Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

署名付きデジタル証明書

自己署名証明書は、証明機関 (CA) ではなく、それを作成した同じ主体によって署名された証明書です。Junos OS では、自動生成と手動生成という2つの方法で自己署名された証明書を生成できます。

自己署名付き証明書について

自己署名証明書は、証明機関 (CA) ではなく作成者によって署名された証明書です。

自己署名証明書では、ユーザーや管理者が CA によって署名されたアイデンティティ証明書を取得することなく、SSL ベース (セキュアソケットレイヤー) サービスを利用できます。

自己署名証明書は、Ca によって生成されるセキュリティを強化するものではありません。これは、クライアントが、接続しているサーバーが証明書に記載されているものかどうかを検証できないためです。

Junos OS には、自己署名証明書を生成するための2つの方法が用意されています。

  • 自動生成

    この場合、証明書の作成者はジュニパーネットワークスデバイスです。自動生成された自己署名証明書は、デフォルトでデバイス上に設定されています。

    デバイスが初期化された後、自動生成された自己署名証明書が存在するかどうかを確認します。見つからない場合は、デバイスによって生成され、ファイルシステムに保存します。

  • 手動による生成

    この場合、デバイスの自己署名証明書を作成します。

    いつでも、CLI を使用して自己署名された証明書を生成できます。これらの証明書は、SSL サービスへのアクセスを取得するためにも使用されます。

自己署名付き証明書は、生成された時点から5年間有効です。

自動生成された自己署名付き証明書により、管理者が CA によって署名されたアイデンティティ証明書を取得せずに、SSL ベースのサービスを使用できます。

デバイスによって自動的に生成される自己署名証明書は、Secure Shell (SSH) ホストキーと似ています。これは、構成の一部としてではなく、ファイルシステムに格納されています。デバイスが再起動されたときに保持され、 request system snapshotコマンドが発行されると保存が行われます。

手動で生成した自己署名付き証明書により、CA によって署名されたアイデンティティ証明書を取得しなくても、SSL ベースのサービスを使用できます。手動で生成された自己署名証明書は、公開鍵基盤 (PKI) のローカル証明書の一例です。すべての PKI ローカル証明書と同様に、手動で生成された自己署名付き証明書はファイルシステムに保存します。

例:公開/非公開鍵ペアの生成

この例では、公開キーと秘密鍵のペアを生成する方法を示しています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定は不要です。

概要

この例では、ca ipsec という名前の公開秘密鍵ペアを生成します。

構成

手順

順を追った手順

パブリック/プライベートキーペアを生成するには、次のようにします。

  • 証明書キーペアを作成します。

検証

公開/非公開鍵のペアが生成されると、ジュニパーネットワークスデバイスには以下のように表示されます。

例:自己署名証明書の手動生成

この例は、手動で自己署名された証明書を生成する方法を示しています。

要件

開始する前に、パブリックの秘密鍵ペアを生成します。デジタル 証明書を参照してください

概要

手動で生成された自己署名証明書については、DN を作成時に指定します。自動生成された自己署名付き証明書については、システムがその DN を提供し、それ自体が作成者として識別されます。

この例では、というmholmes@example.net電子メールアドレスを持つ自己署名証明書を生成します。Web 管理によって参照される証明書 ID を指定します。これは次の self-cert 例を参照します。同じ証明書 ID のパブリックキーとプライベート キーのペアを生成する。

構成

手順

順を追った手順

自己署名証明書を手動で生成するには、次のようにします。

  1. 自己署名証明書を作成します。

検証

証明書が適切に生成およびロードされたことshow security pki local-certificateを確認するには、運用モードコマンドを入力します。

自動生成された自己署名証明書の使用 (CLI プロシージャ)

デバイスが初期化された後、自己署名証明書が存在するかどうかを確認します。自己署名付き証明書が存在しない場合は、デバイスによって自動的に生成されます。

自動生成された自己署名証明書を使用して HTTPS サービスへのアクセスを提供する場合は、以下のステートメントを設定に追加できます。

デバイスは、自動生成された証明書に次の識別名を使用します。

自動的に生成された自己署名証明書を Web 管理 HTTPS サービスに使用するように指定するには、次のコマンドを使用します。

次の操作コマンドを使用して、自動生成された自己署名証明書を削除します。

システムが生成した自己署名証明書を削除すると、デバイスは新しいものを自動的に生成してファイルシステムに保存します。