Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

認証機関

証明機関(CA)プロファイルは、2 つのエンドポイント間のセキュアな接続を確立するために、特定の証明書に関連付けられているすべてのパラメーターを定義します。このプロファイルでは、使用する証明書、証明書失効ステータスを検証する方法、そのステータスがアクセスに制約する方法を指定します。

信頼できる CA グループの設定

このセクションでは、CA プロファイルのリストに対して信頼できる CA グループを作成し、信頼できる CA グループを削除する手順について説明します。

CA プロファイルのリストに対する信頼できる CA グループの作成

信頼できる CA グループを構成して割り当てて、エンティティを許可できます。ピアがクライアントとの接続を確立しようとすると、そのエンティティの特定の信頼された CA によって発行された証明書のみが検証されます。デバイスは、証明書の発行者と証明書を提示する発行者が同じクライアント ネットワークに属しているかどうかを検証します。発行者と発表者が同じクライアント ネットワークに属している場合、接続が確立されます。接続されていない場合、接続は確立されません。

開始する前に、信頼されたグループに追加するすべての CA プロファイルのリストが必要です。

この例では、次の名前の 3 つの CA プロファイル orgA-ca-profileorgB-ca-profile作成し orgC-ca-profile 、それぞれのプロファイルに対して、次の CA 識別子 ca-profile1、、 ca-profile2および ca-profile3 を関連付けています。3 つの CA プロファイルすべてを、信頼できる CA グループに属するようにグループ orgABC-trusted-ca-group化できます。

信頼された CA グループに対して最大 20 個の CA プロファイルを設定できます。

  1. CA プロファイルを作成し、CA 識別子をプロファイルに関連付けます。
  2. 信頼できる CA グループの下で CA プロファイルをグループ化します。
  3. CA プロファイルと信頼された CA グループの設定が完了したら、設定をコミットします。

デバイスに設定されている CA プロファイルと信頼できる CA グループを表示するには、コマンドを実行 show security pki します。

コマンドは show security pki 、 の下にグループ化されたすべての CA プロファイルを orgABC_trusted-ca-group表示します。

信頼された CA グループからの CA プロファイルの削除

信頼された CA グループ内の特定の CA プロファイルを削除することも、信頼された CA グループ自体を削除することもできます。

たとえば、信頼できる CA グループorgABC-trusted-ca-groupからという名前orgC-ca-profileの CA プロファイルを削除する場合は、トピックに示すようにデバイスに設定され、次の信頼できる CA グループの設定手順を実行します。

  1. 信頼された CA グループから CA プロファイルを削除します。
  2. 信頼された CA グループから CA プロファイルを削除した場合は、設定をコミットします。

から削除されているを orgC-ca-profile 表示するには、 orgABC-trusted-ca-group コマンドを show security pki 実行します。

信頼された CA グループから削除されたプロファイルは出力に表示 orgC-ca-profile されません。

信頼できる CA グループの削除

エンティティは、多数の信頼できる CA グループをサポートでき、エンティティの信頼できる CA グループを削除できます。

たとえば、次のトピックに示すように、デバイスに設定されている信頼できる CA グループ orgABC-trusted-ca-groupを削除する場合は、次の 信頼できる CA グループの設定 手順を実行します。

  1. 信頼できる CA グループを削除します。
  2. 信頼された CA グループから CA プロファイルを削除した場合は、設定をコミットします。

エンティティから削除されているファイル orgABC-trusted-ca-group を表示するには、コマンドを show security pki 実行します。

エンティティから削除された出力は表示 orgABC-trusted-ca-group されません。

証明機関のプロファイルについて

CA(証明機関)プロファイル設定には、CA に固有の情報が含まれています。SRX シリーズ デバイスに複数の CA プロファイルを設定できます。たとえば、orgA 用のプロファイルと orgB 用のプロファイルが 1 つある場合があります。各プロファイルは CA 証明書に関連付けられています。古い CA 証明書を削除せずに新しい CA 証明書をロードする場合は、新しい CA プロファイルを作成します(Microsoft-2008 など)。

Junos OS リリース 18.1R1 以降、CA サーバーは IPv6 CA サーバーになります。

PKI モジュールは IPv6 アドレス形式をサポートし、IPv6 が唯一使用されるプロトコルであるネットワークで SRX シリーズ デバイスを使用できるようにします。

CA がデジタル証明書を発行すると、証明書の検証を通じて 2 つのエンドポイント間のセキュアな接続を確立できます。特定のトポロジに対して、1 つの信頼できる CA グループに複数の CA プロファイルをグループ化できます。これらの証明書は、2 つのエンドポイント間の接続を確立するために使用されます。IKE または IPsec を確立するには、両方のエンドポイントが同じ CA を信頼する必要があります。いずれかのエンドポイントが、それぞれの信頼できる CA(ca プロファイル)または信頼できる CA グループを使用して証明書を検証できない場合、接続は確立されません。信頼できる CA グループを作成するには、最低 1 つの CA プロファイルが必須で、1 つの信頼された CA グループでは最大 20 個の CA が許可されます。特定のグループの CA は、その特定のエンドポイントの証明書を検証できます。

Junos OS リリース 18.1R1 以降では、指定した CA サーバーまたは CA サーバー のグループを使用して、設定済みの IKE ピアの検証を実行できます。信頼できる CA サーバーのグループは、[] 階層レベルで構成ステートメントをedit security pki使用trusted-ca-groupして作成できます。1 つまたは複数の CA プロファイルを指定できます。信頼された CA サーバーは、[] 階層レベルのピアの IKE ポリシー設定にedit security ike policy policy certificateバインドされます。

CA プロファイルでプロキシ プロファイルが設定されている場合、デバイスは CA サーバーの代わりにプロキシ ホストに接続し、証明書の登録、検証、または取り消しを行います。プロキシ ホストは、デバイスからの要求と CA サーバーと通信し、応答をデバイスに中継します。

CA プロキシー プロファイルは、SCEP、CMPv2、OCSP プロトコルをサポートしています。

CA プロキシ プロファイルは HTTP でのみサポートされ、HTTPS プロトコルではサポートされていません。

例:CA プロファイルの設定

この例では、CA プロファイルを設定する方法を示しています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。

概要

この例では、CA アイデンティティ microsoft-2008 と呼ばれる ca-profile-ipsec CA プロファイルを作成します。その後、CA プロファイルにプロキシ プロファイルを作成します。この構成では、48 時間ごとに CRL を更新し、CRL を取得する場所を http://www.my-ca.com指定します。この例では、登録再試行値を 20 に設定します。(デフォルトの再試行値は 10 です。

証明書の自動ポーリングは 30 分ごとに設定されます。再試行間隔を設定せずに再試行のみを設定する場合、デフォルトの再試行間隔は 900 秒(または 15 分)です。再試行または再試行間隔を設定しない場合、ポーリングはありません。

設定

手順

手順

CA プロファイルを設定するには、

  1. CA プロファイルを作成します。

  2. 必要に応じて、CA プロファイルにプロキシ プロファイルを設定します。

    PKI(公開鍵基盤)は、システムレベルで設定されたプロキシプロファイルを使用します。CA プロファイルで使用されているプロキシ プロファイルは、階層で設定する [edit services proxy] 必要があります。階層の下 [edit services proxy] に複数のプロキシ プロファイルを設定できます。各 CA プロファイルは、このようなプロキシ プロファイルの中で最も 1 つを指します。階層でプロキシ プロファイルのホストとポートを [edit system services proxy] 設定できます。

  3. 証明書の失効をチェックする方法を指定する失効チェックを作成します。

  4. 更新間隔を時間単位で設定し、CRL を更新する頻度を指定します。次の更新時刻が指定されていない場合、デフォルト値は CRL の次回更新時刻または 1 週間です。

  5. 登録再試行値を指定します。

  6. CA 証明書をオンラインに自動的に登録しようとする試行の間隔を秒単位で指定します。

  7. デバイスの設定が完了したら、設定をコミットします。

検証

設定が正常に機能していることを確認するには、コマンドを show security pki 入力します。

例:CA プロファイルの送信元アドレスとしての IPv6 アドレスの設定

この例では、IPv6 アドレスを CA プロファイルの送信元アドレスとして設定する方法を示しています。

この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。

この例では、CAアイデンティティv6-caと呼ばれるorgA-ca-profileCAプロファイルを作成し、CAプロファイルの送信元アドレスをIPv6アドレスに2001:db8:0:f101::1設定します。IPv6 アドレス http://[2002:db8:0:f101::1]:/.../を受け入れるよう登録 URL を設定できます。

  1. CA プロファイルを作成します。
  2. CA プロファイルの送信元アドレスを IPv6 アドレスに設定します。
  3. CA の登録パラメーターを指定します。
  4. デバイスの設定が完了したら、設定をコミットします。
リリース履歴テーブル
リリース
説明
18.1R1
Junos OS リリース 18.1R1 以降、CA サーバーは IPv6 CA サーバーになります。
18.1R1
Junos OS リリース 18.1R1 以降では、指定した CA サーバーまたは CA サーバー のグループを使用して、設定済みの IKE ピアの検証を実行できます。