퍼블릭 키 암호화
스위치의 공개 키 암호화 이해
암호화는 정보 보안의 다음과 같은 측면과 관련된 기술을 설명합니다.
개인정보 보호 또는 기밀 유지
데이터 무결성
인증
원본의 비공개 또는 비공제—원본의 비공급은 서명자가 자신의 개인 키가 비밀로 유지한다고 주장하는 동안 메시지에 서명하지 않았다고 주장할 수 없음을 의미합니다. 디지털 서명에 사용되는 일부 비공개 체계에서는 타임스탬프가 디지털 서명에 첨부되므로 프라이빗 키가 노출되더라도 서명이 유효합니다. 공용 및 전용 키는 다음 텍스트에 설명되어 있습니다.
실제로 암호화 방법은 암호화 키를 사용하여 데이터를 암호화하여 공용 네트워크를 통해 한 시스템에서 다른 시스템으로 전송된 데이터를 보호합니다. 주니퍼 네트웍스 EX 시리즈 이더넷 스위치에서 사용되는 PKC(Public Key Cryptography)는 한 쌍의 암호화 키(공용 키 및 전용 키)를 사용합니다. 공용 및 전용 키는 동일한 암호화 알고리즘을 사용하여 동시에 생성됩니다. 프라이빗 키는 사용자가 몰래 보유하고 공용 키가 게시됩니다. 퍼블릭 키로 암호화된 데이터는 해당 프라이빗 키와 그 반대의 경우도 마찬가지입니다. 퍼블릭/프라이빗 키 쌍을 생성하면 스위치는 인증서 저장소의 파일에 키 쌍을 자동으로 저장하며, 이 키 쌍은 이후에 인증서 요청 명령에 사용됩니다. 생성된 키 쌍은 로 저장됩니다 certificate-id. priv.
기본 RSA 및 DSA 키 크기는 1024비트입니다. SCEP(Simple Certificate Enrollment Protocol)를 사용하는 경우 주니퍼 네트웍스 Junos 운영 체제(Junos OS)는 RSA만 지원합니다.
PKI(Public Key Infrastructure) 및 디지털 인증서
PKI(Public Key Infrastructure)를 통해 보안 및 무결성을 갖춘 공용 키 암호화에서 공용 키를 배포 및 사용할 수 있습니다. PKI는 디지털 인증서를 사용하여 공용 키를 관리합니다. 디지털 인증서는 디지털 인증서를 저장할 수 있는 개인, 조직 또는 디렉토리 서비스의 신원을 확인하는 전자적 수단을 제공합니다.
PKI는 일반적으로 엔터티의 ID를 검증하고 인증서 요청을 승인하며 고유한 비대칭 키 쌍을 생성하는 RA(Registration Authority)로 구성됩니다(사용자의 인증서 요청에 이미 공용 키가 포함되어 있지 않는 한). 요청 엔티티에 대해 해당 디지털 인증서를 발급하는 CA(Certificate Authority)를 지원합니다. 선택적으로 인증서를 저장 및 배포하는 Certificate Repository와 더 이상 유효하지 않은 인증서를 식별하는 CRL(Certificate Revocation List)을 사용할 수 있습니다. CA의 인증 공용 키를 가진 각 엔티티는 해당 CA에서 발급한 인증서를 검증할 수 있습니다.
디지털 서명은 다음과 같이 공용 키 암호화 시스템을 활용합니다.
보낸 사람은 데이터 다이제스트에 프라이빗 키와 관련된 암호화 작업을 적용하여 데이터에 디지털 서명합니다.
생성된 시그니처가 데이터에 첨부되어 수신기로 전송됩니다.
수신자는 발신자의 디지털 인증서를 얻습니다. 발신자의 공개 키와 ID와 공용 키 사이의 링크 확인 기능을 제공합니다. 보낸 사람의 인증서는 종종 서명된 데이터에 첨부됩니다.
수신기는 이 인증서를 신뢰하거나 검증을 시도합니다. 수신기는 인증서에 포함된 퍼블릭 키를 사용하여 데이터의 시그니처를 검증합니다. 이 검증은 수신된 데이터의 진위와 무결성을 보장합니다.
PKI를 사용하는 대안으로, 엔티티는 키의 무결성이 보호되는 한 공용 키를 모든 잠재적 서명 검증자에게 직접 배포할 수 있습니다. 이 스위치는 자동 서명 증명서를 퍼블릭 키와 해당 엔티티 ID를 위한 컨테이너로 사용하여 이를 수행합니다.
자세한 내용은
EX 시리즈 스위치에서 자체 서명 인증서 이해
공장 기본 구성으로 주니퍼 네트웍스 EX 시리즈 이더넷 스위치를 초기화하면 스위치는 자체 서명 인증서를 생성하여 SSL(Secure Sockets Layer) 프로토콜을 통해 스위치에 대한 안전한 액세스를 허용합니다. HTTPS(Secure Sockets Layer)를 통한 하이퍼텍스트 전송 프로토콜과 XNM-SSL(XML Network Management over Secure Sockets Layer)은 자체 서명 인증서를 사용할 수 있는 두 가지 서비스입니다.
자동 서명 인증서는 CA(Certificate Authorities)에서 생성한 인증서와 마찬가지로 추가적인 보안을 제공하지 않습니다. 클라이언트가 연결된 서버가 인증서에 광고된 서버인지 확인할 수 없기 때문입니다.
스위치는 자동 서명 인증서를 생성하는 두 가지 방법을 제공합니다.
자동 생성
이 경우 인증서의 작성자는 스위치입니다. 자동 생성("시스템 생성"이라고도 함)이라 하는 자동 서명 인증서는 기본적으로 스위치에서 구성됩니다.
스위치가 초기화되면 자동으로 생성된 자동 서명 인증서의 존재를 확인합니다. 이를 찾지 못한 스위치는 하나를 생성하여 파일 시스템에 저장합니다.
스위치에 의해 자동으로 생성되는 자동 서명 인증서는 SSH 호스트 키와 유사합니다. 구성의 일부가 아닌 파일 시스템에 저장됩니다. 스위치가 재부팅되면 계속되며 명령이 발행될 때
request system snapshot유지됩니다.스위치는 자동으로 생성된 인증서에 대해 다음과 같은 구별된 이름을 사용합니다.
" CN=<기본 일련번호>, CN=시스템 생성, CN=자동 서명"
스위치에서 시스템에서 생성된 자동 서명 인증서를 삭제하면 스위치에서 자동 자동 서명 인증서를 생성합니다.
수동 생성
이 경우 스위치에 대한 자동 서명 인증서를 만듭니다. 언제든지 CLI를 사용하여 자체 서명 인증서를 생성할 수 있습니다. 수동으로 생성된 자동 서명 인증서는 구성의 일부가 아니라 파일 시스템에 저장됩니다.
자동 서명 인증서는 생성 시점부터 5년간 유효합니다. 자동으로 생성된 자동 서명 인증서의 유효성이 만료되면 스위치에서 해당 인증서를 삭제하여 스위치에서 새 자동 서명 인증서를 생성할 수 있습니다.
시스템에서 생성된 자체 서명 인증서와 수동으로 생성된 자체 서명 인증서가 스위치에서 공존할 수 있습니다.
스위치에서 자동 서명 인증서를 수동으로 생성(CLI 절차)
EX 시리즈 스위치를 사용하면 사용자 정의 자체 서명 인증서를 생성하고 파일 시스템에 저장할 수 있습니다. 사용자가 수동으로 생성하는 인증서는 스위치에서 자동으로 생성된 자동 자동 서명 인증서와 공존할 수 있습니다. SSL을 통해 스위치에 안전하게 액세스할 수 있도록 하려면 시스템에서 생성된 자체 서명 인증서 또는 수동으로 생성한 인증서를 사용할 수 있습니다.
자체 서명 인증서를 수동으로 생성하려면 다음 작업을 완료해야 합니다.
스위치에서 퍼블릭-프라이빗 키 쌍 생성
디지털 인증서에는 인증서에 디지털 방식으로 서명하는 데 사용되는 관련 암호화 키 쌍이 있습니다. 암호화 키 쌍은 퍼블릭 키와 프라이빗 키로 구성됩니다. 자체 서명 인증서를 생성할 때는 자체 서명 인증서에 서명하는 데 사용할 수 있는 공용-사설 키 쌍을 제공해야 합니다. 따라서, 자체 서명 인증서를 생성하기 전에 공용-사설 키 쌍을 생성해야 합니다.
퍼블릭-프라이빗 키 쌍을 생성하려면 다음을 수행합니다.
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
선택적으로 암호화 알고리즘과 암호화 키 크기를 지정할 수 있습니다. 암호화 알고리즘 및 암호화 키 크기를 지정하지 않으면 기본값이 사용됩니다. 기본 암호화 알고리즘은 RSA이고 기본 암호화 키 크기는 1024비트입니다.
퍼블릭-프라이빗 키 쌍이 생성되면 스위치는 다음을 표시합니다.
generated key pair certificate-id-name, key size 1024 bits
스위치에서 자체 서명 인증서 생성
자체 서명 인증서를 수동으로 생성하려면 인증서 ID 이름, 지정 이름(DN)의 subject, 도메인 이름, 스위치의 IP 주소 및 인증서 소유자의 e-메일 주소를 포함합니다.
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
생성한 인증서는 스위치의 파일 시스템에 저장됩니다. 인증서를 생성하는 동안 지정한 인증서 ID는 HTTPS 또는 XNM-SSL 서비스를 활성화하는 데 사용할 수 있는 고유 식별자입니다.
인증서가 올바르게 생성되고 로드되었는지 확인하려면 운영 명령을 입력합니다 show security pki local-certificate .
자체 서명 인증서 삭제(CLI 절차)
EX 시리즈 스위치에서 자동으로 또는 수동으로 생성되는 자동 서명 인증서를 삭제할 수 있습니다. 자동 생성된 자동 서명 인증서를 삭제하면 스위치는 새 자동 서명 인증서를 생성하고 파일 시스템에 저장합니다.
스위치에서 자동으로 생성된 인증서와 관련 키 쌍을 삭제하려면 다음을 수행합니다.
user@switch> clear security pki local-certificate system-generated
스위치에서 수동으로 생성된 인증서와 관련 키 쌍을 삭제하려면 다음을 수행합니다.
user@switch> clear security pki local-certificate certificate-id certificate-id-name
스위치에서 수동으로 생성된 모든 인증서와 관련 키 쌍을 삭제하려면 다음을 수행합니다.
user@switch> clear security pki local-certificate all
자체 서명 인증서(CLI 절차)를 사용하여 스위치에서 HTTPS 및 XNM-SSL 서비스 활성화
시스템에서 생성된 자체 서명 인증서 또는 수동으로 생성된 자체 서명 인증서를 사용하여 웹 관리 HTTPS 및 XNM-SSL 서비스를 사용할 수 있습니다.
자동으로 생성된 자동 서명 인증서를 사용하여 HTTPS 서비스를 사용하려면 다음을 수행합니다.
[edit] user@switch# set system services web-management https system-generated-certificate
수동으로 생성된 자체 서명 인증서를 사용하여 HTTPS 서비스를 사용하려면 다음을 수행합니다.
[edit] user@switch# set system services web-management https pki-local-certificate certificate-id-name
참고:자동 서명 인증서를 certificate-id-name 수동으로 생성할 때 지정한 이름과 일치해야 합니다.
수동으로 생성된 자체 서명 인증서를 사용하여 XNM-SSL 서비스를 사용하려면 다음을 수행합니다.
[edit] user@switch# set system services xnm-ssl local-certificate certificate-id-name
참고:자동 서명 인증서를 certificate-id-name 수동으로 생성할 때 지정한 이름과 일치해야 합니다.