Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

Junos OS에서 보안 패키지 서명을 위한 OpenPGP

소프트웨어 패키지의 신뢰성 및 무결성을 보장하기 위해 Junos OS에서 안전한 패키지 서명에 OpenPGP를 사용하는 방법을 알아보십시오.

OpenPGP 개요

고객 패키지를 쉽게 추가할 수 있도록 OpenPGP(Pretty Good Privacy)를 활용하여 Juniper 디바이스의 설치 또는 업데이트 프로세스와 관련된 소프트웨어 또는 펌웨어 파일을 자체 서명하고 확인할 수 있습니다. OpenPGP는 비대칭 암호화를 사용하여 데이터의 기밀성, 무결성 및 부인 방지를 제공하는 널리 채택된 암호화 표준입니다.

개인 키를 생성하고 패키지에 서명하려면 GPG 설치가 포함된 서명자 시스템을 설정해야 합니다.

새로 생성된 OpenPGP 키를 안전하게 유지합니다. 개인 키에 액세스할 수 있는 사람은 누구나 고객 디바이스에서 실행할 수 있는 코드에 서명할 수 있습니다.

OpenPGP를 위한 Veriexec 기능

Junos OS의 Veriexec 기능은 모든 소프트웨어가 유효한 기관(보통 주니퍼 네트웍스)에 의해 서명되도록 강제합니다. 고객은 OpenPGP(Pretty Good Privacy)로 자신의 패키지에 서명하여 Junos OS에서 패키지를 실행할 수 있습니다.

이 섹션에서는 veriexec에 OpenPGP를 활용하는 방법에 대한 단계별 안내를 제공하며, 키 생성, Junos 디바이스에서의 키 설치, 매니페스트 서명, OpenPGP 서명을 사용한 서명된 매니페스트 확인 등을 다룹니다.

OpenPGP 키를 생성하기 전에 veriexec-openpgp.tgz 확장 을 Junos에 추가합니다. 확장을 추가하려면 Junos 디바이스에서 명령을 request system software add veriexec-openpgp.tgz 실행합니다. 이 명령은 OpenPGP 통합에 필요한 구성 요소를 설치하여 사용할 수 있도록 합니다.

veriexec-openpgp.tgz 확장이 추가되면 서명자 시스템에서 OpenPGP 키 생성을 진행할 수 있습니다.

OpenPGP 키 생성 단계

  1. OpenPGP 키 생성:
    1. 터미널 또는 명령 프롬프트를 엽니다.
    2. 다음 명령을 실행하여 RSA 키 페어를 생성합니다.
    3. 그러면 키 쌍이 생성되고 나중에 확인에 사용할 키 ID가 표시됩니다.
  2. 서명자 시스템에서 공개 및 개인 키 내보내기:
    1. 다음 명령을 실행하여 서명자 시스템에서 공개 및 개인 키를 내보냅니다.

      내보낸 개인 키 파일을 ".sec.asc" 확장자로 비밀로 유지합니다.

    2. ACA72B4719FD2523 1단계에서 얻은 키 ID로 바꿉니다. 이러한 명령은 공개 및 개인 키의 ASCII 아머드 버전을 생성합니다.
  3. Junos에 공개 키 설치:
    1. 공개 키 파일(ACA72B4719FD2523.pub.asc)을 Junos 디바이스에 복사합니다.
    2. Junos 디바이스에서 다음 명령을 실행하여 공개 키를 설치합니다.
      이렇게 하면 veriexec에서 사용하는 신뢰 저장소에 공개 키가 추가됩니다.
  4. 서명 매니페스트:

    매니페스트에 서명하려면 요구 사항에 따라 두 가지 옵션이 있습니다.

    1. 옵션 1: 서명 서버 활용:

      서명 서버에 액세스할 수 있는 경우 다음 단계를 수행합니다.

      1. 서명해야 하는 매니페스트 파일 (예: 매니페스트)을 만들거나 가져옵니다.

      2. 다음 명령을 실행하여 매니페스트에 대한 OpenPGP 서명을 생성합니다.

      3. 을 실제 서명 서버 및 포트로 바꿉니다server:port. 이 명령은 OpenPGP를 사용하여 매니페스트에 서명하고 서명 파일(manifest.asc)을 생성합니다

    2. 옵션 2: 서명자 컴퓨터에서 GPG를 사용하여 자체 서명 수행:

      GPG를 사용하여 자체 서명하려는 경우 다음 단계를 수행합니다.

      1. 서명해야 하는 매니페스트 파일 (예: 매니페스트)을 만들거나 가져옵니다.

      2. 다음 명령을 실행하여 OpenPGP를 사용하여 매니페스트에 서명하고 서명 파일(manifest.asc)을 생성합니다.

      3. 을 실제 서명 서버 및 포트로 바꿉니다server:port. 이 명령은 OpenPGP를 사용하여 매니페스트에 서명하고 서명 파일(manifest.asc)을 생성합니다

  5. 서명된 매니페스트 확인:
    1. 서명된 매니페스트 파일(manifest 및 manifest.asc)을 Junos 디바이스에 복사합니다.
    2. Junos 디바이스에서 Unix 셸 또는 명령 프롬프트를 엽니다.
    3. 다음 명령을 실행하여 서명된 매니페스트를 확인합니다.

      /path/to/directory를 매니페스트 및 관련 파일이 있는 실제 디렉터리 경로로 바꾸고, /path/to/manifest를 매니페스트 파일의 경로로 바꿉니다. Veriexec은 공개 키와 해당 서명을 사용하여 매니페스트(패키지)를 자동으로 확인합니다.

    다음 단계를 따르면 veriexec-openpgp 패키지를 활용하여 Junos에서 사용하는 서명 키와 트러스트 앵커를 제어하고 고객 패키지에 대한 추가 보안 및 사용자 지정 옵션을 제공할 수 있습니다.