認証機関
認証局 (CA) プロファイルは、2 つのエンドポイント間にセキュアな接続を確立するために、特定の証明書に関連するすべてのパラメーターを定義します。プロファイルは、使用する証明書、証明書の失効状態の確認方法、およびその状態がアクセスを制限する方法を指定します。
信頼された CA グループの設定
ここでは、CA プロファイルの一覧に対して信頼される CA グループを作成し、信頼される CA グループを削除する手順を説明します。
CA プロファイルのリストに対する信頼された CA グループの作成
信頼できる CA グループを構成して割り当て、エンティティを承認できます。ピアがクライアントとの接続を確立しようとすると、そのエンティティの特定の信頼された CA によって発行された証明書のみが検証されます。デバイスは、証明書の発行者と証明書を提示する人が同じクライアントネットワークに属しているかどうかを検証します。発行者と発表者が同じクライアント ネットワークに属している場合、接続が確立されます。そうでない場合、接続は確立されません。
開始する前に、信頼するグループに追加するすべての CA プロファイルのリストが必要です。
この例では、 、 という名前の 3 つの CA プロファイルを作成し、それぞれのプロファイルに次の CA 識別子 、 、 を関連付けます。orgA-ca-profile
orgB-ca-profile
orgC-ca-profile
ca-profile1
ca-profile2
ca-profile3
3 つすべての CA プロファイルをグループ化して、信頼できる CA グループ に属することができます。orgABC-trusted-ca-group
信頼できる CA グループには、最大 20 の CA プロファイルを設定できます。
デバイスに設定されている CA プロファイルと信頼された CA グループを表示するには、次のコマンドを実行します 。show security pki
user@host# show security pki ca-profile orgA-ca-profile { ca-identity ca-profile1; } ca-profile orgB-ca-profile { ca-identity ca-profile2; } ca-profile orgC-ca-profile { ca-identity ca-profile3; } trusted-ca-group orgABC-trusted-ca-group { ca-profiles [ orgA-ca-profile orgB-ca-profile orgC-ca-profile ]; }
このコマンドは 、 の下に グループ化されているすべての CA プロファイルを表示します。show security pki
orgABC_trusted-ca-group
信頼された CA グループからの CA プロファイルの削除
信頼された CA グループ内の特定の CA プロファイルを削除することも、信頼される CA グループ自体を削除することもできます。
たとえば、 という名前の CA プロファイルを、 トピックに示すようにデバイスで構成されている信頼できる CA グループから削除する場合は、次の手順を実行します。orgC-ca-profile
orgABC-trusted-ca-group
信頼された CA グループの設定
から削除されているを表示するには、次のコマンドを実行します。orgC-ca-profile
orgABC-trusted-ca-group
show security pki
user@host# show security pki ca-profile orgA-ca-profile { ca-identity ca-profile1; } ca-profile orgB-ca-profile { ca-identity ca-profile2; } trusted-ca-group orgABC-trusted-ca-group { ca-profiles [ orgA-ca-profile orgB-ca-profile ]; }
信頼される CA グループから削除されるプロファイルは出力に表示されません 。orgC-ca-profile
信頼された CA グループの削除
エンティティは多くの信頼された CA グループをサポートでき、エンティティの信頼された CA グループを削除できます。
たとえば、 という名前の信頼された CA グループ を削除する場合は、 トピックに示すように デバイスで構成され、次のステップを実行します。orgABC-trusted-ca-group
信頼された CA グループの設定
エンティティから削除されているを表示するには 、コマンドを実行します 。orgABC-trusted-ca-group
show security pki
user@host# show security pki ca-profile orgA-ca-profile { ca-identity ca-profile1; } ca-profile orgB-ca-profile { ca-identity ca-profile2; }
出力には、エンティティから削除された が表示されません 。orgABC-trusted-ca-group
認証局プロファイルについて
認証局(CA)プロファイル構成には、CA に固有の情報が含まれています。SRXシリーズファイアウォールでは、複数のCAプロファイルを持つことができます。たとえば、orgA 用に 1 つのプロファイルがあり、orgB 用に 1 つのプロファイルがあるとします。各プロファイルは CA 証明書に関連付けられています。古い CA 証明書を削除せずに新しい CA 証明書を読み込む場合は、新しい CA プロファイル (Microsoft-2008 など) を作成します。
Junos OS リリース 18.1R1 以降、CA サーバを IPv6 CA サーバにすることができます。
PKIモジュールはIPv6アドレスフォーマットをサポートしており、IPv6が唯一のプロトコルであるネットワークでSRXシリーズファイアウォールを使用できるようにします。
CA はデジタル証明書を発行し、証明書の検証を通じて 2 つのエンドポイント間に安全な接続を確立するのに役立ちます。特定のトポロジーに対して、複数の CA プロファイルを 1 つの信頼できる CA グループにグループ化できます。これらの証明書は、2 つのエンドポイント間の接続を確立するために使用されます。IKEまたはIPsecを確立するには、両方のエンドポイントが同じCAを信頼する必要があります。いずれかのエンドポイントが、それぞれの信頼できる CA (CA プロファイル)または信頼できる CA グループを使用して証明書を検証できない場合、接続は確立されません。信頼できる CA グループを作成するには、最低 1 つの CA プロファイルが必須であり、1 つの信頼された CA グループでは最大 20 の CA が許可されます。特定のグループの CA は、その特定のエンドポイントの証明書を検証できます。
Junos OSリリース18.1R1以降では、指定したCAサーバーまたはCAサーバーのグループを使用して、設定されたIKEピアを検証できます。信頼できる CA サーバーのグループは、 構成ステートメントを使用して [] 階層レベルで作成できます。1 つまたは複数の CA プロファイルを指定できます。trusted-ca-group
edit security pki
信頼された CA サーバーは、[] 階層レベルでピアの IKE ポリシー設定にバインドされます。edit security ike policy policy certificate
CA プロファイルでプロキシ プロファイルが設定されている場合、デバイスは証明書の登録、検証、または失効中に CA サーバではなくプロキシ ホストに接続します。プロキシ ホストは、デバイスからの要求を使用して CA サーバーと通信し、応答をデバイスにリレーします。
CA プロキシ プロファイルは、SCEP、CMPv2、および OCSP プロトコルをサポートします。
CA プロキシ プロファイルは HTTP でのみサポートされ、HTTPS プロトコルではサポートされていません。
関連項目
例:CA プロファイルの設定
この例では、CA プロファイルを設定する方法を示します。
要件
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、CA ID マイクロソフト-2008 で という CA プロファイルを作成します。ca-profile-ipsec
次に、CA プロファイルへのプロキシ プロファイルを作成します。構成では、CRL を 48 時間ごとに更新するように指定し、CRL を取得する場所は です。http://www.my-ca.com
この例では、登録の再試行値を 20 に設定します。(既定の再試行値は 10 です)。
証明書の自動ポーリングは 30 分ごとに設定されています。再試行間隔を設定せずに再試行のみを設定した場合、デフォルトの再試行間隔は 900 秒(15 分)になります。再試行または再試行間隔を設定しない場合、ポーリングは行われません。
設定
手順
ステップバイステップでの手順
CA プロファイルを設定するには、次の手順に従います。
CA プロファイルを作成します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 user@host#
必要に応じて、プロキシ プロファイルを CA プロファイルに設定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec proxy-profile px-profile
公開キー基盤 (PKI) は、システム レベルで構成されたプロキシ プロファイルを使用します。CA プロファイルで使用されているプロキシー・プロファイルは、 階層で 構成する必要があります。
[edit services proxy]
階層の下に は、複数のプロキシ プロファイルを設定できます。[edit services proxy]
各 CA プロファイルは、このようなプロキシー・プロファイルの 1 つを最も多く参照します。階層で プロキシプロファイルのホストとポートを設定できます。[edit system services proxy]
失効チェックを作成して、証明書の失効を確認する方法を指定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
更新間隔を時間単位で設定し、CRL を更新する頻度を指定します。既定値は、CRL での次の更新時刻、または次の更新時刻が指定されていない場合は 1 週間です。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl refresh-interval 48 url http://www.my-ca.com/my-crl.crl
登録再試行の値を指定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry 20
CA 証明書をオンラインで自動的に登録する間隔を秒単位で指定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry-interval 1800
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを入力します 。show security pki
例:CA プロファイルの送信元アドレスとしての IPv6 アドレスの設定
この例では、CA プロファイルの送信元アドレスとして IPv6 アドレスを設定する方法を示します。
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
この例では、CA ID で という CA プロファイルを作成し、CA プロファイルの送信元アドレスを などの IPv6 アドレスに設定します。orgA-ca-profile
v6-ca
2001:db8:0:f101::1
IPv6 アドレス を受け入れるように登録 URL を構成できます。http://[2002:db8:0:f101::1]:/.../
関連項目
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。