Junos OS における PKI の概要
このトピックでは、PKIのコンポーネント、証明書のライフサイクル管理、インターネット鍵交換(IKE)内での使用など、Junos OSの公開カギ基盤(PKI)の基本要素について説明します。以下のセクションで構成されています。
PKI の基礎
Junos OSは、ジュニパーネットワークスが単独のオペレーティングシステムで、以下の機能を提供します。
豊富なIPサービスツールキットを備えた強力なオペレーティングシステム。
比類のないIPの信頼性とセキュリティにより、効率的で予測可能なIPインフラストラクチャを確保します。
SSG製品ファミリーを含むジュニパーネットワークスのファイアウォール/IPセキュリティ(IPsec)VPNプラットフォームによる強化されたセキュリティとVPN機能。
デジタル認定書の詳細については、https://www.juniper.net/documentation/software/junos/ から入手できる『Junos OSシステムベーシックガイド』を参照してください。
暗号、RSA、およびPKIの詳細については、 http://www.rsasecurity.com/rsalabs Webサイトにアクセスしてください。
PKI 関連の技術用語の一覧については、「 PKI 関連用語の用語集」を参照してください。
PKI アプリケーションの概要
Junos OSは、以下の領域で公開鍵と秘密鍵を使用します。
SSH/SCP(セキュアなコマンドラインインターフェイス(CLI)ベースの管理用)
Secure Sockets Layer(SSL)(セキュアなウェブベースの管理およびユーザー認証のためのhttpsベースのウェブ認証用)
インターネット鍵交換(IKE)(IPsec VPN トンネル用)
次の点に注意してください。
現在、Junos OSはIKE(公開キーの検証に公開キー基盤(PKI)証明書を使用)のみをサポートしています。
SSL を使用した ID バインディングのサポートは現在利用できません。このトピックには、SSL に関する簡単なセクションが含まれています。詳細については、次を参照してください: SSL および IPsec/IKE メソッドの使用の概要。
SSHとSCPはシステム管理にのみ使用され、公開キーIDのバインディングと検証にアウトオブバンドフィンガープリントを使用することに依存します。SSH の詳細については、このトピックでは説明しません。
Junos OS で PKI を管理するためのコンポーネント
Junos OS で PKI を管理するには、以下のコンポーネントが必要です。
CA 証明書と認証局の構成
デバイスのID(例:IKE IDのタイプと値)、秘密鍵と公開鍵などのローカル証明書
証明書失効リスト (CRL) による証明書の検証
Junos OS における PKI の基本要素
Junos OS は、次の 3 つの特定のタイプの PKI オブジェクトをサポートします。
秘密キーと公開キーのペア
証明 書
ローカル証明書 - ローカル証明書には、ジュニパーネットワークスデバイスの公開キーと ID 情報が含まれています。ジュニパーネットワークスのデバイスは、関連付けられたプライベートキーを所有しています。この証明書は、ジュニパーネットワークスのデバイスからの証明書要求に基づいて生成されます。
保留中の証明書 — 保留中の証明書には、PKCS10 証明書要求に生成され、認証局(CA)に手動で送信されるキーペアと ID 情報が含まれています。ジュニパーネットワークスのデバイスが CA からの証明書を待機している間、既存のオブジェクト(キーペアと証明書要求)は、証明書要求または保留中の証明書としてタグ付けされます。
メモ:Junos OS リリース 9.0 以降では、SCEP を介した証明書要求の自動送信がサポートされています。詳細については、「 付録 D: 簡易証明書登録プロトコル 」を参照してください。
CA 証明書 — 証明書が CA によって発行され、Junos OS デバイスに読み込まれると、保留中の証明書は新しく生成されたローカル証明書に置き換えられます。デバイスにロードされた他のすべての証明書は、CA 証明書と見なされます。
証明書失効リスト (CRL)
証明書については、次の点に注意してください。
ローカル証明書は通常、Junos OSデバイスのVPNが複数の管理ドメインにある場合に使用されます。
すべてのPKIオブジェクトは、Junos OSイメージとシステムの一般的な構成とは別に、永続メモリの個別のパーティションに保存されます。
各 PKI オブジェクトには、作成時に一意の名前または証明書 ID が与えられ、削除されるまでその ID が保持されます。証明書 ID
show security pki local-certificate
は、 コマンドを使用して表示できます。ほとんどの場合、デバイスから証明書をコピーすることはできません。デバイスの秘密キーは、そのデバイスでのみ生成する必要があり、そのデバイスから表示または保存しないでください。そのため、PKCS12ファイル(公開鍵と関連する秘密鍵を含む証明書を含む)は、Junos OSデバイスではサポートされていません。
CA 証明書は、IKE ピアが受信した証明書を検証します。証明書が有効な場合は、証明書が失効しているかどうかを確認するために CRL で検証されます。
各 CA 証明書には、次の情報を格納する CA プロファイル構成が含まれています。
CA ID。通常は CA のドメイン名です。
証明書要求を CA に直接送信するための電子メール アドレス
失効設定:
失効チェックの有効化/無効化オプション
CRL のダウンロードに失敗した場合の失効チェックの無効化。
CRL 配布ポイント (CDP) の場所 (手動 URL 設定用)
CRL リフレッシュ間隔
Junos OSは、デバイスのサイズに応じて、複数のローカル証明書をサポートします。詳細については、「 付録 A: よく寄せられる質問 」を参照してください。
表 1 に、使用可能な PKI オブジェクトとその平均サイズを示します。
PKI オブジェクト |
平均サイズ |
---|---|
秘密キーと公開キーのペア |
1キロバイト |
ローカル証明書 |
2キロバイト |
CA 証明書 |
2キロバイト |
CA 権限の構成 |
500 バイト |
CRL(平均サイズは、その特定のCAによって取り消された証明書の数に依存する変数) |
300 バイトから最大 2 MB+ |
例:
フラッシュ メモリ要件の計算:
Junos OS デバイスで次の設定を想定します。
平均 CRL は 10 KB です
1 つのローカル証明書、1 つの CA 証明書、および CA 認証局の構成
CRL のフラッシュ メモリ要件 =
2 KB (ローカル証明書) + 1 KB (キー ペア) + 2 KB (CA 証明書) + 0.5 (CA 機関構成) + 10 (CRL) = 15.5 KB