Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PKI(データJunos OS

SUMMARY このトピックでは、デバイスの公開鍵基盤(PKI)の基本要素についてJunos OS。

公開鍵基盤 (PKI) は、公開暗号化鍵の配信と識別をサポートし、インターネットなどのネットワークを介してセキュアにデータを交換し、相手のアイデンティティを検証することを可能にします。

PKI(基盤技術)のJunos OS

PKI アプリケーションの概要

このアプリケーションJunos OS、以下の領域でパブリック/プライベート キーを使用します。

  • SSH/SCP(セキュア サービスコマンドライン インターフェイス [CLI]ベースの管理)

  • Secure Sockets Layer(SSL)(セキュアな Web ベース管理用、およびユーザー認証用 https ベースの Web 認証用)

  • インターネット鍵交換(IKE)(IPsec VPN トンネルの場合)

注:

以下の点に注意してください。

  • 現在Junos OS、公開鍵IKE検証に PKI(公開鍵基盤)証明書のみをサポートしています。

  • SSHとSCPは、システム管理専用に使用され、パブリックキーのアイデンティティのバインドと検証にアウトオブバンドフィンガープリントの使用によって異なります。SSH の詳細については、このトピックでは説明していない。

PKI を管理するコンポーネントをJunos OS

データ センターで PKI を管理するには、以下のコンポーネントがJunos OS。

  • CA認証および認証機関の設定

  • デバイスのアイデンティティを含むローカル証明書 (例: IKE ID タイプおよび値) およびプライベートキーと公開鍵

  • 証明書取り消しリスト(ALD)による証明書検証

PKI の基本Junos OS

Junos OS PKI オブジェクトには、次の 3 種類の PKI オブジェクトがサポートされています。

  • プライベート/公開鍵ペア

  • 証明書

    • ローカル証明書 — このローカル証明書には、デバイスに関する公開キーとアイデンティティ情報ジュニパーネットワークスされています。ジュニパーネットワークスデバイスは、関連付けられた秘密鍵を所有しています。この証明書は、ジュニパーネットワークスデバイスからの証明書要求に基づいて生成されます。

    • 保留中の証明書 — 保留中の証明書には、PKCS10 証明書要求に生成され、デバイスに手動で送信される鍵ペアとアイデンティティ情報が認証機関されます(CA)。ジュニパーネットワークスデバイスが CA から証明書を待機している間、既存のオブジェクト (キーペアと証明書要求) は、証明書の要求または保留中の証明書としてタグ付けされます。

      注:

      Junos OS 9.0 以降では、SCEP を介した証明書要求の自動送信をサポートしています。

    • CA証明書 — CAによって証明書が発行され、Junos OSデバイスにロードされると、保留中の証明書が新しく生成されたローカル証明書に置き換えられます。デバイスにロードされた他のすべての証明書は、そのCAされます。

  • 証明書失効リスト(CRL)

証明書に関する以下の点に注意してください。

  • ローカル証明書は、通常、複数の管理ドメインJunos OSデバイスに VPN がある場合に使用されます。

  • すべての PKI オブジェクトは、デバイス イメージやシステムの一般設定とは別に、Junos OSパーシ メモリの別のパーティションに格納されます。

  • 各 PKI オブジェクトには、作成時に一意の名前または証明書 ID が指定され、その ID が削除されるまで保持されます。コマンドを使用して証明書 ID を表示 show security pki local-certificate できます。

  • ほとんどの場合、デバイスから証明書をコピーすることはできません。デバイス上のプライベート キーは、そのデバイスでのみ生成する必要があります。そのデバイスに表示したり保存したりしたことがない必要があります。したがって、PKCS12 ファイル(公開キーと関連付けられたプライベート キーを含む証明書を含む)は、デバイス上ではJunos OSされていません。

  • CAは、認定ピアが受信した証明書をIKEします。証明書が有効な場合、その証明書が取り消されたかどうかを確認するために、この証明書は、この権限を持つものにしてください。

    各CAには、以下の情報をCAするプロファイル設定が含まれています。

    • CA アイデンティティ(通常はデバイスのドメイン名)CA

    • 証明書要求を直接証明書サーバーに送信する電子CA

    • 失効設定:

      • 失効チェックの有効化/無効化オプション

      • 多対多ダウンロードで失敗した場合の失効チェックの無効化

      • CDP(オプションの場合は手動で URL を設定した場合)、場所(高い場所を指定した場合)

      • 多大な更新間隔(オプション)

PKI コンポーネントのJunos OS

このトピックは、以下のセクションで構成されています。

PKI の管理と実装

Junos OS の証明書ベースの認証に必要な最低限の PKI 要素は、以下のとおりです。

  • 証明書と機関の設定を CA します。

  • デバイスのアイデンティティを含むローカル証明書(例: IKE ID タイプおよび値) およびプライベートキーと公開鍵

  • CRL を使用した証明書の検証。

Junos OS は、次の3つのタイプの PKI オブジェクトをサポートしています。

インターネット鍵交換

インターネット鍵交換 (IKE) セッションの2つの参加者の間で送信されたメッセージをデジタル署名する手順は、デジタル証明書の検証と似ています。以下のような違いがあります。

  • 送信者は、CA の証明書からダイジェストを作成する代わりに、IP パケットのペイロード内のデータを使用します。

  • 参加者は、CAの公開鍵とプライベートキーのペアを使用するのではなく、送信者の公開鍵とプライベートキーのペアを使用します。

信頼された CA グループ

証明機関 (CA) は、証明書の発行と失効を担当する信頼されたサードパーティです。特定のトポロジに対して、1つの信頼された CA グループで、複数の Ca (CA プロファイル) をグループ化することができます。これらの証明書は、2つのエンドポイント間の接続を確立するために使用されます。IKE または IPsec を確立するには、エンドポイントの両方が同じ CA を信頼する必要があります。いずれかのエンドポイントが、それぞれの信頼できる CA (CA プロファイル) または信頼された CA グループを使用して証明書を検証できない場合、接続は確立されません。

たとえば、エンドポイント A とエンドポイント B がセキュアな接続を確立しようとしています。エンドポイント B がエンドポイント A に証明書を提供すると、エンドポイント A は証明書が有効かチェックします。エンドポイント A の CA は、エンドポイント B が承認を得るために使用している署名された証明書を検証します。またtrusted-catrusted-ca-groupは設定されている場合、デバイスは、このtrusted-ca-groupまたはでtrusted-ca構成された CA プロファイルに追加された CA プロファイルのみを使用し、エンドポイント B からの証明書を検証します。証明書が有効であることが確認された場合、接続は許可され、それ以外の場合は接続が拒否されます。

関する

  • 受信した接続要求に対しては、そのエンドポイントの特定の信頼された CA が発行した証明書だけが検証対象となります。これを行わないと、認証によって接続の確立が拒否されます。

暗号化キー処理の概要

暗号化キー処理を使用すると、永続的なキーは変更されずにデバイスのメモリに格納されます。内部メモリデバイスは、潜在的な敵対者に直接アクセスすることはできませんが、2つ目の防御レイヤーを必要とする方は、暗号化キーの特別な処理を可能にします。この機能が有効になっている場合、暗号化キー処理によって、使用されていないキーを暗号化したり、あるメモリ位置から別の場所にキーをコピーしたときにエラーを検知したり、キーが使用されなくなったときにランダムなビットパターンでキーのメモリ位置を上書きしたりします。. また、キーはデバイスのフラッシュメモリに格納されるときにも保護されます。暗号化キー処理機能を有効にしても、外部で監視されているデバイスの動作は発生しません。また、デバイスは他のデバイスとの相互運用が継続しています。

暗号化管理者は、暗号化されたセルフテスト機能を有効にして無効にすることができます。ただし、セキュリティ管理者は、定期的な自己テストを設定したり、暗号の自己テストのサブセットを選択したりする、暗号化の自己テスト機能の動作を変更することができます。

次の持続鍵は現在、IKE と PKI の管理下にあります。

  • IKE 事前共有鍵 (IKE PSKs)

  • PKI プライベートキー

  • 手動 VPN キー