Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS における PKI の概要

このトピックでは、PKIのコンポーネント、証明書のライフサイクル管理、インターネット鍵交換(IKE)内での使用など、Junos OSの公開カギ基盤(PKI)の基本要素について説明します。以下のセクションで構成されています。

PKI の基礎

Junos OSは、ジュニパーネットワークスが単独のオペレーティングシステムで、以下の機能を提供します。

  • 豊富なIPサービスツールキットを備えた強力なオペレーティングシステム。

  • 比類のないIPの信頼性とセキュリティにより、効率的で予測可能なIPインフラストラクチャを確保します。

  • SSG製品ファミリーを含むジュニパーネットワークスのファイアウォール/IPセキュリティ(IPsec)VPNプラットフォームによる強化されたセキュリティとVPN機能。

メモ:

デジタル認定書の詳細については、https://www.juniper.net/documentation/software/junos/ から入手できる『Junos OSシステムベーシックガイド』を参照してください。

暗号、RSA、およびPKIの詳細については、 http://www.rsasecurity.com/rsalabs Webサイトにアクセスしてください。

PKI 関連の技術用語の一覧については、「 PKI 関連用語の用語集」を参照してください。

PKI アプリケーションの概要

Junos OSは、以下の領域で公開鍵と秘密鍵を使用します。

  • SSH/SCP(セキュアなコマンドラインインターフェイス(CLI)ベースの管理用)

  • Secure Sockets Layer(SSL)(セキュアなウェブベースの管理およびユーザー認証のためのhttpsベースのウェブ認証用)

  • インターネット鍵交換(IKE)(IPsec VPN トンネル用)

メモ:

次の点に注意してください。

  • 現在、Junos OSはIKE(公開キーの検証に公開キー基盤(PKI)証明書を使用)のみをサポートしています。

  • SSL を使用した ID バインディングのサポートは現在利用できません。このトピックには、SSL に関する簡単なセクションが含まれています。詳細については、次を参照してください: SSL および IPsec/IKE メソッドの使用の概要

  • SSHとSCPはシステム管理にのみ使用され、公開キーIDのバインディングと検証にアウトオブバンドフィンガープリントを使用することに依存します。SSH の詳細については、このトピックでは説明しません。

Junos OS で PKI を管理するためのコンポーネント

Junos OS で PKI を管理するには、以下のコンポーネントが必要です。

  • CA 証明書と認証局の構成

  • デバイスのID(例:IKE IDのタイプと値)、秘密鍵と公開鍵などのローカル証明書

  • 証明書失効リスト (CRL) による証明書の検証

Junos OS における PKI の基本要素

Junos OS は、次の 3 つの特定のタイプの PKI オブジェクトをサポートします。

  • 秘密キーと公開キーのペア

  • 証明 書

    • ローカル証明書 - ローカル証明書には、ジュニパーネットワークスデバイスの公開キーと ID 情報が含まれています。ジュニパーネットワークスのデバイスは、関連付けられたプライベートキーを所有しています。この証明書は、ジュニパーネットワークスのデバイスからの証明書要求に基づいて生成されます。

    • 保留中の証明書 — 保留中の証明書には、PKCS10 証明書要求に生成され、認証局(CA)に手動で送信されるキーペアと ID 情報が含まれています。ジュニパーネットワークスのデバイスが CA からの証明書を待機している間、既存のオブジェクト(キーペアと証明書要求)は、証明書要求または保留中の証明書としてタグ付けされます。

      メモ:

      Junos OS リリース 9.0 以降では、SCEP を介した証明書要求の自動送信がサポートされています。詳細については、「 付録 D: 簡易証明書登録プロトコル 」を参照してください。

    • CA 証明書 — 証明書が CA によって発行され、Junos OS デバイスに読み込まれると、保留中の証明書は新しく生成されたローカル証明書に置き換えられます。デバイスにロードされた他のすべての証明書は、CA 証明書と見なされます。

  • 証明書失効リスト (CRL)

証明書については、次の点に注意してください。

  • ローカル証明書は通常、Junos OSデバイスのVPNが複数の管理ドメインにある場合に使用されます。

  • すべてのPKIオブジェクトは、Junos OSイメージとシステムの一般的な構成とは別に、永続メモリの個別のパーティションに保存されます。

  • 各 PKI オブジェクトには、作成時に一意の名前または証明書 ID が与えられ、削除されるまでその ID が保持されます。証明書 ID show security pki local-certificate は、 コマンドを使用して表示できます。

  • ほとんどの場合、デバイスから証明書をコピーすることはできません。デバイスの秘密キーは、そのデバイスでのみ生成する必要があり、そのデバイスから表示または保存しないでください。そのため、PKCS12ファイル(公開鍵と関連する秘密鍵を含む証明書を含む)は、Junos OSデバイスではサポートされていません。

  • CA 証明書は、IKE ピアが受信した証明書を検証します。証明書が有効な場合は、証明書が失効しているかどうかを確認するために CRL で検証されます。

    各 CA 証明書には、次の情報を格納する CA プロファイル構成が含まれています。

    • CA ID。通常は CA のドメイン名です。

    • 証明書要求を CA に直接送信するための電子メール アドレス

    • 失効設定:

      • 失効チェックの有効化/無効化オプション

      • CRL のダウンロードに失敗した場合の失効チェックの無効化。

      • CRL 配布ポイント (CDP) の場所 (手動 URL 設定用)

      • CRL リフレッシュ間隔

Junos OSは、デバイスのサイズに応じて、複数のローカル証明書をサポートします。詳細については、「 付録 A: よく寄せられる質問 」を参照してください。

表 1 に、使用可能な PKI オブジェクトとその平均サイズを示します。

表 1: PKI オブジェクトと平均サイズ

PKI オブジェクト

平均サイズ

秘密キーと公開キーのペア

1キロバイト

ローカル証明書

2キロバイト

CA 証明書

2キロバイト

CA 権限の構成

500 バイト

CRL(平均サイズは、その特定のCAによって取り消された証明書の数に依存する変数)

300 バイトから最大 2 MB+

例:

フラッシュ メモリ要件の計算:

Junos OS デバイスで次の設定を想定します。

  • 平均 CRL は 10 KB です

  • 1 つのローカル証明書、1 つの CA 証明書、および CA 認証局の構成

CRL のフラッシュ メモリ要件 =

2 KB (ローカル証明書) + 1 KB (キー ペア) + 2 KB (CA 証明書) + 0.5 (CA 機関構成) + 10 (CRL) = 15.5 KB