신뢰할 수 있는 CA 인증서의 동적 업데이트
SUMMARY Junos OS 디바이스에서 신뢰할 수 있는 기본 CA 인증서의 동적 업데이트를 이해하고 구성하려면 이 주제를 읽어보십시오.
신뢰할 수 있는 CA 인증서의 동적 업데이트 이해
SRX 시리즈 방화벽과 같은 Junos OS 디바이스는 신뢰할 수 있는 기본 CA(인증 기관) 인증서 목록을 제공합니다. 이러한 인증서는 Junos OS 디바이스에 의해 동적으로 관리됩니다. 신뢰할 수 있는 CA 인증서의 사용자 지정 목록을 생성하여 디바이스에 로드할 수도 있습니다. 그러나 사용자 지정 신뢰할 수 있는 CA 인증서는 수동으로 관리해야 합니다. 이 섹션에서는 신뢰할 수 있는 기본 CA 인증서의 동적 관리에 대해 중점적으로 설명합니다.
신뢰할 수 있는 기본 CA 번들의 동적 업데이트 -
-
손상 시 CA 제거는 자동으로 처리됩니다.
-
신뢰할 수 있는 기본 CA 번들에 새 CA를 즉시 추가하면 새로운 Junos OS 릴리스를 기다릴 필요가 없습니다.
신뢰할 수 있는 기본 CA 인증서를 로드하려면 옵션을 사용하여 filename default
보안 pki ca-certificate ca-profile-group 로드 요청을 참조하세요.
신뢰할 수 있는 CA 번들의 동적 업데이트와 관련된 작업
다음 작업은 신뢰할 수 있는 기본 CA 번들의 동적 업데이트의 일부로 수행됩니다.
-
주니퍼 CDN 서버(http://signatures.juniper.net/cacert)는 신뢰할 수 있는 기본 CA 인증서를 호스팅합니다.
-
서버는 EE 인증서와 함께 대상 파일 및 매니페스트 파일의 서명된 복사본을 호스트하여 이러한 파일의 서명된 복사본을 확인합니다. 대상 파일에는 신뢰할 수 있는 기본 CA 인증서 목록()이 포함되어 있습니다.
default-trusted-ca-certs
매니페스트 파일에는 신뢰할 수 있는 기본 CA 번들의 수정 번호와 수정 날짜가 포함되어 있습니다. -
신뢰할 수 있는 CA 번들의 자동 다운로드는 Junos OS 디바이스에서 기본적으로 활성화됩니다. 기본 또는 기본이 아닌 라우팅 인스턴스를 사용하여 인터넷에 연결하여 신뢰할 수 있는 기본 CA 인증서를 다운로드하고 업데이트할 수 있습니다.
-
PKID를 사용하는 PKI(Public Key Management) 프로세스는 신뢰할 수 있는 기본 CA 번들(
default-trusted-ca-certs
)을 CDN 서버에서 디바이스로 안전하게 다운로드합니다.주:신뢰할 수 있는 CA 인증서의 동적 업데이트는 이전에 로드
ca-profile-group
되고 수동으로 추가된 CA 인증서 및 다른 신뢰할 수 있는 그룹의 일부인 인증서에 대한 변경 사항을 관리하지 않습니다.신뢰할 수 있는 CA 인증서의 동적 업데이트 구성을 참조하십시오.
-
ca-profile-group
load
명령이 실행되면 PKI 프로세스는 백그라운드에서 신뢰할 수 있는 기본 CA 인증서를 로드하여 CLI의 차단을 해제하고 다른 작업을 진행할 수 있도록 합니다. -
와(과) 연결된
default-trusted-ca-certs
가 없는ca-profile-group
경우, 각 주기적 폴링에서 PKI는 여전히 신뢰할 수 있는 CA 번들의 최신 사본을 디바이스에 다운로드합니다. -
CA 인증서가 신뢰할 수 있는 기본 CA 목록에서 삭제되면 PKI 프로세스는 CA 인증서에 대한 모든 참조가 제거되도록 합니다. 에
trusted-ca-group
참조가 있는 경우 실제 CA 인증서가 이미 삭제된 이름에 대한ca-profile
참조만 보유합니다. 신뢰할 수 있는 CA 인증서의 동적 업데이트 구성을 참조하십시오. -
PKI는 주기적으로, 기본적으로 24시간마다 CDN 서버에서 신뢰할 수 있는 최신 기본 CA 번들을 폴링하고 번들의 신뢰할 수 있는 CA에 대한 변경 내용에 대한 목록을 업데이트합니다. 변경 사항이 있는 경우 PKI 프로세스는 백그라운드에서 변경 사항을 로드합니다. 선택적으로 폴링 기간을 변경하고 이 자동 업데이트 프로세스를 비활성화할 수도 있습니다. 신뢰할 수 있는 CA 인증서의 동적 업데이트 구성을 참조하십시오.
신뢰할 수 있는 CA 인증서의 동적 업데이트 구성
전제 조건
신뢰할 수 있는 기본 CA 인증서의 동적 업데이트를 구성하기 전에 다음 필수 구성 요소를 충족하는지 확인합니다.
-
Junos OS 디바이스의 기본 설정이 완료되었습니다.
-
Junos OS 디바이스를 주니퍼 CDN 서버에 연결할 수 있습니다. 기본이 아닌 라우팅 인스턴스를 사용하여 인터넷에 연결하여 신뢰할 수 있는 기본 CA 인증서를 다운로드할 수도 있습니다. 신뢰할 수 있는 CA 인증서의 동적 업데이트를 구성하기 전에 기본이 아닌 라우팅 인스턴스가 구성되었는지 확인합니다. 주니퍼 CDN 서버에 대한 자세한 내용은 주니퍼 영업팀에 문의하십시오.
- 사용자 지정 CDN 서버의 경우 최신 CA 인증서 및 URL이 있는지 확인합니다. 사용자 지정 CDN 서버의 구성은 이 항목의 범위를 벗어납니다.
요구 사항에 따라 다음 작업으로 이동하여 신뢰할 수 있는 기본 CA 번들의 동적 업데이트를 구성합니다.
- CDN 서버와의 연결 확인
- 신뢰할 수 있는 기본 CA 인증서의 자동 다운로드 사용
- 신뢰할 수 있는 기본 CA 인증서의 자동 다운로드를 위한 사용자 지정 구성 제공
- 신뢰할 수 있는 기본 CA 인증서를 명시적으로 다운로드
- 신뢰할 수 있는 기본 CA 인증서의 다운로드 상태 확인
- 신뢰할 수 있는 CA 인증서의 자동 다운로드 비활성화
CDN 서버와의 연결 확인
개요
다음 CLI를 사용하여 신뢰할 수 있는 기본 CA 인증서를 다운로드하기 위해 CDN 서버에 대한 연결을 확인합니다. 이 명령은 매니페스트 파일을 다운로드하고 CDN 서버에서 사용할 수 있는 trusted-ca-bundle 버전을 표시합니다.
명령에 대한 자세한 내용은 request security pki ca-certificate ca-profile-group default-trusted-ca-certs를 참조하세요.
구성
-
Junos OS 디바이스의 운영 모드에서 CDN 서버로의 연결을 확인하려면 -
user@host> request security pki ca-certificate ca-profile-group default-trusted-ca-certs download check-server
신뢰할 수 있는 기본 CA 인증서의 자동 다운로드 사용
개요
주니퍼 네트웍스는 주니퍼 CDN 서버에서 신뢰할 수 있는 기본 CA 인증서를 정기적으로 업데이트하고 Junos OS 디바이스에서 다운로드할 수 있도록 합니다. 신뢰할 수 있는 기본 CA 인증서의 자동 다운로드는 Junos OS 디바이스에서 기본적으로 활성화됩니다. 구성을 사용자 정의하고 지정된 간격으로 신뢰할 수 있는 최신 기본 CA 인증서를 로드할 수 있습니다. 기본 주기는 값을 지정하지 않는 경우 24시간입니다. 기본 주니퍼 CDN 서버(http://signatures.juniper.net/cacert)를 사용하는 경우 별도의 구성이 필요하지 않습니다.
이 예에서는 기본 구성 설정을 사용하여 Junos OS 디바이스에서 신뢰할 수 있는 기본 CA 인증서의 자동 다운로드를 활성화하는 방법을 보여줍니다. 구성 문에 대한 자세한 내용은 default-trusted-ca-certs(보안) 를 참조하십시오. 다운로드한 신뢰할 수 있는 기본 CA 인증서의 로드는 문 request security pki ca-certificate ca-profile-group load 명령을 사용하여 백그라운드에서 자동으로 수행됩니다. 인증서를 로드하기 위해 이 명령을 명시적으로 실행할 필요는 없습니다.
구성
신뢰할 수 있는 기본 CA 인증서의 자동 다운로드가 기본적으로 사용되므로 별도의 구성이 필요하지 않습니다.
신뢰할 수 있는 기본 CA 인증서의 자동 다운로드를 위한 사용자 지정 구성 제공
개요
이 예에서는 사용자 지정 CA 인증서의 자동 다운로드를 활성화하면서 다음과 같은 사용자 지정 구성을 제공합니다.
-
48시간마다 신뢰할 수 있는 기본 CA 인증서를 다운로드 및 설치하도록 Junos OS 디바이스를 구성합니다.
-
URL signatures.example.net 를 통해 연결할 수 있는 사용자 지정 CDN 서버를 지정합니다.
-
CDN 서버에 연결할 기본이 아닌 라우팅 인스턴스를 지정합니다.
구성 문에 대한 자세한 내용은 default-trusted-ca-certs(보안) 를 참조하십시오.
구성
구성
-
다운로드 및 로드 작업의 주기를 48시간으로 설정합니다. 이 CLI는 인증서를 Junos OS 디바이스에 자동으로 로드합니다.
[edit] user@host# set security pki default-trusted-ca-certs automatic-download interval hours 48
-
사용자 지정 URL을 지정합니다.
[edit] user@host# set security pki default-trusted-ca-certs automatic-download url signatures.example.net
-
라우팅 인스턴스를 지정합니다.
[edit] user@host# set security pki default-trusted-ca-certs automatic-download routing-instance RI1
-
구성을 커밋합니다.
[edit] user@host# commit
신뢰할 수 있는 기본 CA 인증서를 명시적으로 다운로드
개요
다음 CLI를 사용하여 신뢰할 수 있는 기본 CA 인증서를 CDN 서버에서 Junos OS 디바이스로 수동으로 다운로드합니다. 이 명령은 정기적으로 신뢰할 수 있는 기본 CA 인증서를 자동으로 다운로드하는 것에 추가됩니다.
명령에 대한 자세한 내용은 request security pki ca-certificate ca-profile-group default-trusted-ca-certs 를 참조하세요.
구성
구성
-
Junos OS 디바이스의 운영 모드에서 신뢰할 수 있는 기본 CA 인증서를 명시적으로 다운로드하려면 -
user@host> request security pki ca-certificate ca-profile-group default-trusted-ca-certs download
신뢰할 수 있는 기본 CA 인증서의 다운로드 상태 확인
개요
다음 CLI를 사용하여 CDN 서버의 Junos OS 디바이스에 있는 신뢰할 수 있는 기본 CA 인증서의 다운로드 상태를 확인합니다. 이 명령은 버전 번호와 버전 날짜를 표시합니다. 이 명령을 사용하여 이전에 다운로드한 버전 및 날짜를 확인할 수 있습니다.
명령에 대한 자세한 내용은 request security pki ca-certificate ca-profile-group default-trusted-ca-certs 를 참조하세요.
구성
구성
-
Junos OS 디바이스에서 사용 가능한 버전 번호와 버전 날짜를 확인하려면 -
user@host> request security pki ca-certificate ca-profile-group default-trusted-ca-certs download status
신뢰할 수 있는 CA 인증서의 자동 다운로드 비활성화
개요
자동 다운로드는 기본적으로 사용하도록 설정되어 있습니다. 이 예제에서는 신뢰할 수 있는 기본 CA 인증서의 자동 다운로드를 비활성화하는 방법을 보여 주지만 권장하지는 않습니다.
구성 문에 대한 자세한 내용은 default-trusted-ca-certs(보안) 를 참조하십시오.
구성
구성
-
신뢰할 수 있는 기본 CA 인증서의 자동 다운로드를 비활성화하려면 -
[edit] user@host# set security pki default-trusted-ca-certs automatic-download deactivate
-
구성을 커밋합니다.
[edit] user@host# commit