Descripción general del módulo de plataforma segura

Ventajas de los certificados basados en TPM

• Proporciona confianza. Ayuda a establecer una seguridad avanzada en un mundo digital inseguro.

• Proporciona confidencialidad. Los datos enviados se cifran y solo son visibles para el servidor y el cliente.

• Proporciona integridad. Asegura que los datos no han sido modificados durante la transferencia.

¿Cómo funciona un certificado SSL/TLS convencional?

Secure Sockets Layer (SSL) es un protocolo que permite el cifrado. Ayuda a proteger y autenticar las comunicaciones entre un cliente y un servidor. También puede proteger el correo electrónico, VoIP y otras comunicaciones a través de redes no seguras. SSL también se conoce como Seguridad de la capa de transporte (TLS).

En conexiones HTTP no seguras, los hackers pueden interceptar fácilmente los mensajes entre el cliente y el servidor. Los certificados SSL utilizan un sistema de pares de claves público/privado para iniciar el protocolo HTTPS. Por lo tanto, los certificados SSL permiten conexiones seguras para que los usuarios y clientes se conecten. SSL/TLS funciona a través de:

• Comunicación segura que comienza con un protocolo de enlace TLS. Las dos partes que se comunican abren una conexión segura e intercambian la clave pública.
• Durante el protocolo de enlace TLS, las dos partes generan claves de sesión. Las claves de sesión cifran y descifran todas las comunicaciones después del protocolo de enlace TLS.
• Diferentes claves de sesión cifran las comunicaciones en cada nueva sesión.
• TLS garantiza que el usuario en el lado del servidor, o el sitio web con el que el usuario está interactuando, es quien dice ser.
• TLS también garantiza que los datos no se hayan alterado, ya que se incluye un código de autenticación de mensajes (MAC) con las transmisiones.

Cuando un certificado SSL firmado protege un sitio web, demuestra que la organización ha verificado y autenticado su identidad con el tercero de confianza. Cuando el navegador confía en la CA, ahora también confía en la identidad de esa organización.

La forma más fácil de verificar si el sitio web tiene un SSL instalado es ver si la URL del sitio web comienza con "HTTPS:". Si el sitio web tiene un certificado SSL instalado en el servidor, haga clic en el icono del candado en la barra de direcciones para ver la información del certificado.

Cómo administra el firewall los certificados basados en TPM mediante PKI

Cuando use aplicaciones como la detección avanzada de malware (AAMWD) con ATP Cloud de Juniper, puede usar el certificado basado en TPM para la certificación, lo que permite que las aplicaciones comprueben la legitimidad de su dispositivo. El firewall administra los certificados basados en TPM mediante el proceso PKID. Tenga en cuenta lo siguiente cuando use el proceso PKID para certificados basados en TPM:

• El firewall carga el certificado basado en TPM mediante el proceso PKID durante las operaciones de inicio y reinicio del dispositivo.

• El dispositivo carga el certificado y el identificador de clave privada en el identificador de certificado basado en TPM, denominado idev-id identificador de certificado, de la lista de certificados local del dispositivo. Para ver el identificador de certificado basado en TPM, denominado idev-id, use el show security pki node-local local-certificate certificate-id idev-id comando.

• No debe usar el comando request security pki node-local local-certificate verify certificate-id idev-id para comprobar el ID del idev-id certificado. La verificación no se lleva a cabo porque el certificado de CA para el ID de idev-id certificado no está disponible en su firewall. Observará un mensaje local certificate verification can't performed for IDev-ID certificate as the CA cert for the same is not available de error cuando intente verificar con el comando.

Cómo AAMWD y SSL/TLS usan certificados basados en TPM

Las aplicaciones como la detección AAMW (AAMWD) que usan Juniper ATP Cloud en el firewall de la serie SRX deben usar el certificado TPM quemado para toda su identificación y autenticación de dispositivos en lugar de los certificados convencionales. Esto ayuda a establecer una conexión SSL autenticada por el cliente seguro con el servidor en la nube mediante el nuevo certificado TPM. Esto se aplica a las conexiones de control y plano de datos (SSL-I)/TLS establecidas por AAMWD. El servidor en la nube confirma la autenticidad de la clave privada TPM mediante la clave pública TPM que se comparte en protocolo de enlace SSL. La información de identificación del dispositivo forma parte del certificado TPM compartido.

Al configurar el perfil de iniciación SSL (SSL-I), el lado PKID exige que cargue el certificado TPM y el identificador de clave privada al iniciar o reiniciar con un determinado ID de certificado. Puede utilizar este certificado para configurar el perfil SSL-I. AAMWD puede utilizar este certificado para conexiones TLS. SSL-I necesita cambios en el lado del plano de datos para usar el chip TPM para fines de firma/verificación de conexiones TLS AAMWD. SSL-I proporciona la funcionalidad de cliente SSL a ATP Cloud con autenticación de cliente. El modo SSL-I debe ser compatible con el certificado TPM/clave privada. Anteriormente, SSL-I usaba el certificado local del sistema de archivos y la clave privada.

A partir de Junos OS versión 24.2R1, puede utilizar SSL-I en dos modos:

• SSL-I con certificados/claves TPM

• SSL-I con certificado/clave del sistema de archivos

Puede configurar la tpm opción mediante el set services ssl initiation profile profile-name crypto-hardware-offload comando.