証明書の登録
認証機関(CA)がデジタル証明書を発行すると、証明書の検証によって 2 つのエンドポイント間のセキュアな接続を確立できます。以下のトピックでは、簡易証明書登録プロトコル(SCEP)を使用して、CA 証明書をオンラインまたはローカルで構成する方法について説明します。
デジタル認定書をオンラインで登録する: 構成の概要
証明書管理プロトコル バージョン 2(CMPv2)または簡易証明書登録プロトコル(SCEP)のいずれかを使用して、デジタル証明書を登録できます。証明書をオンラインで登録するには、以下の手順にいます。
デバイスでキーペアを生成します。自己署名デジタル証明書を参照してください。
CA に固有の情報を含む CA プロファイルまたはプロファイルを作成します。例 : CA プロファイルの設定
SCEP の場合のみ、CA 証明書を登録します。SCEP を使用した CA 証明書オンラインの登録を参照してください。
以前に読み込んだ CA 証明書を持つ CA からのローカル証明書を登録します。例 : SCEP を使用してオンラインでローカル証明書を登録します。
自動再登録を設定します。例 : SCEP を使用してローカル証明書を自動的に更新する。
オンライン CA 証明書の登録について
簡易証明書登録プロトコル(SCEP)を使用すると、Juniper Networks デバイスを構成して、CA(認証機関)証明書をオンラインで取得し、指定された証明書 ID のオンライン登録を開始できます。CA公開キーは、リモートピアからの証明書を検証します。
ローカル証明書の要求について
ローカル証明書要求を作成すると、デバイスは、以前に同じ証明書 ID を使用して生成したキー ペアから PKCS #10 形式の n 個のエンド エンティティ証明書を生成します。
サブジェクト名は、共通名(CN)、組織単位(OU)、組織単位(O)、地域(L)、状態(ST)、国(C)、ドメイン コンポーネント(DC)の形式でローカル証明書要求に関連付けられます。さらに、タイトルの代替名は次の形式で関連付けられています。
-
IPアドレス
-
電子メール アドレス
-
完全修飾ドメイン名(FQDN)
ドメイン コンポーネント(DC)、共通名(CN)、シリアル番号(SN)、組織ユニット名(OU)、組織名(O)、地域(L)、状態(ST)、国(C)など、識別名形式でサブジェクト名を引用符で指定します。
一部の CA は、証明書のドメイン名として電子メール アドレスをサポートしていません。ローカル証明書要求に電子メール アドレスを含めなかった場合、デバイスを動的ピアとして構成する際に、ローカル IKE ID として電子メール アドレスを使用することはできません。代わりに、完全修飾ドメイン名を使用することも(ローカル証明書に含まれている場合)、ローカル ID フィールドを空のままにすることもできます。動的ピアにローカルIDを指定しない場合、IPsecトンネルのもう一方の端にあるデバイス上のピアの をピアIDフィールドに入力 hostname.domain-name します。
SCEP を使用した CA 証明書オンラインの登録
開始する前に、以下を行います。
公開鍵と秘密鍵のペアを生成します。自己署名デジタル証明書を参照してください。
CA プロファイルを作成します。例 : CA プロファイルの設定
CA 証明書をオンラインで登録するには、以下の手順にいます。
SCEP を使用してオンラインで CA 証明書を取得します。(CA サーバーに到達するために必要な属性は、定義された CA プロファイルから取得されます。
user@host> request security pki ca-certificate enroll ca-profile ca-profile-ipsec
コマンドは、受信した CA 証明書のフィンガープリントを提供するために同期的に処理されます。
Fingerprint: e6:fa:d6:da:e8:8d:d3:00:e8:59:12:e1:2c:b9:3c:c0:9d:6c:8f:8d (sha1) 82:e2:dc:ea:48:4c:08:9a:fd:b5:24:b0:db:c3:ba:59 (md5) Do you want to load the above CA certificate ? [yes,no]
正しい証明書が読み込まれたことを確認します。CA 証明書は、CLI プロンプトで入力 yes した場合にのみ読み込まれます。
鍵ペアのビット長など、証明書の詳細については、 コマンドを使用します
show security pki ca-certificate。
例:SCEP を使用したローカル証明書オンラインの登録
この例では、簡易証明書登録プロトコル(SCEP)を使用してローカル証明書をオンラインで登録する方法を示します。
要件
開始する前に、以下を行います。
公開鍵と秘密鍵のペアを生成します。自己署名デジタル証明書を参照してください。
認証機関プロファイルを設定します。例 : CA プロファイルの設定
SCEP の場合は、CA 証明書を登録します。SCEP を使用した CA 証明書オンラインの登録を参照してください。
概要
この例では、ローカル証明書をオンラインで取得し、指定された証明書 ID のオンライン登録を SCEP で開始するように Juniper Networks デバイスを構成します。CA プロファイル名 ca-profile-ipsecに CA サーバーへの URL パスを指定します。
コマンドを request security pki local-certificate enroll scep 使用して、指定された証明書 ID のオンライン登録を開始します。(Junos OS リリース 15.1X49-D40 および Junos OS リリース 17.3R1 以降、キーワードはサポートされており、 scep 必須です)。CAプロファイル名(例えば)、 ca-profile-ipsec以前に生成されたキーペア(例えば qqq)に対応する証明書ID、および以下の情報を指定する必要があります。
CA 管理者が証明書の登録と再登録のために提供するチャレンジ パスワード。
以下の値のうち少なくとも 1 つ:
IKE ネゴシエーションで証明書の所有者を識別するためのドメイン名(例:
qqq.example.net)。電子メール ステートメントによる IKE ネゴシエーションの証明書所有者の ID(など
qqq@example.net)。デバイスが静的 IP アドレスに設定されている場合の IP アドレス(例:
10.10.10.10)。
ドメイン コンポーネント(DC)、共通名(CN)、シリアル番号(SN)、組織ユニット名(OU)、組織名(O)、地域(L)、状態(ST)、国(C)など、識別名形式でサブジェクト名を引用符で指定します。
デバイス証明書を取得し、証明書 ID のオンライン登録を開始するとします。コマンドは非同期で処理されます。
設定
手順
手順
ローカル証明書をオンラインで登録するには、以下の手順にいます。
CAプロファイルを指定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment url path-to-ca-server
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
動作モードコマンドを実行して登録プロセスを開始します。
user@host> request security pki local-certificate enroll scep ca-profile ca-profile-ipsec certificate-id qqq challenge-password ca-provided-password domain-name qqq.example.net email qqq@example.net ip-address 10.10.10.10 subject DC=example, CN=router3, SN, OU=marketing, O=example, L=sunnyvale, ST=california, C=us
シリアル番号なしでサブジェクトフィールドにSNを定義すると、シリアル番号がデバイスから直接読み取り、証明書署名要求(CSR)に追加されます。
Junos OSリリース19.4R2以降、ECDSAキーがSCEPでサポートされていないとして、簡易証明書登録プロトコル(SCEP)を使用して楕円曲線デジタル署名アルゴリズム(ECDSA)キーを使用してローカル証明書を登録しようとすると、警告メッセージ ECDSA Keypair not supported with SCEP for cert_id <certificate id> が表示されます。
検証
設定が正常に機能していることを確認するには、 コマンドを show security pki 入力します。
例:SCEP を使用してローカル証明書を自動的に更新する
証明書管理プロトコル バージョン 2(CMPv2)または簡易証明書登録プロトコル(SCEP)のいずれかを使用して、デジタル証明書を登録できます。この例では、SCEP を使用してローカル証明書を自動的に更新する方法を示します。
要件
概要
オンライン登録によって取得されたか、手動で読み込まれた証明書をデバイスが自動的に更新できるようにします。証明書の自動更新により、証明書が期限切れになる前に証明書を更新する必要がなく、有効な証明書を常に維持するのに役立ちます。
デフォルトでは、証明書の自動更新は無効になっています。証明書の自動更新を有効にし、有効期限が切れる前に証明書を再登録する要求を自動的に送信するようにデバイスを構成できます。証明書の再登録要求をいつ送信するかを指定できます。再登録のトリガーは、有効期限までに保持される証明書の有効期間の割合です。たとえば、証明書の残りのライフタイムが 10% のときに更新要求を送信する場合は、再登録トリガーに 10 を構成します。
この機能を機能させるには、デバイスが CA サーバーに到達でき、更新プロセス中に証明書がデバイスに存在している必要があります。さらに、証明書を発行した CA が同じ DN を返すことができることも確認する必要があります。CA は、新しい証明書のサブジェクト名または代替サブジェクト名の拡張子を変更しないでください。
すべての SCEP 証明書に対して、または証明書ごとに、自動 SCEP 証明書更新を有効または無効にすることができます。コマンドを set security pki auto-re-enrollment scep 使用して、証明書の再登録を有効にして設定します。この例では、CA 証明書の証明書 ID を として ca-ipsec 指定し、その証明書に関連付けられた CA プロファイル名を に設定します ca-profile-ipsec。CA 証明書のチャレンジ パスワードを CA 管理者が提供するチャレンジ パスワードに設定します。このパスワードは、CA に対して以前に設定されたパスワードと同じパスワードでなければなりません。また、再登録トリガーの割合を に設定します 10。自動再登録時に、ジュニパーネットワークスデバイスはデフォルトで既存のキーペアを使用します。セキュリティ上の良い習慣は、再登録のために新しいキーペアを再生することです。新しいキーペアを生成するには、 コマンドを re-generate-keypair 使用します。
設定
手順
手順
ローカル証明書の再登録を有効にして設定するには、次の手順に示します。
証明書の再登録を有効にして設定するには、
[edit] user@host# set security pki auto-re-enrollment scep certificate-id ca-ipsec ca-profile-name ca-profile-ipsec challenge-password ca-provided-password re-enroll-trigger-time-percentage 10 re-generate-keypair
Junos OS リリース 15.1X49-D40 および Junos OS リリース 17.3R1 以降、キーワード
scepはサポートされ、必須です。デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 動作モードコマンドを show security pki local-certificate detail 入力します。
CMPv2およびSCEP証明書の登録について
導入環境に基づいて、証明書管理プロトコル バージョン 2(CMPv2)または簡易証明書登録プロトコル(SCEP)のいずれかをオンライン証明書登録に使用できます。このトピックでは、2 つのプロトコルの基本的な違いをいくつか説明します。
表 1 は、CMPv2 と SCEP 証明書登録プロトコルの違いについて説明します。
属性 |
CMPv2 |
Scep |
|---|---|---|
サポートされている証明書の種類: |
DSA、ECDSA、RSA |
RSA のみ |
サポートされている標準 |
RFC 4210 および 4211 |
インターネット技術タスクフォースドラフト |
証明書の登録と再登録のリクエストと応答は、CMPv2 と SCEP で異なります。CMPv2 では、CA 証明書を登録するための個別のコマンドはありません。SCEP では、 コマンドで CA 証明書を request security pki ca-certificate enroll 登録し、CA プロファイルを指定します。CAプロファイルは、CMPv2またはSCEPのいずれかで設定する必要があります。
CMPv2 による証明書の登録について
コマンドは、 request security pki local-certificate enroll cmpv2 CMPv2を使用して、ローカルデジタル証明書をオンラインで登録します。このコマンドは、CAサーバー設定に基づいて、エンドエンティティとCA証明書の両方を読み込みます。登録 URL は CA プロファイルから抽出されるため、CA 証明書登録の前に CA プロファイルを作成する必要があります。
このトピックでは、CMPv2プロトコルによる証明書登録について説明します。
証明書登録と再登録メッセージ
CMPv2プロトコルには、主に証明書の登録と再登録の操作が含まれます。証明書の登録プロセスには初期化要求メッセージと初期化応答メッセージが含まれており、証明書の再登録にはキー更新要求メッセージと鍵更新応答メッセージが含まれます。
CMPv2 サーバーは、初期化応答(IP)で応答します。応答には、オプションのCA証明書と共にエンドエンティティ証明書が含まれています。RFC 4210に従って、初期化応答のメッセージの整合性とメッセージの信頼性は、共有秘密情報を使用して検証できます。初期化応答は、発行者 CA 公開キーを使用して検証することもできます。エンドエンティティ証明書を再登録する前に、有効な CA 証明書がデバイスに登録されている必要があります。
初期化応答または鍵更新応答メッセージには、発行者 CA 証明書または CA 証明書のチェーンを含めることができます。応答で受信した CA 証明書は、信頼できる CA 証明書として扱われ、信頼できる CA ストアに存在しない場合は、受信側のデバイスに保存されます。これらの CA 証明書は、後でエンドエンティティ証明書の検証に使用されます。
CA 証明書の再登録はサポートされていません。CA 証明書の有効期限が切れた場合は、現在の CA 証明書の登録を解除して、再度登録する必要があります。
発行者 CA 証明書を使用したエンドエンティティ証明書
単純なシナリオでは、初期化応答メッセージにエンドエンティティ証明書のみが含まれることがあり、この場合は CA 情報が個別に提供されます。証明書は、エンドエンティティ証明書ストアに保存されます。
初期化応答メッセージには、エンドエンティティ証明書と自己署名発行者 CA 証明書を含めることができます。エンドエンティティ証明書は最初に証明書ストアに保存され、次に CA 証明書がチェックされます。CA 証明書が見つかり、初期化応答メッセージ内の CA 証明書のサブジェクト識別名(DN)がエンドエンティティ証明書の発行者 DN と一致する場合、CA 証明書は、CMPv2 証明書登録コマンドで指定された CA プロファイル名の CA 証明書ストアに格納されます。CA 証明書ストアに CA 証明書が既に存在する場合、アクションは実行されません。
CA 証明書チェーンを使用したエンドエンティティ証明書
多くの導入では、エンドエンティティ証明書は証明書チェーン内の中間 CA によって発行されます。この場合、初期化応答メッセージには、チェーン内の CA 証明書のリストとともに、エンドエンティティ証明書を含めることができます。エンドエンティティ証明書を検証するには、中間 CA 証明書と自己署名ルート CA 証明書がすべて必要です。同様の階層を持つピアデバイスから受信した証明書を検証するために、CAチェーンが必要になる場合もあります。以下のセクションでは、CA チェーンの証明書の保存方法について説明します。
では 図 1、初期化応答メッセージには、証明書チェーン内のエンドエンティティ証明書と 3 つの CA 証明書が含まれています。
エンドエンティティ証明書は、エンドエンティティ証明書ストアに保存されます。各 CA 証明書には CA プロファイルが必要です。サブジェクト DN Sub11-CA を持つ CA 証明書は、チェーンの最初の CA であり、エンドエンティティ証明書の発行者です。CMPv2 証明書登録コマンドで指定された CA プロファイルに格納されます。
チェーン内の残りの CA 証明書は、それぞれ CA ストア内の存在を確認します。CA 証明書が CA ストアに存在しない場合は、CA 証明書が保存され、CA プロファイルが作成されます。新しい CA プロファイル名は、CA 証明書シリアル番号の重要度が 16 桁以上を使用して作成されます。シリアル番号が 16 桁より長い場合、16 桁を超える最上位の桁は切り捨てられます。シリアル番号が 16 桁より短い場合、残りの最も有効桁数は s で 0満たされます。たとえば、シリアル番号が11111000100010001000の場合、CA プロファイル名は .1000100010001000 シリアル番号が10001000の場合、CAプロファイル名は.0000000010001000
複数の証明書のシリアル番号が同じ重要度の低い 16 桁である可能性があります。この場合、 -00 一意の CA プロファイル名を作成するためにプロファイル名に追加されます。追加の CA プロファイル名は、 から -01 まで -99、追加の番号をインクリメントして作成されます。例えば、CA プロファイル名は 1000100010001000、 、 1000100010001000-00および 1000100010001000-01です。
関連項目
例:ローカル証明書のCSRを手動で生成してCAサーバーに送信する
この例では、証明書署名要求を手動で生成する方法を示します。
要件
公開鍵と秘密鍵を生成します。自己署名デジタル証明書を参照してください。
概要
この例では、以前に生成した公開鍵と秘密鍵のペア(ca-ipsec)の証明書 ID を使用して証明書要求を生成します。次に、ドメイン名(example.net)と関連する共通名(abc)を指定します。証明書要求が PEM 形式で表示されます。
生成された証明書要求をコピーして CA Web サイトの適切なフィールドに貼り付けて、ローカル証明書を取得します。(証明書要求をどこに貼り付けるかを決定するには、CA サーバーのマニュアルを参照してください。PKCS #10 コンテンツが表示されると、PKCS #10 ファイルの MD5 ハッシュと SHA-1 ハッシュも表示されます。
設定
手順
手順
ローカル証明書を手動で生成するには、
証明書 ID、ドメイン名、共通名を指定します。
user@host> request security pki generate-certificate-request certificate-id ca-ipsec domain-name example.net subject CN=abc
検証
証明書署名要求を表示するには、 コマンドを show security pki certificate-request detail 入力します。
Certificate identifier: ca-ipsec Certificate version: 1 Issued to: CN = abc Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:da:ea:cd:3a:49:1f:b7:33:3c:c5:50:fb:57 de:17:34:1c:51:9b:7b:1c:e9:1c:74:86:69:a4:36:77:13:a7:10:0e 52:f4:2b:52:39:07:15:3f:39:f5:49:d6:86:70:4b:a6:2d:73:b6:68 39:d3:6b:f3:11:67:ee:b4:40:5b:f4:de:a9:a4:0e:11:14:3f:96:84 03:3c:73:c7:75:f5:c4:c2:3f:5b:94:e6:24:aa:e8:2c:54:e6:b5:42 c7:72:1b:25:ca:f3:b9:fa:7f:41:82:6e:76:8b:e6:d7:d2:93:9b:38 fe:fd:71:01:2c:9b:5e:98:3f:0c:ed:a9:2b:a7:fb:02:03:01:00:01 Fingerprint: 0f:e6:2e:fc:6d:52:5d:47:6e:10:1c:ad:a0:8a:4c:b7:cc:97:c6:01 (sha1) f8:e6:88:53:52:c2:09:43:b7:43:9c:7a:a2:70:98:56 (md5)
例:CA およびローカル証明書の手動読み込み
この例では、CA およびローカル証明書を手動で読み込む方法を示します。
要件
開始する前に、以下を行います。
公開鍵と秘密鍵のペアを生成します。自己署名デジタル証明書を参照してください。
CA プロファイルを作成します。認証機関プロファイルについてを参照してください。
CA プロファイルは CA 証明書にのみ必要であり、ローカル証明書には必要ありません。
証明書要求を生成します。例 : ローカル証明書のCSRを手動で生成し、CAサーバーに送信する。
概要
この例では、local.cert証明書とca.cert証明書をダウンロードし、デバイス上の/var/tmp/ディレクトリに保存します。
CA から証明書をダウンロードした後、証明書をデバイスに転送し(FTP を使用するなど)、読み込みます。
以下の証明書ファイルをJunos OSを実行するデバイスに読み込むことができます。
ローカル デバイスを識別するローカルまたはエンドエンティティ(EE)証明書。この証明書は公開キーです。
CA の公開鍵を含む CA 証明書。
CA によって取り消された証明書を一覧表示する CRL。
複数の EE 証明書をデバイスに読み込むことができます。
設定
手順
手順
証明書ファイルをデバイスに読み込むには、次の手順に従います。
ローカル証明書を読み込みます。
[edit] user@host> request security pki local-certificate load certificate-id local.cert filename /var/tmp/local.cert
CA 証明書を読み込みます。
[edit] user@host> request security pki ca-certificate load ca-profile ca-profile-ipsec filename /var/tmp/ca.cert
CA 証明書のフィンガープリントを調べます。この CA 証明書が正しい場合は、受け入れるには「はい」を選択します。
検証
証明書が正しくロードされていることを確認するには、動作モードで および show security pki ca-certificate コマンドをshow security pki local-certificate入力します。
Fingerprint: e8:bf:81:6a:cd:26:ad:41:b3:84:55:d9:10:c4:a3:cc:c5:70:f0:7f (sha1) 19:b0:f8:36:e1:80:2c:30:a7:31:79:69:99:b7:56:9c (md5) Do you want to load this CA certificate ? [yes,no] (no) yes
証明書の削除(CLI手順)
自動的または手動で生成されたローカルまたは信頼できる CA 証明書を削除できます。
以下のコマンドを使用して、ローカル証明書を削除します。
user@host>clear security pki local certificate certificate-id (certificate-id| all | system-generated )
特定の ID を持つローカル証明書を削除する証明書 ID を指定し、すべてのローカル証明書の削除に使用 all するか、または自動生成された自己署名証明書の削除を指定 system-generated します。
自動生成された自己署名証明書を削除すると、デバイスは新しい証明書を生成します。
CA 証明書を削除するには、以下の手順にいます。
user@host>clear security pki ca-certificate ca-profile (ca-profile-name| all)
特定の CA 証明書を削除する CA プロファイルを指定するか、永続的ストアに存在するすべての CA 証明書の削除に使用 all します。
CA 証明書を削除する前に、確認を求められます。
ECDSA Keypair not supported with SCEP for cert_id <certificate id> が表示されます。scep はサポートされ、必須です。scep はサポートされ、必須です。