自己署名デジタル証明書
自己署名証明書とは、認証機関(CA)ではなく、それを作成した同じエンティティによって署名された証明書です。 Junos OS には、自己署名証明書の自動生成と手動生成の 2 つの方法があります。
自己署名証明書について
自己署名証明書とは、CA(認証機関)ではなく作成者が署名した証明書です。
自己署名証明書を使用すると、SSLベース(セキュアソケットレイヤー)サービスを使用できます。ユーザーや管理者は、CAによって署名されたID証明書を取得するというかなりの作業を行う必要はありません。
自己署名証明書は、CAによって生成されたものと同様に、追加のセキュリティを提供しません。これは、クライアントが自分が接続したサーバーが証明書でアドバタイズされたサーバーであることを確認できないためです。
Junos OS には、自己署名証明書を生成するための 2 つの方法があります。
自動生成
この場合、認定書の作成者はジュニパーネットワークスのデバイスです。自動的に生成された自己署名証明書は、デフォルトでデバイスに設定されます。
デバイスを初期化した後、自動的に生成された自己署名証明書の存在を確認します。見つからなければ、デバイスは 1 つを生成し、ファイル システムに保存します。
手動による生成
この場合、デバイスの自己署名証明書を作成します。
いつでも、CLI を使用して自己署名証明書を生成できます。これらの証明書は、SSL サービスへのアクセスにも使用されます。
自己署名証明書は、証明書の生成時から 5 年間有効です。
自動的に生成される自己署名証明書では、管理者が CA によって署名された ID 証明書を取得しなくても、SSL ベースのサービスを使用できます。
デバイスによって自動的に生成される自己署名証明書は、セキュアシェル(SSH)ホストキーと同様です。これは、設定の一部としてではなく、ファイルシステムに保存されます。デバイスを再起動するときに保持され、コマンドが発行されたときに request system snapshot 保持されます。
手動で生成する自己署名証明書により、CA によって署名された ID 証明書を取得しなくても SSL ベースのサービスを使用できます。手動で生成された自己署名証明書は、公開鍵基盤(PKI)ローカル証明書の一例です。すべての PKI ローカル証明書に当てはまるように、手動で生成された自己署名証明書がファイル システムに保存されます。
関連項目
例:公開鍵と秘密鍵のペアの生成
この例では、公開鍵と秘密鍵のペアを生成する方法を示しています。
要件
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、ca-ipsec という名前の公開鍵と秘密鍵のペアを生成します。
設定
手順
手順
公開鍵と秘密鍵のペアを生成するには、
証明書キーペアを作成します。
user@host> request security pki generate-key-pair certificate-id ca-ipsec
検証
公開鍵と秘密鍵のペアが生成された後、Juniper Networks デバイスには以下が表示されます。
generated key pair ca-ipsec, key size 1024 bits
例:自己署名証明書の手動生成
この例では、自己署名証明書を手動で生成する方法を示します。
要件
開始する前に、公開プライベートキーペアを生成します。デジタル認定書をご覧ください。
概要
手動で生成された自己署名証明書の場合、作成時に DN を指定します。自動生成された自己署名証明書の場合、システムはDNを提供し、作成者としてそれ自体を識別します。
この例では、 として電子メール アドレスを持つ自己署名証明書を生成します mholmes@example.net。Web 管理によって参照されるの証明書 ID を self-cert 指定します。これは、例を示します。同じ証明書 ID の公開鍵と秘密鍵のペアペアを生成する。
設定
手順
手順
自己署名証明書を手動で生成するには、以下の手順にしたがっています。
自己署名証明書を作成します。
user@host> request security pki local-certificate generate-self-signed certificate-id self-cert subject CN=abc domain-name example.net ip-address 1.2.3.4 email mholmes@example.net
検証
証明書が正しく生成されてロードされたことを確認するには、動作モードコマンドを show security pki local-certificate 入力します。
自動生成された自己署名証明書の使用(CLI手順)
デバイスを初期化した後、自己署名証明書の存在を確認します。自己署名証明書が存在しない場合、デバイスは証明書を自動的に生成します。
自動生成された自己署名証明書を使用してHTTPSサービスへのアクセスを提供する場合は、以下のステートメントを設定に追加できます。
system {
services {
web-management {
http {
interface [ ... ];
} https {
system-generated-certificate;
interface [ ... ];
}
}
}
}
デバイスは、自動的に生成される証明書に以下の識別名を使用します。
“ CN=<device serial number>, CN=system generated, CN=self-signed”
Web 管理 HTTPS サービスに自動的に生成された自己署名証明書を使用するように指定するには、以下のコマンドを使用します。
user@host# set system services web-management https system-generated-certificate
自動生成された自己署名証明書を削除するには、次の操作コマンドを使用します。
user@host# clear security pki local-certificate system-generated
システム生成された自己署名証明書を削除すると、デバイスは新しい証明書を自動的に生成してファイル システムに保存します。