }
次のタスクでは、Jシリーズサービスルーターと、M SeriesおよびT SeriesルーターにインストールされているASおよびマルチサービスPICにデジタル証明書を実装できます。
認証局のプロパティの構成
CA は、デジタル証明書の作成、登録、検証、および失効を行う信頼できるサードパーティ組織です。
ASおよびマルチサービスPICの認証局とそのプロパティを設定するには、 [edit security pki] 階層レベルで以下のステートメントを含めます。
[edit security pki] ca-profile ca-profile-name { ca-identity ca-identity; enrollment { url url-name; retry number-of-attempts; retry-interval seconds; } }
認証局プロパティーを構成するためのタスクは、以下のとおりです。
CA プロファイル名の指定
CA プロファイルには、CA または RA の名前と URL、およびいくつかの再試行タイマー設定が含まれています。Entrust、VeriSign、Cisco Systems、Microsoftが発行するCA証明書は、Jシリーズサービスルーター、M SeriesおよびT SeriesルーターにインストールされているASおよびマルチサービスPICと互換性があります。
CA プロファイル名を指定するには、[edit security pki]セキュリティ レベルで ca-profile statementを含めます。
[edit security pki] ca-profile ca-profile-name;
また、証明書の要求で使用される CA ID の名前も指定する必要があります。通常、この名前はドメイン名です。CA ID の名前を指定するには、[edit security pki ca-profile ca-profile-name] レベルで ca-identity ステートメントを含めます。
[edit security pki ca-profile ca-profile-name] ca-identity ca-identity;
登録 URL の指定
ルーターが SCEP ベースの証明書登録要求を送信する CA の場所を指定します。CA URL に名前を付けて CA の場所を指定するには、[edit security pki enrollment]階層レベルで url ステートメントを含めます。
[edit security pki ca-profile ca-profile-name enrollment] url url-name;
url-name は CA の場所です。形式は http://CA_name で、 CA_name は CA ホスト DNS 名または IP アドレスです。
登録プロパティの指定
ルーターが証明書要求を再送信する回数と、登録の試行の間にルーターが待機する時間(秒単位)を指定できます。
既定では、登録の再試行回数は 0 に設定されており、再試行回数は無制限です。ルーターが証明書要求を再送信する回数を指定するには、[edit security pki ca-profile ca-profile-name enrollment]階層レベルで retry number-of-attempts ステートメントを含めます。
[edit security pki ca-profile ca-profile-name enrollment] retry number-of-attempts;
number-of-attemptsの範囲は 0 から 100 からです。
ルーターが登録の試行の間に待機する時間を秒単位で指定するには、[edit security pki ca-profile ca-profile-name enrollment]階層レベルで retry-interval seconds ステートメントを含めます。
[edit security pki ca-profile ca-profile-name enrollment] retry-interval seconds;
secondsの範囲は 0 から 3600 からです。
証明書失効リストの構成
証明書失効リストを構成するタスクは次のとおりです。
LDAP URL の指定
CA が現在の CRL を格納するライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバーの URL を指定できます。CA のデジタル証明書に証明書配布ポイント(CDP)が含まれている場合は、LDAP サーバの URL を指定する必要はありません。CDP は、証明書の CRL を取得する方法に関する情報を含む証明書内のフィールドです。ルーターはこの情報を使用して、CRL を自動的にダウンロードします。
証明書で指定された CDP とは異なる CDP を使用する場合は、LDAP URL を設定します。設定した LDAP URL は、証明書に含まれる CDP よりも優先されます。
CA プロファイルごとに最大 3 つの URL を設定できます。
LDAP サーバーが CRL にアクセスするためにパスワードを必要とする場合は、 password ステートメントを含める必要があります。
LDAP サーバーから CRL を取得するようにルーターを構成するには、 url ステートメントを含め、 [edit security pki ca-profile ca-profile-name revocation-check crl] 階層レベルで URL 名を指定します。
[edit security pki ca-profile ca-profile-name revocation-check crl] url { url-name; }
url-name は、認証局の LDAP サーバー名です。形式は ldap://server-name で、 server-name は CA ホスト DNS 名または IP アドレスです。
パスワードを使用して CRL にアクセスするように指定するには、[edit security pki ca-profile ca-profile-name revocation-check crl url]階層レベルで password ステートメントを含めます。
[edit security pki ca-profile ca-profile-name revocation-check crl url] password password;
password は、LDAP サーバーがアクセスに必要とするシークレットパスワードです。
CRL 更新の間隔を構成する
既定では、CRL 更新の間隔は 24 時間です。CRL の更新間隔を設定するには、[edit security pki ca-profile ca-profile-name revocation-check crl]階層レベルで refresh-interval ステートメントを含めます。
[edit security pki ca-profile ca-profile-name revocation-check crl] refresh-interval number-of-hours;
時間数の範囲は 0 から 8784 からです。
CRL のダウンロードに失敗した場合の証明書検証の上書き
デフォルトでは、ルーターが LDAP URL にアクセスできない場合、または有効な証明書失効リストを取得できない場合、証明書の検証は失敗し、IPsec トンネルは確立されません。CRL がダウンロードされていないときにこの動作を上書きし、IPsec ピアの認証を許可するには、[edit security pki ca-profile ca-profile-name revocation-check crl] 階層レベルで disable on-download-failure ステートメントを含めます。
[edit security pki ca-profile ca-profile-name revocation-check crl] disable on-download-failure;
デジタル証明書の管理
CA プロファイルを構成した後、信頼できる CA に CA 証明書を要求できます。次に、公開キーと秘密キーのペアを生成する必要があります。キーペアが使用可能な場合は、オンラインまたは手動でローカル証明書を生成できます。
デジタル証明書を管理するタスクは、以下のとおりです。
M SeriesおよびT SeriesルーターにインストールされているASおよびマルチサービスPICのCAデジタル証明書の要求
M SeriesとT SeriesルーターにインストールされているJシリーズサービスルーターとASおよびマルチサービスPICの場合は、次のコマンドを発行してCAからデジタル証明書を取得します。 信頼できる CA に CA 証明書を要求するために設定された ca-profile-name を指定します。
user@host>request security pki ca-certificate enroll ca-profile ca-profile-name
CA プロファイルの構成方法については、「 証明機関のプロパティの構成」を参照してください。
この例では、証明書はオンラインで登録され、ルーターに自動的にインストールされます。
user@host> request security pki ca-certificate enroll ca-profile entrust
Received following certificates: Certificate: C=us, O=juniper Fingerprint:00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10 Certificate: C=us, O=juniper, CN=First Officer Fingerprint:bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17 Certificate: C=us, O=juniper, CN=First Officer Fingerprint:46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f Do you want to load the above CA certificate ? [yes,no] (no) yes
CA 証明書を CA から直接取得する場合 (電子メールの添付ファイルや Web サイトのダウンロードなど)、 request security pki ca-certificate load コマンドを使用してインストールできます。詳細については、 CLIエクスプローラーを参照してください。
公開キーと秘密キーのペアの生成
AS PICまたはマルチサービスPICの証明書を取得した後、ローカル証明書を生成する前に公開秘密キーを生成する必要があります。公開鍵はローカル・デジタル証明書に含まれ、秘密鍵はピアから受信したデータの暗号化解除に使用されます。公開鍵と秘密鍵のペアを生成するには、 request security pki generate-key-pair certificate-id certificate-id-name コマンドを発行します。
次に、AS PICまたはマルチサービスPICの公開/秘密鍵を生成する例を示します。
user@host>request security pki generate-key-pair certificate-id local-entrust2 Generated key pair local-entrust2, key size 1024 bits
ローカル・デジタル証明書の生成と登録
ローカル・デジタル証明書は、オンラインまたは手動で生成および登録できます。AS PICまたはマルチサービスPICの簡易証明書登録プロトコル(SCEP)を使用してローカル証明書をオンラインで生成および登録するには、 request security pki local-certificate enroll コマンドを発行します。ローカル証明書要求を PKCS-10 形式で手動で生成するには、 request security pki generate-certificate-request コマンドを発行します。
ローカル証明書要求を手動で作成する場合は、証明書も手動で読み込む必要があります。ルーターに証明書を手動でインストールするには、 request security pki local-certificate load コマンドを発行します。
次の例は、ローカル証明書要求を手動で生成し、処理のために CA に送信する方法を示しています。
user@host> request security pki generate-certificate-request certificate-id local-entrust2 domain-name router2.example.com filename entrust-req2 subject cn=router2.example.com
Generated certificate request -----BEGIN CERTIFICATE REQUEST----- MIIBoTCCAQoCAQAwGjEYMBYGA1UEAxMPdHAxLmp1bmlwZXIubmV0MIGfMA0GCSqG SIb3DQEBAQUAA4GNADCBiQKBgQCiUFklQws1Ud+AqN5DDxRs2kVyKEhh9qoVFnz+ Hz4c9vsy3B8ElwTJlkmIt2cB3yifB6zePd+6WYpf57Crwre7YqPkiXM31F6z3YjX H+1BPNbCxNWYvyrnSyVYDbFj8o0Xyqog8ACDfVL2JBWrPNBYy7imq/K9soDBbAs6 5hZqqwIDAQABoEcwRQYJKoZIhvcNAQkOMTgwNjAOBgNVHQ8BAf8EBAMCB4AwJAYD VR0RAQH/BBowGIIWdHAxLmVuZ2xhYi5qdW5pcGVyLm5ldDANBgkqhkiG9w0BAQQF AAOBgQBc2rq1v5SOQXH7LCb/FdqAL8ZM6GoaN5d6cGwq4bB6a7UQFgtoH406gQ3G 3iH0Zfz4xMIBpJYuGd1dkqgvcDoH3AgTsLkfn7Wi3x5H2qeQVs9bvL4P5nvEZLND EIMUHwteolZCiZ70fO9Fer9cXWHSQs1UtXtgPqQJy2xIeImLgw== -----END CERTIFICATE REQUEST----- Fingerprint: 0d:90:b8:d2:56:74:fc:84:59:62:b9:78:71:9c:e4:9c:54:ba:16:97 (sha1) 1b:08:d4:f7:90:f1:c4:39:08:c9:de:76:00:86:62:b8 (md5)
信頼できる CA は、ローカル証明書にデジタル署名して返します。証明書ファイルをルーターにコピーし、証明書をロードします。
user@host> request security pki local-certificate load filename /tmp/router2-cert certificate-id local-entrust2 Local certificate local-entrust2 loaded successfully
CA から送信されたファイルの名前が、証明書識別子の名前と一致しない場合があります。ただし、 certificate-id 名は、ルーター用に生成したキーペアの名前と常に一致する必要があります。
ローカル証明書と CA 証明書が読み込まれたら、IPsec 構成で参照できます。ASおよびマルチサービスPICでデフォルト値を使用すると、IPsecプロポーザルやIPsecポリシーを設定する必要はありません。ただし、デジタル証明書の使用を指定する IKE プロポーザルを設定し、IKE プロポーザルを参照して IKE ポリシーで証明書を見つけ、CA プロファイルをサービス セットに適用する必要があります。
ルーター証明書の自動再登録の設定
auto-re-enrollment ステートメントを使用して、既存の有効期限前に、指定した既存のルーター証明書の自動再登録を設定します。この関数は、ルーター証明書を自動的に再登録します。再登録プロセスでは、認証局(CA)に新しい有効期限を持つ新しいルーター証明書を発行するよう要求します。自動再登録の日付は、次のパラメーターによって決まります。
re-enroll-trigger-time- ルータ証明書の開始日時(証明書が生成された時刻)と有効期間の差の割合。有効期限が切れるまでの自動再登録を開始する期間を指定するために使用します。validity-period- 証明書の生成時に設定された、ルーター証明書の有効期限が切れる発行日後の日数。
デフォルトでは、明示的に設定しない限り、この機能は有効になりません。つまり、自動再登録が構成されていない証明書は、通常の有効期限に有効期限が切れます。
ca-profile ステートメントは、有効期限が切れる証明書を再登録するためにどの CA に接続するかを指定します。これは、元のルーター証明書を発行した CA です。
challenge-password ステートメントは、管理者が設定し、通常は CA の SCEP 登録 Web ページから取得するルーター証明書のパスワードを、発行元 CA に提供します。パスワードの長さは 16 文字です。
オプションで、ルーター証明書のキーペアは、 re-generate-keypair ステートメントを使用して再生成できます。
自動再登録のプロパティを構成するには、 [edit security pki] 階層レベルで次のステートメントを含めます。
[edit security pki] auto-re-enrollment { certificate-id { ca-profile ca-profile-name; challenge-password password; re-enroll-trigger-time-percentage percentage; re-generate-keypair; validity-period days; } }
percentage は、再登録トリガー時間の割合です。範囲は 1 から 99% です。
days は、有効期間の日数です。範囲は 1 から 4095 です。
証明書の自動再登録を構成するタスクは次のとおりです。
証明書 ID を指定します
certificate-id ステートメントを使用して、自動再登録用に構成するルーター証明書の名前を指定します。証明書 ID を指定するには、[edit security pki auto-re-enrollment]階層レベルで ステートメントを含めます。
[edit security pki auto-re-enrollment] certificate-id certificate-name;
CA プロファイルの指定
ca-profile ステートメントを使用して、以前に証明書 ID で指定されたルーター証明書から CA プロファイルの名前を指定します。CA プロファイルを指定するには、[edit security pki auto-re-enrollment certificate-id certificate-name]階層レベルで ステートメントを含めます。
[edit security pki auto-re-enrollment certificate-id certificate-name] ca-profile ca-profile-name;
参照される ca-profile には、 [edit security pki ca-profile ca-profile-name enrollment url] 階層レベルで登録された URL が構成されている必要があります。
チャレンジパスワードを指定する
チャレンジ パスワードは、再登録と失効のために PKI 証明書 ID で指定された CA によって使用されます。チャレンジパスワードを指定するには、 [edit security pki auto-re-enrollment certificate-id certificate-name] 階層レベルで以下のステートメントを含めます。
[edit security pki auto-re-enrollment certificate-id certificate-name] challenge-password password;
再登録トリガー時間を指定する
re-enroll-trigger-time ステートメントを使用して、有効期限が切れるまでの有効期間のうち、再登録が発生する割合を設定します。再登録トリガー時間を指定するには、[edit security pki auto-re-enrollment certificate-id certificate-name]階層レベルで次のステートメントを含めます。
[edit security pki auto-re-enrollment certificate-id certificate-name] re-enroll-trigger-time percentage;
percentage は、再登録トリガー時間の割合です。範囲は 1 から 99% です。
再生成キーペアを指定する
再生成キーペアが設定されると、再登録時に新しいキーペアが生成されます。再登録が成功すると、新しいキー ペアと新しい証明書によって古い証明書とキー ペアが置き換えられます。新しいキーペアを生成するには、 [edit security pki auto-re-enrollment certificate-id certificate-name] 階層レベルで次のステートメントを含めます。
[edit security pki auto-re-enrollment certificate-id certificate-name] re-generate-keypair;
有効期間の指定
validity-period ステートメントは、指定されたルーター証明書の有効期間を、指定されたルーター証明書の有効期間を日数で指定します。有効期間を指定するには、[edit security pki auto-re-enrollment certificate-id certificate-name]階層レベルで ステートメントを含めます。
[edit security pki auto-re-enrollment certificate-id certificate-name] validity-period days;
days は、有効期間の日数です。範囲は 1 から 4095 です。