Configuración de certificados digitales
Descripción general de certificados digitales
Un certificado digital proporciona una forma de autenticar a los usuarios a través de un tercero de confianza llamado autoridad de certificación (CA). La CA valida la identidad de un titular de certificado y "firma" el certificado para dar fe de que no se ha falsificado ni modificado.
Un certificado incluye la siguiente información:
El nombre distinguido (DN) del propietario. Una DN es un identificador único y consta de un nombre completo que incluye el nombre común (CN) del propietario, la organización del propietario y otra información destacada.
La clave pública del propietario.
La fecha en la que se emitió el certificado.
La fecha en la que caduca el certificado.
El nombre distinguido de la CA emisora.
La firma digital de la CA emisora.
La información adicional de un certificado permite a los destinatarios decidir si aceptan el certificado. El destinatario puede determinar si el certificado sigue siendo válido según la fecha de vencimiento. El destinatario puede comprobar si la CA es de confianza para el sitio según la CA emisora.
Con un certificado, una CA toma la clave pública del propietario, firma esa clave pública con su propia clave privada y la devuelve al propietario como certificado. El destinatario puede extraer el certificado (que contiene la firma de la CA) con la clave pública del propietario. Mediante el uso de la clave pública de la CA y la firma de la CA en el certificado extraido, el destinatario puede validar la firma de la CA y el propietario del certificado.
Cuando usa certificados digitales, la primera vez que envía una solicitud para obtener un certificado de su CA. A continuación, configure certificados digitales y una política de IKE de certificado digital. Por último, obtiene un certificado firmado digitalmente de una CA.
Los certificados sin un nombre de asunto alternativo no son adecuados para los servicios IPsec.
Obtención de un certificado de una autoridad de certificación para una PIC de ES
Las autoridades de certificación (CA) administran las solicitudes de certificado y emiten certificados a los dispositivos de red IPsec participantes. Cuando cree una solicitud de certificado, debe proporcionar la información sobre el propietario del certificado. La información requerida y su formato varían según las autoridades de certificado.
Los certificados usan nombres en el formato X.500, un protocolo de acceso de directorio que proporciona acceso de lectura y actualización. El nombre completo se denomina DN (nombre distinguido). Se compone de un conjunto de componentes, que a menudo incluye una CN (nombre común), una organización (O), una unidad organizativa (OU), un país (C), una localidad (L), y así sucesivamente.
Para el registro dinámico de certificados digitales, Junos OS solo admite el Protocolo simple de inscripción de certificados (SCEP).
Consulte también
Solicitar un certificado digital de CA para una PIC ES en un enrutador serie M o T
Para una interfaz de cifrado en un enrutador serie M o T, emita el siguiente comando para obtener un certificado de clave pública de una CA. Los resultados se guardan en el archivo especificado en el directorio /var/etc/ikecert . La clave pública de CA verifica los certificados de los pares remotos.
user@host> request security certificate enroll filename filename ca-name ca-name parameters parameters
Consulte también
Ejemplo: Solicitar un certificado digital de CA
Especifique una DIRECCIÓN URL al servidor SCEP y el nombre de la autoridad de certificación cuyo certificado desea: mycompany.com. el nombre de archivo 1 es el nombre del archivo que almacena el resultado. El resultado, "Certificado de CA recibido:" proporciona la firma para el certificado, lo que le permite comprobar (sin conexión) que el certificado es auténtico.
user@host> request security certificate enroll filename ca_verisign ca-file verisign ca-name xyzcompany url http://hostname/path/filename URL: http://hostname/path/filename name: example.com CA file: verisign Encoding: binary Certificate enrollment has started. To see the certificate enrollment status, check the key management process (kmd) log file at /var/log/kmd. <--------------
Cada enrutador se inscribe inicialmente manualmente con una autoridad de certificación.
Consulte también
Generación de un par de claves privadas y públicas para certificados digitales para una PIC de ES
Para generar una clave privada y pública, ejecute el siguiente comando:
user@host> request security key-pair name size key-size type ( rsa | dsa )
name especifica el nombre de archivo en el que se almacenarán las claves públicas y privadas.
key-size puede ser de 512, 1024, 1596 o 2048 bytes. El tamaño de clave predeterminado es de 1024 bytes.
type puede ser rsa o dsa. El valor predeterminado es RSA.
Cuando se usa SCEP, Junos OS solo admite RSA.
En el ejemplo siguiente se muestra cómo generar un par de claves privadas y públicas:
user@host> request security key-pair batt Generated key pair, key size 1024, file batt Algorithm RSA