Configuración de certificados digitales
Descripción general de certificados digitales
Un certificado digital proporciona una forma de autenticar a los usuarios a través de un tercero de confianza denominado entidad emisora de certificados (CA). La CA valida la identidad del titular del certificado y lo "firma" para certificar que no ha sido falsificado ni alterado.
Un certificado incluye la siguiente información:
El nombre distintivo (DN) del propietario. Un DN es un identificador único y consiste en un nombre completo que incluye el nombre común (CN) del propietario, la organización del propietario y otra información distintiva.
La clave pública del propietario.
La fecha de emisión del certificado.
Fecha de caducidad del certificado.
Nombre distintivo de la autoridad competente emisora.
La firma digital de la CA emisora.
La información adicional de un certificado permite a los destinatarios decidir si aceptan o no el certificado. El destinatario puede determinar si el certificado sigue siendo válido en función de la fecha de caducidad. El destinatario puede comprobar si el sitio confía en la CA según la CA emisora.
Con un certificado, una CA toma la clave pública del propietario, firma esa clave pública con su propia clave privada y se la devuelve al propietario como un certificado. El destinatario puede extraer el certificado (que contiene la firma de la CA) con la clave pública del propietario. Mediante el uso de la clave pública de la CA y la firma de la CA en el certificado extraído, el destinatario puede validar la firma de la CA y el propietario del certificado.
Cuando usa certificados digitales, primero debe enviar una solicitud para obtener un certificado de la CA. A continuación, configure los certificados digitales y una directiva IKE de certificado digital. Por último, obtendrá un certificado firmado digitalmente de una CA.
Los certificados sin un nombre de sujeto alternativo no son adecuados para los servicios IPsec.
Obtención de un certificado de una entidad emisora de certificados para una PIC de ES
Las autoridades de certificación (CA) administran las solicitudes de certificado y emiten certificados a los dispositivos de red IPsec participantes. Al crear una solicitud de certificado, debe proporcionar la información sobre el propietario del certificado. La información requerida y su formato varían según las autoridades de certificación.
Los certificados utilizan nombres en formato X.500, un protocolo de acceso a directorios que proporciona acceso de lectura y actualización. El nombre completo se llama DN (nombre distinguido). Consiste en un conjunto de componentes, que a menudo incluye un CN (nombre común), una organización (O), una unidad organizativa (OU), un país (C), una localidad (L), etc.
Para el registro dinámico de certificados digitales, Junos OS solo admite el Protocolo simple de inscripción de certificados (SCEP).
Ver también
Solicitud de un certificado digital de CA para una PIC de ES en un enrutador serie M o T
Para una interfaz de cifrado en un enrutador serie M o T, emita el siguiente comando para obtener un certificado de clave pública de una CA. Los resultados se guardan en el archivo especificado en el directorio /var/etcetera/ikecert . La clave pública de CA verifica los certificados de pares remotos.
user@host> request security certificate enroll filename filename ca-name ca-name parameters parameters
Ver también
Ejemplo: solicitar un certificado digital de CA
Especifique una dirección URL al servidor SCEP y el nombre de la entidad emisora de certificados cuyo certificado desea: mycompany.com. El nombre de archivo 1 es el nombre del archivo que almacena el resultado. El resultado "Certificado de CA recibido:" proporciona la firma del certificado, lo que le permite comprobar (sin conexión) que el certificado es genuino.
user@host> request security certificate enroll filename ca_verisign ca-file verisign ca-name xyzcompany url http://hostname/path/filename URL: http://hostname/path/filename name: example.com CA file: verisign Encoding: binary Certificate enrollment has started. To see the certificate enrollment status, check the key management process (kmd) log file at /var/log/kmd. <--------------
Cada enrutador se inscribe inicialmente manualmente con una autoridad de certificación.
Ver también
Generación de un par de claves privadas y públicas para certificados digitales para una PIC de ES
Para generar una clave privada y pública, emita el siguiente comando:
user@host> request security key-pair name size key-size type ( rsa | dsa )
name
Especifica el nombre de archivo en el que se van a almacenar las claves pública y privada.
key-size
Puede ser 512, 1024, 1596 o 2048 bytes. El tamaño de clave predeterminado es 1024 bytes.
type
puede ser rsa
o dsa
. El valor predeterminado es RSA.
Cuando se utiliza SCEP, Junos OS solo admite RSA.
En el ejemplo siguiente se muestra cómo generar un par de claves privadas y públicas:
user@host> request security key-pair batt Generated key pair, key size 1024, file batt Algorithm RSA