Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: AS PIC IKE Dynamic SA con configuración de certificados digitales

Figura 1: Diagrama de topología de AS PIC IKE Dynamic SA AS PIC IKE Dynamic SA Topology Diagram

La figura 1 muestra la misma topología IPSec que el ejemplo de SA dinámica de PIC del AS en el ejemplo: Configuración dinámica de SA de AS PIC IKE. Sin embargo, esta configuración requiere que los enrutadores 2 y 3 establezcan un túnel IPSec basado en ICR mediante el uso de certificados digitales en lugar de claves previamente compartidas. Los enrutadores 1 y 4 continúan ofreciendo conectividad básica y se utilizan para comprobar que el túnel IPSec está operativo.

En el enrutador 1, proporcione conectividad OSPF básica al enrutador 2.

Enrutador 1

En el enrutador 2, debe solicitar un certificado de CA, crear un certificado local y cargar estos certificados digitales en el enrutador antes de poder hacer referencia a ellos en la configuración de IPSec. Para comenzar, configure un perfil IPSec especificando la CA y la DIRECCIÓN URL de confianza del servidor de CA que controla el procesamiento de certificados de CA:

La verificación de lista de revocación de certificados (CRL) está habilitada de forma predeterminada. Opcionalmente, puede especificar el servidor del directorio de acceso ligero (LDAP) donde la CA almacena la CRL. El certificado normalmente incluye un punto de distribución de certificado (CDP), que contiene información sobre cómo recuperar la CRL del certificado. El enrutador utiliza esta información para descargar la CRL automáticamente. En este ejemplo, se especifica la DIRECCIÓN URL LDAP, que reemplaza la ubicación proporcionada en el certificado:

Después de configurar el perfil de CA, puede solicitar un certificado de CA de la CA de confianza. En este ejemplo, el certificado se inscribe en línea e instalado en el enrutador automáticamente.

Nota:

Si obtiene el certificado de CA directamente de la CA (por ejemplo, como adjunto de correo electrónico o descarga del sitio web), puede instalarlo con el request security pki ca-certificate load comando.

A continuación, debe generar un par de claves privadas/públicas para poder crear un certificado local.

Cuando el par de claves esté disponible, genere una solicitud de certificado local y envíela a la CA para su procesamiento.

Nota:

Puede solicitar la creación e instalación de un certificado local en línea con el request security pki local-certificate enroll comando. Para obtener más información, consulte Generación e inscripción de un certificado digital local o la Referencia de comandos básicos y de servicios de Junos System.

La CA de confianza firma digitalmente el certificado local y lo devuelve a usted. Copie el archivo de certificado en el enrutador y cargue el certificado.

Nota:

Es posible que el nombre del archivo que le envía la CA no coincida con el nombre del identificador de certificado. Sin embargo, el nombre de id de certificado siempre debe coincidir con el nombre del par de claves que generó para el enrutador.

Una vez cargados los certificados locales y de CA, puede hacer referencia a ellos en la configuración de IPSec.

Con los valores predeterminados de la PIC del AS, no es necesario configurar una propuesta de IPSec ni una política IPSec. Sin embargo, debe configurar una propuesta de IKE que especifique el uso de certificados digitales, haga referencia a la propuesta de IKE y el certificado local en una política de IKE y aplique el perfil de CA al conjunto de servicios. Para habilitar una propuesta de IKE para certificados digitales, incluya la rsa-signatures instrucción en el [edit services ipsec-vpn ike proposal proposal-name authentication-method] nivel de jerarquía. Para hacer referencia al certificado local en la política de IKE, incluya la local-certificate instrucción en el [edit services ipsec-vpn ike policy policy-name] nivel jerárquico. Para identificar la CA o RA en el conjunto de servicios, incluya la trusted-ca instrucción en el [edit services service-set service-set-name ipsec-vpn-options] nivel jerárquico.

Nota:

Para obtener más información acerca de las políticas y propuestas predeterminadas de IKE e IPSec en la PIC del AS, consulte Configurar SA dinámicas de IKE.

Opcionalmente, puede configurar la reenscripción automática del certificado con la auto-re-enrollment instrucción en el nivel de jerarquía [editar pki de seguridad].

Los componentes de configuración restantes del túnel IPSec basado en IKE son los mismos que cuando se utilizan claves previamente compartidas. Habilite OSPF como el protocolo de enrutamiento subyacente para conectarse a los enrutadores 1 y 3. Configure una SA dinámica de IKE bidireccional en una regla denominada rule-ike en el [edit ipsec-vpn rule] nivel jerárquico. Haga referencia a esta regla en un conjunto de servicios denominado service-set-dynamic-BiEspsha3des en el [edit services service-set] nivel jerárquico.

Para dirigir el tráfico a la PIC del AS y el túnel IPsec, configure un conjunto de servicios de estilo de salto siguiente y agregue la interfaz lógica de servicios adaptables utilizada como interfaz IPSec interna en la configuración OSPF.

Enrutador 2

En el enrutador 3, debe repetir los procedimientos de certificado digital que realizó en el enrutador 2. Si los pares IPSec no tienen una configuración simétrica que contenga todos los componentes necesarios, no pueden establecer una relación de emparejamiento.

Debe solicitar un certificado de CA, crear un certificado local, cargar estos certificados digitales en el enrutador y hacer referencia a ellos en la configuración de IPSec. Comience por configurar un perfil de CA IPSec. Incluya la instrucción ca-profile en el nivel de jerarquía [editar pki de seguridad] y especifique la CA y la DIRECCIÓN URL de confianza del servidor de CA que controla el procesamiento de certificados de CA. Incluya las instrucciones CRL que se encuentran en el enrutador 2 para completar su perfil de CA en el enrutador 3.

Después de configurar el perfil de CA, solicite un certificado de CA de la CA de confianza. En este ejemplo, el certificado se inscribe en línea e instalado en el enrutador automáticamente.

Nota:

Si obtiene el certificado de CA directamente de la CA (por ejemplo, como adjunto de correo electrónico o descarga del sitio web), puede instalarlo con el request security pki ca-certificate load comando.

A continuación, genere un par de claves privadas/públicas.

Cuando el par de claves está disponible, puede generar una solicitud de certificado local y enviarla a la CA para su procesamiento.

La CA de confianza firma digitalmente el certificado local y lo devuelve a usted. Copie el archivo de certificado en el enrutador y cargue el certificado.

Una vez cargados los certificados locales y de CA, puede hacer referencia a ellos en la configuración de IPSec. Con los valores predeterminados de la PIC del AS, no es necesario configurar una propuesta de IPSec ni una política IPSec. Sin embargo, debe configurar una propuesta de IKE que use certificados digitales, hacer referencia a la propuesta de IKE y el certificado local en una política de IKE y aplicar el perfil de CA al conjunto de servicios. Para habilitar la propuesta de IKE para certificados digitales, incluya la rsa-signatures instrucción en el [edit services ipsec-vpn ike proposal proposal-name authentication-method] nivel de jerarquía. Para hacer referencia al certificado local en la política de IKE, incluya la local-certificate instrucción en el [edit services ipsec-vpn ike policy policy-name] nivel jerárquico. Para identificar la CA o RA en el conjunto de servicios, incluya la trusted-ca instrucción en el [edit services service-set service-set-name ipsec-vpn-options] nivel jerárquico.

Los componentes de configuración restantes del túnel IPsec basado en IKE son los mismos que cuando se utilizan claves previamente compartidas. Habilite OSPF como el protocolo de enrutamiento subyacente para conectarse a los enrutadores 2 y 4. Configure una SA dinámica de IKE bidireccional en una regla denominada rule-ike en el [edit ipsec-vpn rule] nivel jerárquico. Haga referencia a esta regla en un conjunto de servicios denominado service-set-dynamic-BiEspsha3des en el [edit services service-set] nivel jerárquico.

Para dirigir el tráfico a la PIC del AS y al túnel IPsec, configure un conjunto de servicios de estilo de salto siguiente y agregue la interfaz lógica de servicios adaptables utilizada como interfaz IPsec dentro de la configuración OSPF.

Enrutador 3

En el enrutador 4, proporcione conectividad OSPF básica al enrutador 3.

Enrutador 4

Verificar su trabajo

Para comprobar el funcionamiento correcto de una SA dinámica basada en IKE en la PIC del AS, utilice los siguientes comandos:

  • Señal

  • show services ipsec-vpn certificates (detail)

  • show services ipsec-vpn ike security-associations (detail)

  • show services ipsec-vpn ipsec security-associations (detail)

  • show services ipsec-vpn ipsec statistics

  • Traceroute

Para comprobar y administrar certificados digitales en el enrutador, utilice los siguientes comandos:

  • show security pki ca-certificate (detail)

  • show security pki certificate-request (detail)

  • show security pki local-certificate (detail)

En las siguientes secciones se muestra el resultado de estos comandos utilizados con el ejemplo de configuración:

Enrutador 1

En el enrutador 1, emita un comando ping a la interfaz so-0/0/0 en el enrutador 4 para enviar tráfico a través del túnel IPSec.

Si hace ping a la dirección de circuito cerrado del enrutador 4, la operación se realiza correctamente porque la dirección es parte de la red OSPF configurada en el enrutador 4.

Enrutador 2

Para comprobar que el tráfico coincidente se está desviando al túnel IPSec bidireccional, vea las estadísticas de IPSec:

Para comprobar que la negociación sa de IKE sea correcta, ejecute el show services ipsec-vpn ike security-associations comando:

Para comprobar que la asociación de seguridad IPsec está activa, ejecute el show services ipsec-vpn ipsec security-associations detail comando. Observe que la SA contiene la configuración predeterminada inherente a la PIC del AS, como ESP para el protocolo y HMAC-SHA1-96 para el algoritmo de autenticación.

Para mostrar los certificados digitales que se utilizan para establecer el túnel IPSec, emita el comando show services ipsec-vpn certificates :

Para mostrar el certificado de CA, ejecute el show security pki ca-certificate detail comando. Observe que hay tres certificados independientes: uno para la firma de certificado, otro para la cifrado de claves y otro para la firma digital de la CA.

Para mostrar la solicitud de certificado local, ejecute el show security pki certificate-request comando:

Para mostrar el certificado local, ejecute el show security pki local-certificate comando:

Enrutador 3

Para comprobar que el tráfico coincidente se está desviando al túnel IPSec bidireccional, vea las estadísticas de IPSec:

Para comprobar que la negociación sa de IKE se realiza correctamente, emita el show services ipsec-vpn ike security-associations comando. Para tener éxito, la SA del enrutador 3 debe contener la misma configuración que especificó en el enrutador 2.

Para comprobar que la SA de IPsec está activa, ejecute el show services ipsec-vpn ipsec security-associations detail comando. Para tener éxito, la SA del enrutador 3 debe contener la misma configuración que especificó en el enrutador 2.

Para mostrar los certificados digitales que se utilizan para establecer el túnel IPsec, ejecute el show services ipsec-vpn certificates comando:

Para mostrar el certificado de CA, ejecute el show security pki ca-certificate detail comando. Observe que hay tres certificados independientes: uno para la firma de certificado, otro para la cifrado de claves y otro para la firma digital de la CA.

Para mostrar la solicitud de certificado local, ejecute el comando show security pki certificate-request :

Para mostrar el certificado local, ejecute el show security pki local-certificate comando:

Enrutador 4

En el enrutador 4, emita un ping comando a la interfaz so-0/0/0 en el enrutador 1 para enviar tráfico a través del túnel IPsec.

La última manera de confirmar que el tráfico viaja a través del túnel IPsec es emitiendo el traceroute comando a la interfaz so-0/0/0 en el enrutador 1. Observe que no se hace referencia a la interfaz física entre enrutadores 2 y 3 en la ruta; el tráfico entra en el túnel IPSec a través de la interfaz ipsec de servicios adaptables en el enrutador 3, pasa a través de la interfaz de circuito cerrado en el enrutador 2 y termina en la interfaz so-0/0/0 en el enrutador 1.

Para obtener más información sobre el uso de certificados digitales, consulte la Guía de configuración de interfaces de Junos Services y la Referencia de comandos básicos y de servicios de Junos System.