Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

신뢰할 수 있는 CA 인증서의 동적 업데이트

SUMMARY Junos OS 디바이스에서 신뢰할 수 있는 기본 CA 인증서의 동적 업데이트를 이해하고 구성하려면 이 주제를 읽어보십시오.

신뢰할 수 있는 CA 인증서의 동적 업데이트 이해

SRX 시리즈 방화벽과 같은 Junos OS 디바이스는 신뢰할 수 있는 기본 CA(인증 기관) 인증서 목록을 제공합니다. 이러한 인증서는 Junos OS 디바이스에 의해 동적으로 관리됩니다. 신뢰할 수 있는 CA 인증서의 사용자 지정 목록을 생성하여 디바이스에 로드할 수도 있습니다. 그러나 사용자 지정 신뢰할 수 있는 CA 인증서는 수동으로 관리해야 합니다. 이 섹션에서는 신뢰할 수 있는 기본 CA 인증서의 동적 관리에 대해 중점적으로 설명합니다.

신뢰할 수 있는 기본 CA 번들의 동적 업데이트 -

  • 손상 시 CA 제거는 자동으로 처리됩니다.

  • 신뢰할 수 있는 기본 CA 번들에 새 CA를 즉시 추가하면 새로운 Junos OS 릴리스를 기다릴 필요가 없습니다.

신뢰할 수 있는 기본 CA 인증서를 로드하려면 옵션을 사용하여 filename default보안 pki ca-certificate ca-profile-group 로드 요청을 참조하세요.

신뢰할 수 있는 CA 번들의 동적 업데이트와 관련된 작업

다음 작업은 신뢰할 수 있는 기본 CA 번들의 동적 업데이트의 일부로 수행됩니다.

  • 주니퍼 CDN 서버(http://signatures.juniper.net/cacert)는 신뢰할 수 있는 기본 CA 인증서를 호스팅합니다.

  • 서버는 EE 인증서와 함께 대상 파일 및 매니페스트 파일의 서명된 복사본을 호스트하여 이러한 파일의 서명된 복사본을 확인합니다. 대상 파일에는 신뢰할 수 있는 기본 CA 인증서 목록()이 포함되어 있습니다.default-trusted-ca-certs 매니페스트 파일에는 신뢰할 수 있는 기본 CA 번들의 수정 번호와 수정 날짜가 포함되어 있습니다.

  • 신뢰할 수 있는 CA 번들의 자동 다운로드는 Junos OS 디바이스에서 기본적으로 활성화됩니다. 기본 또는 기본이 아닌 라우팅 인스턴스를 사용하여 인터넷에 연결하여 신뢰할 수 있는 기본 CA 인증서를 다운로드하고 업데이트할 수 있습니다.

  • PKID를 사용하는 PKI(Public Key Management) 프로세스는 신뢰할 수 있는 기본 CA 번들(default-trusted-ca-certs)을 CDN 서버에서 디바이스로 안전하게 다운로드합니다.

    주:

    신뢰할 수 있는 CA 인증서의 동적 업데이트는 이전에 로드 ca-profile-group되고 수동으로 추가된 CA 인증서 및 다른 신뢰할 수 있는 그룹의 일부인 인증서에 대한 변경 사항을 관리하지 않습니다.

    신뢰할 수 있는 CA 인증서의 동적 업데이트 구성을 참조하십시오.

  • ca-profile-group load 명령이 실행되면 PKI 프로세스는 백그라운드에서 신뢰할 수 있는 기본 CA 인증서를 로드하여 CLI의 차단을 해제하고 다른 작업을 진행할 수 있도록 합니다.

  • 와(과) 연결된 default-trusted-ca-certs가 없는 ca-profile-group 경우, 각 주기적 폴링에서 PKI는 여전히 신뢰할 수 있는 CA 번들의 최신 사본을 디바이스에 다운로드합니다.

  • CA 인증서가 신뢰할 수 있는 기본 CA 목록에서 삭제되면 PKI 프로세스는 CA 인증서에 대한 모든 참조가 제거되도록 합니다. 에 trusted-ca-group참조가 있는 경우 실제 CA 인증서가 이미 삭제된 이름에 대한 ca-profile 참조만 보유합니다. 신뢰할 수 있는 CA 인증서의 동적 업데이트 구성을 참조하십시오.

  • PKI는 주기적으로, 기본적으로 24시간마다 CDN 서버에서 신뢰할 수 있는 최신 기본 CA 번들을 폴링하고 번들의 신뢰할 수 있는 CA에 대한 변경 내용에 대한 목록을 업데이트합니다. 변경 사항이 있는 경우 PKI 프로세스는 백그라운드에서 변경 사항을 로드합니다. 선택적으로 폴링 기간을 변경하고 이 자동 업데이트 프로세스를 비활성화할 수도 있습니다. 신뢰할 수 있는 CA 인증서의 동적 업데이트 구성을 참조하십시오.

신뢰할 수 있는 CA 인증서의 동적 업데이트 구성

전제 조건

신뢰할 수 있는 기본 CA 인증서의 동적 업데이트를 구성하기 전에 다음 필수 구성 요소를 충족하는지 확인합니다.

  • Junos OS 디바이스의 기본 설정이 완료되었습니다.

  • Junos OS 디바이스를 주니퍼 CDN 서버에 연결할 수 있습니다. 기본이 아닌 라우팅 인스턴스를 사용하여 인터넷에 연결하여 신뢰할 수 있는 기본 CA 인증서를 다운로드할 수도 있습니다. 신뢰할 수 있는 CA 인증서의 동적 업데이트를 구성하기 전에 기본이 아닌 라우팅 인스턴스가 구성되었는지 확인합니다. 주니퍼 CDN 서버에 대한 자세한 내용은 주니퍼 영업팀에 문의하십시오.

  • 사용자 지정 CDN 서버의 경우 최신 CA 인증서 및 URL이 있는지 확인합니다. 사용자 지정 CDN 서버의 구성은 이 항목의 범위를 벗어납니다.

요구 사항에 따라 다음 작업으로 이동하여 신뢰할 수 있는 기본 CA 번들의 동적 업데이트를 구성합니다.

CDN 서버와의 연결 확인

개요

다음 CLI를 사용하여 신뢰할 수 있는 기본 CA 인증서를 다운로드하기 위해 CDN 서버에 대한 연결을 확인합니다. 이 명령은 매니페스트 파일을 다운로드하고 CDN 서버에서 사용할 수 있는 trusted-ca-bundle 버전을 표시합니다.

명령에 대한 자세한 내용은 request security pki ca-certificate ca-profile-group default-trusted-ca-certs를 참조하세요.

구성

  1. Junos OS 디바이스의 운영 모드에서 CDN 서버로의 연결을 확인하려면 -

신뢰할 수 있는 기본 CA 인증서의 자동 다운로드 사용

개요

주니퍼 네트웍스는 주니퍼 CDN 서버에서 신뢰할 수 있는 기본 CA 인증서를 정기적으로 업데이트하고 Junos OS 디바이스에서 다운로드할 수 있도록 합니다. 신뢰할 수 있는 기본 CA 인증서의 자동 다운로드는 Junos OS 디바이스에서 기본적으로 활성화됩니다. 구성을 사용자 정의하고 지정된 간격으로 신뢰할 수 있는 최신 기본 CA 인증서를 로드할 수 있습니다. 기본 주기는 값을 지정하지 않는 경우 24시간입니다. 기본 주니퍼 CDN 서버(http://signatures.juniper.net/cacert)를 사용하는 경우 별도의 구성이 필요하지 않습니다.

이 예에서는 기본 구성 설정을 사용하여 Junos OS 디바이스에서 신뢰할 수 있는 기본 CA 인증서의 자동 다운로드를 활성화하는 방법을 보여줍니다. 구성 문에 대한 자세한 내용은 default-trusted-ca-certs(보안) 를 참조하십시오. 다운로드한 신뢰할 수 있는 기본 CA 인증서의 로드는 문 request security pki ca-certificate ca-profile-group load 명령을 사용하여 백그라운드에서 자동으로 수행됩니다. 인증서를 로드하기 위해 이 명령을 명시적으로 실행할 필요는 없습니다.

구성

신뢰할 수 있는 기본 CA 인증서의 자동 다운로드가 기본적으로 사용되므로 별도의 구성이 필요하지 않습니다.

신뢰할 수 있는 기본 CA 인증서의 자동 다운로드를 위한 사용자 지정 구성 제공

개요

이 예에서는 사용자 지정 CA 인증서의 자동 다운로드를 활성화하면서 다음과 같은 사용자 지정 구성을 제공합니다.

  • 48시간마다 신뢰할 수 있는 기본 CA 인증서를 다운로드 및 설치하도록 Junos OS 디바이스를 구성합니다.

  • URL signatures.example.net 를 통해 연결할 수 있는 사용자 지정 CDN 서버를 지정합니다.

  • CDN 서버에 연결할 기본이 아닌 라우팅 인스턴스를 지정합니다.

구성 문에 대한 자세한 내용은 default-trusted-ca-certs(보안) 를 참조하십시오.

구성

구성

  1. 다운로드 및 로드 작업의 주기를 48시간으로 설정합니다. 이 CLI는 인증서를 Junos OS 디바이스에 자동으로 로드합니다.

  2. 사용자 지정 URL을 지정합니다.

  3. 라우팅 인스턴스를 지정합니다.

  4. 구성을 커밋합니다.

신뢰할 수 있는 기본 CA 인증서를 명시적으로 다운로드

개요

다음 CLI를 사용하여 신뢰할 수 있는 기본 CA 인증서를 CDN 서버에서 Junos OS 디바이스로 수동으로 다운로드합니다. 이 명령은 정기적으로 신뢰할 수 있는 기본 CA 인증서를 자동으로 다운로드하는 것에 추가됩니다.

명령에 대한 자세한 내용은 request security pki ca-certificate ca-profile-group default-trusted-ca-certs 를 참조하세요.

구성

구성

  1. Junos OS 디바이스의 운영 모드에서 신뢰할 수 있는 기본 CA 인증서를 명시적으로 다운로드하려면 -

신뢰할 수 있는 기본 CA 인증서의 다운로드 상태 확인

개요

다음 CLI를 사용하여 CDN 서버의 Junos OS 디바이스에 있는 신뢰할 수 있는 기본 CA 인증서의 다운로드 상태를 확인합니다. 이 명령은 버전 번호와 버전 날짜를 표시합니다. 이 명령을 사용하여 이전에 다운로드한 버전 및 날짜를 확인할 수 있습니다.

명령에 대한 자세한 내용은 request security pki ca-certificate ca-profile-group default-trusted-ca-certs 를 참조하세요.

구성

구성

  1. Junos OS 디바이스에서 사용 가능한 버전 번호와 버전 날짜를 확인하려면 -

신뢰할 수 있는 CA 인증서의 자동 다운로드 비활성화

개요

자동 다운로드는 기본적으로 사용하도록 설정되어 있습니다. 이 예제에서는 신뢰할 수 있는 기본 CA 인증서의 자동 다운로드를 비활성화하는 방법을 보여 주지만 권장하지는 않습니다.

구성 문에 대한 자세한 내용은 default-trusted-ca-certs(보안) 를 참조하십시오.

구성

구성

  1. 신뢰할 수 있는 기본 CA 인증서의 자동 다운로드를 비활성화하려면 -

  2. 구성을 커밋합니다.