Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リモート管理のためのセキュアな Web アクセス

J Web インターフェイスを介して、ジュニパーネットワークスデバイスをリモートから管理することができます。セキュアな Web アクセスを可能にするために、ジュニパーネットワークスデバイスは HTTP 経由の Secure Sockets Layer (HTTPS) をサポートしています。必要に応じて、デバイス上の特定のインターフェイスとポートで HTTP または HTTPS アクセスを有効にすることができます。詳細については、このトピックをお読みください。

セキュア Web アクセスの概要

J Web インターフェイスを介して、ジュニパーネットワークスデバイスをリモートから管理することができます。J-Web インターフェイスは、デバイスと通信するために、ハイパーテキスト転送プロトコル (HTTP) を使用します。HTTP では、簡単な Web アクセスが可能になりますが、暗号化はできません。Web ブラウザーとデバイスの間で HTTP を使って送信されるデータは、傍受や攻撃に対して脆弱です。セキュアな Web アクセスを可能にするために、ジュニパーネットワークスデバイスは HTTP 経由の Secure Sockets Layer (HTTPS) をサポートしています。必要に応じて、特定のインターフェイスやポートで HTTP または HTTPS アクセスを有効にすることができます。

ジュニパーネットワークスデバイスは SSL (Secure Sockets Layer) プロトコルを使用して、Web インターフェイスを介してセキュアなデバイス管理を提供します。SSL は、SSL サービスを提供するために、ペア化された秘密キーと認証証明書を必要とするパブリックプライベートキー技術を使用しています。Ssl は、SSL サーバー証明書によってネゴシエートされたセッションキーを使用して、デバイスと Web ブラウザーの間の通信を暗号化します。

SSL 証明書には、公開鍵、証明機関 (CA) が作成した署名など、識別情報が含まれています。HTTPS を介してデバイスにアクセスすると、SSL ハンドシェイクによってサーバーとクライアントが認証され、セキュアなセッションが開始します。情報が一致しない場合、または証明書の有効期限が切れている場合、HTTPS 経由でデバイスにアクセスすることはできません。

SSL 暗号化を使用しない場合、デバイスとブラウザー間の通信はオープンで送信され、傍受できます。WAN インターフェイスで HTTPS アクセスを有効にすることをお勧めします。

組み込みの管理インターフェイスで HTTP アクセスはデフォルトで有効になっています。デフォルトでは、SSL サーバー証明書を持つ任意のインターフェイスで HTTPS アクセスがサポートされています。

セキュアな Web アクセスのための SSL 証明書の生成 (SRX シリーズデバイス)

コマンドを使用して SSL 証明openssl書を生成するには、次のようにします。

  1. CLI opensslに入力します。このopensslコマンドは、プライバシ拡張メール (PEM) 形式で自己署名 SSL 証明書を生成します。証明書と暗号化されていない1024ビット RSA 秘密鍵を指定したファイルに書き込みます。
    注:

    LINUX または UNIX デバイスでこのコマンドを実行するのはジュニパーネットワークスサービスゲートウェイでopensslはコマンドがサポートされていないためです。

    SSL 証明書を作成するファイルの名前( など)に置き換 filename える new.pem

  2. プロンプトが表示されたら、[識別] フォームに適切な情報を入力します。たとえば、国のUS名前を入力します。
  3. ファイルnew.pemの内容を表示します。

    cat new.pem

    SSL 証明書をインストールするためにこのファイルの内容をコピーします。

Secure Web Access (EX シリーズスイッチ) に使用する SSL 証明書の生成

EX シリーズスイッチには、セキュアな Web アクセスを設定できます。セキュアな Web アクセスを可能にするには、デジタル Secure Sockets Layer (SSL) 証明書を作成してから、スイッチで HTTPS アクセスを有効にする必要があります。

SSL 証明書を生成するには、次のようにします。

  1. インストールされている openssl BSD または Linux システムコマンドライン インターフェイス SSH デバイスで次のコマンドを openssl 入力します。このopensslコマンドは、プライバシ拡張メール (PEM) 形式で自己署名 SSL 証明書を生成します。証明書と暗号化されていない1024ビット RSA 秘密鍵を指定したファイルに書き込みます。

    % openssl req –x509 –nodes –newkey rsa:1024 –keyout filename.pem -out filename.pem

    filename 、SSL 証明書を作成するファイルの名前です(例: my-certificate

  2. プロンプトが表示されたら、[識別] フォームに適切な情報を入力します。たとえば、国のUS名前を入力します。
  3. 作成したファイルの内容を表示します。

    cat my-certificate.pem

J-Web 構成ページを使用して、SSL 証明書をスイッチにインストールすることができます。そのためには、その証明書を含むファイルを BSD または Linux システムからスイッチにコピーします。次に、そのファイルを開き、その内容をコピーして、「J-Web セキュアアクセスの構成」ページの「証明書」ボックスに貼り付けます。

以下の CLI 文を使用して、SSL 証明書をスイッチにインストールすることもできます。

証明書のインストールの詳細については、次の例を参照 してください。セキュア Web アクセスの設定 .

自己署名 SSL 証明書の自動生成

ジュニパーネットワークスデバイス上で自己署名 SSL 証明書を生成するには、次のようにします。

  1. 基本的な接続を確立します。
  2. システムを再起動します。自己署名証明書は起動時に自動的に生成されます。
  3. HTTPS system-generated-certificate Web 管理の下に指定します。

自己署名 SSL 証明書を手動で生成する

自己署名 SSL 証明書を手動でジュニパーネットワークスデバイスに生成するには、次のようにします。

  1. 基本的な接続を確立します。
  2. Root のログインアクセスが許可されている場合は、次のコマンドを使用して自己署名証明書を手動で生成できます。
    注:

    証明書を生成するときに、件名、電子メールアドレス、およびドメイン名または ip アドレスを指定する必要があります。

  3. 証明書が生成され、正しくロードされることをshow security pki local-certificate 確認するにはlocal-certificate 、運用コマンドを入力し、HTTPS Web 管理の下に指定します。

自己署名証明書の削除 (CLI 手順)

EX シリーズスイッチから自動または手動で生成された自己署名証明書を削除できます。自動生成された自己署名付き証明書を削除すると、新しい自己署名入りの証明書が生成され、ファイルシステムにストアが格納します。

  • 自動生成される証明書とそれに関連付けられたキーペアをスイッチから削除するには、以下のようにします。

  • 手動で生成した証明書とそれに関連付けられたキーペアをスイッチから削除するには、以下のようにします。

  • 手動で生成された証明書とスイッチからのキーペアをすべて削除するには、次のようにします。

EX シリーズスイッチでの自己署名付き証明書について

工場出荷時のデフォルト設定でジュニパーネットワークスの EX シリーズイーサネットスイッチを初期化すると、スイッチは自己署名入りの証明書を生成し、SSL (Secure Sockets Layer) プロトコルを使用してセキュアにスイッチにアクセスできるようにします。セキュアソケットレイヤー (HTTPS) と XML ネットワーク管理を介したハイパーテキスト転送プロトコル (XNM-SSL) の2つのサービスは、自己署名証明書を利用できます。

注:

自己署名証明書では、証明機関 (Ca) によって生成されるセキュリティを強化することはできません。これは、クライアントが、接続しているサーバーが証明書に記載されているものかどうかを検証できないためです。

これらのスイッチは、自己署名証明書を生成する2つの方法を提供します。

  • 自動生成

    この場合、証明書の作成者はスイッチです。デフォルトでは、自動生成(「システム生成」とも呼ばれる)の自己署名証明書がスイッチに設定されています。

    スイッチを初期化した後、自動生成された自己署名証明書が存在するかどうかを確認します。該当するものが見つからない場合は、スイッチによって生成されてファイルシステムに保存します。

    スイッチによって自動的に生成される自己署名証明書は、SSH ホストキーに似ています。これは、構成の一部としてではなく、ファイルシステムに格納されています。スイッチが再起動されたときには持続し、 request system snapshotコマンドが発行されると保存されます。

    スイッチは、自動生成された証明書に次の識別名を使用します。

    “ CN=<device serial number>, CN=system generated, CN=self-signed”

    システムによって生成された自己署名付きの証明書をスイッチに削除すると、スイッチは自動的に自己署名入りの証明書を生成します。

  • 手動による生成

    この場合、スイッチの自己署名証明書を作成します。いつでも、CLI を使用して自己署名された証明書を生成できます。手動で作成した自己署名付き証明書は、構成の一部としてではなく、ファイルシステムに格納されます。

自己署名付き証明書は、生成された時点から5年間有効です。自動生成された自己署名証明書の有効性が期限切れになった場合は、スイッチから削除して、新しい自己署名付き証明書を生成することができます。

システムによって生成された自己署名証明書と手動で生成された自己署名証明書は、スイッチ上で共存できます。

スイッチでの自己署名証明書の手動生成 (CLI プロシージャ)

EX シリーズスイッチを使用すると、独自にカスタマイズした自己署名証明書を生成して、ファイルシステムに保存できます。手動で生成した証明書は、スイッチ上で自動生成された自己署名付きの証明書と共存できます。SSL 経由でスイッチへのセキュアアクセスを可能にするには、システムによって生成された自己署名証明書か、手動で生成した証明書のどちらかを使用できます。

自己署名証明書を手動で生成するには、以下のタスクを完了する必要があります。

スイッチ上での公開/秘密鍵ペアの生成

デジタル証明書には、証明書にデジタル署名するために使用される暗号化鍵ペアが関連付けられています。暗号化キーペアは、公開鍵と秘密鍵で構成されています。自己署名証明書を生成する場合は、自己署名証明書に署名するために使用できる公開鍵と秘密キーのペアを提供する必要があります。そのため、自己署名証明書を生成する前に、パブリック/プライベートキーペアを生成する必要があります。

パブリック/プライベートキーペアを生成するには、次のようにします。

注:

オプションとして、暗号化アルゴリズムと暗号化キーのサイズを指定できます。暗号化アルゴリズムと暗号化キーサイズを指定しない場合は、デフォルト値が使用されます。デフォルトの暗号化アルゴリズムは RSA であり、デフォルトの暗号化キーサイズは1024ビットです。

公開/非公開鍵のペアが生成されると、スイッチには以下のように表示されます。

スイッチ上での自己署名付き証明書の生成

自己署名証明書を手動で生成するには、証明書 ID 名、識別名 (DN) のサブジェクト、ドメイン名、スイッチの IP アドレス、および証明書所有者の電子メールアドレスが含まれています。

生成した証明書はスイッチのファイル システムに保存されます。証明書の生成中に指定した証明書 ID は、HTTPS または XNM/SSL サービスを有効にするために使用できる一意の識別子です。

証明書が生成され、正しくロードされることをshow security pki local-certificate確認するには、運用コマンドを入力します。

例:セキュリティ強化された Web アクセスの構成

この例では、デバイスでのセキュアな Web アクセスを設定する方法を示します。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定は不要です。

注:

指定されたインターフェイスで HTTPS アクセスを有効にできます。インターフェイスを指定せずに HTTPS を有効にすると、すべてのインターフェイスで HTTPS が有効になります。

概要

この例では、新しい秘密鍵として生成した SSL 証明書を PEM 形式でインポートします。その後、HTTPS アクセスを有効にし、認証に使用する SSL 証明書を指定します。最後に、HTTPS アクセスを有効にするための8443としてポートを指定します。

Topology

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

デバイスでセキュリティー保護された Web アクセスを設定するには、次のようにします。

  1. SSL 証明書と秘密鍵をインポートします。

  2. HTTPS アクセスを有効にし、SSL 証明書とポートを指定します。

結果

設定モードから、 show securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

SSL 証明書の構成を確認する

目的

SSL 証明書の構成を確認します。

アクション

動作モードから、 show securityコマンドを入力します。

セキュアアクセス構成の確認

目的

セキュアアクセス構成を検証します。

アクション

動作モードから、 show system servicesコマンドを入力します。次のサンプル出力は、セキュアな Web アクセスのためのサンプル値を示しています。