IKE(Internet Key Exchange) 인증(인증서 기반 인증)
인증서 인증을 위한 다단계 계층
인증서 기반 인증은 IKE 협상 중에 SRX 시리즈 방화벽에서 지원되는 인증 방법입니다. 대규모 네트워크에서 여러 인증 기관(CA)은 해당 종단 디바이스에 최종 엔터티(EE) 인증서를 발행할 수 있습니다. 개별 위치, 부서 또는 조직에 대해 별도의 SA를 두는 것이 일반적입니다.
인증서 기반 인증을 위한 단일 수준 계층이 사용되면 네트워크의 모든 EE 인증서는 동일한 CA에 의해 서명되어야 합니다. 모든 방화벽 디바이스는 피어 인증서 검증을 위해 등록된 동일한 CA 인증서를 가져야 합니다. IKE 협상 중에 전송된 인증서 페이로드는 EE 인증서만 포함합니다.
또는 IKE 협상 중에 전송된 인증서 페이로드에는 EE 및 CA 인증서 체인이 포함될 수 있습니다. 인증서 체인 은 피어의 EE 인증서를 검증하는 데 필요한 인증서 목록입니다. 인증서 체인에는 EE 인증서와 로컬 피어에 없는 CA 인증서가 포함됩니다.
네트워크 관리자는 IKE 협상에 참여하는 모든 피어가 각 인증서 체인에 하나 이상의 공통 신뢰할 수 있는 CA를 보유하도록 보장해야 합니다. 신뢰할 수 있는 공통 CA가 루트 CA일 필요는 없습니다. EES 인증서와 체인에서 최상위 CA를 포함한 체인의 인증서 수는 10을 초과할 수 없습니다.
Junos OS 릴리스 18.1R1부터는 지정된 CA 서버 또는 CA 서버 그룹으로 구성된 IKE 피어의 검증을 수행할 수 있습니다. 인증서 체인의 경우 루트 CA는 IKE 정책에서 구성된 신뢰할 수 있는 CA 그룹 또는 CA 서버와 일치해야 합니다.
그림 1에 표시된 CA 계층 예제에서 루트-CA는 네트워크의 모든 디바이스에 대해 공통적으로 신뢰할 수 있는 CA입니다. Root-CA는 CA 인증서를 엔지니어링 및 영업 CA에 발급하며, CA 인증서는 각각 Eng-CA와 Sales-CA로 식별됩니다. Eng-CA는 개발 및 품질 보증 CA에 CA 인증서를 발급하며, CA 인증서는 각각 Dev-CA와 Qa-CA로 식별됩니다. Host-A는 Dev-CA로부터 EE 인증서를 수신하고 Host-B는 Sales-CA로부터 EE 인증서를 수신합니다.
을 위한 다단계 계층
각 종단 디바이스는 해당 계층에서 CA 인증서와 함께 로드되어야 합니다. Host-A에는 Root-CA, Eng-CA 및 Dev-CA 인증서가 있어야 합니다. Sales-CA 및 Qa-CA 인증서는 필요하지 않습니다. Host-B에는 Root-CA 및 Sales-CA 인증서가 있어야 합니다. 인증서는 디바이스에서 수동으로 로드하거나 간단한 인증서 등록 프로세스(SCEP)를 사용하여 등록할 수 있습니다.
각 종단 디바이스는 인증서 체인의 각 CA에 대한 CA 프로필로 구성되어야 합니다. 다음 출력은 Host-A에 구성된 CA 프로필을 보여줍니다.
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url “www.example.net/scep/Eng/”;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url “www.example.net/scep/Dev/”;
}
}
}
다음 출력은 Host-B에 구성된 CA 프로필을 보여줍니다.
admin@host-B# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Sales-CA {
ca-identity Sales-CA;
enrollment {
url “www.example.net/scep/Sales/”;
}
}
}