신뢰할 수 있는 CA 인증서 동적 업데이트
SUMMARY 이 주제를 읽고 Junos OS 디바이스에서 기본 신뢰할 수 있는 CA 인증서의 동적 업데이트를 이해하고 구성하십시오.
신뢰할 수 있는 CA 인증서의 동적 업데이트 이해
SRX 시리즈 방화벽과 같은 Junos OS 디바이스는 기본 신뢰할 수 있는 CA(인증 기관) 인증서 목록을 제공합니다. 이러한 인증서는 Junos OS 디바이스에 의해 동적으로 관리됩니다. 신뢰할 수 있는 CA 인증서의 사용자 지정 목록을 생성하여 디바이스에 로드할 수도 있습니다. 그러나 사용자 지정 신뢰할 수 있는 CA 인증서를 수동으로 관리해야 합니다. 이 섹션에서는 기본 신뢰할 수 있는 CA 인증서의 동적 관리에 초점을 맞춥니다.
기본 신뢰할 수 있는 CA 번들의 동적 업데이트와 함께 -
-
감염된 경우 CA 제거가 자동으로 처리됩니다.
-
기본 신뢰할 수 있는 CA 번들에 새로운 CA를 추가하는 것은 새로운 Junos OS 릴리스를 기다릴 필요 없이 즉시 제공됩니다.
신뢰할 수 있는 기본 CA 인증서를 로드하려면 옵션 포함 보안 pki ca-certificate ca-profile-group 로드filename default 를 요청하십시오.
신뢰할 수 있는 CA 번들의 동적 업데이트와 관련된 작업
기본 신뢰할 수 있는 CA 번들의 동적 업데이트의 일부로 다음 작업이 수행됩니다.
-
Juniper CDN 서버(http://signatures.juniper.net/cacert)는 기본 신뢰할 수 있는 CA 인증서를 호스팅합니다.
-
서버는 EE 인증서와 함께 대상 파일 및 매니페스트 파일의 서명된 사본을 호스팅하여 이러한 파일의 서명된 사본을 확인합니다. 대상 파일에는 기본 신뢰할 수 있는 CA 인증서 목록(
default-trusted-ca-certs)이 포함되어 있습니다. 매니페스트 파일에는 기본 신뢰할 수 있는 CA 번들의 수정 번호와 수정 날짜가 포함됩니다. -
신뢰할 수 있는 CA 번들의 자동 다운로드는 기본적으로 Junos OS 디바이스에서 활성화됩니다. 기본 또는 기본이 아닌 라우팅 인스턴스를 사용하여 인터넷에 연결하여 기본 신뢰할 수 있는 CA 인증서를 다운로드하고 업데이트할 수 있습니다.
-
PKID를 사용하는 PKI(Public Key Management) 프로세스는 CDN 서버에서 디바이스로 기본 신뢰할 수 있는 CA 번들(
default-trusted-ca-certs)을 안전하게 다운로드합니다.주:신뢰할 수 있는 CA 인증서의 동적 업데이트는 다른 신뢰할 수 있는 그룹의 일부인 이전에 로드되고 수동으로 추가된
ca-profile-groupCA 인증서 및 인증서에 대한 변경 사항을 관리하지 않습니다.신뢰할 수 있는 CA 인증서의 동적 업데이트 구성을 참조하십시오.
-
명령이
ca-profile-groupload실행되면 PKI 프로세스는 기본 신뢰할 수 있는 CA 인증서를 백그라운드로 로드하여 CLI 차단을 해제하여 다른 작업을 진행할 수 있도록 합니다. -
각 주기적 폴링과 관련이
default-trusted-ca-certs없는ca-profile-group경우 PKI는 신뢰할 수 있는 CA 번들의 최신 사본을 디바이스에 다운로드합니다. -
기본 신뢰할 수 있는 CA 목록에서 CA 인증서가 삭제되면 PKI 프로세스는 CA 인증서에 대한 모든 참조가 제거되도록 보장합니다. 참조가 있는
trusted-ca-group경우, 실제 CA 인증서가 이미 삭제된 이름에 대한 참조ca-profile만 보유합니다. 신뢰할 수 있는 CA 인증서의 동적 업데이트 구성을 참조하십시오. -
PKI 프로세스는 기본적으로 24시간마다 주기적으로 CDN 서버를 최신 기본 신뢰할 수 있는 CA 번들에 대해 폴링하고 번들의 신뢰할 수 있는 CA에 대한 변경 사항에 대해 목록을 업데이트합니다. 변경 사항이 있는 경우 PKI 프로세스가 백그라운드에서 로드됩니다. 선택적으로 폴링 기간을 변경하고 이 자동 업데이트 프로세스를 비활성화할 수 있습니다. 신뢰할 수 있는 CA 인증서의 동적 업데이트 구성을 참조하십시오.
신뢰할 수 있는 CA 인증서의 동적 업데이트 구성
전제 조건
기본 신뢰할 수 있는 CA 인증서의 동적 업데이트를 구성하기 전에 다음 사전 필수 사항을 충족해야 합니다.
-
Junos OS 디바이스의 기본 구성이 완료되었습니다.
-
Junos OS 디바이스는 Juniper CDN 서버에 연결할 수 있습니다. 기본이 아닌 라우팅 인스턴스를 사용하여 인터넷에 연결하여 기본 신뢰할 수 있는 CA 인증서를 다운로드할 수 있습니다. 신뢰할 수 있는 CA 인증서의 동적 업데이트를 구성하기 전에 기본이 아닌 라우팅 인스턴스가 구성되었는지 확인합니다. Juniper CDN 서버 세부 정보는 Juniper 영업부에 문의하십시오.
- 사용자 지정 CDN 서버의 경우 최신 CA 인증서와 URL을 보유해야 합니다. 사용자 지정 CDN 서버 구성은 이 주제의 범위를 벗어나 있습니다.
요구 사항에 따라 다음 작업으로 이동하여 기본 신뢰할 수 있는 CA 번들의 동적 업데이트를 구성합니다.
- CDN 서버에 대한 연결 확인
- 기본 신뢰할 수 있는 CA 인증서 자동 다운로드 활성화
- 기본 신뢰할 수 있는 CA 인증서의 자동 다운로드를 위한 사용자 지정 구성 제공
- 기본 신뢰할 수 있는 CA 인증서 명시적으로 다운로드
- 기본 신뢰할 수 있는 CA 인증서 다운로드 상태 확인
- 신뢰할 수 있는 CA 인증서의 자동 다운로드 비활성화
CDN 서버에 대한 연결 확인
개요
다음 CLI를 사용하여 기본 신뢰할 수 있는 CA 인증서를 다운로드하기 위해 CDN 서버에 대한 연결을 확인합니다. 이 명령은 매니페스트 파일을 다운로드하고 CDN 서버에서 사용할 수 있는 신뢰할 수 있는 ca-번들 버전을 표시합니다.
명령에 대한 자세한 내용은 보안 pki ca-certificate ca-profile-group default-trusted-ca-certs를 참조하십시오.
구성
-
Junos OS 디바이스 운영 모드에서 CDN 서버에 대한 연결을 확인하려면 -
user@host> request security pki ca-certificate ca-profile-group default-trusted-ca-certs download check-server
기본 신뢰할 수 있는 CA 인증서 자동 다운로드 활성화
개요
주니퍼 네트웍스 Juniper CDN 서버에서 기본 신뢰할 수 있는 CA 인증서를 정기적으로 업데이트하고 Junos OS 디바이스에서 다운로드할 수 있게 합니다. 기본 신뢰할 수 있는 CA 인증서 자동 다운로드는 기본적으로 Junos OS 디바이스에서 활성화됩니다. 구성을 사용자 정의하고 지정된 간격으로 최신 기본 신뢰할 수 있는 CA 인증서를 로드할 수 있습니다. 값을 지정하지 않으면 기본 주기는 24시간입니다. 기본 Juniper CDN 서버()http://signatures.juniper.net/cacert를 사용하면 별도의 구성이 필요하지 않습니다.
이 예는 기본 구성 설정을 사용하여 Junos OS 디바이스에서 기본 신뢰할 수 있는 CA 인증서를 자동으로 다운로드하는 방법을 보여줍니다. 구성 문 에 대한 자세한 내용은 기본 신뢰할 수 있는 ca-certs(보안) 를 참조하십시오. 다운로드한 기본 신뢰할 수 있는 CA 인증서의 로드는 명령문 요청 보안 pki ca-certificate ca-profile-group 로드 명령을 사용하여 백그라운드에서 자동으로 발생합니다. 인증서를 로드하기 위해 이 명령을 명시적으로 실행할 필요가 없습니다.
구성
기본 신뢰할 수 있는 CA 인증서의 자동 다운로드가 기본적으로 활성화되어 있으므로 별도의 구성이 필요하지 않습니다.
기본 신뢰할 수 있는 CA 인증서의 자동 다운로드를 위한 사용자 지정 구성 제공
개요
이 예에서는 사용자 지정 CA 인증서를 자동으로 다운로드하는 동시에 다음과 같은 사용자 지정 구성을 제공합니다.
-
48시간마다 기본 신뢰할 수 있는 CA 인증서를 다운로드하여 설치하도록 Junos OS 디바이스를 구성합니다.
-
URL signatures.example.net 통해 연결할 수 있는 사용자 지정 CDN 서버를 지정합니다.
-
CDN 서버에 연결할 기본이 아닌 라우팅 인스턴스를 지정합니다.
구성 문 에 대한 자세한 내용은 기본 신뢰할 수 있는 ca-certs(보안) 를 참조하십시오.
구성
구성
-
다운로드 및 로드 작업의 주기를 48시간으로 설정합니다. 이 CLI는 인증서를 Junos OS 디바이스에 자동으로 로드합니다.
[edit] user@host# set security pki default-trusted-ca-certs automatic-download interval hours 48
-
사용자 지정 URL을 지정합니다.
[edit] user@host# set security pki default-trusted-ca-certs automatic-download url signatures.example.net
-
라우팅 인스턴스를 지정합니다.
[edit] user@host# set security pki default-trusted-ca-certs automatic-download routing-instance RI1
-
구성을 커밋합니다.
[edit] user@host# commit
기본 신뢰할 수 있는 CA 인증서 명시적으로 다운로드
개요
다음 CLI를 사용하여 기본 신뢰할 수 있는 CA 인증서를 CDN 서버에서 Junos OS 디바이스로 수동으로 다운로드합니다. 이 명령은 정기적으로 기본 신뢰할 수 있는 CA 인증을 자동으로 다운로드하는 것 외에도 적용됩니다.
명령에 대한 자세한 내용은 보안 pki ca-certificate ca-profile-group default-trusted-ca-certs 를 참조하십시오.
구성
구성
-
Junos OS 디바이스의 운영 모드에서 기본 신뢰할 수 있는 CA 인증서를 명시적으로 다운로드하려면
user@host> request security pki ca-certificate ca-profile-group default-trusted-ca-certs download
기본 신뢰할 수 있는 CA 인증서 다운로드 상태 확인
개요
다음 CLI를 사용하여 CDN 서버에서 Junos OS 디바이스에서 기본 신뢰할 수 있는 CA 인증서의 다운로드 상태를 확인합니다. 이 명령은 버전 번호와 버전 날짜를 표시합니다. 이 명령을 사용하여 이전에 다운로드한 버전 및 날짜를 확인할 수 있습니다.
명령에 대한 자세한 내용은 보안 pki ca-certificate ca-profile-group default-trusted-ca-certs 를 참조하십시오.
구성
구성
-
Junos OS 디바이스에서 사용할 수 있는 버전 번호와 버전 날짜를 확인하려면 -
user@host> request security pki ca-certificate ca-profile-group default-trusted-ca-certs download status
신뢰할 수 있는 CA 인증서의 자동 다운로드 비활성화
개요
자동 다운로드는 기본적으로 활성화되어 있습니다. 이 예는 권장하지는 않지만 기본 신뢰할 수 있는 CA 인증서의 자동 다운로드를 비활성화하는 방법을 보여줍니다.
구성 문 에 대한 자세한 내용은 기본 신뢰할 수 있는 ca-certs(보안) 를 참조하십시오.
구성
구성
-
기본 신뢰할 수 있는 CA 인증서의 자동 다운로드를 비활성화하려면 -
[edit] user@host# set security pki default-trusted-ca-certs automatic-download deactivate
-
구성을 커밋합니다.
[edit] user@host# commit