Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

認証機関

認証局 (CA) プロファイルは、特定の証明書に関連付けられたすべてのパラメーターを定義して、2つのエンドポイント間のセキュアな接続を確立します。プロファイルは、使用する証明書、証明書失効ステータスの確認方法、そのステータスがアクセスを制約する方法を指定します。

信頼された CA グループの構成

このセクションでは、CA プロファイルのリスト用に信頼された CA グループを作成し、信頼される CA グループを削除するための手順について説明します。

CA プロファイルのリスト用に信頼された CA グループを作成する

信頼された CA グループを構成して割り当てて、エンティティを承認することができます。ピアがクライアントとの接続を確立しようとすると、そのエンティティの特定の信頼できる CA によって発行された証明書だけが有効性を検証します。このデバイスは、証明書の発行者と証明書を提供しているものが同じクライアントネットワークに属しているかどうかを検証します。発行者とプレゼンターが同じクライアントネットワークに属している場合は、接続が確立されます。存在しない場合、接続は確立されません。

開始する前に、信頼されたグループに追加するすべての CA プロファイルのリストを用意しておく必要があります。

この例では、 orgA-ca-profileand orgB-ca-profileorgC-ca-profileという名前の3つの CA プロファイルを作成し、以下ca-profile1ca-profile2CA 識別子ca-profile3 、、およびそれぞれのプロファイルに関連付けています。3つの CA プロファイルすべてをグループ化して、信頼されorgABC-trusted-ca-groupた CA グループに属するようにすることができます。

信頼された CA グループには、最大20個の CA プロファイルを設定できます。

  1. CA プロファイルを作成し、CA 識別子をプロファイルに関連付けます。
  2. 信頼された CA グループの下に、CA プロファイルをグループ化します。
  3. CA プロファイルと信頼された CA グループの構成が完了したら、構成をコミットします。

デバイスに構成されている CA プロファイルと信頼される CA グループをshow security pki表示するには、command を実行します。

このshow security pkiコマンドは、にorgABC_trusted-ca-groupグループ化されているすべての CA プロファイルを表示します。

信頼された CA グループからの CA プロファイルの削除

信頼された CA グループの特定の CA プロファイルを削除することも、信頼される CA グループ自体を削除することもできます。

たとえば、「topic」にorgC-ca-profileorgABC-trusted-ca-group信頼された CA グループの構成示すようにデバイスに設定されている信頼される CA グループから名前を付けた CA プロファイルを削除する場合は、次の手順を実行します。

  1. 信頼された CA グループから、CA プロファイルを削除します。
  2. 信頼された CA グループから CA プロファイルを削除したら、構成をコミットします。

から削除orgC-ca-profileされていることorgABC-trusted-ca-group を確認するshow security pkiには、コマンドを実行します。

この出力は、信頼さorgC-ca-profileれた CA グループから削除されるため、プロファイルは表示されません。

信頼された CA グループの削除

エンティティーは、複数の信頼された CA グループをサポートでき、エンティティーの任意の信頼される CA グループを削除できます。

たとえば、「topic」にorgABC-trusted-ca-group信頼された CA グループの構成示すようにデバイスに設定されている、信頼される CA グループを削除する場合は、次の手順を実行します。

  1. 信頼された CA グループを削除します。
  2. 信頼された CA グループから CA プロファイルを削除したら、構成をコミットします。

エンティティから削除orgABC-trusted-ca-groupされているを表示するにshow security pkiは、コマンドを実行します。

この出力には、 orgABC-trusted-ca-groupエンティティから削除されたが表示されません。

認証機関のプロファイルについて

認証局 (CA) プロファイル構成には、CA に固有の情報が含まれています。SRX シリーズデバイス上で複数の CA プロファイルを持つことができます。たとえば、1つのプロファイルを orgA に、1つを Orga に設定することができます。各プロファイルは、CA 証明書に関連付けられています。新しい CA 証明書を事前に削除せずにロードするには、新しい CA プロファイル (Microsoft-2008 など) を作成する必要があります。

Junos OS リリース18.1 から開始して、CA サーバーを IPv6 CA サーバーにすることができます。

PKI モジュールは、IPv6 アドレス形式をサポートしており、IPv6 が使用されている唯一のプロトコルであるネットワークで SRX シリーズデバイスの使用を可能にします。

CA は、デジタル証明書を発行して、証明書の検証によって2つのエンドポイント間のセキュアな接続を確立します。特定のトポロジに対して、複数の CA プロファイルを1つの信頼された CA グループにグループ化できます。これらの証明書は、2つのエンドポイント間の接続を確立するために使用されます。IKE または IPsec を確立するには、エンドポイントの両方が同じ CA を信頼する必要があります。いずれかのエンドポイントが、それぞれの信頼できる CA (CA プロファイル) または信頼された CA グループを使用して証明書を検証できない場合、接続は確立されません。信頼される CA グループを作成するには、少なくとも1つの CA プロファイルが必須であり、1つの信頼された CA グループで使用できる Ca は20個までです。特定のグループの CA によって、その特定のエンドポイントの証明書を検証できます。

Junos OS リリース18.1 から開始して、指定された CA サーバーまたは CA サーバーグループで、構成済みの IKE ピアの検証を実行できます。信頼された CA サーバーのグループは、[ trusted-ca-groupedit security pki] 階層レベルの設定ステートメントで作成できます。1つまたは複数の CA プロファイルを指定できます。信頼される CA サーバーは、[edit security ike policy policy certificate] 階層レベルでピアの IKE ポリシー構成にバインドされます。

プロキシプロファイルが CA プロファイルに設定されている場合、デバイスは、証明書の登録、検証、または失効の間に CA サーバーではなくプロキシホストに接続します。プロキシホストは、デバイスからの要求を使用して CA サーバーと通信し、その後、デバイスに応答を中継します。

CA プロキシプロファイルは、SCEP、CMPv2、および OCSP プロトコルをサポートしています。

CA のプロキシプロファイルは HTTP でのみサポートされており、HTTPS プロトコルではサポートしていません。

例:CA プロファイルの設定

この例は、CA プロファイルを設定する方法を示しています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定は不要です。

概要

この例では、CA identity の microsoft- ca-profile-ipsec 2008 によって呼び出される CA プロファイルを作成します。次に、CA プロファイルにプロキシプロファイルを作成します。この設定では、CRL を48時間ごとに更新し、CRL を取得する場所をhttp://www.my-ca.com指定します。この例では、登録再試行値を20に設定しています。デフォルトの再試行値は10です。

証明書の自動ポーリングは、30分ごとに設定されます。再試行間隔を設定せずに再試行のみを設定した場合、デフォルトの再試行間隔は900秒 (15 分) になります。再試行または再試行間隔を設定していない場合は、ポーリングは行われません。

構成

手順

順を追った手順

CA プロファイルを設定するには、次のようにします。

  1. CA プロファイルを作成します。

  2. 必要に応じて、プロキシプロファイルを CA プロファイルに設定します。

    公開鍵インフラストラクチャ (PKI) は、システムレベルで設定されたプロキシプロファイルを使用します。CA プロファイルで使用されるプロキシプロファイルは、 [edit services proxy]階層で設定する必要があります。複数のプロキシプロファイルを[edit services proxy]階層に設定することができます。各 CA プロファイルは、そのようなプロキシプロファイルを最も1つとして照会されます。[edit system services proxy]階層構造で、プロキシプロファイルのホストとポートを構成できます。

  3. 失効の確認を作成して、証明書の失効を確認する方法を指定します。

  4. 更新間隔を時間単位で設定して、CRL を更新する頻度を指定します。デフォルト値は、CRL の次の更新時刻、または1週間 (次の更新時間が指定されていない場合) です。

  5. 登録の再試行値を指定してください。

  6. CA 証明書をオンラインで自動的に登録するまでの間隔を秒単位で指定します。

  7. デバイスの設定が完了したら、構成をコミットします。

検証

構成が正常に機能していることをshow security pki確認するには、コマンドを入力します。

例:CA プロファイルの送信元アドレスとしての IPv6 アドレスの設定

この例は、IPv6 アドレスを CA プロファイルの送信元アドレスとして設定する方法を示しています。

この機能を設定する前に、デバイス初期化以外の特別な設定は不要です。

この例では、CA identity orgA-ca-profilev6-caという CA プロファイルを作成し、CA プロファイルの送信元アドレスを IPv6 アドレスに設定し2001:db8:0:f101::1ます。IPv6 アドレスhttp://[2002:db8:0:f101::1]:/.../を受け入れるように、登録 URL を構成することができます。

  1. CA プロファイルを作成します。
  2. CA プロファイルの送信元アドレスを IPv6 アドレスに設定します。
  3. CA の登録パラメーターを指定します。
  4. デバイスの設定が完了したら、構成をコミットします。
リリース履歴テーブル
リリース
説明
18.1R1
Junos OS リリース18.1 から開始して、CA サーバーを IPv6 CA サーバーにすることができます。
18.1R1
Junos OS リリース18.1 から開始して、指定された CA サーバーまたは CA サーバーグループで、構成済みの IKE ピアの検証を実行できます。