인증서 등록
다양한 PKI 인증서를 등록하고 관리하는 방법에 대해 알아봅니다.
CA는 인증서 유효성 검사를 통해 두 엔드포인트 간에 보안 연결을 설정하는 데 도움이 되는 디지털 인증서를 발급합니다. 다음 항목에서는 SCEP를 사용하여 온라인 또는 로컬로 CA 인증서를 구성하는 방법에 대해 설명합니다.
온라인 디지털 인증서 등록: 구성 개요
CMPv2 또는 SCEP를 사용하여 디지털 인증서를 등록할 수 있습니다. 온라인으로 인증서를 등록하려면 다음을 수행합니다.
디바이스에서 키 쌍을 생성합니다. 자체 서명된 디지털 인증서를 참조하십시오.
CA 특정 정보가 포함된 CA 프로파일을 생성합니다. 예: CA 프로필 구성을 참조하십시오.
SCEP의 경우에만 CA 인증서를 등록합니다. SCEP를 사용하여 온라인으로 CA 인증서 등록을 참조하십시오.
이전에 로드한 CA 인증서의 로컬 인증서를 등록합니다. 예: SCEP를 사용하여 온라인으로 로컬 인증서 등록을 참조하십시오.
자동 재등록을 구성합니다. 예: SCEP를 사용하여 로컬 인증서 자동 갱신을 참조하십시오.
인증 등록
- 온라인 CA 인증서 등록
- 로컬 인증서 요청
- CMPv2 및 SCEP 인증서 등록
- 예: 로컬 인증서에 대한 CSR 수동 생성
- 예: CA 및 로컬 인증서 수동 로드
- PKI 및 SSL 포워드 프록시를 구성하여 사용자 인증
- 적응형 서비스 인터페이스에 대한 디지털 인증서 구성
온라인 CA 인증서 등록
SCEP를 사용하면 온라인으로 CA 인증서를 획득하고 지정된 인증서 ID에 대한 온라인 등록을 시작하도록 주니퍼 네트웍스 디바이스를 구성할 수 있습니다. CA 공개 키는 원격 피어의 인증서를 확인합니다.
로컬 인증서 요청
로컬 인증서 요청을 생성하면 디바이스는 동일한 인증서 ID를 사용하여 이전에 생성한 키 쌍에서 PKCS #10 형식의 EE 인증서를 생성합니다.
주체 이름은 일반 이름(CN), 조직 구성 단위(OU), 조직 이름(O), 지역(L), 상태(ST), 국가(C) 및 도메인 구성 요소(DC)의 형태로 로컬 인증서 요청과 연결됩니다. 또한 SAN은 다음 형식으로 연결됩니다.
-
IP 주소
-
이메일 주소
-
FQDN
도메인 구성 요소(DC), 일반 이름(CN), 일련 번호(SN), 조직 단위 이름(OU), 조직 이름(O), 지역(L), 주(ST) 및 국가(C)를 포함하여 따옴표로 DN 형식으로 주체 이름을 지정합니다.
일부 CA는 이메일 주소를 인증서의 도메인 이름으로 지원하지 않습니다. 로컬 인증서 요청에 이메일 주소를 포함하지 않으면 디바이스를 동적 피어로 구성할 때 이메일 주소를 로컬 IKE ID로 사용할 수 없습니다. 대신 FQDN(로컬 인증서에 있는 경우)을 사용하거나 로컬 ID 필드를 비워 둘 수 있습니다. 동적 피어에 대한 로컬 ID를 지정하지 않으면 피어 ID 필드에 IPsec 터널의 다른 쪽 끝에 있는 디바이스에서 해당 피어의 를 hostname.domain-name 입력합니다.
CMPv2 및 SCEP 인증서 등록
배포 환경에 따라 온라인 인증서 등록에 CMPv2 또는 SCEP를 사용할 수 있습니다. 이 주제에서는 두 프로토콜 간의 몇 가지 기본 차이점에 대해 설명합니다.
표 1 은 CMPv2와 SCEP 인증서 등록 프로토콜 간의 차이점을 설명합니다.
속성 |
CMPv2 |
SCEP |
|---|---|---|
지원되는 인증서 유형: |
DSA, ECDSA, and RSA |
RSA 전용 |
지원되는 표준 |
RFC 4210 및 4211 |
IETF 초안 |
인증서 등록, 재등록 요청 및 응답은 CMPv2와 SCEP 간에 다릅니다. CMPv2를 사용하면 CA 인증서를 등록하는 별도의 명령이 없습니다. SCEP를 사용하면 명령을 사용하여 request security pki ca-certificate enroll CA 인증서를 등록하고 CA 프로필을 지정합니다. CA 프로필은 CMPv2 또는 SCEP로 구성해야 합니다.
예: 로컬 인증서에 대한 CSR 수동 생성
이 예는 CSR을 수동으로 생성하는 방법을 보여줍니다.
요구 사항
공개 키와 개인 키를 생성합니다. 자체 서명된 디지털 인증서를 참조하십시오.
개요
이 예에서는 이전에 생성한 퍼블릭-프라이빗 키 쌍(ca-ipsec)의 인증서 ID를 사용하여 인증서 요청을 생성합니다. 그런 다음 도메인 이름(example.net) 및 관련 일반 이름(abc)을 지정합니다. 인증서 요청이 PEM 형식으로 표시됩니다.
생성된 인증서 요청을 복사하여 CA 웹 사이트의 해당 필드에 붙여넣어 로컬 인증서를 얻습니다(인증서 요청을 붙여넣을 위치를 판별하려면 CA 서버 문서 참조). PKCS #10 콘텐츠가 표시되면 PKCS #10 파일의 MD5 해시 및 SHA-1 해시도 표시됩니다.
구성
절차
단계별 절차
로컬 인증서를 수동으로 생성하려면 다음을 수행합니다.
-
인증서 ID, 도메인 이름 및 일반 이름을 지정합니다.
user@host> request security pki generate-certificate-request certificate-id ca-ipsec domain-name example.net subject CN=abc
검증
CSR을 보려면 명령을 입력합니다.show security pki certificate-request detail
Certificate identifier: ca-ipsec Certificate version: 1 Issued to: CN = abc Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:da:ea:cd:3a:49:1f:b7:33:3c:c5:50:fb:57 de:17:34:1c:51:9b:7b:1c:e9:1c:74:86:69:a4:36:77:13:a7:10:0e 52:f4:2b:52:39:07:15:3f:39:f5:49:d6:86:70:4b:a6:2d:73:b6:68 39:d3:6b:f3:11:67:ee:b4:40:5b:f4:de:a9:a4:0e:11:14:3f:96:84 03:3c:73:c7:75:f5:c4:c2:3f:5b:94:e6:24:aa:e8:2c:54:e6:b5:42 c7:72:1b:25:ca:f3:b9:fa:7f:41:82:6e:76:8b:e6:d7:d2:93:9b:38 fe:fd:71:01:2c:9b:5e:98:3f:0c:ed:a9:2b:a7:fb:02:03:01:00:01 Fingerprint: 0f:e6:2e:fc:6d:52:5d:47:6e:10:1c:ad:a0:8a:4c:b7:cc:97:c6:01 (sha1) f8:e6:88:53:52:c2:09:43:b7:43:9c:7a:a2:70:98:56 (md5)
예: CA 및 로컬 인증서 수동 로드
이 예에서는 CA 및 로컬 인증서를 수동으로 로드하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
-
공개-개인 키 쌍을 생성합니다. 자체 서명된 디지털 인증서를 참조하십시오.
-
CA 프로필을 생성합니다. 인증 기관 참조
CA 프로필은 로컬 인증서가 아닌 CA 인증서에만 필요합니다.
-
인증서 요청을 생성합니다. 예: 로컬 인증서에 대한 CSR을 수동으로 생성하고 CA 서버로 전송을 참조하십시오.
개요
이 예에서는 local.cert 및 ca.cert 인증서를 다운로드하고 인증서를 디바이스의 /var/tmp/디렉토리에 저장합니다.
CA에서 인증서를 다운로드한 후 인증서를 디바이스로 전송합니다(예: FTP 사용).
그런 다음 Junos OS를 실행하는 디바이스에 다음 인증서 파일을 로드할 수 있습니다.
로컬 디바이스를 식별하는 로컬 또는 EE 인증서입니다. 이 인증서는 공개 키입니다.
CA의 공개 키가 포함된 CA 인증서입니다.
CA에서 해지한 모든 인증서를 나열하는 CRL입니다.
디바이스에 여러 EE 인증서를 로드할 수 있습니다.
구성
절차
단계별 절차
인증서 파일을 디바이스에 로드하려면:
로컬 인증서를 로드합니다.
[edit] user@host> request security pki local-certificate load certificate-id local.cert filename /var/tmp/local.cert
CA 인증서를 로드합니다.
[edit] user@host> request security pki ca-certificate load ca-profile ca-profile-ipsec filename /var/tmp/ca.cert
CA 인증서의 지문을 검사합니다. 이 CA 인증서가 정확하면 예를 선택하여 수락합니다.
검증
인증서가 제대로 로드되었는지 확인하려면 운영 모드에서 and show security pki local-certificate show security pki ca-certificate 명령을 입력합니다.
Fingerprint: e8:bf:81:6a:cd:26:ad:41:b3:84:55:d9:10:c4:a3:cc:c5:70:f0:7f (sha1) 19:b0:f8:36:e1:80:2c:30:a7:31:79:69:99:b7:56:9c (md5) Do you want to load this CA certificate ? [yes,no] (no) yes
PKI 및 SSL 포워드 프록시를 구성하여 사용자 인증
도메인이 아닌 사용자는 트래픽의 무결성, 기밀성 및 신뢰성을 검증하기 위해 PKI를 구성할 수 있습니다. PKI에는 CA에서 발급한 디지털 인증서, 인증서 유효 기간 및 만료 날짜, 인증서 소유자 및 발급자에 대한 세부 정보, 보안 정책이 포함됩니다.
도메인이 아닌 사용자 또는 도메인이 아닌 시스템의 도메인 사용자에 대해 관리자는 사용자가 방화벽 인증을 수행하도록 강제하는 캡티브 캡티브 포털을 지정합니다(방화벽이 트래픽 유형에 대해 캡티브 캡티브 포털을 지원하는 경우). 사용자가 이름과 비밀번호를 입력하고 방화벽 인증에 통과하면 디바이스는 방화벽 인증 사용자 또는 그룹 정보를 받고 사용자 방화벽 정책을 적용하여 그에 따라 사용자를 제어할 수 있습니다. 캡티브 포털 외에도 이벤트 로그에서 IP 주소 또는 사용자 정보를 사용할 수 없는 경우 사용자는 Windows PC에 다시 로그인하여 이벤트 로그 항목을 생성할 수 있습니다. 그런 다음 시스템은 그에 따라 사용자의 인증 항목을 생성합니다.
디바이스가 HTTP를 통해 사용자를 인증할 수 있도록 하려면 사용자가 SSL 포워드 프록시를 구성하고 사용하도록 설정해야 합니다. 로컬 인증서를 생성하고, SSL 종료 프로필을 추가하고, SSL 프록시 프로필을 추가하고, 보안 정책에서 SSL 프록시 프로필을 참조해야 합니다. SSL 포워드 프록시가 사용 가능하지 않은 경우, 방화벽은 HTTPS를 사용하는 사용자를 인증할 수 없지만 HTTP, FPT 및 Telnet을 사용하는 사용자의 경우 예상대로 인증이 수행될 수 있습니다.
PKI를 생성하고 SSL 포워드 프록시를 사용하도록 설정하려면 다음을 수행합니다.
로컬 디지털 인증서에 대한 PKI 공개-개인 키 쌍을 생성합니다.
user@host# request security pki generate-key-pair certificate-id ssl-inspect-ca size 2048 type rsa
지정된 DN에 대한 자체 서명된 인증서를 수동으로 생성합니다.
user@host# request security pki local-certificate generate-self-signed certificate-id ssl-inspect-ca domain-name www.mycompany.net subject "CN=www.mycompany.com,OU=IT,O=MY COMPANY,L=Sunnyvale,ST=CA,C=US" email security-admin@mycompany.net
SSL 종료 서비스에 사용할 액세스 프로필을 정의합니다.
user@host# set services ssl termination profile for_userfw server-certificate ssl-inspect-ca
SSL 프록시 프로필에서 로드된 인증서를 root-ca로 구성합니다.
user@host# set services ssl proxy profile ssl-inspect-profile root-ca ssl-inspect-ca
전체 CA 목록을 가져오지 않고 세션을 삭제하지 않으려면 옵션을 지정합니다
ignore-server-auth-failure.user@host# set services ssl proxy profile ssl-inspect-profile actions ignore-server-auth-failure
보안 정책에 SSL 종료 프로파일을 추가합니다.
user@host# set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication user-firewall ssl-termination-profile for_userfw
구성을 커밋합니다.
user@hot# commit
기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오.
플랫폼과 관련된 참고 사항은 플랫폼별 SSL 종료 서비스 동작 섹션을 검토합니다.
적응형 서비스 인터페이스에 대한 디지털 인증서 구성
디지털 인증서 구현은 PKI를 사용하며, 이를 위해서는 공개 키와 개인 키로 구성된 키 쌍을 생성해야 합니다. 키는 난수 생성기로 생성되며 데이터를 암호화하고 해독하는 데 사용됩니다. 디지털 인증서를 사용하지 않는 네트워크에서 IPsec 지원 디바이스는 개인 키로 데이터를 암호화하고 IPsec 피어는 공개 키로 데이터를 복호화합니다.
디지털 인증서를 사용하면 키 공유 프로세스에 추가적인 수준의 복잡성이 필요합니다. 먼저 사용자와 IPsec 피어는 CA 가 CA의 공개 키가 포함된 CA 인증서를 보내도록 요청합니다. 그런 다음, 공개 키와 몇 가지 추가 정보가 포함된 로컬 디지털 인증서를 할당하도록 CA에 요청합니다. CA는 요청을 처리할 때 CA의 개인 키를 사용하여 로컬 인증서에 서명합니다. 그런 다음 라우터에 CA 인증서와 로컬 인증서를 설치하고 원격 디바이스에 CA를 로드한 후 피어와 IPsec 터널을 설정할 수 있습니다.
디지털 인증서의 경우, Junos OS는 적응형 서비스(AS) 및 멀티서비스 PIC에 대해 VeriSign, Entrust, Cisco Systems 및 Microsoft Windows CA를 지원합니다.
다음 태스크를 통해 디지털 인증서를 구현할 수 있습니다.
인증 기관 속성 구성
CA는 디지털 인증서를 생성, 등록, 유효성 검사 및 해지하는 신뢰할 수 있는 타사 조직입니다.
AS 및 멀티서비스 PIC에 대한 CA 및 해당 속성을 구성하기 위해 계층 수준에서 [edit security pki] 다음 문을 포함합니다.
[edit security pki] ca-profile ca-profile-name { ca-identity ca-identity; enrollment { url url-name; retry number-of-attempts; retry-interval seconds; } }
CA 속성을 구성하는 작업은 다음과 같습니다.
CA 프로필 이름 지정
CA 프로필에는 CA 또는 RA의 이름과 URL은 물론 일부 재시도 타이머 설정도 포함되어 있습니다. Entrust, VeriSign, Cisco Systems 및 Microsoft에서 발급한 CA 인증서가 호환됩니다.
CA 프로필 이름을 지정하려면 보안 수준에서 [edit security pki] 다음을 ca-profile statement 포함합니다.
[edit security pki] ca-profile ca-profile-name;
또한 인증서 요청에 사용되는 CA ID의 이름을 지정해야 합니다. 이 이름은 일반적으로 도메인 이름입니다. CA ID의 이름을 지정하려면 다음 수준에서 문을 포함 ca-identity 합니다.[edit security pki ca-profile ca-profile-name]
[edit security pki ca-profile ca-profile-name]
ca-identity ca-identity;
등록 URL 지정
라우터가 SCEP 기반 인증서 등록 요청을 보낼 CA 위치를 지정합니다. CA URL의 이름을 지정하여 CA 위치를 지정하려면 계층 수준에서 [edit security pki enrollment] 문을 포함 url 합니다.
[edit security pki ca-profile ca-profile-name enrollment]
url url-name;
url-name 는 CA 위치입니다. 형식 http://CA_name은 입니다. 여기서 CA_name 는 CA 호스트 DNS 이름 또는 IP 주소입니다.
등록 속성 지정
라우터에 인증서 요청을 다시 전송할 횟수와 등록 시도 사이에 라우터가 대기해야 하는 시간(초 단위)을 지정할 수 있습니다.
기본적으로 등록 재시도 횟수는 0으로 설정되며 재시도 횟수는 무제한입니다. 라우터에 인증서 요청을 다시 전송할 횟수를 지정하려면 계층 수준에서 문을 포함 retry number-of-attempts 합니다.[edit security pki ca-profile ca-profile-name enrollment]
[edit security pki ca-profile ca-profile-name enrollment]
retry number-of-attempts;
의 number-of-attempts 범위는 0에서 100까지입니다.
등록 시도 사이에 라우터가 대기해야 하는 시간을 초 단위로 지정하려면 계층 수준에서 [edit security pki ca-profile ca-profile-name enrollment] 다음 문을 포함 retry-interval seconds 합니다.
[edit security pki ca-profile ca-profile-name enrollment]
retry-interval seconds;
의 seconds 범위는 0에서 3600까지입니다.
인증서 해지 목록 구성
CRL을 구성하는 작업은 다음과 같습니다.
LDAP URL 지정
CA가 현재 CRL을 저장하는 LDAP 서버의 URL을 지정할 수 있습니다. CA가 디지털 인증서에 CDP(인증서 배포 지점)를 포함하는 경우 LDAP 서버의 URL을 지정할 필요가 없습니다. CDP는 인증서에 대한 CRL을 검색하는 방법에 대한 정보가 포함된 인증서 내의 필드입니다. 라우터는 이 정보를 사용하여 CRL을 자동으로 다운로드합니다.
인증서에 지정된 CDP와 다른 CDP를 사용하려면 LDAP URL을 구성합니다. 구성하는 모든 LDAP URL은 인증서에 포함된 CDP보다 우선합니다.
각 CA 프로필에 대해 최대 3개의 URL을 구성할 수 있습니다.
LDAP 서버가 CRL에 액세스하기 위해 암호가 필요한 경우 문을 포함해야 합니다.password
LDAP 서버에서 CRL을 검색하도록 라우터를 구성하려면 문을 포함 url 하고 계층 수준에서 URL 이름을 지정합니다.[edit security pki ca-profile ca-profile-name revocation-check crl]
[edit security pki ca-profile ca-profile-name revocation-check crl]
url {
url-name;
}
url-name 는 CA LDAP 서버 이름입니다. 형식은 ldap://server-name 이며, 여기서 server-name CA 호스트 DNS 이름 또는 IP 주소가 있습니다.
CRL에 액세스하기 위해 암호를 사용하도록 지정하려면 계층 수준에서 문을 포함 password 합니다.[edit security pki ca-profile ca-profile-name revocation-check crl url]
[edit security pki ca-profile ca-profile-name revocation-check crl url] password password;
password 는 LDAP 서버가 액세스하는 데 필요한 비밀 암호입니다.
CRL 업데이트 간격 구성
기본적으로 CRL 업데이트 간의 시간 간격은 24시간입니다. CRL 업데이트 간의 시간을 구성하려면 계층 수준에서 [edit security pki ca-profile ca-profile-name revocation-check crl] 문을 포함 refresh-interval 합니다.
[edit security pki ca-profile ca-profile-name revocation-check crl]
refresh-interval number-of-hours;
시간 수의 범위는 0에서 8784까지입니다.
CRL 다운로드가 실패하는 경우 인증서 확인 재정의
기본적으로 라우터가 LDAP URL에 액세스할 수 없거나 유효한 CRL을 검색할 수 없는 경우 인증서 확인이 실패하고 IPsec 터널이 설정되지 않습니다. 이 동작을 무시하고 CRL이 다운로드되지 않을 때 IPsec 피어의 인증을 허용하려면 계층 수준에서 [edit security pki ca-profile ca-profile-name revocation-check crl] 문을 포함 disable on-download-failure 합니다.
[edit security pki ca-profile ca-profile-name revocation-check crl] disable on-download-failure;
디지털 인증서 관리
CA 프로필을 구성한 후 신뢰할 수 있는 CA에서 CA 인증서를 요청할 수 있습니다. 다음으로 공개/비공개 키 쌍을 생성해야 합니다. 키 쌍을 사용할 수 있는 경우 온라인 또는 수동으로 로컬 인증서를 생성할 수 있습니다.
디지털 인증서를 관리하는 태스크는 다음과 같습니다.
AS 및 멀티서비스 PIC에 대한 CA 디지털 인증서 요청
CA 프로필을 구성하는 방법에 대한 자세한 내용은 인증 기관 속성 구성을 참조하십시오.
이 예에서는 인증서가 온라인으로 등록되고 라우터에 자동으로 설치됩니다.
user@host> request security pki ca-certificate enroll ca-profile entrust
Received following certificates: Certificate: C=us, O=juniper Fingerprint:00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10 Certificate: C=us, O=juniper, CN=First Officer Fingerprint:bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17 Certificate: C=us, O=juniper, CN=First Officer Fingerprint:46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f Do you want to load the above CA certificate ? [yes,no] (no) yes
CA에서 직접 CA 인증서를 얻는 경우(예: 전자 메일 첨부 파일 또는 웹 사이트 다운로드로) 명령을 사용하여 설치할 수 있습니다. request security pki ca-certificate load 자세한 정보는 CLI 탐색기를 참조하십시오.
공개/개인 키 쌍 생성
AS PIC 또는 MS-PIC에 대한 인증서를 얻은 후에는 로컬 인증서를 생성하기 전에 공개-개인 키를 생성해야 합니다. 공개 키는 로컬 디지털 인증서에 포함되며 개인 키는 피어에서 받은 데이터를 복호화하는 데 사용됩니다. 퍼블릭-프라이빗 키 쌍을 생성하려면 다음 명령을 실행합니다.request security pki generate-key-pair certificate-id certificate-id-name
다음 예는 AS PIC 또는 MS-PIC에 대한 공개-개인 키를 생성하는 방법을 보여줍니다.
user@host>request security pki generate-key-pair certificate-id local-entrust2 Generated key pair local-entrust2, key size 1024 bits
로컬 디지털 인증서 생성 및 등록
로컬 디지털 인증서를 온라인으로 또는 수동으로 생성하고 등록할 수 있습니다. AS PIC 또는 MS-PIC에 SCEP를 사용하여 온라인으로 로컬 인증서를 생성하고 등록하려면 명령을 실행합니다request security pki local-certificate enroll. PKCS-10 형식으로 로컬 인증서 요청을 수동으로 생성하려면 명령을 실행합니다.request security pki generate-certificate-request
로컬 인증서 요청을 수동으로 생성하는 경우 인증서도 수동으로 로드해야 합니다. 라우터에 인증서를 수동으로 설치하려면 명령을 실행합니다.request security pki local-certificate load
다음 예제는 로컬 인증서 요청을 수동으로 생성하고 처리를 위해 CA로 보내는 방법을 보여줍니다.
user@host> request security pki generate-certificate-request certificate-id local-entrust2 domain-name router2.example.com filename entrust-req2 subject cn=router2.example.com
Generated certificate request -----BEGIN CERTIFICATE REQUEST----- MIIBoTCCAQoCAQAwGjEYMBYGA1UEAxMPdHAxLmp1bmlwZXIubmV0MIGfMA0GCSqG SIb3DQEBAQUAA4GNADCBiQKBgQCiUFklQws1Ud+AqN5DDxRs2kVyKEhh9qoVFnz+ Hz4c9vsy3B8ElwTJlkmIt2cB3yifB6zePd+6WYpf57Crwre7YqPkiXM31F6z3YjX H+1BPNbCxNWYvyrnSyVYDbFj8o0Xyqog8ACDfVL2JBWrPNBYy7imq/K9soDBbAs6 5hZqqwIDAQABoEcwRQYJKoZIhvcNAQkOMTgwNjAOBgNVHQ8BAf8EBAMCB4AwJAYD VR0RAQH/BBowGIIWdHAxLmVuZ2xhYi5qdW5pcGVyLm5ldDANBgkqhkiG9w0BAQQF AAOBgQBc2rq1v5SOQXH7LCb/FdqAL8ZM6GoaN5d6cGwq4bB6a7UQFgtoH406gQ3G 3iH0Zfz4xMIBpJYuGd1dkqgvcDoH3AgTsLkfn7Wi3x5H2qeQVs9bvL4P5nvEZLND EIMUHwteolZCiZ70fO9Fer9cXWHSQs1UtXtgPqQJy2xIeImLgw== -----END CERTIFICATE REQUEST----- Fingerprint: 0d:90:b8:d2:56:74:fc:84:59:62:b9:78:71:9c:e4:9c:54:ba:16:97 (sha1) 1b:08:d4:f7:90:f1:c4:39:08:c9:de:76:00:86:62:b8 (md5)
신뢰할 수 있는 CA가 로컬 인증서에 디지털 서명을 하고 반환합니다. 인증서 파일을 라우터에 복사하고 인증서를 로드합니다.
user@host> request security pki local-certificate load filename /tmp/router2-cert certificate-id local-entrust2 Local certificate local-entrust2 loaded successfully
CA에서 보낸 파일 이름이 인증서 식별자의 이름과 일치하지 않을 수 있습니다. 그러나 이름은 certificate-id 항상 라우터에 대해 생성한 키 쌍의 이름과 일치해야 합니다.
로컬 및 CA 인증서를 로드한 후 IPsec 구성에서 인증서를 참조할 수 있습니다. AS 및 멀티서비스 PIC에서 기본값을 사용하면 IPsec 제안 또는 IPsec 정책을 구성할 필요가 없습니다. 그러나 디지털 인증서의 사용을 지정하는 IKE 제안을 구성하고, IKE(Internet Key Exchange) 제안을 참조하고, IKE 정책에서 인증서를 찾고, 서비스 집합에 CA 프로필을 적용해야 합니다.
라우터 인증서의 자동 재등록 구성
이 문을 사용하여 auto-re-enrollment 기존 만료일 전에 지정된 기존 라우터 인증서의 자동 재등록을 구성합니다. 이 기능은 라우터 인증서를 자동으로 재등록합니다. 재등록 프로세스에서는 CA가 새 만료 날짜가 있는 새 라우터 인증서를 발급하도록 요청합니다. 자동 재등록 날짜는 다음 매개 변수에 의해 결정됩니다.
re-enroll-trigger-time—라우터 인증서 시작 날짜/시간(인증서가 생성된 시간)과 유효 기간 간의 차이 비율.re-enroll-trigger-time만료 전에 자동 재등록을 시작해야 하는 기간을 지정하는 데 사용됩니다.validity-period—인증서가 생성될 때 설정된 대로 라우터 인증서가 만료되는 발급 후 일수입니다.
기본적으로 이 기능은 명시적으로 구성하지 않는 한 활성화되지 않습니다. 즉, 자동 재등록이 구성되지 않은 인증서는 정상적인 만료 날짜에 만료됩니다.
이 문은 ca-profile 만료되는 인증서를 다시 등록하기 위해 연락할 CA를 지정합니다. 이것은 원래 라우터 인증서를 발급한 CA입니다.
문은 challenge-password 관리자가 설정하고 일반적으로 CA의 SCEP 등록 웹 페이지에서 가져오는 라우터 인증서의 암호를 발급 CA에 제공합니다. 패스워드는 16자입니다.
선택적으로 문을 사용하여 라우터 인증서 키 쌍을 재생성할 수 있습니다 re-generate-keypair .
자동 재등록 속성을 구성하려면 계층 수준에서 다음 문을 포함합니다.[edit security pki]
[edit security pki] auto-re-enrollment { certificate-id { ca-profile ca-profile-name; challenge-password password; re-enroll-trigger-time-percentage percentage; re-generate-keypair; validity-period days; } }
percentage 는 재등록 트리거 시간에 대한 백분율입니다. 범위는 1%에서 99%까지입니다.
days 유효 기간의 일 수입니다. 범위는 1에서 4095까지입니다.
인증서의 자동 재등록을 구성하는 작업은 다음과 같습니다.
인증서 ID 지정
문을 사용하여 certificate-id 자동 재등록을 위해 구성할 라우터 인증서의 이름을 지정합니다. 인증서 ID를 지정하려면 계층 수준에서 문을 포함합니다.[edit security pki auto-re-enrollment]
[edit security pki auto-re-enrollment] certificate-id certificate-name;
CA 프로필 지정
이 문을 사용하여 ca-profile 인증서 ID로 이전에 지정한 라우터 인증서의 CA 프로필 이름을 지정할 수 있습니다. CA 프로필을 지정하려면 계층 수준에서 문을 포함합니다.[edit security pki auto-re-enrollment certificate-id certificate-name]
[edit security pki auto-re-enrollment certificate-id certificate-name] ca-profile ca-profile-name;
참조되는 ca-profile 항목에는 계층 수준에서 [edit security pki ca-profile ca-profile-name enrollment url] 구성된 등록 URL이 있어야 합니다.
챌린지 비밀번호 지정
챌린지 암호는 PKI 인증서 ID로 지정된 CA에서 재등록 및 해지를 위해 사용됩니다. 챌린지 비밀번호를 지정하려면 다음 문을 계층 수준에 포함시킵니다.[edit security pki auto-re-enrollment certificate-id certificate-name]
[edit security pki auto-re-enrollment certificate-id certificate-name] challenge-password password;
재등록 트리거 시간 지정
명령문을 사용하여 re-enroll-trigger-time 재등록이 발생하는 만료 전 유효 기간의 백분율을 설정합니다. 재등록 트리거 시간을 지정하려면 계층 수준에서 다음 문을 포함합니다.[edit security pki auto-re-enrollment certificate-id certificate-name]
[edit security pki auto-re-enrollment certificate-id certificate-name] re-enroll-trigger-time percentage;
percentage 는 재등록 트리거 시간에 대한 백분율입니다. 범위는 1%에서 99%까지입니다.
키 쌍 재생성 지정
재생성 키 쌍이 구성되면 재등록 중에 새 키 쌍이 생성됩니다. 재등록에 성공하면 새 키 쌍과 새 인증서가 이전 인증서와 키 쌍을 대체합니다. 새 키 쌍을 생성하려면 계층 수준에서 다음 문을 포함합니다.[edit security pki auto-re-enrollment certificate-id certificate-name]
[edit security pki auto-re-enrollment certificate-id certificate-name] re-generate-keypair;
유효 기간 지정
명령문은 validity-period 지정된 라우터 인증서가 유효한 상태로 유지되는 라우터 인증서 유효 기간을 일수로 지정합니다. 유효 기간을 지정하려면 계층 수준에서 문을 포함합니다.[edit security pki auto-re-enrollment certificate-id certificate-name]
[edit security pki auto-re-enrollment certificate-id certificate-name] validity-period days;
days 유효 기간의 일 수입니다. 범위는 1에서 4095까지입니다.
SCEP를 사용하여 CA 인증서 등록
SCEP를 사용하여 온라인으로 CA 인증서 등록
시작하기 전에:
공개 및 개인 키 쌍을 생성합니다.
CA 프로필을 생성합니다.
CA 인증서를 온라인으로 등록하려면 다음을 수행합니다.
SCEP를 사용하여 온라인으로 CA 인증서를 검색합니다.
user@host> request security pki ca-certificate enroll ca-profile ca-profile-ipsec
이 명령은 수신된 CA 인증서의 지문을 제공하기 위해 동기적으로 처리됩니다.
Fingerprint: e6:fa:d6:da:e8:8d:d3:00:e8:59:12:e1:2c:b9:3c:c0:9d:6c:8f:8d (sha1) 82:e2:dc:ea:48:4c:08:9a:fd:b5:24:b0:db:c3:ba:59 (md5) Do you want to load the above CA certificate ? [yes,no]
올바른 인증서가 로드되었는지 확인합니다. CA 인증서는 CLI 프롬프트에 입력 yes 할 때만 로드됩니다.
키 페어의 비트 길이와 같은 인증서에 대한 자세한 정보는 명령
show security pki ca-certificate을 사용합니다.
예: SCEP를 사용하여 온라인으로 로컬 인증서 등록
이 예는 SCEP를 사용하여 온라인으로 로컬 인증서를 등록하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
공개 및 개인 키 쌍을 생성합니다. 자체 서명된 디지털 인증서를 참조하십시오.
CA 프로필을 구성합니다. 예: CA 프로필 구성을 참조하십시오.
SCEP의 경우 CA 인증서를 등록합니다. SCEP를 사용하여 온라인으로 CA 인증서 등록을 참조하십시오.
개요
이 예에서는 온라인으로 로컬 인증서를 획득하고 SCEP를 사용하여 지정된 인증서 ID에 대한 온라인 등록을 시작하도록 주니퍼 네트웍스 디바이스를 구성합니다. CA 프로필 이름 ca-profile-ipsec에서 CA 서버에 대한 URL 경로를 지정합니다.
이 request security pki local-certificate enroll scep 명령을 사용하여 지정된 인증서 ID에 대한 온라인 등록을 시작할 수 있습니다. Junos OS 릴리스 15.1X49-D40 및 Junos OS 릴리스 17.3R1부터는 키워드가 scep 지원되며 필수입니다. CA 프로필 이름(예: ca-profile-ipsec), 이전에 생성된 키 쌍에 해당하는 인증서 ID(예: qqq) 및 다음 정보를 지정해야 합니다.
-
인증서 등록 및 재등록을 위해 CA 관리자가 제공한 챌린지 암호입니다.
RFC8894에는 기존 인증서가 갱신 요청에 서명할 때 챌린지 암호가 선택 사항이라고 명시되어 있습니다. 챌린지 암호는 필수가 아닙니다. 챌린지 암호 없이도 구성을 커밋할 수 있습니다.
다음 값 중 하나 이상:
IKE 협상에서 인증서 소유자를 식별하기 위한 도메인 이름(예
qqq.example.net: ).이메일 문과의 IKE 협상을 위한 인증서 소유자의 ID(예
qqq@example.net: .디바이스가 정적 IP 주소에 대해 구성된 경우 IP 주소(예
10.10.10.10: .
도메인 구성 요소(DC), 일반 이름(CN), 일련 번호(SN), 조직 단위 이름(OU), 조직 이름(O), 지역(L), 주(ST) 및 국가(C)를 포함하여 따옴표로 DN 형식으로 주체 이름을 지정합니다.
디바이스 인증서를 가져오고 인증서 ID에 대한 온라인 등록이 시작되면 명령이 비동기적으로 처리됩니다.
구성
절차
단계별 절차
로컬 인증서를 온라인으로 등록하려면
CA 프로필을 지정합니다.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment url path-to-ca-server
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
운영 모드 명령을 실행하여 등록 프로세스를 시작합니다.
user@host> request security pki local-certificate enroll scep ca-profile ca-profile-ipsec certificate-id qqq challenge-password ca-provided-password domain-name qqq.example.net email qqq@example.net ip-address 10.10.10.10 subject DC=example, CN=router3, SN, OU=marketing, O=example, L=sunnyvale, ST=california, C=us
일련번호 없이 제목 필드에 SN을 정의하면 디바이스에서 직접 일련번호를 읽고 CSR에 추가됩니다.
Junos OS 릴리스 19.4R2부터는 ECDSA 키가 SCEP에서 지원되지 않으므로 SCEP와 함께 ECDSA 키를 사용하여 로컬 인증서를 등록하려고 할 때 경고 메시지가 ECDSA Keypair not supported with SCEP for cert_id <certificate id> 표시됩니다.
검증
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다.show security pki
예: SCEP를 사용하여 로컬 인증서 자동 갱신
CMPv2 또는 SCEP를 사용하여 디지털 인증서를 등록할 수 있습니다. 이 예에서는 SCEP를 사용하여 로컬 인증서를 자동으로 갱신하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
온라인으로 또는 수동으로 인증서를 얻으십시오. 디지털 인증서를 참조하십시오.
로컬 인증서를 얻습니다. 예: SCEP를 사용하여 온라인으로 로컬 인증서 등록을 참조하십시오.
개요
온라인 등록을 통해 획득하거나 수동으로 로드한 인증서를 디바이스가 자동으로 갱신하도록 설정할 수 있습니다. 자동 인증서 갱신을 사용하면 인증서가 만료되기 전에 디바이스에서 인증서를 갱신해야 할 필요가 없으며 항상 유효한 인증서를 유지하는 데 도움이 됩니다.
자동 인증서 갱신은 기본적으로 비활성화되어 있습니다. 자동 인증서 갱신을 사용하도록 설정하고 인증서가 만료되기 전에 인증서 재등록 요청을 자동으로 보내도록 디바이스를 구성할 수 있습니다. 인증서 재등록 요청을 보낼 시기를 지정할 수 있습니다. 재등록 트리거는 만료 전에 남아 있는 인증서 수명의 백분율입니다. 예를 들어 인증서의 남은 수명이 10%일 때 갱신 요청을 보내려면 재등록 트리거에 대해 10을 구성합니다.
자동 인증서 갱신이 작동하려면 디바이스가 CA 서버에 연결할 수 있고 갱신 프로세스 중에 인증서가 디바이스에 남아 있는지 확인합니다. 또한 인증서를 발급하는 CA가 동일한 DN을 반환할 수 있는지 확인해야 합니다. CA는 새 인증서에서 주체 이름 또는 대체 주체 이름 확장자를 수정해서는 안 됩니다.
모든 SCEP 인증서에 대해 또는 인증서별로 자동 SCEP 인증서 갱신을 활성화 및 비활성화할 수 있습니다. 명령을 사용하여 set security pki auto-re-enrollment scep 인증서 재등록을 활성화하고 구성합니다. 이 예제에서는 CA 인증서의 인증서 ID를 로 ca-ipsec 지정하고 인증서와 연관된 CA 프로파일 이름을 로 설정합니다.ca-profile-ipsec CA 인증서의 챌린지 암호를 CA 관리자가 제공한 챌린지 암호로 설정합니다. 이 암호는 이전에 CA에 대해 구성한 암호와 동일해야 합니다. 또한 재등록 트리거의 백분율을 로 설정합니다.10 자동 재등록 중에 주니퍼 네트웍스 디바이스는 기본적으로 기존 키 쌍을 사용합니다. 좋은 보안 관행은 재등록을 위해 새 키 쌍을 다시 생성하는 것입니다. 새 키 쌍을 생성하려면 다음 명령을 사용합니다.re-generate-keypair
구성
절차
단계별 절차
로컬 인증서 재등록을 사용하도록 설정하고 구성하려면 다음을 수행합니다.
다음 명령을 사용하여 인증서 재등록을 사용하도록 설정하고 구성합니다.
[edit] user@host# set security pki auto-re-enrollment scep certificate-id ca-ipsec ca-profile-name ca-profile-ipsec challenge-password ca-provided-password re-enroll-trigger-time-percentage 10 re-generate-keypair
Junos OS 릴리스 15.1X49-D40 및 Junos OS 릴리스 17.3R1부터는 키워드가
scep지원되며 필수입니다.디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
검증
구성이 제대로 작동하는지 확인하려면 운영 모드 명령을 입력합니다 show security pki local-certificate detail .
CMPv2를 사용하여 온라인으로 CA 인증서 등록
이 명령은 request security pki local-certificate enroll cmpv2 CMPv2를 사용하여 로컬 디지털 인증서를 온라인으로 등록합니다. 이 명령은 CA 서버 구성에 따라 최종 엔터티 및 CA 인증서를 모두 로드합니다. 등록 URL은 CA 프로필에서 추출되므로 CA 인증서를 등록하기 전에 CA 프로필을 만들어야 합니다.
이 항목에서는 CMPv2 프로토콜을 사용한 인증서 등록에 대해 설명합니다.
인증서 등록 및 재등록 메시지
CMPv2 프로토콜에는 주로 인증서 등록 및 재등록 작업이 포함됩니다. 인증서 등록 프로세스에는 초기화 요청 및 초기화 응답 메시지가 포함되며 인증서 재등록에는 키 업데이트 요청 및 키 업데이트 응답 메시지가 포함됩니다.
CMPv2 서버는 초기화 응답(IP)으로 응답합니다. 응답에는 선택적 CA 인증서와 함께 EE 인증서가 포함됩니다. RFC 4210에 따라 shared-secret-information을 사용하여 메시지 무결성 및 메시지 신뢰성 초기화 응답을 확인할 수 있습니다. 발급자 CA 공개 키를 사용하여 초기화 응답을 확인할 수도 있습니다. EE 인증서를 다시 등록하기 전에 디바이스에 유효한 CA 인증서가 등록되어 있어야 합니다.
초기화 응답 또는 키 업데이트 응답 메시지에는 발급자 CA 인증서 또는 CA 인증서 체인이 포함될 수 있습니다. 응답에서 수신된 CA 인증서는 신뢰할 수 있는 CA 인증서로 처리되며 신뢰할 수 있는 CA가 저장하는 경우 수신 디바이스에 저장됩니다. 이러한 CA 인증서는 나중에 EE 인증서 유효성 검사에 사용됩니다.
CA 인증서 재등록은 지원되지 않습니다. CA 인증서가 만료되면 현재 CA 인증서의 등록을 취소했다가 다시 등록해야 합니다.
발급자 CA 인증서가 있는 EE 인증서
간단한 시나리오에서는 초기화 응답 메시지에 EE 인증서만 포함될 수 있으며, 이 경우 CA 정보가 별도로 제공됩니다. 인증서는 EE 인증서 저장소에 저장됩니다.
초기화 응답 메시지에는 EE 인증서와 자체 서명된 발급자 CA 인증서가 포함될 수 있습니다. EE 인증서는 먼저 인증서 저장소에 저장되고 CA 인증서가 확인됩니다. CA 인증서가 발견되고 초기화 응답 메시지에서 CA 인증서의 주체 DN이 EE 인증서의 발급자 DN과 일치하는 경우, CA 인증서는 CMPv2 인증서 등록 명령에 지정된 CA 프로파일 이름에 대한 CA 인증서 저장소에 저장됩니다. CA 인증서가 CA 인증서 저장소에 이미 있는 경우 아무 작업도 수행되지 않습니다.
CA 인증서 체인이 있는 EE 인증서
많은 구축에서 EE 인증서는 인증서 체인의 중간 CA에 의해 발급됩니다. 이 경우 초기화 응답 메시지에는 체인의 CA 인증서 목록과 함께 EE 인증서가 포함될 수 있습니다. EE 인증서의 유효성을 검사하기 위해서는 중간 CA 인증서와 자체 서명된 루트 CA 인증서가 모두 필요합니다. 또한 CA 체인은 유사한 계층을 가진 피어 디바이스에서 수신한 인증서를 검증하는 데 필요할 수 있습니다. 다음 섹션에서는 CA 체인의 인증서가 저장되는 방법을 설명합니다.
그림 1에서 초기화 응답 메시지에는 인증서 체인의 EE 인증서와 3개의 CA 인증서가 포함되어 있습니다.
이 있는 최종 엔터티 인증서
위의 이미지에서 EE 인증서는 EE 인증서 저장소에 저장됩니다. 각 CA 인증서에는 CA 프로필이 필요합니다. 주체 DN이 Sub11-CA인 CA 인증서는 체인의 첫 번째 CA이며 EE 인증서의 발급자입니다. CMPv2 인증서 등록 명령으로 지정된 CA 프로파일에 저장됩니다.
디바이스는 CA 저장소의 체인에 남아 있는 각 CA 인증서의 존재 여부를 확인합니다. CA 저장소에 CA 인증서가 없으면 해당 인증서가 저장되고 이에 대한 CA 프로파일이 생성됩니다. 새 CA 프로필 이름은 CA 인증서 일련 번호의 최하위 16자리를 사용하여 만들어집니다. 일련 번호가 16자리보다 긴 경우 16자리를 초과하는 최상위 숫자는 잘립니다. 일련 번호가 16자리보다 짧은 경우, 나머지 최상위 숫자는 s로 0채워집니다. 예를 들어, 일련 번호가 11111000100010001000인 경우 CA 프로필 이름은 1000100010001000입니다. 일련 번호가 10001000인 경우 CA 프로필 이름은 0000000010001000입니다.
여러 인증서 일련 번호가 동일한 최하위 16자리를 가질 수 있습니다. 이 경우 는 -00 고유한 CA 프로필 이름을 만들기 위해 프로필 이름에 추가됩니다. 추가 CA 프로필 이름은 추가된 번호 -01 를 최대 에서 로 -99증가시켜 만들어집니다. 예를 들어, CA 프로필 이름은 1000100010001000, 1000100010001000-00, 및 1000100010001000-01일 수 있습니다.
라우터에 디지털 인증서 설치
디지털 인증서는 신뢰할 수 있는 제3자(CA)를 통해 신원을 확인하는 전자적 수단입니다. 또는 자체 서명된 인증서를 사용하여 신원을 증명할 수 있습니다. 사용하는 CA 서버는 독립 CA 또는 자체 조직에서 소유하고 운영할 수 있으며, 이 경우 자체 CA가 됩니다. 독립 CA를 사용하는 경우, CA 및 CRL 서버의 주소(인증서 및 CRL을 얻기 위해)와 개인 인증서 요청을 제출할 때 필요한 정보를 얻기 위해 CA에 문의해야 합니다. 자체 CA인 경우 이 정보를 직접 결정합니다. PKI는 디지털 인증서 관리를 위한 인프라를 제공합니다.
디지털 인증서 수동 요청
디지털 인증서를 수동으로 얻으려면 CA 프로필을 구성하고, 비공개-공개 키 쌍을 생성하고, 로컬 인증서를 생성하고, 라우터에 인증서를 로드해야 합니다. 인증서를 로드한 후 IPsec–VPN 구성에서 참조할 수 있습니다.
다음 절차는 CA 프로필을 구성하는 방법을 보여줍니다.
ACME 프로토콜 이해
ACME 프로토콜 및 인증서 등록 방법에 대해 알아보십시오.
ACME 프로토콜이란 무엇입니까?
자동화된 인증서 관리 환경(ACME) 프로토콜은 Let's Encrypt와 같은 여러 PKI 서버에서 사용되는 새로운 PKI 등록 표준입니다. Let's encrypt 인증서를 사용하면 방화벽에서 웹 서버 인증서를 무료로 사용할 수 있으며 이는 Juniper Secure Connect 및 J-Web에서 사용할 수 있습니다. Junos OS는 25일마다 Let's Encrypt 인증서를 자동으로 재등록합니다.
ACME 프로토콜을 사용하면 Let's Encrypt 서버 또는 ACME 지원 서버에서 인증서를 등록할 수 있습니다. 방화벽은 Let's Encrypt 서버에서 인증서를 등록하고 Juniper Secure Connect는 CA 인증서를 복사 및 다운로드하지 않고 인증서의 유효성을 검사합니다.
Let's Encrypt를 사용할 때 그림 2와 같이 Let's Encrypt 서버가 도메인 이름을 방화벽 인터페이스의 IP 주소로 확인할 수 있는지 확인합니다. Let's Encrypt 서버는 TCP 포트 80의 방화벽 인터페이스에 연결할 수 있어야 합니다. 인증서를 등록하는 동안 방화벽은 일시적으로 이 수신 요청을 자동으로 사용하도록 설정합니다. 방화벽, 중간 디바이스 또는 라우터가 TCP 포트 80을 차단하는 경우 인증서 등록이 실패합니다.
방화벽은 Let's Encrypt 서버 와의 아웃바운드 통신에 포트 443을 사용합니다. 네트워크 보안 정책이 이 아웃바운드 트래픽을 허용하는지 확인합니다. 방화벽의 아웃바운드 연결에는 포트 80을 통한 Let's Encrypt 서버로의 통신이 지원되지 않습니다.
의 이름 확인
제한 사항
-
dns-01 및 외부 계정 바인딩은 지원되지 않습니다.
-
J-Web이 포트 80을 수신할 때는 ACME를 사용할 수 없습니다
-
와일드카드 인증서는 지원되지 않습니다.
*.mydomain.com대신 여러 DNS 이름을 등록할 수 있습니다.
Let's Encrypt 서버를 사용하여 로컬 인증서 등록
이 예제에서는 Let's Encrypt를 사용하여 로컬 인증서를 등록하는 방법을 보여 줍니다.
-
CA 프로필을 지정합니다. ACME 등록 프로세스에는 CRL 검증이 포함되지 않습니다.
[edit] user@host# set security pki ca-profile ISRG_Root_X1 ca-identity ISRG_Root_X1 user@host# set security pki ca-profile ISRG_Root_X1 revocation-check disable user@host# set security pki ca-profile Lets_Encrypt ca-identity Lets_Encrypt user@host# set security pki ca-profile Lets_Encrypt enrollment url https://acme-v02.api.letsencrypt.org/directory
-
구성을 커밋합니다.
[edit] user@host# commit
-
CA 인증서를 로드합니다.
[edit] user@host> request security pki ca-certificate load ca-profile ISRG_Root_X1 filename ISRG_Root_X1.pem
ISRG_Root_X1.pem 인증서를 다운로드하려면 KB84991를 참조하십시오.
-
ACME 키 ID를 생성합니다.
[edit] user@host> request security pki generate-key-pair size 2048 type rsa acme-key-id mydomain
-
현지 증명서의 등록을 준비합니다.
[edit] user@host> request security pki generate-key-pair size 2048 type rsa certificate-id service-mydomain
-
하나의 도메인 이름으로 인증서를 등록합니다.
Let's Encrypt를 사용할 때 그림 2와 같이 Let's Encrypt 서버가 도메인 이름을 방화벽 인터페이스의 IP 주소로 확인할 수 있는지 확인합니다. Let's Encrypt 서버는 TCP 포트 80의 방화벽 인터페이스에 연결할 수 있어야 합니다. 인증서를 등록하는 동안 방화벽은 일시적으로 이 수신 요청을 자동으로 사용하도록 설정합니다. 방화벽, 중간 디바이스 또는 라우터가 TCP 포트 80을 차단하는 경우 인증서 등록이 실패합니다.
방화벽은 Let's Encrypt 서버 와의 아웃바운드 통신에 포트 443을 사용합니다. 네트워크 보안 정책이 이 아웃바운드 트래픽을 허용하는지 확인합니다. 방화벽의 아웃바운드 연결에는 포트 80을 통한 Let's Encrypt 서버로의 통신이 지원되지 않습니다.
[edit] user@host> request security pki local-certificate enroll acme acme-key-id mydoamin certificate-id service-mydomain ca-profile Lets_Encrypt domain-name jweb.mydomain.com email jweb@acmejnpr.net letsencrypt-enrollment yes terms-of-service agree
여러 도메인 이름이 있는 인증서를 등록합니다.
[edit] user@host> request security pki local-certificate enroll acme acme-key-id mydomain certificate-id service-mydomain ca-profile Lets_Encrypt domain-name jweb.mydomain.com,remote-acess.mydomain.com email jweb@acmejnpr.net letsencrypt-enrollment yes terms-of-service agree
-
등록이 완료되면 발급된 인증서가 certificate-id service-mydomian에 로드됩니다.
로컬 인증서 수동 재등록
온라인으로 로컬 인증서를 다시 등록하려면:
-
재등록 요청을 시작합니다.
[edit] user@host> request security pki local-certificate re-enroll acme acme-key-id mydomain certificate-id serice-mydomain ca-profile Lets_Encrypt re-generate-keypair
-
재등록이 완료되면 발급된 인증서가 certificate-id service-mydomian에 로드됩니다.
ACME 계정 삭제
ACME 계정을 삭제하려면 다음 단계를 수행합니다.
-
다음 명령을 실행합니다.
[edit] user@host> clear security pki acme account acme-key-id mydomain ca-profile Lets_Encrypt
ACME가 등록에 의해 활성화되거나 생성된 경우에만 ACME 계정 키를 삭제할 수 있습니다.
플랫폼별 SSL 종료 서비스 동작
기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오.
다음 표를 사용하여 플랫폼의 플랫폼별 동작을 검토하십시오.
| 플랫폼 | 차이 |
|---|---|
| SRX 시리즈 |
|