認証機関
認証機関(CA)プロファイルは、特定の証明書に関連付けられたすべてのパラメーターを定義し、2 つのエンドポイント間のセキュアな接続を確立します。プロファイルでは、使用する証明書、証明書の失効ステータスの確認方法、およびそのステータスがアクセスに制約する方法を指定します。
信頼できる CA グループの設定
このセクションでは、CA プロファイルのリストに対して信頼できる CA グループを作成し、信頼できる CA グループを削除する手順について説明します。
CA プロファイルのリストに対する信頼できる CA グループの作成
信頼できる CA グループを構成および割り当て、エンティティを許可できます。ピアがクライアントとの接続を確立しようとすると、そのエンティティの特定の信頼できる CA によって発行された証明書のみが検証されます。デバイスは、証明書の発行者と証明書を提示する発行者が同じクライアント ネットワークに属しているかどうかを検証します。発行者とプレゼンターが同じクライアント ネットワークに属している場合、接続が確立されます。そうでない場合、接続は確立されません。
開始する前に、信頼できるグループに追加するすべての CA プロファイルのリストが必要です。
この例では、 、 、 orgB-ca-profileという名前orgA-ca-profileの 3 つの CA プロファイルを作成し、orgC-ca-profileそれぞれのプロファイルに対して以下の CA 識別子 ca-profile1、 、 ca-profile2ca-profile3 を関連付けます。3 つの CA プロファイルすべてを、信頼できる CA グループに属するようにグループ orgABC-trusted-ca-group化できます。
信頼できる CA グループには、最大 20 個の CA プロファイルを設定できます。
デバイスで設定されたCAプロファイルと信頼できるCAグループを表示するには、 コマンドを実行 show security pki します。
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
ca-profile orgC-ca-profile {
ca-identity ca-profile3;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile orgC-ca-profile ];
}
コマンドは show security pki 、 でグループ化されたすべての CA プロファイルを orgABC_trusted-ca-group表示します。
信頼できる CA グループからの CA プロファイルの削除
信頼できる CA グループ内の特定の CA プロファイルを削除することも、信頼できる CA グループ自体を削除することもできます。
例えば、信頼できる CA グループorgABC-trusted-ca-groupから という名前orgC-ca-profileの CA プロファイルを削除する場合は、トピックに示すようにデバイスに設定されている、 は、以下の信頼できる CA グループの設定手順を実行します。
からorgABC-trusted-ca-group 削除されているをorgC-ca-profile表示するには、 コマンドをshow security pki実行します。
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile ];
}
信頼できる CA グループから削除された場合、出力にプロファイルは表示 orgC-ca-profile されません。
信頼できる CA グループの削除
エンティティは、多くの信頼できる CA グループをサポートでき、1 つのエンティティに対する信頼できる CA グループを削除できます。
例えば、トピックに示信頼できる CA グループの設定すように、デバイスに設定されている 、 という名前orgABC-trusted-ca-groupの信頼できる CA グループを削除する場合は、以下の手順を実行します。
エンティティから削除されているオブジェクトを表示 orgABC-trusted-ca-group するには、 コマンドを show security pki 実行します。
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
エンティティから削除された場合、 orgABC-trusted-ca-group 出力には、 は表示されません。
認証機関プロファイルの理解
認証機関(CA)プロファイル構成には、CA に固有の情報が含まれています。SRXシリーズファイアウォールには、複数のCAプロファイルを設定できます。たとえば、組織A 用に 1 つ、組織B 用に 1 つのプロファイルがある場合があります。各プロファイルは、CA 証明書に関連付けられています。古い CA 証明書を削除せずに新しい CA 証明書を読み込む場合は、新しい CA プロファイル(Microsoft-2008 など)を作成します。
Junos OS リリース 18.1R1 以降、CA サーバーは IPv6 CA サーバーにできます。
PKI モジュールは IPv6 アドレス形式をサポートし、IPv6 が唯一使用されるプロトコルであるネットワークで SRX シリーズ ファイアウォールの使用を可能にします。
CA がデジタル証明書を発行すると、証明書の検証によって 2 つのエンドポイント間のセキュアな接続を確立できます。特定のトポロジに対して、信頼できる 1 つの CA グループに複数の CA プロファイルをグループ化できます。これらの証明書は、2つのエンドポイント間の接続を確立するために使用されます。IKE または IPsec を確立するには、両方のエンドポイントが同じ CA を信頼する必要があります。それぞれの信頼できる CA(ca-profile)または信頼できる CA グループを使用して、いずれかのエンドポイントが証明書を検証できない場合、接続は確立されません。信頼できる CA グループを作成するには、少なくとも 1 つの CA プロファイルが必須で、信頼できる CA グループ 1 つで最大 20 個の CA を使用できます。特定のグループの CA は、その特定のエンドポイントの証明書を検証できます。
Junos OS リリース 18.1R1 以降では、指定された CA サーバーまたは CA サーバー のグループで、構成済みの IKE ピアの検証を行うことができます。信頼できる CA サーバーのグループは、構成ステートメントを trusted-ca-group 使用して [edit security pki] 階層レベルで作成できます。1 つまたは複数の CA プロファイルを指定できます。信頼された CA サーバーは、[edit security ike policy policy certificate] 階層レベルのピアの IKE ポリシー設定にバインドされます。
CA プロファイルでプロキシ プロファイルが構成されている場合、デバイスは CA サーバーの代わりにプロキシ ホストに接続し、証明書の登録、検証、または取り消しを行います。プロキシ ホストは、CA サーバーとデバイスからの要求と通信し、応答をデバイスにリレーします。
CA プロキシ プロファイルは、SCEP、CMPv2、OCSP プロトコルをサポートしています。
CAプロキシプロファイルは、HTTPでのみサポートされており、HTTPSプロトコルではサポートされていません。
関連項目
例:CA プロファイルの設定
この例では、CAプロファイルを設定する方法を示しています。
要件
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、CA ID microsoft-2008 と呼ばれる ca-profile-ipsec CA プロファイルを作成します。次に、CA プロファイルにプロキシ プロファイルを作成します。この構成では、48 時間ごとに CRL を更新し、CRL を取得する場所を指定します http://www.my-ca.com。この例では、登録再試行回数の値を 20 に設定します。(再試行のデフォルト値は 10 です)。
証明書の自動ポーリングは30分ごとに設定されます。再試行の間隔を設定せずに再試行のみを設定した場合、デフォルトの再試行間隔は900秒(または15分)です。再試行または再試行の間隔を設定しない場合、ポーリングはありません。
設定
手順
手順
CA プロファイルを設定するには、次の手順に示します。
CA プロファイルを作成します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 user@host#
オプションで、CA プロファイルにプロキシ プロファイルを設定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec proxy-profile px-profile
公開鍵基盤(PKI)は、システムレベルで設定されたプロキシプロファイルを使用します。CAプロファイルで使用されているプロキシプロファイルは、 階層で
[edit services proxy]設定する必要があります。階層下[edit services proxy]に複数のプロキシプロファイルを設定できます。各 CA プロファイルは、そのようなプロキシ プロファイルの最も 1 つを参照します。プロキシプロファイルのホストとポートは、 階層で[edit system services proxy]設定できます。証明書の失効を確認する方法を指定するための失効チェックを作成します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
更新間隔を時間単位で設定し、CRL を更新する頻度を指定します。デフォルト値は、次の更新時間が指定されていない場合は、CRL の次回更新時間または 1 週間です。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl refresh-interval 48 url http://www.my-ca.com/my-crl.crl
登録再試行値を指定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry 20
CA 証明書をオンラインで自動的に登録しようとする試みまでの時間を秒単位で指定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry-interval 1800
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを show security pki 入力します。
例:CAプロファイルの送信元アドレスとしてIPv6アドレスを設定する
この例では、CAプロファイルの送信元アドレスとしてIPv6アドレスを設定する方法を示しています。
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
この例では、CA ID v6-ca と呼ばれる orgA-ca-profile CA プロファイルを作成し、CA プロファイルの送信元アドレスを IPv6 アドレスに2001:db8:0:f101::1設定します。登録 URL を構成して、IPv6 アドレス http://[2002:db8:0:f101::1]:/.../を受け入れることができます。