Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

원격 관리를 위한 보안 웹 액세스

J-Web 인터페이스를 통해 주니퍼 네트웍스 디바이스를 원격으로 관리할 수 있습니다. 안전한 웹 액세스를 위해 주니퍼 네트웍스 디바이스는 HTTPS(HTTP over Secure Sockets Layer)를 지원합니다. 필요에 따라 디바이스의 특정 인터페이스 및 포트에서 HTTP 또는 HTTPS 액세스를 활성화할 수 있습니다. 자세한 내용은 이 주제를 읽어보십시오.

Secure Web Access 개요

J-Web 인터페이스를 통해 주니퍼 네트웍스 디바이스를 원격으로 관리할 수 있습니다. 디바이스와 통신하기 위해 J-Web 인터페이스는 HTTP(Hypertext Transfer Protocol)를 사용합니다. HTTP를 사용하면 웹에 쉽게 액세스할 수 있지만 암호화는 할 수 없습니다. HTTP를 통해 웹 브라우저와 디바이스 간에 전송되는 데이터는 가로채기 및 공격에 취약합니다. 안전한 웹 액세스를 위해 주니퍼 네트웍스 디바이스는 HTTPS(HTTP over Secure Sockets Layer)를 지원합니다. 필요에 따라 특정 인터페이스 및 포트에서 HTTP 또는 HTTPS 액세스를 활성화할 수 있습니다.

주니퍼 네트웍스 디바이스는 SSL(Secure Sockets Layer) 프로토콜을 사용하여 웹 인터페이스를 통해 안전한 디바이스 관리를 제공합니다. SSL은 SSL 서비스를 제공하기 위해 쌍을 이루는 개인 키와 인증 인증서가 필요한 공개-개인 키 기술을 사용합니다. SSL은 SSL 서버 인증서로 협상된 세션 키를 사용하여 장치와 웹 브라우저 간의 통신을 암호화합니다.

SSL 인증서에는 인증 기관(CA)에서 만든 공개 키 및 서명과 같은 식별 정보가 포함됩니다. HTTPS를 통해 디바이스에 액세스하면 SSL 핸드셰이크가 서버와 클라이언트를 인증하고 보안 세션을 시작합니다. 정보가 일치하지 않거나 인증서가 만료된 경우 HTTPS를 통해 디바이스에 액세스할 수 없습니다.

SSL 암호화가 없으면 장치와 브라우저 간의 통신이 공개적으로 전송되어 가로챌 수 있습니다. WAN 인터페이스에서 HTTPS 액세스를 활성화하는 것이 좋습니다.

HTTP 액세스는 기본 제공 관리 인터페이스에서 기본적으로 활성화됩니다. 기본적으로 HTTPS 액세스는 SSL 서버 인증서가 있는 모든 인터페이스에서 지원됩니다.

참조

보안 웹 액세스를 위한 SSL 인증서 생성(SRX 시리즈 방화벽)

명령을 사용하여 SSL 인증서를 생성하려면 다음을 수행합니다.openssl

  1. CLI에 을(를) 입력합니다 .openssl 이 명령은 PEM(Privacy-Enhanced Mail) 형식으로 자체 서명된 SSL 인증서를 생성합니다.openssl 인증서와 암호화되지 않은 1024비트 RSA 프라이빗 키를 지정된 파일에 씁니다.
    주:

    주니퍼 네트웍스 서비스 게이트웨이는 이 명령을 지원하지 않으므로 LINUX 또는 UNIX 디바이스에서 이 명령을 실행합니다.openssl

    을 SSL 인증서를 작성할 파일의 이름(예: )으로 바꿉니다.filenamenew.pem

  2. 메시지가 표시되면 식별 양식에 적절한 정보를 입력합니다. 예를 들어 국가 이름을 입력합니다 .US
  3. 파일의 내용을 표시합니다.new.pem

    cat new.pem

    SSL 인증서를 설치하기 위해 이 파일의 내용을 복사합니다.

Secure Web Access에 사용할 SSL 인증서 생성(EX 시리즈 스위치)

EX 시리즈 스위치에 대한 보안 웹 액세스를 설정할 수 있습니다. 보안 웹 액세스를 활성화하려면 디지털 SSL(Secure Sockets Layer) 인증서를 생성한 다음 스위치에서 HTTPS 액세스를 활성화해야 합니다.

SSL 인증서를 생성하려면 다음을 수행합니다.

  1. 가 설치된 BSD 또는 Linux 시스템에서 SSH 명령행 인터페이스에 다음 명령을 입력하십시오.opensslopenssl 이 명령은 PEM(Privacy-Enhanced Mail) 형식으로 자체 서명된 SSL 인증서를 생성합니다.openssl 인증서와 암호화되지 않은 1024비트 RSA 프라이빗 키를 지정된 파일에 씁니다.

    % openssl req –x509 –nodes –newkey rsa:1024 –keyout filename.pem -out filename.pem

    여기서 은(는) SSL 인증서를 작성할 파일의 이름입니다(예: ).filenamemy-certificate

  2. 메시지가 표시되면 식별 양식에 적절한 정보를 입력합니다. 예를 들어 국가 이름을 입력합니다 .US
  3. 만든 파일의 내용을 표시합니다.

    cat my-certificate.pem

J-Web 구성 페이지를 사용하여 스위치에 SSL 인증서를 설치할 수 있습니다. 이렇게 하려면 BSD 또는 Linux 시스템에서 스위치로 인증서가 포함된 파일을 복사합니다. 그런 다음 파일을 열고 내용을 복사하여 J-Web Secure Access Configuration 페이지의 Certificate 상자에 붙여넣습니다.

다음 CLI 문을 사용하여 스위치에 SSL 인증서를 설치할 수도 있습니다.

인증서 설치에 대한 자세한 내용은 예: Secure Web Access 구성.

참조

자체 서명된 SSL 인증서 자동 생성

주니퍼 네트웍스 디바이스에서 자체 서명 SSL 인증서를 생성하려면 다음을 수행합니다.

  1. 기본 연결을 구축합니다.
  2. 시스템을 재부팅합니다. 자체 서명 인증서는 부팅 시 자동으로 생성됩니다.
  3. HTTPS 웹 관리에서 지정합니다 .system-generated-certificate

자체 서명된 SSL 인증서 수동 생성

주니퍼 네트웍스 디바이스에서 자체 서명 SSL 인증서를 수동으로 생성하는 방법:

  1. 기본 연결을 구축합니다.
  2. 루트 로그인 액세스 권한이 있는 경우 다음 명령을 사용하여 자체 서명된 인증서를 수동으로 생성할 수 있습니다.
    주:

    인증서를 생성할 때 제목, 이메일 주소 및 도메인 이름 또는 IP 주소를 지정해야 합니다.

  3. 인증서가 제대로 생성되고 로드되었는지 확인하려면 작동 명령을 입력하고 HTTPS 웹 관리에서 지정합니다 .show security pki local-certificate local-certificate

자체 서명 인증서 삭제(CLI 절차)

EX 시리즈 스위치에서 자동 또는 수동으로 생성되는 자체 서명 인증서를 삭제할 수 있습니다. 자동으로 생성된 자체 서명 인증서를 삭제하면 스위치가 새 자체 서명 인증서를 생성하여 파일 시스템에 저장합니다.

  • 스위치에서 자동으로 생성된 인증서 및 관련 키 쌍을 삭제하려면,

  • 스위치에서 수동으로 생성된 인증서 및 관련 키 쌍을 삭제하려면:

  • 스위치에서 수동으로 생성된 모든 인증서 및 관련 키 쌍을 삭제하려면:

EX 시리즈 스위치의 자체 서명 인증서 이해

공장 기본 구성으로 주니퍼 네트웍스 EX 시리즈 이더넷 스위치를 초기화하면 스위치가 자체 서명 인증서를 생성하여 SSL(Secure Sockets Layer) 프로토콜을 통해 스위치에 안전하게 액세스할 수 있습니다. HTTPS(Hypertext Transfer Protocol over Secure Sockets Layer) 및 XNM-SSL(XML Network Management over Secure Sockets Layer)은 자체 서명된 인증서를 사용할 수 있는 두 서비스입니다.

주:

자체 서명된 인증서는 인증 기관(CA)에서 생성한 인증서와 달리 추가 보안을 제공하지 않습니다. 이는 클라이언트가 자신이 연결한 서버가 인증서에 보급된 서버인지 확인할 수 없기 때문입니다.

스위치는 자체 서명 인증서를 생성하는 두 가지 방법을 제공합니다.

  • 자동 생성

    이 경우 인증서 작성자가 스위치입니다. 자동으로 생성된("시스템 생성"이라고도 함) 자체 서명 인증서는 기본적으로 스위치에 구성됩니다.

    스위치가 초기화되면 자동으로 생성된 자체 서명 인증서가 있는지 확인합니다. 찾지 못하면 스위치가 하나를 생성하여 파일 시스템에 저장합니다.

    스위치에 의해 자동으로 생성되는 자체 서명 인증서는 SSH 호스트 키와 유사합니다. 구성의 일부가 아닌 파일 시스템에 저장됩니다. 스위치가 재부팅될 때 지속되며 명령이 내려져도 보존 됩니다.request system snapshot

    스위치는 자동으로 생성된 인증서에 대해 다음과 같은 고유 이름을 사용합니다.

    “ CN=<device serial number>, CN=system generated, CN=self-signed”

    스위치에서 시스템 생성 자체 서명 인증서를 삭제하면 스위치가 자체 서명 인증서를 자동으로 생성합니다.

  • 수동 생성

    이 경우 스위치에 대한 자체 서명 인증서를 생성합니다. 언제든지 CLI를 사용하여 자체 서명 인증서를 생성할 수 있습니다. 수동으로 생성된 자체 서명 인증서는 구성의 일부가 아닌 파일 시스템에 저장됩니다.

자체 서명된 인증서는 생성된 시점부터 5년 동안 유효합니다. 자동으로 생성된 자체 서명 인증서의 유효 기간이 만료되면 스위치에서 해당 인증서를 삭제하여 스위치가 새 자체 서명 인증서를 생성하도록 할 수 있습니다.

시스템에서 생성된 자체 서명 인증서와 수동으로 생성된 자체 서명 인증서는 스위치에 공존할 수 있습니다.

스위치에서 자체 서명 인증서 수동 생성(CLI 절차)

EX 시리즈 스위치를 사용하면 사용자 지정 자체 서명 인증서를 생성하고 파일 시스템에 저장할 수 있습니다. 수동으로 생성한 인증서는 스위치에서 자동으로 생성된 자체 서명 인증서와 공존할 수 있습니다. SSL을 통해 스위치에 대한 보안 액세스를 활성화하기 위해 시스템에서 생성된 자체 서명 인증서 또는 수동으로 생성한 인증서를 사용할 수 있습니다.

자체 서명된 인증서를 수동으로 생성하려면 다음 작업을 완료해야 합니다.

스위치에서 퍼블릭-프라이빗 키 페어 생성

디지털 인증서에는 인증서에 디지털 서명하는 데 사용되는 연관된 암호화 키 쌍이 있습니다. 암호화 키 쌍은 공개 키와 개인 키로 구성됩니다. 자체 서명된 인증서를 생성할 때 자체 서명된 인증서에 서명하는 데 사용할 수 있는 퍼블릭-프라이빗 키 쌍을 제공해야 합니다. 따라서 자체 서명된 인증서를 생성하기 전에 퍼블릭-프라이빗 키 쌍을 생성해야 합니다.

퍼블릭-프라이빗 키 쌍을 생성하려면 다음을 수행합니다.

주:

선택적으로 암호화 알고리즘과 암호화 키의 크기를 지정할 수 있습니다. 암호화 알고리즘 및 암호화 키 크기를 지정하지 않으면 기본값이 사용됩니다. 기본 암호화 알고리즘은 RSA이고 기본 암호화 키 크기는 1024비트입니다.

퍼블릭-프라이빗 키 쌍이 생성되면 스위치에 다음이 표시됩니다.

스위치에서 자체 서명 인증서 생성

자체 서명 인증서를 수동으로 생성하려면 인증서 ID 이름, 고유 이름(DN)의 주체, 도메인 이름, 스위치의 IP 주소 및 인증서 소유자의 이메일 주소를 포함합니다.

생성한 인증서는 스위치의 파일 시스템에 저장됩니다. 인증서를 생성하는 동안 지정한 인증서 ID는 HTTPS 또는 XNM-SSL 서비스를 사용하도록 설정하는 데 사용할 수 있는 고유 식별자입니다.

인증서가 제대로 생성되고 로드되었는지 확인하려면 작동 명령을 입력합니다 .show security pki local-certificate

참조

예: Secure Web Access 구성

이 예에서는 디바이스에서 보안 웹 액세스를 구성하는 방법을 보여 줍니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

주:

지정된 인터페이스에서 HTTPS 액세스를 활성화할 수 있습니다. 인터페이스를 지정하지 않고 HTTPS를 활성화하면 모든 인터페이스에서 HTTPS가 활성화됩니다.

개요

이 예제에서는 PEM 형식의 새 개인 키로 생성한 SSL 인증서를 가져옵니다. 그런 다음 HTTPS 액세스를 활성화하고 인증에 사용할 SSL 인증서를 지정합니다. 마지막으로, HTTPS 액세스를 사용할 포트를 8443으로 지정합니다.

토폴로지

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

장치에서 보안 웹 액세스를 구성하려면,

  1. SSL 인증서 및 개인 키를 가져옵니다.

  2. HTTPS 액세스를 활성화하고 SSL 인증서 및 포트를 지정합니다.

결과

구성 모드에서 show security 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

SSL 인증서 구성 확인

목적

SSL 인증서 구성을 확인합니다.

작업

운영 모드에서 show security 명령을 입력합니다.

보안 액세스 구성 확인

목적

보안 액세스 구성을 확인합니다.

작업

운영 모드에서 show system services 명령을 입력합니다. 다음 샘플 출력은 보안 웹 액세스에 대한 샘플 값을 표시합니다.

관련 항목