Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PKI(Junos OS

SUMMARY 이 주제는 PKI(Public Key Infrastructure)의 기본 요소를 Junos OS.

PKI(Public Key Infrastructure)는 공용 암호화 키의 배포 및 신원 확인을 지원하기 때문에 사용자들은 인터넷과 같은 네트워크를 통해 안전하게 데이터를 교환하고 다른 사용자의 ID를 확인할 수 있습니다.

Introduction to PKI in Junos OS

PKI 애플리케이션 개요

이 Junos OS 다음 영역에서 공용/전용 키를 사용하게 됩니다.

  • SSH/SCP(안전한 보안 명령줄 인터페이스 [CLI]기반 관리)

  • SSL(Secure Sockets Layer)(안전한 웹 기반 관리 및 사용자 인증을 위한 https 기반 웹 인증용)

  • Internet Key Exchange(IKE(Internet Key Exchange))(IPsec VPN 터널의 경우)

주:

참고:

  • 현재 Junos OS 공개 키 검증을 위해 IKE(Internet Key Exchange)(PKI(Public Key Infrastructure) 인증서만 지원하고 있습니다.

  • SSH 및 SCP는 시스템 관리 전용으로 사용하며 공용 키 ID의 구속력과 검증을 위해 대역 외 핑거프린트의 사용에 따라 달라지기 쉽습니다. SSH에 대한 자세한 내용은 이 주제에서 다루지 않습니다.

PKI를 관리하는 Junos OS

다음 구성 요소는 PKI를 관리하기 위해 Junos OS:

  • CA(certificate authority) 인증 및 권한 구성

  • 장비 ID를 포함한 로컬 인증서(예: IKE(Internet Key Exchange) ID 유형 및 값) 및 프라이빗 및 공용 키

  • CRL(Certificate Revocation List)을 통한 인증서 검증

PKI의 기본 Junos OS

Junos OS PKI 객체의 세 가지 구체적인 유형을 지원합니다.

  • 프라이빗/공용 키 페어

  • 인증서

    • 로컬 인증서—로컬 인증서는 디바이스에 대한 공용 키 및 id 주니퍼 네트웍스 있습니다. 이 주니퍼 네트웍스 디바이스는 관련 전용 키를 소유합니다. 이 인증서는 장비의 인증서 요청에 따라 주니퍼 네트웍스 생성됩니다.

    • 중인 인증서 — 중인 인증서에는 PKCS10 인증서 요청으로 생성되어 인증서 기관(CA(certificate authority))으로 수동으로 전송되는 키 쌍과 ID 정보가 포함되어 있습니다. 주니퍼 네트웍스 디바이스가 인증서를 CA(certificate authority) 동안 기존 객체(키 쌍 및 인증서 요청)는 인증서 요청 또는 대기 중인 인증서로 태그됩니다.

      주:

      Junos OS Release 9.0 이상은 SCEP를 통해 인증서 요청을 자동 전송할 수 있습니다.

    • CA(certificate authority) 인증서 — 증명서가 CA(certificate authority) 디바이스에 로드되어 Junos OS 중인 인증서가 새로 생성된 로컬 인증서로 대체됩니다. 장비에 로드된 다른 모든 증명서는 증명서에 CA(certificate authority) 간주됩니다.

  • CR(Certificate Revocation list)

인증서에 대한 다음 지점에 유의하십시오.

  • 로컬 인증서는 일반적으로 Junos OS 디바이스에 VPN이 두 개 이상의 관리 도메인에 있는 경우 사용됩니다.

  • 모든 PKI 객체는 네트워크 이미지와 시스템의 일반적인 구성을 Junos OS 분리된 영구 메모리에 저장됩니다.

  • 각 PKI 객체는 생성될 때 고유의 이름 또는 인증서 ID를 가지고 있으며 삭제될 때까지 해당 ID를 유지 관리합니다. 명령어를 사용하여 Certificate-ID를 볼 수 show security pki local-certificate 있습니다.

  • 대부분의 경우 증명서는 장비에서 복사할 수 없습니다. 장비의 개인 키는 해당 디바이스에서만 생성되어야 합니다. 해당 디바이스에서만 볼 수 있으며 저장되어도 안 됩니다. 따라서 PKCS12 파일(공용 키와 관련 전용 키를 포함하는 증명서 포함)은 모든 디바이스에서 Junos OS 수 없습니다.

  • CA(certificate authority) 피어에서 수신한 증명서의 유효성을 IKE(Internet Key Exchange) 검증합니다. 증명서가 유효한 경우 CRL에서 검증하여 증명서가 취소된지 여부를 확인할 수 있습니다.

    각 CA(certificate authority) 인증서에는 다음과 같은 CA(certificate authority) 프로파일 구성이 포함되어 있습니다.

    • CA(certificate authority) ID(일반적으로 CA(certificate authority)

    • 인증서 요청을 직접 전송하기 위한 e-메일 주소로 CA(certificate authority)

    • 취소 설정:

      • 취소 확인 활성화/비활성화 옵션

      • CRL 다운로드에 장애가 발생하면 취소 확인을 취소합니다.

      • CDP(CRL Distribution Point)의 위치(수동 URL 설정용)

      • CRL 갱신 간격

주요 PKI Junos OS

이 주제에는 다음 섹션이 포함되어 있습니다.

PKI 관리 및 구현

인증 기반 인증에 필요한 최소 PKI Junos OS:

  • CA(certificate authority) 인증 및 권한 구성을 제공합니다.

  • 장비 ID를 포함한 로컬 인증서(예: IKE(Internet Key Exchange) ID 유형 및 값) 및 프라이빗 및 공용 키

  • CRL을 통한 인증 검증.

Junos OS PKI 객체의 세 가지 유형을 지원합니다.

Internet Key Exchange

Internet Key Exchange(IKE(Internet Key Exchange)) 세션의 두 참가자 간에 전송되는 디지털 서명 메시지의 절차는 디지털 인증서 검증과 유사합니다.

  • 발신인은 CA(certificate authority) 패킷 페이로드의 데이터에서 다이제스트를 생성합니다.

  • 참가자들은 CA(certificate authority) 공개-전용 키 쌍을 사용하는 대신 발신자 개인 키 쌍을 사용합니다.

신뢰할 수 CA(certificate authority) 그룹

인증 기관(CA(certificate authority))은 인증서 발행 및 취소를 담당하는 신뢰할 수 있는 제3자입니다. 여러 CAS(CA(certificate authority) 프로파일)를 신뢰할 수 있는 단일 CA(certificate authority) 그룹으로 그룹화할 수 있습니다. 이들 인증서는 두 개의 엔드포인트 간 연결을 설정하는 데 사용됩니다. IKE(Internet Key Exchange) 또는 IPsec을 설정하려면 두 엔드포인트가 동일한 연결을 신뢰해야 CA(certificate authority). 엔드포인트 중 하나에서 각각 해당 신뢰할 수 있는 CA(certificate authority)(ca-profile) 또는 신뢰할 수 있는 CA(certificate authority) 그룹을 사용하여 증명서의 유효성을 검증할 수 없는 경우 연결이 설정되지 않습니다.

예를 들어, 보안 연결을 구축하려는 엔드포인트 A와 엔드포인트 B는 2개의 엔드포인트가 있습니다. 엔드포인트 B가 엔드포인트 A에 인증서를 제시하면, 엔드포인트 A는 증명서의 유효성을 검사합니다. CA(certificate authority) A는 엔드포인트 B가 인증을 위해 사용하고 있는 서명된 인증서를 검증합니다. 구성될 경우 디바이스는 이 CA(certificate authority) 또는 단말 장치 B에서 오는 인증서를 검증하기 위해 구성된 CA(certificate authority) 프로파일만 trusted-catrusted-ca-grouptrusted-ca-grouptrusted-ca 사용합니다. 증명서가 유효한 것으로 확인되면 연결이 허용되면 다른 연결은 거부됩니다.

이점:

  • 수신 연결 요청의 경우 해당 엔드포인트의 신뢰할 수 있는 특정 CA(certificate authority) 발행된 인증서만 검증됩니다. 그렇지 않은 경우 인증은 연결 설정이 거부됩니다.

암호화 키 처리 개요

암호화 키 처리를 통해 영구 키는 변경 시도 없이 디바이스 메모리에 저장됩니다. 내부 메모리 장비가 잠재적 공격자들에게 직접적으로 액세스할 수 없는 것은 물론, 두 번째 방어 계층이 필요한 사용자들은 암호 키에 대한 특수한 처리를 지원할 수 있습니다. 암호화 키 처리가 활성화되면 즉시 사용할 수 없는 키를 암호화하고 한 메모리 위치에서 다른 메모리로 키를 복사할 때 오류 감지를 수행하고 키가 더 이상 사용할 수 없는 경우 임의의 비트 패턴으로 키의 메모리 위치를 덮어씁습니다. 키는 장비의 플래시 메모리에 저장될 때도 보호됩니다. 암호화 키 처리 기능을 활성화하면 디바이스의 동작이 외부에서 관찰할 수 있는 변경을 유발하지 않습니다. 해당 장치는 계속해서 다른 장치와 상호 연동됩니다.

암호화 관리자는 암호화 셀프 테스트 기능을 활성화 및 비활성화할 수 있습니다. 그러나 보안 관리자는 주기적인 셀프 테스트를 구성하거나 암호화 셀프 테스트의 하위 세트를 선택하는 등 암호화 셀프 테스트 기능의 동작을 수정할 수 있습니다.

다음과 같은 영구 키는 현재 IKE(Internet Key Exchange) 및 PKI를 관리하고 있습니다.

  • IKE(Internet Key Exchange) PSK(IKE(Internet Key Exchange) 키)

  • PKI 전용 키

  • 수동 VPN 키