Junos OS의 PKI
SUMMARY 이 주제는 Junos OS의 PKI(공개 키 인프라)의 기본 요소에 대해 설명합니다.
PKI(공개 키 인프라)는 공개 암호화 키의 배포 및 식별을 지원하여 사용자가 인터넷과 같은 네트워크를 통해 데이터를 안전하게 교환하고 상대방의 신원을 확인할 수 있도록 합니다.
Junos OS의 PKI 소개
PKI 응용 프로그램 개요
Junos OS는 다음 영역에서 퍼블릭/프라이빗 키를 사용합니다.
SSH/SCP(CLI[SECURE COMMAND-LINE INTERFACE] 기반 관리용)
SSL(Secure Sockets Layer)(보안 웹 기반 관리 및 사용자 인증을 위한 HTTPS 기반 웹 인증용)
IKE(Internet Key Exchange)(IPsec VPN 터널용)
다음 사항에 유의하십시오.
현재 Junos OS는 IKE(공개 키 검증을 위한 PKI(Public Key Infrastructure) 인증서 사용)만 지원합니다.
SSH 및 SCP는 시스템 관리용으로만 사용되며 공개 키 ID 바인딩 및 검증을 위한 대역 외 지문 사용에 따라 달라집니다. SSH에 대한 자세한 내용은 이 항목에서 다루지 않습니다.
Junos OS에서 PKI를 관리하기 위한 구성 요소
Junos OS에서 PKI를 관리하기 위해서는 다음 구성 요소가 필요합니다.
CA 인증서 및 기관 구성
디바이스 ID를 포함한 로컬 인증서(예: IKE ID 유형 및 값)과 개인 및 공개 키
CRL(인증서 해지 목록)을 통한 인증서 유효성 검사
Junos OS에서 PKI의 기본 요소
Junos OS는 다음과 같은 세 가지 유형의 PKI 객체를 지원합니다.
프라이빗/퍼블릭 키 쌍
인증서
로컬 인증서 - 로컬 인증서에는 주니퍼 네트웍스 디바이스에 대한 공개 키와 ID 정보가 포함되어 있습니다. 주니퍼 네트웍스 디바이스는 연결된 프라이빗 키를 소유합니다. 이 인증서는 주니퍼 네트웍스 디바이스의 인증서 요청에 따라 생성됩니다.
보류 중인 인증서 — 보류 중인 인증서에는 PKCS10 인증서 요청으로 생성되어 인증 기관(CA)으로 수동으로 전송되는 키 쌍 및 ID 정보가 포함되어 있습니다. 주니퍼 네트웍스 디바이스가 CA의 인증서를 기다리는 동안 기존 개체(키 페어 및 인증서 요청)는 인증서 요청 또는 보류 중인 인증서로 태그가 지정됩니다.
주:Junos OS 릴리스 9.0 이상은 SCEP를 통해 인증서 요청의 자동 전송을 지원합니다.
CA 인증서 — CA에서 인증서를 발급하고 Junos OS 디바이스에 로드하면 보류 중인 인증서가 새로 생성된 로컬 인증서로 대체됩니다. 디바이스에 로드된 다른 모든 인증서는 CA 인증서로 간주됩니다.
인증서 해지 목록(CRL)
인증서에 대한 다음 사항에 유의하십시오.
로컬 인증서는 일반적으로 Junos OS 디바이스가 둘 이상의 관리 도메인에 VPN을 가지고 있을 때 사용됩니다.
모든 PKI 객체는 Junos OS 이미지 및 시스템의 일반 구성과는 별도로 별도의 영구 메모리 파티션에 저장됩니다.
각 PKI 개체는 생성될 때 지정된 고유한 이름 또는 인증서 ID를 가지며 삭제될 때까지 해당 ID를 유지합니다. 명령을 사용하여 인증서 ID를 볼 수 있습니다 .
show security pki local-certificate대부분의 경우 장치에서 인증서를 복사할 수 없습니다. 장치의 개인 키는 해당 장치에서만 생성되어야 하며 해당 장치에서 보거나 저장해서는 안 됩니다. 따라서 PKCS12 파일(공개 키 및 관련 개인 키가 포함된 인증서 포함)은 Junos OS 디바이스에서 지원되지 않습니다.
CA 인증서는 IKE 피어가 수신한 인증서의 유효성을 검사합니다. 인증서가 유효한 경우 CRL에서 확인되어 인증서가 해지되었는지 여부를 확인합니다.
각 CA 인증서에는 다음 정보를 저장하는 CA 프로필 구성이 포함되어 있습니다.
CA ID(일반적으로 CA의 도메인 이름)
인증서 요청을 CA로 직접 보내기 위한 전자 메일 주소
해지 설정:
해지 확인 사용/사용 안 함 옵션
CRL 다운로드 실패 시 해지 확인 사용 안 함.
CDP(CRL 배포 지점)의 위치(수동 URL 설정용)
CRL 새로 고침 간격
Junos OS의 PKI 구성 요소
이 주제는 다음 섹션을 포함합니다.
PKI 관리 및 구현
Junos OS에서 인증서 기반 인증에 필요한 최소 PKI 요소는 다음과 같습니다.
CA 인증서 및 기관 구성.
디바이스의 ID를 포함한 로컬 인증서(예: IKE ID 유형 및 값)과 개인 및 공개 키
CRL을 통한 인증서 유효성 검사.
Junos OS는 세 가지 유형의 PKI 객체를 지원합니다.
Internet Key Exchange
IKE(Internet Key Exchange) 세션에서 두 참가자 간에 전송되는 메시지에 디지털 서명하는 절차는 디지털 인증서 확인과 비슷하지만 다음과 같은 차이점이 있습니다.
CA 인증서에서 다이제스트를 만드는 대신 발신자는 IP 패킷 페이로드의 데이터에서 다이제스트를 만듭니다.
CA의 퍼블릭-프라이빗 키 쌍을 사용하는 대신 참가자는 보낸 사람의 퍼블릭-프라이빗 키 쌍을 사용합니다.
신뢰할 수 있는 CA 그룹
인증 기관(CA)은 인증서 발급 및 해지를 담당하는 신뢰할 수 있는 제3자입니다. 지정된 토폴로지에 대해 신뢰할 수 있는 하나의 CA 그룹에서 여러 CA(CA 프로필)를 그룹화할 수 있습니다. 이러한 인증서는 두 엔드포인트 간의 연결을 설정하는 데 사용됩니다. IKE 또는 IPsec을 설정하려면 두 엔드포인트가 동일한 CA를 신뢰해야 합니다. 엔드포인트 중 하나가 각각의 신뢰할 수 있는 CA(ca-profile) 또는 신뢰할 수 있는 CA 그룹을 사용하여 인증서의 유효성을 검사할 수 없는 경우 연결이 설정되지 않습니다.
예를 들어 끝점 A와 끝점 B라는 두 개의 끝점이 보안 연결을 설정하려고 합니다. 엔드포인트 B가 엔드포인트 A에 인증서를 제시하면 엔드포인트 A는 인증서가 유효한지 확인합니다. 엔드포인트 A의 CA는 엔드포인트 B가 권한을 부여받기 위해 사용하는 서명된 인증서를 확인합니다. 또는 가 구성되면 디바이스는 이 프로필에 추가된 CA 프로필 또는 에 구성된 CA 프로필만 사용하여 엔드포인트 B에서 오는 인증서의 유효성을 검사합니다. 인증서가 유효한 것으로 확인되면 연결이 허용되고, 그렇지 않으면 연결이 거부됩니다.trusted-catrusted-ca-grouptrusted-ca-grouptrusted-ca
이점:
들어오는 연결 요청의 경우 해당 엔드포인트의 신뢰할 수 있는 특정 CA에서 발급한 인증서만 유효성이 검사됩니다. 그렇지 않으면 권한 부여에서 연결 설정을 거부합니다.
암호화 키 처리 개요
암호화 키 처리를 사용하면 영구 키를 변경하려는 시도 없이 디바이스의 메모리에 저장됩니다. 내부 메모리 장치는 잠재적인 악의적 사용자가 직접 액세스할 수 없지만 두 번째 방어 계층이 필요한 사용자는 암호화 키에 대한 특수 처리를 가능하게 할 수 있습니다. 사용하도록 설정하면 암호화 키 처리가 즉시 사용되지 않을 때 키를 암호화하고, 한 메모리 위치에서 다른 메모리 위치로 키를 복사할 때 오류 검색을 수행하고, 키가 더 이상 사용되지 않을 때 임의의 비트 패턴으로 키의 메모리 위치를 덮어씁니다. 키는 장치의 플래시 메모리에 저장될 때도 보호됩니다. 암호화 키 처리 기능을 사용하도록 설정해도 장치 동작에 외부에서 관찰할 수 있는 변경이 발생하지 않으며 장치는 다른 장치와 계속 상호 운용됩니다.
암호화 관리자는 암호화 자체 테스트 기능을 활성화 및 비활성화할 수 있습니다. 그러나 보안 관리자는 주기적인 자체 테스트 구성 또는 암호화 자체 테스트의 하위 집합 선택과 같은 암호화 자체 테스트 기능의 동작을 수정할 수 있습니다.
다음 영구 키는 현재 IKE 및 PKI에서 관리하고 있습니다.
IKE 사전 공유 키(IKE PSK)
PKI 개인 키
수동 VPN 키