EN ESTA PÁGINA
Criptografía de clave pública
Descripción de la criptografía de clave pública en conmutadores
La criptografía describe las técnicas relacionadas con los siguientes aspectos de la seguridad de la información:
Privacidad o confidencialidad
Integridad de los datos
Autenticación
Norepudiación o norepudiación de origen: la no repetición del origen significa que los firmantes no pueden alegar que no firmaron un mensaje mientras alegan que su clave privada sigue siendo secreta. En algunos esquemas de no repetición utilizados en firmas digitales, se adjunta una marca de hora a la firma digital, de modo que, incluso si la clave privada está expuesta, la firma sigue siendo válida. Las claves públicas y privadas se describen en el siguiente texto.
En la práctica, los métodos criptográficos protegen los datos transferidos de un sistema a otro a través de redes públicas mediante el cifrado de los datos mediante una clave de cifrado. La criptografía de clave pública (PKC), que se utiliza en los conmutadores Ethernet de la serie EX de Juniper Networks, utiliza un par de claves de cifrado: una clave pública y una clave privada. Las claves públicas y privadas se crean simultáneamente con el mismo algoritmo de cifrado. La clave privada la mantiene un usuario en secreto y se publica la clave pública. Los datos cifrados con una clave pública solo se pueden descifrar con la clave privada correspondiente y viceversa. Cuando se genera un par de claves pública/privada, el conmutador guarda automáticamente el par de claves en un archivo en el almacén de certificados, desde el cual se utiliza posteriormente en los comandos de solicitud de certificado. El par de claves generado se guarda como certificate-id. priv.
El tamaño predeterminado de las claves RSA y DSA es de 1024 bits. Si utiliza el Protocolo simple de inscripción de certificados (SCEP), el sistema operativo Junos (Junos OS) de Juniper Networks solo admite RSA.
Infraestructura de clave pública (PKI) y certificados digitales
La infraestructura de clave pública (PKI) permite la distribución y el uso de las claves públicas en criptografía de clave pública con seguridad e integridad. La PKI administra las claves públicas mediante certificados digitales. Un certificado digital proporciona un medio electrónico para verificar la identidad de una persona, una organización o un servicio de directorio que puede almacenar certificados digitales.
Una PKI suele estar formada por una autoridad de registro (RA) que verifica las identidades de las entidades, autoriza sus solicitudes de certificado y genera pares de claves asimétricos únicos (a menos que las solicitudes de certificado de los usuarios ya contengan claves públicas); y una autoridad de certificación (CA) que emite los certificados digitales correspondientes para las entidades solicitantes. Opcionalmente, puede usar un repositorio de certificados que almacena y distribuye certificados y una lista de revocación de certificados (CRL) que identifica los certificados que ya no son válidos. Cada entidad que posea la clave pública auténtica de una CA puede comprobar los certificados emitidos por esa entidad.
Las firmas digitales explotan el sistema criptográfico de clave pública de la siguiente manera:
Un remitente firma datos digitalmente mediante la aplicación de una operación criptográfica, que implica su clave privada, en un resumen de los datos.
La firma resultante se adjunta a los datos y se envía al receptor.
El receptor obtiene el certificado digital del remitente, que proporciona la clave pública del remitente y la confirmación del vínculo entre su identidad y la clave pública. El certificado del remitente a menudo se adjunta a los datos firmados.
El receptor confía en este certificado o intenta comprobarlo. El receptor verifica la firma en los datos mediante la clave pública contenida en el certificado. Esta verificación garantiza la autenticidad e integridad de los datos recibidos.
Como alternativa al uso de una PKI, una entidad puede distribuir su clave pública directamente a todos los potenciales verificadores de firmas, siempre y cuando la integridad de la clave esté protegida. El conmutador lo hace mediante un certificado autofirmado como contenedor para la clave pública y la identidad de la entidad correspondiente.
Consulte también
Descripción de certificados autofirmados en conmutadores de la serie EX
Cuando inicializa un conmutador Ethernet de la serie EX de Juniper Networks con la configuración predeterminada de fábrica, el conmutador genera un certificado autofirmado, lo que permite un acceso seguro al conmutador mediante el protocolo capa de sockets seguros (SSL). El protocolo de transferencia de hipertexto a través de la capa de sockets seguros (HTTPS) y la administración de red XML a través de capa de sockets seguros (XNM-SSL) son los dos servicios que pueden hacer uso de los certificados autofirmados.
Los certificados autofirmados no proporcionan seguridad adicional, al igual que los generados por las autoridades de certificación (CA). Esto se debe a que un cliente no puede comprobar que el servidor al que se ha conectado sea el que se anuncia en el certificado.
Los conmutadores proporcionan dos métodos para generar un certificado autofirmado:
Generación automática
En este caso, el creador del certificado es el conmutador. Un certificado autofirmado generado automáticamente (también llamado "generado por el sistema") se configura de forma predeterminada en el conmutador.
Después de inicializar el conmutador, comprueba la presencia de un certificado autofirmado generado automáticamente. Si no encuentra uno, el conmutador lo genera y lo guarda en el sistema de archivos.
Un certificado autofirmado que genera automáticamente el conmutador es similar a una clave de host SSH. Se almacena en el sistema de archivos, no como parte de la configuración. Persiste cuando se reinicia el conmutador y se conserva cuando se emite un
request system snapshotcomando.El conmutador utiliza el siguiente nombre distinguido para el certificado generado automáticamente:
" CN=<dispositivo número de serie>, CN=sistema generado, CN=autofirmado"
Si elimina el certificado autofirmado generado por el sistema en el conmutador, el conmutador genera automáticamente un certificado autofirmado.
Generación manual
En este caso, creará el certificado autofirmado para el conmutador. En cualquier momento, puede usar la CLI para generar un certificado autofirmado. Los certificados autofirmados generados manualmente se almacenan en el sistema de archivos, no como parte de la configuración.
Los certificados autofirmados son válidos durante cinco años desde el momento en que se generan. Cuando caduca la validez de un certificado autofirmado generado automáticamente, puede eliminarlo del conmutador para que el conmutador genere un nuevo certificado autofirmado.
Los certificados autofirmados generados por el sistema y los certificados autofirmados generados manualmente pueden coexistir en el conmutador.
Generación manual de certificados autofirmados en conmutadores (procedimiento de CLI)
Los conmutadores de la serie EX le permiten generar certificados autofirmados personalizados y almacenarlos en el sistema de archivos. El certificado que genere manualmente puede coexistir con el certificado autofirmado generado automáticamente en el conmutador. Para habilitar el acceso seguro al conmutador a través de SSL, puede usar el certificado autofirmado generado por el sistema o un certificado que haya generado manualmente.
Para generar certificados autofirmados manualmente, debe completar las siguientes tareas:
- Generación de un par de claves públicas y privadas en conmutadores
- Generación de certificados autofirmados en conmutadores
Generación de un par de claves públicas y privadas en conmutadores
Un certificado digital tiene un par de claves criptográficas asociadas que se usa para firmar el certificado digitalmente. El par de claves criptográficas consta de una clave pública y una clave privada. Cuando se genera un certificado autofirmado, debe proporcionar un par de claves públicas y privadas que se pueda usar para firmar el certificado autofirmado. Por lo tanto, debe generar un par de claves pública-privada antes de poder generar un certificado autofirmado.
Para generar un par de claves público-privado:
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
Opcionalmente, puede especificar el algoritmo de cifrado y el tamaño de la clave de cifrado. Si no especifica el algoritmo de cifrado y el tamaño de la clave de cifrado, se utilizan los valores predeterminados. El algoritmo de cifrado predeterminado es RSA y el tamaño predeterminado de la clave de cifrado es de 1024 bits.
Después de generar el par de claves público-privado, el conmutador muestra lo siguiente:
generated key pair certificate-id-name, key size 1024 bits
Generación de certificados autofirmados en conmutadores
Para generar el certificado autofirmado manualmente, incluya el nombre del ID de certificado, el asunto del nombre distinguido (DN), el nombre de dominio, la dirección IP del conmutador y la dirección de correo electrónico del titular del certificado:
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
El certificado que ha generado se almacena en el sistema de archivos del conmutador. El ID de certificado que especificó al generar el certificado es un identificador único que puede usar para habilitar los servicios HTTPS o XNM-SSL.
Para comprobar que el certificado se generó y cargó correctamente, escriba el show security pki local-certificate comando operativo.
Eliminación de certificados autofirmados (procedimiento de CLI)
Puede eliminar un certificado autofirmado que se genera de forma automática o manual desde el conmutador de la serie EX. Cuando elimina el certificado autofirmado generado automáticamente, el conmutador genera un nuevo certificado autofirmado y lo almacena en el sistema de archivos.
Para eliminar el certificado generado automáticamente y su par de claves asociados del conmutador:
user@switch> clear security pki local-certificate system-generated
Para eliminar un certificado generado manualmente y su par de claves asociado del conmutador:
user@switch> clear security pki local-certificate certificate-id certificate-id-name
Para eliminar todos los certificados generados manualmente y sus pares de claves asociados del conmutador:
user@switch> clear security pki local-certificate all
Habilitación de servicios HTTPS y XNM-SSL en conmutadores mediante certificados autofirmados (procedimiento de CLI)
Puede usar el certificado autofirmado generado por el sistema o un certificado autofirmado generado manualmente para habilitar los servicios HTTPS y XNM-SSL de administración web.
Para habilitar servicios HTTPS mediante el certificado autofirmado generado automáticamente:
[edit] user@switch# set system services web-management https system-generated-certificate
Para habilitar servicios HTTPS mediante un certificado autofirmado generado manualmente:
[edit] user@switch# set system services web-management https pki-local-certificate certificate-id-name
Nota:El valor del certificate-id-name debe coincidir con el nombre que especificó cuando generó el certificado autofirmado manualmente.
Para habilitar los servicios XNM-SSL mediante un certificado autofirmado generado manualmente:
[edit] user@switch# set system services xnm-ssl local-certificate certificate-id-name
Nota:El valor del certificate-id-name debe coincidir con el nombre que especificó cuando generó el certificado autofirmado manualmente.