인증서 업데이트
Junos OS 디바이스에서 신뢰할 수 있는 기본 CA 인증서의 동적 업데이트를 이해하고 구성하려면 이 주제를 읽어보십시오.
신뢰할 수 있는 CA 인증서의 동적 업데이트
Junos OS 디바이스는 신뢰할 수 있는 기본 CA 인증서 목록을 제공합니다. Junos OS 디바이스는 이러한 인증서를 동적으로 관리합니다. 신뢰할 수 있는 CA 인증서의 사용자 지정 목록을 만들고 CA 인증서를 디바이스에 로드할 수도 있습니다. 그러나 사용자 정의 신뢰할 수 있는 CA 인증서를 수동으로 관리해야 합니다. 이 섹션에서는 신뢰할 수 있는 기본 CA 인증서의 동적 관리에 중점을 둡니다.
신뢰할 수 있는 기본 CA 번들의 동적 업데이트를 통해
-
손상 시 CA 제거는 자동으로 처리됩니다.
-
새로운 Junos OS 릴리스를 기다릴 필요 없이 신뢰할 수 있는 기본 CA 번들에 새로운 CA를 즉시 추가할 수 있습니다.
신뢰할 수 있는 CA 번들의 동적 업데이트와 관련된 프로세스
신뢰할 수 있는 기본 CA 번들의 동적 업데이트에는 다음 프로세스가 포함됩니다.
-
주니퍼 CDN 서버(http://signatures.juniper.net/cacert)는 신뢰할 수 있는 기본 CA 인증서를 호스팅합니다.
-
서버는 EE 인증서와 함께 대상 파일의 서명된 사본 및 매니페스트 파일을 호스팅하여 이러한 파일의 서명된 사본을 확인합니다. 대상 파일에는 신뢰할 수 있는 기본 CA 인증서 목록(
default-trusted-ca-certs)이 포함되어 있습니다. 매니페스트 파일에는 신뢰할 수 있는 기본 CA 번들의 개정 번호와 날짜가 포함되어 있습니다. -
Junos OS 디바이스는 기본적으로 신뢰할 수 있는 CA 번들을 자동으로 다운로드합니다. 기본 또는 기본이 아닌 라우팅 인스턴스를 사용하여 인터넷에 연결하여 신뢰할 수 있는 기본 CA 인증서를 다운로드하고 업데이트할 수 있습니다.
-
PKID를 사용하는 PKI 프로세스는 CDN 서버에서 디바이스로 신뢰할 수 있는 기본 CA 번들(
default-trusted-ca-certs)을 안전하게 다운로드합니다.신뢰할 수 있는 CA 인증서의 동적 업데이트는 이전에 로드된
ca-profile-group수동으로 추가된 CA 인증서 및 다른 신뢰할 수 있는 그룹의 일부인 인증서를 변경하지 않습니다. -
명령을 실행
ca-profile-groupload하면 PKI 프로세스가 백그라운드에서 신뢰할 수 있는 기본 CA 인증서를 로드하여 CLI의 차단을 해제하므로 다른 작업을 진행할 수 있습니다. -
와
default-trusted-ca-certs연관되어 있지 않은ca-profile-group경우에도 각 주기적 폴링과 함께 PKI는 신뢰할 수 있는 CA 번들의 최신 사본을 디바이스에 다운로드합니다. -
신뢰할 수 있는 기본 CA 목록에서 CA 인증서가 삭제되면 PKI 프로세스는 CA 인증서에 대한 모든 참조가 제거되도록 합니다. 에
trusted-ca-group참조가 있는 경우, PKI 프로세스는 실제 CA 인증서가 이미 삭제된 이름에 대한ca-profile참조만 보유합니다. 신뢰할 수 있는 CA 인증서의 동적 업데이트 구성을 참조하십시오. -
기본적으로 PKI 프로세스는 24시간마다 CDN 서버에서 신뢰할 수 있는 최신 CA 번들을 폴링하고 번들의 신뢰할 수 있는 CA에 대한 변경 사항에 대한 목록을 업데이트합니다. 변경 사항이 있으면 PKI 프로세스가 백그라운드에서 로드합니다. 선택적으로 폴링 기간을 변경하고 이 자동 업데이트 프로세스를 비활성화할 수도 있습니다. 신뢰할 수 있는 CA 인증서의 동적 업데이트 구성을 참조하십시오.
신뢰할 수 있는 CA 인증서의 동적 업데이트 구성
사전 요구 사항
신뢰할 수 있는 기본 CA 인증서의 동적 업데이트를 구성하기 전에 다음 필수 구성 요소를 충족하는지 확인하십시오.
-
Junos OS 디바이스의 기본 구성이 완료되었습니다.
-
Junos OS 디바이스를 주니퍼 CDN 서버에 연결할 수 있습니다. 기본이 아닌 라우팅 인스턴스를 사용하여 인터넷에 연결하여 신뢰할 수 있는 기본 CA 인증서를 다운로드할 수도 있습니다. 신뢰할 수 있는 CA 인증서의 동적 업데이트를 구성하기 전에 기본이 아닌 라우팅 인스턴스를 구성해야 합니다. 주니퍼 CDN 서버에 대한 자세한 정보는 주니퍼 영업팀에 문의하십시오.
- 사용자 지정 CDN 서버의 경우 최신 CA 인증서와 URL이 있는지 확인합니다. 사용자 지정 CDN 서버의 구성은 이 항목의 범위를 벗어납니다.
요구 사항에 따라 다음 작업으로 이동하여 신뢰할 수 있는 기본 CA 번들의 동적 업데이트를 구성합니다.
- CDN 서버에 대한 연결 확인
- 신뢰할 수 있는 기본 CA 인증서의 자동 다운로드 활성화
- 신뢰할 수 있는 기본 CA 인증서 자동 다운로드
- 신뢰할 수 있는 기본 CA 인증서 수동 다운로드
- 신뢰할 수 있는 기본 CA 인증서의 다운로드 상태 확인
- 신뢰할 수 있는 CA 인증서의 자동 다운로드 비활성화
CDN 서버에 대한 연결 확인
개요
다음 명령을 사용하여 CDN 서버에 대한 연결을 확인하고 신뢰할 수 있는 기본 CA 인증서를 다운로드합니다. 이 명령은 매니페스트 파일을 다운로드하고 CDN 서버에서 사용할 수 있는 trusted-ca-bundle 버전을 표시합니다.
명령에 대한 자세한 내용은 request security pki ca-certificate ca-profile-group default-trusted-ca-certs를 참조하십시오.
구성
-
Junos OS 디바이스의 운영 모드에서 CDN 서버에 대한 연결을 확인하려면 다음 명령을 실행합니다.
user@host> request security pki ca-certificate ca-profile-group default-trusted-ca-certs download check-server
신뢰할 수 있는 기본 CA 인증서의 자동 다운로드 활성화
개요
주니퍼 네트웍스는 주니퍼 CDN 서버에서 신뢰할 수 있는 기본 CA 인증서를 정기적으로 업데이트하며, 사용자는 Junos OS 디바이스에서 인증서를 다운로드할 수 있습니다. 신뢰할 수 있는 기본 CA 인증서의 자동 다운로드는 Junos OS 디바이스에서 기본적으로 활성화되어 있습니다. 구성을 사용자 정의하고 지정된 간격으로 신뢰할 수 있는 최신 기본 CA 인증서를 로드할 수 있습니다. 값을 지정하지 않는 경우 기본 주기는 24시간입니다. 기본 주니퍼 CDN 서버(http://signatures.juniper.net/cacert)를 사용하는 경우 별도의 구성이 필요하지 않습니다.
이 예는 기본 구성 설정을 사용하여 Junos OS 디바이스에서 신뢰할 수 있는 기본 CA 인증서의 자동 다운로드를 활성화하는 방법을 보여줍니다. 구성 문에 대한 자세한 내용은 default-trusted-ca-certs(보안)를 참조하십시오. 다운로드한 기본 신뢰할 수 있는 CA 인증서는 명령문 request security pki ca-certificate ca-profile-group load 명령을 사용하여 백그라운드에서 자동으로 로드됩니다. 인증서를 로드하기 위해 이 명령을 명시적으로 실행할 필요는 없습니다.
구성
신뢰할 수 있는 기본 CA 인증서의 자동 다운로드가 기본적으로 활성화되어 있으므로 별도의 구성이 필요하지 않습니다.
신뢰할 수 있는 기본 CA 인증서 자동 다운로드
개요
이 예에서는 사용자 지정 CA 인증서의 자동 다운로드를 활성화하는 동안 다음과 같은 사용자 지정 구성을 제공합니다.
-
48시간마다 신뢰할 수 있는 기본 CA 인증서를 다운로드하고 설치하도록 Junos OS 디바이스를 구성합니다.
-
URL signatures.example.net 을 통해 연결할 수 있는 사용자 지정 CDN 서버를 지정합니다.
-
CDN 서버에 연결할 기본이 아닌 라우팅 인스턴스를 지정합니다.
구성 문에 대한 자세한 내용은 default-trusted-ca-certs(보안)를 참조하십시오.
구성
구성
-
다운로드 및 로드 작업의 주기를 48시간으로 설정합니다. CLI는 인증서를 Junos OS 디바이스에 자동으로 로드합니다.
[edit] user@host# set security pki default-trusted-ca-certs automatic-download interval hours 48
-
사용자 지정 URL을 지정합니다.
[edit] user@host# set security pki default-trusted-ca-certs automatic-download url signatures.example.net
-
라우팅 인스턴스를 지정합니다.
[edit] user@host# set security pki default-trusted-ca-certs automatic-download routing-instance RI1
-
구성을 커밋합니다.
[edit] user@host# commit
신뢰할 수 있는 기본 CA 인증서 수동 다운로드
개요
다음 명령을 사용하여 신뢰할 수 있는 기본 CA 인증서를 CDN 서버에서 Junos OS 디바이스로 수동으로 다운로드합니다. 이 명령은 정기적으로 신뢰할 수 있는 기본 CA 인증서의 자동 다운로드에 추가됩니다.
명령에 대한 자세한 내용은 request security pki ca-certificate ca-profile-group default-trusted-ca-certs를 참조하십시오.
구성
구성
-
Junos OS 디바이스의 운영 모드에서 신뢰할 수 있는 기본 CA 인증서를 명시적으로 다운로드하려면 다음 명령을 실행합니다.
user@host> request security pki ca-certificate ca-profile-group default-trusted-ca-certs download
신뢰할 수 있는 기본 CA 인증서의 다운로드 상태 확인
개요
다음 명령을 사용하여 CDN 서버에서 Junos OS 디바이스의 신뢰할 수 있는 기본 CA 인증서의 다운로드 상태를 확인합니다. 이러한 명령은 버전 번호와 버전 날짜를 표시합니다. 이를 사용하여 이전에 다운로드한 버전과 날짜를 확인할 수 있습니다.
명령에 대한 자세한 내용은 request security pki ca-certificate ca-profile-group default-trusted-ca-certs를 참조하십시오.
구성
구성
-
Junos OS 디바이스에서 사용 가능한 버전 번호와 버전 날짜를 확인하려면 다음 명령을 실행합니다.
user@host> request security pki ca-certificate ca-profile-group default-trusted-ca-certs download status
다음 명령을 사용하여 신뢰할 수 있는 기본 CA 인증서를 로드합니다.
user@host> request security pki ca-certificate ca-profile-group load ca-group-name default-trusted-ca-certs filename default
신뢰할 수 있는 CA 인증서의 자동 다운로드 비활성화
개요
자동 다운로드는 기본적으로 활성화되어 있습니다. 이 예에서는 신뢰할 수 있는 기본 CA 인증서의 자동 다운로드를 비활성화하는 방법을 보여 주지만 권장하지는 않습니다.
구성 문에 대한 자세한 내용은 default-trusted-ca-certs(보안)를 참조하십시오.
구성
구성
-
신뢰할 수 있는 기본 CA 인증서의 자동 다운로드를 비활성화하려면 다음 명령을 사용합니다.
[edit] user@host# set security pki default-trusted-ca-certs automatic-download deactivate
-
구성을 커밋합니다.
[edit] user@host# commit