Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

디지털 인증서 및 서비스 세트

디지털 인증서

소규모 네트워크의 경우 IPSec 구성에서 미리 공유한 키를 사용하는 것으로 충분한 경우가 많습니다. 그러나 네트워크가 성장함에 따라 로컬 라우터와 모든 신규 및 기존 IPSec 피어에 미리 공유된 새 키를 추가하는 것이 어려울 수 있습니다. IPSec 네트워크를 확장하기 위한 한 가지 솔루션은 디지털 인증서를 사용하는 것입니다.

디지털 인증서 구현은 PKI(공개 키 인프라)를 사용하며, 이를 위해서는 공개 키와 개인 키로 구성된 키 쌍을 생성해야 합니다. 키는 난수 생성기로 생성되며 데이터를 암호화하고 해독하는 데 사용됩니다. 디지털 인증서를 사용하지 않는 네트워크에서 IPSec 사용 장치는 개인 키로 데이터를 암호화하고 IPSec 피어는 공개 키로 데이터를 해독합니다.

디지털 인증서를 사용하면 키 공유 프로세스에 추가적인 수준의 복잡성이 필요합니다. 먼저 사용자와 IPSec 피어는 인증 기관(CA)에 CA의 공개 키가 포함된 CA 인증서를 보내달라고 요청합니다. 그런 다음 CA에 공개 키와 몇 가지 추가 정보가 포함된 로컬 디지털 인증서를 등록하도록 요청합니다. CA는 요청을 처리할 때 CA의 개인 키를 사용하여 로컬 인증서에 서명합니다. 그런 다음 로컬 라우터에 CA 인증서와 로컬 인증서를 설치하고 원격 디바이스에 CA 인증서를 로드한 다음 피어와 IPSec 터널을 설정할 수 있습니다.

IPSec 피어와의 피어링 관계를 요청하면 피어는 로컬 인증서의 복사본을 받습니다. 피어에 이미 CA 인증서가 로드되어 있으므로 CA 인증서에 포함된 CA의 공개 키를 사용하여 CA의 개인 키로 서명된 로컬 인증서의 암호를 해독할 수 있습니다. 따라서 피어는 이제 공개 키의 복사본을 갖게 됩니다. 피어는 데이터를 사용자에게 보내기 전에 공개 키로 데이터를 암호화합니다. 로컬 라우터가 데이터를 수신하면 개인 키로 데이터를 해독합니다.

Junos OS에서 디지털 인증서를 처음 사용할 수 있으려면 다음 단계를 구현해야 합니다.

  • CA 및 로컬 디지털 인증서를 요청하도록 CA 프로파일 구성 - 프로파일에는 CA 또는 등록 기관(RA)의 이름 및 URL과 일부 재시도 타이머 설정이 포함됩니다.

  • 인증서 해지 목록 지원 구성 - CRL(인증서 해지 목록)에는 만료 날짜 전에 취소된 인증서 목록이 포함됩니다. 참여 피어가 CRL을 사용하는 경우 CA는 가장 최근에 발급된 CRL을 획득하고 피어 디지털 인증서의 서명과 유효성을 확인합니다. CRL을 수동으로 요청 및 로드하거나, CRL 처리를 자동으로 처리하도록 LDAP 서버를 구성하거나, 기본적으로 사용 가능한 CRL 처리를 사용 안함으로 설정할 수 있습니다.

  • CA에서 디지털 인증서 요청 - 온라인 또는 수동으로 요청할 수 있습니다. 온라인 CA 디지털 인증서 요청은 SCEP(Simple Certificate Enrollment Protocol) 형식을 사용합니다. CA 인증서를 수동으로 요청하는 경우 인증서도 수동으로 로드해야 합니다.

  • 개인/공개 키 쌍 생성 - 공개 키는 로컬 디지털 인증서에 포함되며 개인 키는 피어에서 받은 데이터의 암호를 해독하는 데 사용됩니다.

  • 로컬 디지털 인증서 생성 및 등록 - 로컬 인증서는 SCEP를 사용하여 온라인으로 처리하거나 PKCS-10(Public-Key Cryptography Standards #10) 형식으로 수동으로 생성할 수 있습니다. 로컬 인증서 요청을 수동으로 만드는 경우 인증서도 수동으로 로드해야 합니다.

  • IPSec 구성에 디지털 인증서 적용 - 로컬 디지털 인증서를 활성화하려면 사전 공유 키 대신 디지털 인증서를 사용하도록 IKE 제안을 구성하고, IKE(Internet Key Exchange) 정책에서 로컬 인증서를 참조하고, 서비스 세트에서 CA를 식별합니다.

필요에 따라 다음을 수행할 수 있습니다.

  • 자동으로 재등록하도록 디지털 인증서 구성 - Junos OS 릴리스 8.5부터 디지털 인증서에 대한 자동 재등록을 구성할 수 있습니다.

  • 디지털 인증서 이벤트 모니터링 및 인증서 및 요청 삭제 - 운영 모드 명령을 실행하여 디지털 인증서를 사용하여 설정된 IPSec 터널을 모니터하고 인증서 또는 요청을 삭제할 수 있습니다.

디지털 인증서 관리, IPSec 서비스 집합에서의 구성, 모니터링 및 지우기에 대한 자세한 내용은 IPsec에 디지털 인증서 사용예: 디지털 인증서 구성을 사용하는 AS PIC IKE 동적 SA를 참조하십시오.

서비스 세트

IPSec 터널을 구성할 때 적응형 서비스 PIC는 두 가지 유형의 서비스 세트를 지원합니다. 서로 다른 용도로 사용되기 때문에 이러한 서비스 집합 유형 간의 차이점을 아는 것이 중요합니다.

  • 다음 홉 서비스 세트 - IPSec을 통해 멀티캐스트 및 멀티캐스트 스타일의 동적 라우팅 프로토콜(예: OSPF)을 지원합니다. 다음 홉 서비스 세트를 사용하면 적응형 서비스 PIC의 내부외부 논리적 인터페이스를 사용하여 여러 라우팅 인스턴스와 연결할 수 있습니다. 또한 NAT(네트워크 주소 변환) 및 스테이트풀 방화벽 기능을 사용할 수 있습니다. 그러나 넥스트 홉 서비스 세트는 기본적으로 라우팅 엔진 트래픽을 모니터링하지 않으며 여러 인터페이스의 트래픽을 지원하기 위해 여러 서비스 세트를 구성해야 합니다.

  • 인터페이스 서비스 세트 - 물리적 인터페이스에 적용되며 상태 비저장 방화벽 필터와 유사합니다. 구성하기 쉽고, 여러 인터페이스의 트래픽을 지원할 수 있으며, 기본적으로 라우팅 엔진 트래픽을 모니터링할 수 있습니다. 그러나 IPSec 터널을 통한 동적 라우팅 프로토콜이나 멀티캐스트 트래픽은 지원할 수 없습니다.

일반적으로 다음 홉 서비스 세트는 IPSec 터널을 통해 라우팅 프로토콜과 멀티캐스트를 지원하고, 이해하기 쉬우며, 라우팅 테이블이 관리 개입 없이 전달 결정을 내리기 때문에 사용하는 것이 좋습니다.

또한보십시오