IKE認証(証明書ベースの認証)
証明書認証のためのマルチレベル階層
証明書ベースの認証は、IKEネゴシエーション中にSRXシリーズファイアウォールでサポートされる認証方法です。大規模なネットワークでは、複数の認証局(CA)がそれぞれのエンドデバイスにエンドエンティティ(EE)証明書を発行できます。個々の場所、部門、または組織ごとに個別のCAを持つのが一般的です。
証明書ベースの認証に単一レベルの階層が採用されている場合、ネットワーク内のすべてのEE証明書は、同じCAによって署名される必要があります。すべてのファイアウォールデバイスには、ピア証明書の検証用に同じCA証明書が登録されている必要があります。IKEネゴシエーション中に送信される証明書ペイロードには、EE証明書のみが含まれています。
または、IKEネゴシエーション中に送信される証明書ペイロードには、EEおよびCA証明書のチェーンを含めることができます。 証明書チェーン は、ピアのEE証明書を検証するために必要な証明書のリストです。証明書チェーンには、EE証明書と、ローカルピアに存在しないCA証明書が含まれます。
ネットワーク管理者は、IKE ネゴシエーションに参加しているすべてのピアが、それぞれの証明書チェーンに少なくとも 1 つの共通の信頼できる CA を持っていることを確認する必要があります。共通の信頼できる CA がルート CA である必要はありません。EEの証明書とチェーンの最上位CAの証明書を含めたチェーン内の証明書の数は、10を超えることはできません。
設定された IKE ピアの検証は、指定された CA サーバーまたは CA サーバーのグループを使用して実行できます。証明書チェーンでは、ルート CA が IKE ポリシーで設定された信頼できる CA グループまたは CA サーバーと一致する必要があります。
図 1 に示す CA 階層の例では、Root-CA はネットワーク内のすべてのデバイスに対して共通の信頼できる CA です。Root-CA発行CA、エンジニアリングCAとSales CAに証明書を発行します。これらは、それぞれEng-CAとSales-CAとして識別されます。Eng-CAは、それぞれDev-CAとQa-CAとして識別される開発および品質保証CAに証明書CA発行します。ホスト-AはDev-CAからEE証明書を受け取り、ホスト-BはSales-CAからEE証明書を受け取ります。
のためのマルチレベル階層
各エンド デバイスには、その階層内の CA 証明書を読み込む必要があります。Host-Aには、Root-CA、Eng-CA、Dev-CA証明書が必要です。Sales-CA および Qa-CA 証明書は必要ありません。Host-Bには、Root-CAおよびSales-CA証明書が必要です。証明書は、デバイスに手動で読み込むことも、SCEP(簡易証明書登録プロセス)を使用して登録することもできます。
各エンドデバイスは、証明書チェーン内の各 CA の CA プロファイルを設定する必要があります。以下の出力は、ホストAに設定されたCAプロファイルを示しています。
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url “www.example.net/scep/Eng/”;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url “www.example.net/scep/Dev/”;
}
}
}
以下の出力は、ホスト-Bに設定されたCAプロファイルを示しています。
admin@host-B# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Sales-CA {
ca-identity Sales-CA;
enrollment {
url “www.example.net/scep/Sales/”;
}
}
}
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。