Junos OS の PKI
SUMMARY このトピックでは、Junos OS の公開鍵基盤(PKI)の基本要素について説明します。
PKI(公開鍵基盤)は、公開鍵の配布と識別をサポートしており、ユーザーはインターネットなどのネットワークを介して安全にデータを交換し、相手の身元を確認することができます。
Junos OS における PKI の概要
PKI アプリケーションの概要
Junos OSは、以下の領域でパブリック/プライベートキーを使用します。
SSH/SCP(セキュアなコマンドラインインターフェイス[CLI]ベースの管理用)
SSL(セキュア ソケット レイヤー)(セキュア Web ベースの管理用およびユーザー認証用の https ベースの Web 認証用)
IKE(インターネット鍵交換)(IPsec VPN トンネル用)
以下の点に注意してください。
現在、Junos OSはIKE(公開キーインフラストラクチャ(PKI)証明書を使用して公開キー検証を行う)のみをサポートしています。
SSHとSCPは、システム管理専用に使用され、公開鍵IDのバインディングと検証に帯域外フィンガープリントの使用に依存します。SSH の詳細については、このトピックでは説明しません。
Junos OS で PKI を管理するためのコンポーネント
Junos OS での PKI 管理には、以下のコンポーネントが必要です。
CA 証明書および権限設定
デバイスアイデンティティを含むローカル証明書(例: IKE IDタイプと値)およびプライベートキーとパブリックキー
証明書失効リスト(CRL)による証明書の検証
Junos OS における PKI の基本要素
Junos OS は、次の 3 種類の PKI オブジェクトをサポートします。
プライベート/パブリックキーペア
証明書
ローカル証明書 — ローカル証明書には、Juniper Networks デバイスの公開鍵とアイデンティティ情報が含まれています。ジュニパーネットワークスデバイスは、関連するプライベートキーを所有しています。この証明書は、Juniper Networks デバイスからの証明書要求に基づいて生成されます。
保留中の証明書 — 保留中の証明書には、PKCS10 証明書要求に生成され、認証機関(CA)に手動で送信されるキー ペアと ID 情報が含まれています。ジュニパーネットワークスデバイスがCAからの証明書を待つ間、既存のオブジェクト(キーペアと証明書要求)は証明書要求または保留中の証明書としてタグ付けされます。
注:Junos OS リリース 9.0 以降では、SCEP を介した証明書要求の自動送信がサポートされています。
CA証明書—CAによって発行され、Junos OSデバイスにロードされると、保留中の証明書は新しく生成されたローカル証明書に置き換えられます。デバイスに読み込まれたその他の証明書はすべて、CA 証明書と見なされます。
証明書失効リスト(CRL)
認定書に関する以下の点に注意してください。
ローカル証明書は、Junos OSデバイスが複数の管理ドメインにVPNを持つ場合に通常使用されます。
すべての PKI オブジェクトは、Junos OS イメージとシステムの一般的な構成とは別に、永続的メモリの別のパーティションに保存されます。
各 PKI オブジェクトは、作成時に固有の名前または証明書 ID を持ち、その ID を削除するまで保持します。コマンドを使用すると、証明書IDを
show security pki local-certificate表示できます。ほとんどの状況では、証明書をデバイスからコピーすることはできません。デバイス上のプライベートキーは、そのデバイスでのみ生成する必要があり、そのデバイスから表示または保存しないでください。このため、PKCS12 ファイル(公開鍵と関連する秘密鍵を持つ証明書が含まれる)は、Junos OS デバイスではサポートされていません。
CA証明書は、IKEピアが受信した証明書を検証します。証明書が有効な場合は、その証明書が取り消されたかどうかを確認するために、CRL で検証されます。
各 CA 証明書には、以下の情報を格納する CA プロファイル構成が含まれています。
CA ID(通常は CA のドメイン名)
証明書要求を CA に直接送信するための電子メール アドレス
失効設定:
失効チェックの有効/無効オプション
CRL ダウンロード失敗時の失効チェックの無効化。
CRL 配布ポイントの場所(CDP)(手動 URL 設定用)
CRL 更新間隔
Junos OS の PKI コンポーネント
このトピックには、以下のセクションが含まれています。
PKI 管理と実装
Junos OS の証明書ベース認証に必要な PKI 要素の最小は次のとおりです。
CA証明書と権限設定。
デバイスのアイデンティティを含むローカル証明書(例: IKE IDタイプと値)およびプライベートキーとパブリックキー
CRL による証明書の検証。
Junos OS は、3 種類の PKI オブジェクトをサポートします。
インターネット鍵交換
インターネット鍵交換(IKE)セッションの 2 人の参加者間で送信されるデジタル署名メッセージの手順は、デジタル証明書の検証と同様で、以下の点が異なります。
送信者は、CA 証明書からダイジェストを作成する代わりに、IP パケット ペイロード内のデータからダイジェストを作成します。
参加者は CA の公開鍵と秘密鍵のペアを使用する代わりに、送信者の公開鍵と秘密鍵のペアを使用します。
信頼できる CA グループ
認証局(CA)は、証明書の発行と取り消しを行う信頼できる第三者です。特定のトポロジに対して、信頼できる 1 つの CA グループに複数の CA(CA プロファイル)をグループ化できます。これらの証明書は、2つのエンドポイント間の接続を確立するために使用されます。IKE または IPsec を確立するには、両方のエンドポイントが同じ CA を信頼する必要があります。それぞれの信頼できる CA(ca-profile)または信頼できる CA グループを使用して、いずれかのエンドポイントが証明書を検証できない場合、接続は確立されません。
たとえば、エンドポイント A とエンドポイント B がセキュアな接続を確立しようとしているという 2 つのエンドポイントがあります。エンドポイントBがエンドポイントAに証明書を提示すると、エンドポイントAが証明書が有効かどうかを確認します。エンドポイントAのCAは、エンドポイントBが承認を取得するために使用している署名された証明書を検証します。または trusted-ca-group が設定されている場合trusted-ca、デバイスは、このtrusted-ca-groupプロファイルで追加された CA プロファイルまたは でtrusted-ca設定された CA プロファイルのみを使用して、エンドポイント B から取得する証明書を検証します。証明書が有効であると検証された場合、接続は許可され、それ以外の場合は接続が拒否されます。
利点:
受信する接続要求に対して、そのエンドポイントの特定の信頼できる CA によって発行された証明書のみが検証されます。そうでない場合、許可は接続の確立を拒否します。
暗号キーの処理の概要
暗号鍵の処理では、永続的鍵は、変更を試みることなく、デバイスのメモリーに保管されます。内部メモリ デバイスから潜在的な敵に直接アクセスすることはできませんが、2 番目の防御レイヤーを必要とするユーザーは、暗号化キーに対して特別な処理を行うことができます。有効にすると、暗号化鍵は、すぐに使用されていないときに暗号化キーを処理し、あるメモリーの場所から別のメモリーに鍵をコピーする際のエラー検出を実行し、鍵が使用できなくなった場合は、鍵のメモリー位置をランダム・ビット・パターンで上書きします。キーは、デバイスのフラッシュ メモリに保存されている場合にも保護されます。暗号化キー処理機能を有効にしても、デバイスの動作が外部で監視可能な変更となることはありません。また、デバイスは引き続き他のデバイスと相互運用を続けます。
暗号管理者は、暗号自己テスト機能を有効または無効にすることができます。ただし、セキュリティ管理者は、定期的な自己テストの設定や、暗号化自己テストのサブセットの選択など、暗号化自己テスト機能の動作を変更できます。
現在、IKE および PKI の管理下にある永続的キーは次のとおりです。
IKE事前共有キー(IKE PSK)
PKI プライベート キー
手動 VPN キー