Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

証明書の登録

証明機関(CA)がデジタル証明書を発行すると、証明書の検証を通じて 2 つのエンドポイント間のセキュアな接続を確立できます。次のトピックでは、シンプルな証明書登録プロトコル(SCEP)を使用して、CA 証明書をオンラインまたはローカルで構成する方法について説明します。

デジタル証明書のオンライン登録: 設定の概要

デジタル証明書の登録には、CMPv2(Certificate Management Protocol version 2)またはSCEP(Simple Certificate Enrollment Protocol)のいずれかを使用できます。オンラインで証明書を登録するには、以下の手順にしてください。

  1. デバイスでキー ペアを生成します。自己署名デジタル証明書を参照してください。

  2. CA 固有の情報を含む CA プロファイルまたはプロファイルを作成します。例を参照してください 。CA プロファイルの設定

  3. SCEP の場合のみ、CA 証明書を登録します。SCEP を使用した CA 証明書オンラインの登録を参照してください。

  4. 以前にロードした CA 証明書を持つ CA からのローカル証明書を登録します。例を参照してください 。SCEP を使用したローカル証明書のオンライン登録

  5. 自動再登録を設定します。例を参照してください 。SCEP を使用してローカル証明書を自動的に更新する。

オンライン CA 証明書の登録について

シンプルな証明書登録プロトコル(SCEP)を使用すると、ジュニパーネットワークスデバイスを設定して、CA(認証機関)証明書をオンラインで取得し、指定された証明書IDのオンライン登録を開始できます。CA公開鍵は、リモートピアからの証明書を検証します。

ローカル証明書要求について

ローカル証明書要求を作成すると、デバイスは以前に同じ証明書 ID を使用して生成したキー ペアから PKCS #10 形式の anend エンティティ 証明書を生成します。

サブジェクト名は、共通名(CN)、組織単位(OU)、組織(O)、L(地域)、ST(状態)、国(C)、ドメイン コンポーネント(DC)の形式でローカル証明書要求に関連付けられます。さらに、件名の代替名は次の形式で関連付けられています。

  • IP アドレス

  • 電子メール アドレス

  • 完全修飾ドメイン名(FQDN)

    ドメイン コンポーネント(DC)、共通名(CN)、シリアル番号(SN)、組織単位名(OU)、組織名(O)、L(局所性)、ST(状態)、国(C)を含む、識別名形式でサブジェクト名を引用符で指定します。

    一部の CA は、証明書のドメイン名として電子メール アドレスをサポートしていません。ローカル証明書要求に電子メール アドレスを含めない場合、デバイスを動的ピアとして設定する場合、ローカル IKE ID として電子メール アドレスを使用することはできません。代わりに、完全修飾ドメイン名を使用することも(ローカル証明書に含まれる場合)、ローカル ID フィールドを空のままにすることもできます。動的ピアにローカル ID を指定しない場合は、ピア ID フィールドに IPsec トンネルのもう一方の端にあるデバイス上のそのピアの hostname.domain-name を入力します。

SCEP を使用した CA 証明書オンラインの登録

開始する前に、以下を行います。

  1. 公開鍵と秘密鍵のペアを生成します。自己署名デジタル証明書を参照してください。

  2. CA プロファイルを作成します。例を参照してください 。CA プロファイルの設定

CA 証明書をオンラインで登録するには、以下の手順に合います。

  1. SCEP を使用して CA 証明書をオンラインで取得します。(CA サーバーに到達するために必要な属性は、定義された CA プロファイルから取得されます。

    コマンドは同期的に処理され、受信した CA 証明書のフィンガープリントを提供します。

  2. 正しい証明書が読み込まれたことを確認します。CA 証明書は、CLI プロンプトで入力 yes した場合にのみロードされます。

    鍵ペアのビット長など、証明書の詳細については、コマンドを使用します show security pki ca-certificate

例:SCEP を使用したローカル証明書のオンライン登録

この例では、シンプルな証明書登録プロトコル(SCEP)を使用してローカル証明書をオンラインで登録する方法を示しています。

要件

開始する前に、以下を行います。

概要

この例では、ローカル証明書をオンラインで取得し、SCEP を使用して指定された証明書 ID のオンライン登録を開始するように、ジュニパーネットワークス デバイスを設定します。CA プロファイル名に CA サーバーへの URL パスを指定します ca-profile-ipsec

コマンドを使用して、 request security pki local-certificate enroll scep 指定された証明書 ID のオンライン登録を開始します。(Junos OS リリース 15.1X49-D40 および Junos OS リリース 17.3R1 以降、キーワードはサポートされており、 scep 必須です)。CA プロファイル名(たとえば)、 ca-profile-ipsec以前に生成されたキーペア(たとえば)に対応する証明書 ID、 qqqおよび次の情報を指定する必要があります。

  • CA 管理者が証明書の登録と再登録に使用するチャレンジ パスワード。

  • 以下の値のうち少なくとも 1 つ。

    • IKE ネゴシエーションで証明書所有者を識別するドメイン名(など qqq.example.net)。

    • 電子メール ステートメントを使用した IKE ネゴシエーションの証明書所有者の ID( など qqq@example.net)

    • デバイスが静的 IP アドレスに対して設定されている場合の IP アドレス。 10.10.10.10

ドメイン コンポーネント(DC)、共通名(CN)、シリアル番号(SN)、組織単位名(OU)、組織名(O)、L(局所性)、ST(状態)、国(C)を含む、識別名形式でサブジェクト名を引用符で指定します。

デバイス証明書が取得され、証明書 ID のオンライン登録が開始されます。コマンドは非同期的に処理されます。

設定

手順

手順

ローカル証明書をオンラインで登録するには、以下の手順にしてください。

  1. CA プロファイルを指定します。

  2. デバイスの設定が完了したら、設定をコミットします。

  3. 動作モード コマンドを実行して、登録プロセスを開始します。

    シリアル番号なしでサブジェクト フィールドに SN を定義した場合、シリアル番号はデバイスから直接読み取られ、証明書署名要求(CSR)に追加されます。

Junos OS リリース 19.4R2 以降では、ECDSA 鍵が SCEP でサポートされていないので、ECDSA(簡易証明書登録プロトコル)を使用して ECDSA(楕円曲線デジタル署名アルゴリズム)鍵を使用してローカル証明書を登録しようとすると、警告メッセージ ECDSA Keypair not supported with SCEP for cert_id <certificate id> が表示されます。

検証

設定が正常に機能していることを確認するには、コマンドを show security pki 入力します。

例:SCEP を使用してローカル証明書を自動的に更新する

デジタル証明書の登録には、CMPv2(Certificate Management Protocol version 2)またはSCEP(Simple Certificate Enrollment Protocol)のいずれかを使用できます。この例では、SCEP を使用してローカル証明書を自動的に更新する方法を示しています。

要件

開始する前に、以下を行います。

  • オンラインまたは手動で証明書を取得します。デジタル証明書を参照してください。

  • ローカル証明書を取得します。例を参照してください 。SCEP を使用したローカル証明書のオンライン登録

概要

オンライン登録によって取得されたか、手動で読み込まれた証明書をデバイスが自動的に更新できるようにします。証明書の自動更新により、有効期限が切れる前にデバイスで証明書を更新する必要がなくなります。また、有効な証明書を常に維持するのに役立ちます。

デフォルトでは、証明書の自動更新は無効になっています。証明書の自動更新を有効にし、証明書が期限切れになる前に証明書を再登録する要求を自動的に送信するようにデバイスを設定できます。証明書の再登録要求をいつ送信するかを指定できます。再登録のトリガーは、有効期限までに保持される証明書の有効期間の割合です。たとえば、証明書の残りのライフタイムが 10% のときに更新要求を送信する場合は、再登録トリガーに 10 を設定します。

この機能を機能させるには、デバイスが CA サーバーに到達でき、証明書が更新プロセス中にデバイスに存在している必要があります。さらに、証明書を発行する CA が同じ DN を返すことができることも確認する必要があります。CA は、新しい証明書のサブジェクト名または代替サブジェクト名拡張子を変更してはなりません。

すべての SCEP 証明書または証明書ごとに、SCEP 証明書の自動更新を有効または無効にできます。コマンドを set security pki auto-re-enrollment scep 使用して、証明書の再登録を有効にして設定します。この例では、CA 証明書の証明書 ID をとして ca-ipsec 指定し、証明書に関連付けられた CA プロファイル名を . に ca-profile-ipsec設定します。CA 証明書のチャレンジ パスワードを CA 管理者が提供するチャレンジ パスワードに設定します。このパスワードは、CA に対して以前に設定されたパスワードと同じである必要があります。再登録トリガー 10の割合もに設定します。自動再登録中、ジュニパーネットワークスデバイスはデフォルトで既存のキーペアを使用します。セキュリティ上の優れたプラクティスは、再登録のために新しいキー ペアを再生成することです。新しいキー ペアを生成するには、コマンドを re-generate-keypair 使用します。

設定

手順

手順

ローカル証明書の再登録を有効にして設定するには、以下の手順に関する手順にアクセスします。

  1. 証明書の再登録を有効にして設定するには、

    Junos OS リリース 15.1X49-D40 および Junos OS リリース 17.3R1 以降、キーワードはサポートされており、 scep 必須です。

  2. デバイスの設定が完了したら、設定をコミットします。

検証

設定が正しく機能していることを確認するには、動作モード コマンドを show security pki local-certificate detail 入力します。

CMPv2 および SCEP 証明書の登録について

導入環境に基づいて、オンライン証明書の登録には、証明書管理プロトコルバージョン 2(CMPv2)または簡易証明書登録プロトコル(SCEP)のいずれかを使用できます。このトピックでは、2 つのプロトコル間の基本的な違いについて説明します。

表 1 CMPv2 と SCEP 証明書の登録プロトコルの違いについて説明します。

表 1: CMPv2 および SCEP 証明書の登録の比較

属性

CMPv2

SCEP

サポートされる証明書の種類:

DSA、ECDSA、RSA

RSA のみ

対応規格

RFC 4210 および 4211

インターネット技術タスクフォースドラフト

証明書の登録と再登録の要求と応答は、CMPv2 と SCEP で異なります。CMPv2 では、CA 証明書を登録するための個別のコマンドはありません。SCEP では、コマンドを使用して CA 証明書を request security pki ca-certificate enroll 登録し、CA プロファイルを指定します。CA プロファイルは、CMPv2 または SCEP のいずれかを使用して設定する必要があります。

CMPv2 による証明書の登録について

コマンドは request security pki local-certificate enroll cmpv2 CMPv2 を使用してローカルデジタル証明書をオンラインに登録します。このコマンドは,CAサーバー構成に基づいて,エンドエンティティ証明書とCA証明書の両方をロードします。登録 URL が CA プロファイルから抽出されるため、CA 証明書の登録前に CA プロファイルを作成する必要があります。

このトピックでは、CMPv2 プロトコルを使用した証明書の登録について説明します。

証明書の登録と再登録メッセージ

CMPv2 プロトコルには、主に証明書の登録と再登録の操作が含まれます。証明書の登録プロセスには初期化要求と初期化応答メッセージが含まれますが、証明書の再登録には鍵更新要求メッセージと鍵更新応答メッセージが含まれます。

CMPv2 サーバーは、初期化応答(IP)で応答します。応答には、エンドエンティティ証明書とオプションの CA 証明書が含まれています。RFC 4210 に従って、初期化応答のメッセージの整合性とメッセージの信頼性を共有秘密情報を使用して検証できます。初期化応答は、発行者 CA 公開キーを使用して検証することもできます。エンドエンティティ証明書を再登録する前に、有効な CA 証明書がデバイスに登録されている必要があります。

初期化応答または鍵更新応答メッセージには、発行者 CA 証明書または CA 証明書のチェーンを含めることができます。応答で受信した CA 証明書は、信頼できる CA 証明書として扱われ、信頼された CA ストアにまだ存在しない場合は、受信側デバイスに保存されます。これらの CA 証明書は、後でエンド エンティティ証明書の検証に使用されます。

CA 証明書の再登録はサポートされていません。CA 証明書が期限切れになった場合は、現在の CA 証明書の登録を解除し、再度登録する必要があります。

発行者 CA 証明書を使用したエンドエンティティ証明書

単純なシナリオでは、初期化応答メッセージにエンド エンティティ証明書のみが含まれる場合があります。この場合、CA 情報は個別に提供されます。証明書は、エンド エンティティ証明書ストアに格納されます。

初期化応答メッセージには、エンドエンティティ証明書と自己署名発行者 CA 証明書を含めることができます。エンドエンティティ証明書が最初に証明書ストアに保存され、CA 証明書がチェックされます。CA 証明書が見つかり、初期化応答メッセージの CA 証明書のサブジェクト識別名(DN)がエンド エンティティ証明書の発行者 DN と一致する場合、CA 証明書は CMPv2 証明書登録コマンドで指定された CA プロファイル名の CA 証明書ストアに保存されます。CA 証明書が CA 証明書ストアにすでに存在する場合、アクションは実行されません。

CA 証明書チェーンを使用したエンドエンティティ証明書

多くの導入では、証明書チェーン内の中間 CA によってエンドエンティティ証明書が発行されます。この場合、初期化応答メッセージには、チェーン内の CA 証明書のリストと共に、エンドエンティティ証明書を含めることができます。エンドエンティティ証明書の検証には、中間 CA 証明書と自己署名ルート CA 証明書がすべて必要です。同様の階層を持つピア デバイスから受け取った証明書を検証するために、CA チェーンも必要になる場合があります。次のセクションでは、CA チェーン内の証明書の格納方法について説明します。

図 1、初期化応答メッセージには、証明書チェーン内のエンドエンティティ証明書と 3 つの CA 証明書が含まれています。

図 1: CA 証明書チェーンを使用したエンドエンティティ証明書CA 証明書チェーンを使用したエンドエンティティ証明書

エンドエンティティ証明書は、エンドエンティティ証明書ストアに保存されます。各 CA 証明書には CA プロファイルが必要です。サブジェクトDN Sub11-CAを持つCA証明書は、チェーンの最初のCAであり、エンドエンティティ証明書の発行者です。CMPv2証明書登録コマンドで指定されたCAプロファイルに格納されます。

チェーン内の残りの各 CA 証明書が CA ストア内に存在することを確認します。CA 証明書が CA ストアに存在しない場合は、CA 証明書が保存され、CA プロファイルが作成されます。新しい CA プロファイル名は、CA 証明書シリアル番号の最下位 16 桁を使用して作成されます。シリアル番号が 16 桁を超える場合、16 桁を超える最上位桁は切り捨てられます。シリアル番号が16桁より短い場合、残りの最も重要な桁はsで 0埋められます。たとえば、シリアル番号が11111000100010001000されている場合、CA プロファイル名は 1000100010001000. シリアル番号が10001000の場合、CAプロファイル名は 0000000010001000.

複数の証明書シリアル番号が同じ最下位 16 桁である可能性があります。その場合は、 -00 固有の CA プロファイル名を作成するためにプロファイル名に追加されます。追加の CA プロファイル名は、付加された番号を最大から -01 最大 -99まで増分することによって作成されます。例えば、CA プロファイル名は 10001000100010001000100010001000-00および 1000100010001000-01を指定できます。

例:ローカル証明書のCSRを手動で生成し、CAサーバーに送信する

この例では、証明書署名要求を手動で生成する方法を示しています。

要件

公開キーと秘密鍵を生成します。自己署名デジタル証明書を参照してください。

概要

この例では、以前に生成した公開鍵と秘密鍵のペア(ca-ipsec)の証明書 ID を使用して証明書要求を生成します。次に、ドメイン名(example.net)と関連付けられた共通名(abc)を指定します。証明書要求は PEM 形式で表示されます。

生成された証明書要求をコピーし、CA Web サイトの適切なフィールドに貼り付けてローカル証明書を取得します。(証明書要求を貼り付ける場所を決定するには、CA サーバーのマニュアルを参照してください)。PKCS #10 コンテンツが表示されると、PKCS #10 ファイルの MD5 ハッシュと SHA-1 ハッシュも表示されます。

設定

手順

手順

ローカル証明書を手動で生成するには、以下の手順に合います。

  • 証明書 ID、ドメイン名、および共通名を指定します。

検証

証明書署名要求を表示するには、コマンドを show security pki certificate-request detail 入力します。

例:CA およびローカル証明書の手動読み込み

この例では、CA とローカル証明書を手動でロードする方法を示しています。

要件

開始する前に、以下を行います。

概要

この例では、local.cert 証明書と ca.cert 証明書をダウンロードし、デバイスの /var/tmp/ ディレクトリに保存します。

CA から証明書をダウンロードした後、証明書をデバイスに転送してから(FTP を使用するなど)、証明書をロードします。

Junos OS を実行しているデバイスに、次の証明書ファイルをロードできます。

  • ローカルデバイスを識別するローカルまたは終了エンティティ(EE)証明書。この証明書は公開キーです。

  • CA の公開キーを含む CA 証明書。

  • CA によって取り消された証明書を一覧表示する CRL。

    デバイスに複数の EE 証明書をロードできます。

設定

手順

手順

証明書ファイルをデバイスにロードするには、次の手順に従います。

  1. ローカル証明書をロードします。

  2. CA 証明書をロードします。

  3. この CA 証明書が正しい場合は、CA 証明書のフィンガープリントを調べて[はい]を選択して受け入れます。

検証

正しく読み込まれた証明書を検証するには、and show security pki ca-certificate コマンドをshow security pki local-certificate動作モードで入力します。

証明書の削除(CLI プロシージャ)

自動的または手動で生成されるローカルまたは信頼できる CA 証明書を削除できます。

ローカル証明書を削除するには、次のコマンドを使用します。

特定の ID を持つローカル証明書を削除する証明書 ID を指定するか、すべてのローカル証明書の削除に使用 all するか、自動生成された自己署名証明書の削除を指定 system-generated します。

自動生成された自己署名証明書を削除すると、デバイスは新しい証明書を生成します。

CA 証明書を削除するには、以下の手順に示します。

特定の CA 証明書を削除する CA プロファイルを指定するか、永続的ストアに存在するすべての CA 証明書の削除に使用 all します。

CA 証明書を削除する前に、確認を求められます。

リリース履歴テーブル
リリース
説明
19.4R2
Junos OS リリース 19.4R2 以降では、ECDSA 鍵が SCEP でサポートされていないので、ECDSA(簡易証明書登録プロトコル)を使用して ECDSA(楕円曲線デジタル署名アルゴリズム)鍵を使用してローカル証明書を登録しようとすると、警告メッセージ ECDSA Keypair not supported with SCEP for cert_id <certificate id> が表示されます。
15.1X49-D40
Junos OS リリース 15.1X49-D40 および Junos OS リリース 17.3R1 以降、キーワードはサポートされており、 scep 必須です。
15.1X49-D40
Junos OS リリース 15.1X49-D40 および Junos OS リリース 17.3R1 以降、キーワードはサポートされており、 scep 必須です。