公開鍵暗号
スイッチの公開鍵暗号化について
暗号化では、情報セキュリティの次の側面に関連する技術について説明します。
プライバシまたは機密性
データの整合性
認証
送信元の否認または否認なし:送信元の否認を否認しない場合、署名者は秘密キーが秘密であると主張しながらメッセージに署名しなかったと主張することはできません。デジタル 署名で使用される一部の否認不可能なスキームでは、タイムスタンプがデジタル 署名にアタッチされるため、秘密鍵が公開された場合でも、その署名は引き続き有効です。パブリック キーとプライベート キーについては、次のテキストで説明します。
実際には、暗号化方法は、暗号化キーを使用してデータを暗号化することで、あるシステムからパブリック ネットワーク経由で転送されるデータを保護します。ジュニパーネットワークス EX シリーズ イーサネット スイッチで使用される公開鍵暗号(PKC)は、公開鍵と秘密鍵のペアを使用します。パブリック キーとプライベート キーは、同じ暗号化アルゴリズムを使用して同時に作成されます。秘密キーはユーザーによって密かに保持され、公開キーが公開されます。公開鍵で暗号化されたデータは、対応する秘密鍵でのみ復号化でき、その逆も同様です。公開鍵と秘密鍵のペアを生成すると、スイッチは鍵ペアを証明書ストアのファイルに自動的に保存し、その後証明書要求コマンドで使用します。生成されたキー ペアは、 として certificate-id保存されます。Priv。
デフォルトのRSAおよびDSAキーサイズは1024ビットです。シンプルな証明書登録プロトコル(SCEP)を使用している場合、ジュニパーネットワークス Junos オペレーティング システム(Junos OS)は RSA のみをサポートします。
公開鍵基盤(PKI)とデジタル証明書
PKI(公開鍵基盤)は、セキュリティと整合性を備えた公開鍵暗号の配布と使用を可能にします。PKI は、デジタル証明書を使用してパブリック キーを管理します。デジタル証明書は、個人、組織、またはデジタル証明書を保存できるディレクトリ サービスの身元を確認する電子的手段を提供します。
PKI は通常、エンティティの ID を検証し、証明書要求を許可し、一意の非対称キー ペアを生成する登録機関(RA)で構成されます(ユーザーの証明書要求にすでにパブリック キーが含まれている場合を除く)。要求エンティティに対応するデジタル証明書を発行する証明機関(CA)です。必要に応じて、証明書リポジトリを使用して証明書を保存および配布し、無効な証明書を識別する証明書失効リスト(CRL)を使用することもできます。CA の本物の公開キーを所有している各エンティティは、その CA によって発行された証明書を検証できます。
デジタル署名は、次のように公開キー暗号化システムを悪用します。
送信者は、データのダイジェスト上で秘密鍵を含む暗号化操作を適用することで、データにデジタル署名を行います。
結果の署名はデータにアタッチされ、受信側に送信されます。
受信者は、送信者のデジタル証明書を取得します。送信者の公開キーと、そのアイデンティティと公開キーの間のリンクの確認を提供します。送信者の証明書は、多くの場合、署名されたデータに添付されます。
受信者は、この証明書を信頼するか、検証を試みます。受信者は、証明書に含まれる公開キーを使用して、データの署名を検証します。この検証により、受信したデータの信頼性と整合性が保証されます。
PKI を使用する代わりとして、エンティティは、キーの整合性が保護されている限り、公開キーをすべての潜在的な署名検証者に直接配布できます。このスイッチは、公開鍵と対応するエンティティのアイデンティティのコンテナとして自己署名証明書を使用して実行します。
「」も参照
EX シリーズ スイッチの自己署名証明書について
ジュニパーネットワークス EX シリーズ イーサネット スイッチを工場出荷時のデフォルト設定で初期化すると、スイッチは自己署名証明書を生成し、セキュア ソケット レイヤー(SSL)プロトコルを介してスイッチへのセキュア アクセスを許可します。Hypertext Transfer Protocol over Secure Sockets Layer(HTTPS)と XML Network Management over Secure Sockets Layer(XNM-SSL)は、自己署名証明書を使用できる 2 つのサービスです。
自己署名証明書は、CA(認証機関)によって生成されるセキュリティを強化するものではありません。これは、クライアントが自分が接続したサーバーが証明書にアドバタイズされたサーバーであることを検証できないためです。
このスイッチは、自己署名証明書を生成するための 2 つの方法を提供します。
自動生成
この場合、証明書の作成者はスイッチです。自動的に生成された(「システム生成」とも呼ばれる)自己署名証明書は、デフォルトでスイッチ上に設定されています。
スイッチが初期化されると、自動的に生成された自己署名証明書の有無をチェックします。見つからなかった場合、スイッチは 1 つを生成し、ファイル システムに保存します。
スイッチによって自動的に生成される自己署名証明書は、SSH ホスト キーに似ています。構成の一部としてではなく、ファイル システムに格納されます。スイッチが再起動しても保持され、コマンドが発行されたときに
request system snapshot保持されます。スイッチは、自動生成された証明書に次の識別名を使用します。
「 CN=<デバイスシリアル番号>、CN=システム生成、CN=自己署名」
スイッチでシステム生成された自己署名証明書を削除すると、スイッチは自動的に自己署名証明書を生成します。
手動による生成
この場合、スイッチの自己署名証明書を作成します。CLI を使用して、いつでも自己署名証明書を生成できます。手動で生成された自己署名証明書は、設定の一部としてではなく、ファイル システムに保存されます。
自己署名証明書は、証明書が生成された時点から 5 年間有効です。自動生成された自己署名証明書の有効性が期限切れになると、その証明書をスイッチから削除して、スイッチが新しい自己署名証明書を生成できるようにします。
システム生成の自己署名証明書と手動で生成された自己署名証明書は、スイッチ上で共存できます。
スイッチで手動で自己署名証明書を生成する(CLI プロシージャ)
EX シリーズ スイッチを使用すると、カスタムの自己署名証明書を生成し、ファイル システムに保存できます。手動で生成する証明書は、自動的に生成されたスイッチ上の自己署名証明書と共存できます。SSLを介してスイッチへのセキュアなアクセスを有効にするには、システム生成の自己署名証明書または手動で生成した証明書のいずれかを使用できます。
自己署名証明書を手動で生成するには、次のタスクを完了する必要があります。
スイッチでの公開鍵と秘密鍵のペアの生成
デジタル証明書には、証明書のデジタル署名に使用される暗号化キー ペアが関連付けられています。暗号化鍵ペアは、公開鍵と秘密鍵で構成されます。自己署名証明書を生成するときは、自己署名証明書の署名に使用できる公開鍵と秘密鍵のペアを指定する必要があります。そのため、自己署名証明書を生成する前に、公開鍵と秘密鍵のペアを生成する必要があります。
公開鍵と秘密鍵のペアを生成するには、以下の手順に示します。
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
必要に応じて、暗号化アルゴリズムと暗号化キーのサイズを指定できます。暗号化アルゴリズムと暗号化キー サイズを指定しない場合は、デフォルト値が使用されます。デフォルトの暗号化アルゴリズムは RSA で、デフォルトの暗号化キー サイズは 1024 ビットです。
公開鍵と秘密鍵のペアが生成されると、スイッチは以下を表示します。
generated key pair certificate-id-name, key size 1024 bits
スイッチでの自己署名証明書の生成
自己署名証明書を手動で生成するには、証明書 ID 名、DN(識別名)のサブジェクト、ドメイン名、スイッチの IP アドレス、証明書所有者の電子メール アドレスを含めます。
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
生成した証明書は、スイッチのファイルシステムに保存されます。証明書の生成時に指定した証明書 ID は、HTTPS または XNM-SSL サービスを有効にするために使用できる一意の識別子です。
証明書が生成され、適切にロードされたことを確認するには、運用コマンドを show security pki local-certificate 入力します。
自己署名証明書の削除(CLI プロシージャ)
EX シリーズ スイッチから自動的または手動で生成される自己署名証明書を削除できます。自動的に生成された自己署名証明書を削除すると、スイッチによって新しい自己署名証明書が生成され、ファイル システムに保存されます。
自動的に生成された証明書とその関連付けられたキー ペアをスイッチから削除するには、次の手順にしたがってください。
user@switch> clear security pki local-certificate system-generated
手動で生成された証明書とその関連付けられたキー ペアをスイッチから削除するには、次の手順にしたがっています。
user@switch> clear security pki local-certificate certificate-id certificate-id-name
手動で生成されたすべての証明書とその関連付けられたキー ペアをスイッチから削除するには、次の手順にしたがっています。
user@switch> clear security pki local-certificate all
自己署名証明書を使用したスイッチでの HTTPS および XNM-SSL サービスの有効化(CLI プロシージャ)
システム生成の自己署名証明書または手動で生成された自己署名証明書を使用して、Web 管理 HTTPS および XNM-SSL サービスを有効にすることができます。
自動生成された自己署名証明書を使用して HTTPS サービスを有効にするには、次の手順にしたがってください。
[edit] user@switch# set system services web-management https system-generated-certificate
手動で生成された自己署名証明書を使用して HTTPS サービスを有効にするには、次の手順に示します。
[edit] user@switch# set system services web-management https pki-local-certificate certificate-id-name
メモ:の値 certificate-id-name は、自己署名証明書を手動で生成したときに指定した名前と一致する必要があります。
手動で生成された自己署名証明書を使用して XNM-SSL サービスを有効にするには、次の手順に示します。
[edit] user@switch# set system services xnm-ssl local-certificate certificate-id-name
メモ:の値 certificate-id-name は、自己署名証明書を手動で生成したときに指定した名前と一致する必要があります。