Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

証明書登録

証明機関 (CA) はデジタル証明書を発行します。これは、証明書の検証によって2つのエンドポイント間のセキュアな接続を確立するのに役立ちます。以下のトピックでは、SCEP (Simple Certificate Enrollment Protocol) を使用してオンラインまたはローカルで CA 証明書を構成する方法について説明します。

デジタル証明書のオンライン登録: 構成の概要

デジタル証明書を登録するには、証明書管理プロトコルバージョン 2 (CMPv2) または簡易証明書登録プロトコル (SCEP) のどちらかを使用できます。オンラインで証明書を登録するには、次のとおりです。

  1. デバイスに鍵ペアを生成します。「 自己署名証明書 」を参照してください

  2. CA に固有の情報を含む CA プロファイルを作成します。例をご覧ください。CA プロファイルを構成しています。

  3. SCEP の場合のみ、CA 証明書を登録します。SCEP を使用した CA 証明書のオンライン登録を参照してください。

  4. 以前にロードした CA の証明書を含む CA のローカル証明書を登録します。例をご覧ください。SCEPを使用してローカル証明書をオンラインで登録します。

  5. 自動 reenrollment を構成します。例をご覧ください。SCEP を使用してローカルの証明書を自動的に更新します。

オンライン CA 証明書の登録について

簡易証明書登録プロトコル (SCEP) を使用すると、ジュニパーネットワークスデバイスを構成して、認証局 (CA) 証明書をオンラインで取得し、指定された証明書 ID のオンライン登録を開始できます。CA 公開鍵は、リモートピアから証明書を検証します。

ローカル証明書の要求について

ローカル証明書の要求を作成すると、デバイスは同じ証明書 ID を使用して以前に生成したキーペアから PKCS #10 形式で CA 証明書を生成します。

サブジェクト名は、共通名 (CN)、組織単位 (OU)、組織 (O)、近傍性 (L)、状態 (ST)、国 (C)、ドメインコンポーネント (DC) の形式で、ローカル証明書の要求に関連付けられています。さらに、サブジェクト代替名は次の形式で関連付けられています。

  • IP アドレス

  • 電子メールアドレス

  • 完全修飾ドメイン名 (FQDN)

    識別名形式では、ドメインコンポーネント (DC)、共通名 (CN)、シリアル番号 (SN)、組織ユニット名 (OU)、組織名 (O)、近傍性 (L)、state (ST)、国 (C) などの区別のためにサブジェクト名を指定します。

    Ca によっては、証明書のドメイン名としての電子メールアドレスをサポートしていないものもあります。ローカル証明書の要求に電子メールアドレスが含まれていない場合は、デバイスをダイナミックピアとして設定するときに、電子メールアドレスをローカル IKE ID として使用できません。代わりに、完全修飾ドメイン名 (ローカル証明書に含まれている場合) を使用するか、ローカル ID フィールドを空のままにしておくことができます。動的ピアにローカルIDを指定しない場合は、ピアIDフィールドのIPsecトンネルのもう一方の端にあるデバイス上のピアのホスト名 .domain-name を入力します。

SCEP を使用した CA 証明書のオンライン登録

開始する前に:

  1. パブリックおよび秘密鍵ペアを生成します。「 自己署名証明書 」を参照してください

  2. CA プロファイルを作成します。例をご覧ください。CA プロファイルを構成しています。

CA 証明書をオンラインで登録するには、次のようにします。

  1. SCEP を使用して、CA 証明書をオンラインで取得します。(CA サーバーに到達するために必要な属性は、定義された CA プロファイルから取得されます)。

    このコマンドは同期的に処理され、受信した CA 証明書のフィンガープリントを提供します。

  2. 適切な証明書がロードされていることを確認します。要求CAプロンプトに入力した場合にのみ、証明書 yes がCLIされます。

    鍵ペアのビット長など、証明書の詳細については、コマンドshow security pki ca-certificateを使用してください。

例:SCEP を使用したローカル証明書のオンライン登録

次の例は、SCEP (Simple Certificate Enrollment Protocol) を使用してローカル証明書をオンラインで登録する方法を示しています。

要件

開始する前に:

概要

この例では、ジュニパーネットワークスデバイスを構成してローカルの証明書をオンラインで取得し、SCEP を使用して指定された証明書 ID のオンライン登録を開始します。CA プロファイル名ca-profile-ipsecで CA サーバーへの URL パスを指定します。

コマンドを使用 request security pki local-certificate enroll scep して、指定された証明書IDのオンライン 登録を開始します。(リリース Junos OS 15.1X49-D40 および Junos OS リリース 17.3R1、サポート scep されているキーワードがサポートされ、必須です)。CA プロファイル名(たとえば)、以前に生成されたキー ペアに対応する証明書 ID(など)、および次の情報を ca-profile-ipsecqqq 指定する必要があります。

  • CA 管理者が証明書の登録および reenrollment に提供するチャレンジパスワード。

  • 以下の値の少なくとも1つです。

    • ポリシー ネゴシエーション内の証明書の所有者を識別IKEするドメイン名(たとえば、 qqq.example.net .

    • 電子メール ステートメントとのネゴシエーションをIKEする証明書の所有者のアイデンティティ( qqq@example.net など)

    • デバイスが静的 IP アドレスに対して設定されている場合の IP アドレス( など 10.10.10.10 )

識別名形式では、ドメインコンポーネント (DC)、共通名 (CN)、シリアル番号 (SN)、組織ユニット名 (OU)、組織名 (O)、近傍性 (L)、state (ST)、国 (C) などの区別のためにサブジェクト名を指定します。

デバイス証明書が取得され、証明書 ID のオンライン登録が開始します。このコマンドは非同期で処理されます。

構成

手順

順を追った手順

ローカル証明書をオンラインで登録するには、次のようにします。

  1. CA プロファイルを指定します。

  2. デバイスの設定が完了したら、構成をコミットします。

  3. オペレーションモードコマンドを実行して、登録プロセスを開始します。

    シリアル番号を指定せずに subject フィールドで SN を定義すると、シリアル番号はデバイスから直接読み取られ、証明書署名要求 (CSR) に追加されるようになります。

Junos OS リリース 19.4 R2 から起動すると、ECDSA ECDSA Keypair not supported with SCEP for cert_id <certificate id>がサポートされていないので、ecdh キーを使用して、単純な証明書登録プロトコル (SCEP) で楕円曲線のデジタル署名アルゴリズム (ECDSA) キーを使ってローカルの証明書を登録しようとしたときに、警告メッセージが表示されます。

検証

構成が正常に機能していることをshow security pki確認するには、コマンドを入力します。

例:SCEP を使用してローカルの証明書を自動的に更新する

デジタル証明書を登録するには、証明書管理プロトコルバージョン 2 (CMPv2) または簡易証明書登録プロトコル (SCEP) のどちらかを使用できます。次の例は、SCEP を使用してローカル証明書を自動的に更新する方法を示しています。

要件

開始する前に:

概要

オンライン登録で取得した、または手動でロードした証明書をデバイスが自動的に更新できるようにすることができます。証明書を自動更新することで、期限切れになる前にデバイス上の証明書を更新することを忘れずに済み、有効な証明書を常に維持することができます。

デフォルトでは、自動証明書書き換えは無効になっています。証明書の自動更新を有効にして、デバイスが自動的に証明書を送信して期限切れになる前に reenroll に要求を出すように設定できます。証明書再送信要求を送信する時間を指定できます。再送信のトリガーは、有効期限切れ以前に維持される証明書の有効期間の割合です。たとえば、証明書の残りの有効期間が10% になったときに更新要求を送信する場合、10は reenrollment トリガー用に設定します。

この機能を機能させるには、デバイスが CA サーバーにアクセスできなければなりません。また、証明書は更新プロセス中にデバイスに存在している必要があります。さらに、証明書を発行している CA が同じ DN を返すことができるようにする必要もあります。CA は、新しい証明書でサブジェクト名または代替サブジェクト名の拡張機能を変更することはできません。

SCEP 証明書の自動更新を有効または無効にするには、すべての SCEP 証明書を使用するか、証明書単位で設定を行う必要があります。このset security pki auto-re-enrollment scepコマンドを使用して、証明書 reenrollment を有効にして構成します。この例では、証明書の証明書 ID を CA として指定し、その証明書に関連付けられている CA プロファイル名を ca-ipsec に設定します ca-profile-ipsec 。CA 証明書のチャレンジパスワードを、CA 管理者によって提供されるチャレンジパスワードに設定します。このパスワードは、CA の前に設定したものと同じにする必要があります。また、reenrollment トリガーの割合も設定し10ます。自動 reenrollment では、デフォルトで、ジュニパーネットワークスデバイスは既存のキーペアを使用します。セキュリティを強化するには、reenrollment の新しい鍵ペアを再生成することが重要です。新しい鍵ペアを生成するには、 re-generate-keypairコマンドを使用します。

構成

手順

順を追った手順

ローカル証明書 reenrollment を有効化および設定するには、次のようにします。

  1. 証明書 reenrollment を有効にして構成します。

    Junos OS Release 15.1 X49-D40 と Junos OS リリース 17.3 R1 では、このscepキーワードがサポートされており、必須になっています。

  2. デバイスの設定が完了したら、構成をコミットします。

検証

構成が正常に機能していることをshow security pki local-certificate detail確認するには、運用モードコマンドを入力します。

CMPv2 と SCEP Certificate の登録について

導入環境に応じて、オンライン証明書登録には、証明書管理プロトコルバージョン 2 (CMPv2) または簡易証明書登録プロトコル (SCEP) のいずれかを使用できます。このトピックでは、この2つのプロトコルの基本的な違いについて説明します。

表 1CMPv2 と SCEP 証明書登録プロトコルの違いについて説明します。

表 1: CMPv2 と SCEP 証明書登録の比較

属性

CMPv2

SCEP

サポートされている証明書タイプ:

DSA、ECDSA、および RSA

RSA のみ

サポートされる規格

Rfc 4210 および4211

インターネット技術タスクフォースドラフト

CMPv2 と SCEP の間では、証明書の登録と reenrollment の要求と応答が異なります。CMPv2 では、CA 証明書を登録するための個別のコマンドはありません。SCEP を使用して、CA 証明書request security pki ca-certificate enrollをコマンドとともに登録し、CA プロファイルを指定します。CA プロファイルは、CMPv2 または SCEP を使用して構成する必要があります。

CMPv2 を使用した証明書の登録について

このrequest security pki local-certificate enroll cmpv2コマンドは、CMPv2 を使用してローカルデジタル証明書をオンラインで登録します。このコマンドは、CA サーバーの構成に基づいて、エンドエンティティと CA 証明書の両方を読み込みます。登録 URL が CA プロファイルから抽出されているため、CA 証明書の登録前に CA プロファイルを作成する必要があります。

このトピックでは、CMPv2 プロトコルを使用した証明書の登録について説明します。

証明書の登録および Reenrollment メッセージ

CMPv2 プロトコルは、主に証明書の登録と reenrollment の運用に関係しています。証明書の登録プロセスには、初期化要求と初期化応答メッセージが含まれます。一方、証明書 reenrollment には、主要な更新要求とキー更新応答メッセージが含まれています。

初期化応答メッセージを CA 証明書によって認証する必要がある場合は、エンドエンティティの証明書を登録する前に、CA 証明書を登録する必要があります。

初期化応答またはキー更新応答メッセージには、発行者 CA 証明書または CA 証明書のチェーンを含めることができます。この応答で受信された CA 証明書は、信頼された CA ストアにまだ存在しない場合、信頼性の高い CA 証明書として扱われるため、受信側デバイスに格納されます。これらの CA 証明書は、後でエンドエンティティ証明書の検証に使用されます。

CA 証明書 reenrollment はサポートされていません。

CA は、現在の CA 証明書の有効期限が切れる前に新しい CA 証明書を発行する可能性があります。新しい公開キーを使用して証明書 reenrollment で新しい CA 証明書を受信した場合、新しい CA 証明書はデバイスに保存されません。

エンドエンティティ証明書 (発行者 CA 証明書を含む)

単純なシナリオでは、初期化応答メッセージにエンドエンティティ証明書のみが含まれる場合があります。その場合、CA 情報は個別に提供されます。証明書はエンドエンティティ証明書ストアに格納されています。

初期化応答メッセージには、エンドエンティティ証明書および自己署名発行者 CA 証明書が含まれます。エンドエンティティ証明書は最初に証明書ストアに保存され、その後、CA 証明書がチェックされます。CA 証明書が見つかった場合、初期化応答メッセージ内の CA 証明書のサブジェクト識別名 (DN) がエンドエンティティ証明書の発行者 DN と一致すると、その CA 証明書は、CA プロファイル名に対応する CA 証明書ストアに格納されます。CMPv2 証明書登録コマンドで指定されています。CA 証明書が既に CA 証明書ストアに存在している場合は、何も実行されません。

CA 証明書チェーン付きのエンドエンティティ証明書

多くの導入環境では、エンドエンティティ証明書は、証明書チェーンの中間 CA によって発行されます。この場合、初期化応答メッセージには、エンドエンティティ証明書、およびチェーン内の CA 証明書のリストが含まれます。中間 CA 証明書と自己署名ルート CA 証明書はすべて、エンドエンティティ証明書を検証するために必要です。CA チェーンは、類似した階層を持つピアデバイスから受信した証明書の検証にも必要になる場合があります。次のセクションでは、CA チェーンの証明書がどのように格納されるかを説明します。

図 1は、初期化応答メッセージには、エンドエンティティ証明書と3つの CA 証明書が証明書チェーンに含まれています。

図 1: CA 証明書チェーン付きのエンドエンティティ証明書CA 証明書チェーン付きのエンドエンティティ証明書

エンドエンティティ証明書は、エンドエンティティ証明書ストアに格納されています。各 CA 証明書には、CA プロファイルが必要です。サブジェクト DN Sub11-CA を持つ証明書は、チェーンの最初の CA であり、エンドエンティティ証明書の発行者です。 CA CMPv2 の証明書登録コマンドで指定された CA プロファイルに格納されます。

チェーン内の残りの CA 証明書のそれぞれが CA ストアに存在しているかどうかがチェックされます。CA ストアに CA 証明書が存在しない場合は、保存されて CA プロファイルが作成されます。新しい CA プロファイル名は、CA 証明書シリアル番号の最下位16桁を使用して作成されます。シリアル番号が16桁よりも長い場合は、16桁を超えた最上位桁が切り捨てられます。シリアル番号が16桁より短い場合、残りの最上位桁数は s で0埋められます。たとえば、シリアル番号が11111000100010001000の場合、CA プロファイル名は1000100010001000です。シリアル番号が10001000の場合、CA プロファイル名は0000000010001000です。

複数の証明書のシリアル番号は、下位16桁を同じにすることができます。その場合は、 -00プロファイル名に追加されて、一意の CA プロファイル名を作成します。追加の CA プロファイル名は、 -01付加された番号を順に-99増加させることで作成します。たとえば、CA プロファイル名は、、 10001000100010001000100010001000-001000100010001000-01いうことができます。

例:ローカル証明書用の CSR を手動で生成し、それを CA サーバーに送信する

この例では、証明書署名要求を手動で生成する方法について説明します。

要件

パブリックおよびプライベートキーを生成します。「 自己署名証明書 」を参照してください

概要

この例では、以前に生成したパブリックプライベートキーペア (ca ipsec) の証明書 ID を使用して証明書要求を生成します。次に、ドメイン名 (example.net) とそれに関連する共通名 (abc) を指定します。認証要求が PEM 形式で表示されます。

生成された証明書の要求をコピーして、CA web サイトの適切なフィールドに貼り付けて、ローカルの証明書を取得します。(証明書の要求をどこに貼り付けるかを決定するには、CA サーバーのマニュアルを参照してください)。PKCS #10 コンテンツが表示されると、PKCS #10 ファイルの MD5 ハッシュと SHA-1 ハッシュも表示されます。

構成

手順

順を追った手順

ローカル証明書を手動で生成するには、次のようにします。

  • 証明書 ID、ドメイン名、共通名を指定します。

検証

証明書署名要求を表示するにはshow security pki certificate-request detail 、コマンドを入力します。

例:CA とローカル証明書の手動読み込み

この例では CA とローカル証明書を手動で読み込む方法を示しています。

要件

開始する前に:

概要

この例では、ローカルの cert と ca をダウンロードします。 cert 証明書を作成し、デバイスの/var/tmp/ディレクトリに保存します。

CA から証明書をダウンロードした後、それらをデバイスに転送 (たとえば、FTP を使用) してから、それをロードします。

Junos OS を実行しているデバイスに以下の証明書ファイルを読み込むことができます。

  • ローカルデバイスを識別するローカルまたはエンドエンティティ (EE) 証明書。この証明書が公開鍵となります。

  • CA の公開鍵を含む CA 証明書。

  • CA によって失効されたすべての証明書を一覧表示する CRL。

    複数の EE 証明書をデバイスに読み込むことができます。

構成

手順

順を追った手順

デバイスに証明書ファイルをロードするには、次のようにします。

  1. ローカルの証明書を読み込みます。

  2. CA 証明書をロードします。

  3. CA 証明書のフィンガープリントを確認します (この CA 証明書に対して適切な場合) [はい] を選択します。

検証

証明書が正しく読み込まれていることshow security pki local-certificateshow security pki ca-certificate確認するには、操作モードで and コマンドを入力します。

証明書の削除 (CLI 手順)

自動または手動で生成されたローカルまたは信頼済み CA 証明書を削除できます。

ローカル証明書を削除するには、次のコマンドを使用します。

証明書 ID を指定して、特定の ID を持つローカル証明all書を削除するか、すべてのsystem-generatedローカル証明書を削除するために使用するか、または自動生成された自己署名証明書を削除するように指定します。

自動生成された自己署名証明書を削除すると、デバイスが新しいものを生成します。

CA 証明書を削除するには、次のようにします。

CA プロファイルを指定して特定の CA 証明書を削除allするか、または、を使用して、固定ストアに存在するすべての CA 証明書を削除します。

CA 証明書を削除できるようになる前に、確認を求めるメッセージが表示されます。

リリース履歴テーブル
リリース
説明
19.4R2
Junos OS リリース 19.4 R2 から起動すると、ECDSA ECDSA Keypair not supported with SCEP for cert_id <certificate id>がサポートされていないので、ecdh キーを使用して、単純な証明書登録プロトコル (SCEP) で楕円曲線のデジタル署名アルゴリズム (ECDSA) キーを使ってローカルの証明書を登録しようとしたときに、警告メッセージが表示されます。
15.1X49-D40
Junos OS Release 15.1 X49-D40 と Junos OS リリース 17.3 R1 では、このscepキーワードがサポートされており、必須になっています。
15.1X49-D40
Junos OS Release 15.1 X49-D40 と Junos OS リリース 17.3 R1 では、このscepキーワードがサポートされており、必須になっています。