Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Acceso a Web seguro para administración remota

Puede gestionar un dispositivo Juniper Networks de forma remota a través de la interfaz J-Web. Para habilitar el acceso web seguro, los dispositivos de Juniper Networks son compatibles con HTTP a través de la capa de sockets seguros (HTTPS). Puede habilitar el acceso HTTP o HTTPS en interfaces y puertos específicos del dispositivo según sea necesario. Lea este tema para obtener más información.

Descripción general de acceso a Web seguro

Puede gestionar un dispositivo Juniper Networks de forma remota a través de la interfaz J-Web. Para comunicarse con el dispositivo, la interfaz de J-Web utiliza el protocolo de transferencia de hipertexto (HTTP). HTTP permite acceso web fácil pero sin cifrado. Los datos que se transmiten entre el explorador Web y el dispositivo por medio de HTTP son vulnerables a la interceptación y a los ataques. Para habilitar el acceso web seguro, los dispositivos de Juniper Networks son compatibles con HTTP a través de la capa de sockets seguros (HTTPS). Puede habilitar el acceso HTTP o HTTPS en interfaces y puertos específicos según sea necesario.

El dispositivo Juniper Networks utiliza el protocolo capa de sockets seguros (SSL) para proporcionar administración segura del dispositivo a través de la interfaz Web. SSL utiliza la tecnología de claves pública y privada que requiere una clave privada emparejada y un certificado de autenticación para proporcionar el servicio SSL. SSL cifra la comunicación entre el dispositivo y el explorador Web con una clave de sesión que el certificado de servidor SSL negocia.

Un certificado SSL incluye información de identificación, como una clave pública y una firma realizada por una entidad emisora de certificados (CA). Cuando se obtiene acceso al dispositivo a través de HTTPS, un protocolo de enlace SSL autentica el servidor y el cliente e inicia una sesión segura. Si la información no coincide con el certificado ha caducado, no podrá tener acceso al dispositivo a través de HTTPS.

Sin el cifrado de SSL, la comunicación entre el dispositivo y el explorador se envía por la abierta y puede ser interceptada. Te recomendamos que habilites el acceso HTTPS en tus interfaces WAN.

El acceso HTTP está habilitado de forma predeterminada en las interfaces de administración integradas. De forma predeterminada, el acceso HTTPS se admite en cualquier interfaz con un certificado de servidor SSL.

Generando certificados SSL para el acceso web seguro (dispositivos serie SRX)

Para generar un certificado SSL mediante el openssl comando:

  1. Escriba openssl en la CLI. El openssl comando genera un certificado SSL autofirmado en el formato de privacidad-correo mejorado (PEM). Escribe el certificado y una clave privada RSA de 1024 bits sin cifrar en el archivo especificado.
    Nota:

    Ejecute este comando en un dispositivo LINUX o UNIX porque las puertas de enlace de servicios Juniper Networks no openssl admiten el comando.

    Sustituya por el nombre de un archivo en el que desee que se escriba filename el certificado SSL, por ejemplo, new.pem .

  2. Cuando se le solicite, escriba la información adecuada en el formulario de identificación. Por ejemplo, escriba US el nombre del país.
  3. Mostrar el contenido del archivo new.pem.

    cat new.pem

    Copie el contenido de este archivo para instalar el certificado SSL.

Generación de certificados SSL para su uso para acceso web seguro (conmutador de serie EX)

Puede configurar un acceso web seguro para un conmutador de serie EX. Para habilitar el acceso web seguro, debe generar un certificado SSL (capa de sockets seguros) digital y, a continuación, habilitar el acceso HTTPS en el conmutador.

Para generar un certificado SSL:

  1. Escriba el siguiente comando en su interfaz de línea de comandos SSH en un sistema BSD o Linux en el opensslopenssl que esté instalado. El openssl comando genera un certificado SSL autofirmado en el formato de privacidad-correo mejorado (PEM). Escribe el certificado y una clave privada RSA de 1024 bits sin cifrar en el archivo especificado.

    % openssl req –x509 –nodes –newkey rsa:1024 –keyout filename.pem -out filename.pem

    dónde está el nombre de un archivo en el que desea que se escriba filename el certificado SSL, por ejemplo, my-certificate .

  2. Cuando se le solicite, escriba la información adecuada en el formulario de identificación. Por ejemplo, escriba US el nombre del país.
  3. Muestre el contenido del archivo que creó.

    cat my-certificate.pem

Puede usar la página de configuración de J-web para instalar el certificado SSL en el conmutador. Para ello, copie el archivo que contiene el certificado desde el sistema BSD o Linux al conmutador. A continuación, abra el archivo, copie su contenido y péguelo en el cuadro certificado de la página de configuración de J-web Secure Access.

También puede usar la siguiente instrucción de la CLI para instalar el certificado SSL en el conmutador:

Para obtener más información sobre cómo instalar certificados, consulte el ejemplo: Configuración del acceso web seguro.

Generar automáticamente un certificado SSL autofirmado

Para generar un certificado SSL autofirmado en dispositivos Juniper Networks:

  1. Establecer una conectividad básica.
  2. Reinicie el sistema. El certificado autofirmado se genera automáticamente durante el arranque.
  3. Especifique system-generated-certificate en administración de web https.

Generar manualmente certificados SSL autofirmados

Para generar manualmente un certificado SSL autofirmado en dispositivos Juniper Networks:

  1. Establecer una conectividad básica.
  2. Si tiene acceso a la raíz de inicios de sesión, puede generar manualmente el certificado autofirmado utilizando los comandos siguientes:
    Nota:

    Al generar el certificado, debe especificar el asunto, la dirección de correo electrónico y el nombre de dominio o la dirección IP.

  3. Para comprobar que el certificado se ha generado y cargado correctamente, escriba show security pki local-certificate el comando operativo y local-certificate especifique en administración de web https.

Eliminar certificados autofirmados (procedimiento de CLI)

Puede eliminar un certificado autofirmado que se genera automática o manualmente desde el conmutador de la serie EX. Cuando elimine el certificado autofirmado generado automáticamente, el conmutador generará un nuevo certificado autofirmado y lo almacenará en el sistema de archivos.

  • Para eliminar el certificado generado automáticamente y su pareja de claves asociada desde el conmutador:

  • Para eliminar un certificado generado manualmente y su pareja de claves asociada desde el conmutador:

  • Para eliminar todos los certificados generados manualmente y sus pares de claves asociados desde el conmutador:

Descripción de los certificados autofirmados en los conmutadores de la serie EX

Cuando se inicializa un conmutador Ethernet Juniper Networks EX Series con la configuración predeterminada de fábrica, el conmutador genera un certificado con firma automática que permite el acceso seguro al conmutador a través del Protocolo Secure Sockets Layer (SSL). El protocolo de transferencia de hipertexto a través de la capa de sockets seguros (HTTPS) y la administración de red XML a través de Secure Sockets Layer (XNM-SSL) son los dos servicios que pueden hacer uso de los certificados autofirmados.

Nota:

Los certificados con firma personal no proporcionan seguridad adicional, como son los que los generan las entidades emisoras de certificados (CA). Esto se debe a que un cliente no puede comprobar que el servidor al que se ha conectado es el que se ha anunciado en el certificado.

Los conmutadores proporcionan dos métodos para generar un certificado autofirmado:

  • Generación automática

    En este caso, el creador del certificado es el conmutador. De forma predeterminada, se configura un certificado auto firmado automáticamente (también llamado "generado por el sistema") en el conmutador.

    Después de inicializar el conmutador, éste comprueba la presencia de un certificado autofirmado generado automáticamente. Si no encuentra ninguno, el modificador genera uno y lo guarda en el sistema de archivos.

    Un certificado autofirmado generado automáticamente por el conmutador es similar a una clave de host SSH. Se almacena en el sistema de archivos, no como parte de la configuración. Se conserva cuando se reinicia el conmutador y se conserva cuando se emite un request system snapshot comando.

    El modificador utiliza el siguiente nombre completo para el certificado generado automáticamente:

    “ CN=<device serial number>, CN=system generated, CN=self-signed”

    Si elimina el certificado autofirmado generado por el sistema en el conmutador, el conmutador genera automáticamente un certificado con firma automática.

  • Generación manual

    En este caso, debe crear el certificado autofirmado para el conmutador. En cualquier momento, puede usar la CLI para generar un certificado con firma personal. Los certificados autofirmados generados manualmente se almacenan en el sistema de archivos, no como parte de la configuración.

Los certificados con firma automática son válidos durante cinco años a partir del momento en que se generan. Cuando expire la validez de un certificado autofirmado generado automáticamente, puede eliminarlo del conmutador para que el conmutador genere un nuevo certificado autofirmado.

Los certificados autofirmados generados por el sistema y los certificados autofirmados generados manualmente pueden coexistir en el conmutador.

Generar manualmente certificados autofirmados en conmutadores (procedimiento de la CLI)

Los conmutadores de la serie EX le permiten generar certificados autofirmados personalizados y guardarlos en el sistema de archivos. El certificado que se genera manualmente puede coexistir con el certificado autofirmado generado automáticamente en el conmutador. Para permitir el acceso seguro al conmutador a través de SSL, puede usar el certificado autofirmado generado por el sistema o un certificado que haya generado manualmente.

Para generar certificados autofirmados manualmente, debe completar las siguientes tareas:

Generar un par de claves pública y privada en conmutadores

Un certificado digital tiene asociado un par de claves criptográficas que se utiliza para firmar el certificado digitalmente. El par de claves criptográficas incluye una clave pública y una clave privada. Al generar un certificado autofirmado, debe proporcionar un par de claves pública y privada que pueden usarse para firmar el certificado autofirmado. Por lo tanto, debe generar un par de claves pública y privada para poder generar un certificado autofirmado.

Para generar un par de claves pública y privada:

Nota:

Opcionalmente, puede especificar el algoritmo de cifrado y el tamaño de la clave de cifrado. Si no especifica el algoritmo de cifrado y el tamaño de la clave de cifrado, se utilizarán los valores predeterminados. El algoritmo de cifrado predeterminado es RSA y el tamaño predeterminado de la clave de cifrado es 1024 bits.

Después de generar el par de claves pública y privada, el conmutador muestra lo siguiente:

Generar certificados autofirmados en conmutadores

Para generar manualmente el certificado autofirmado, incluya el nombre del identificador de certificado, el asunto del nombre completo (DN), el nombre de dominio, la dirección IP del conmutador y la dirección de correo electrónico del titular del certificado:

El certificado que generó se almacena en el sistema de archivos del conmutador. El identificador de certificado que especificó al generar el certificado es un identificador único que puede usar para habilitar los servicios HTTPS o XNM-SSL.

Para comprobar que el certificado se ha generado y cargado correctamente, escriba show security pki local-certificate el comando operativo.

Ejemplo Configuración de acceso web seguro

En este ejemplo se muestra cómo configurar el acceso web seguro en el dispositivo.

Aplicables

Antes de configurar esta característica, es necesaria una configuración especial más allá de la inicialización del dispositivo.

Nota:

Puede habilitar el acceso HTTPS en interfaces especificadas. Si habilita HTTPS sin especificar una interfaz, HTTPS estará habilitado en todas las interfaces.

Descripción general

En este ejemplo, importará el certificado SSL generado como clave nueva y privada en formato PEM. A continuación, habilite el acceso HTTPS y especifique el certificado SSL que se usará para la autenticación. Por último, debe especificar el puerto como 8443 en el que se va a habilitar el acceso HTTPS.

Topología

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar el acceso web seguro en su dispositivo:

  1. Importe el certificado SSL y la clave privada.

  2. Habilite el acceso HTTPS y especifique el certificado y el puerto SSL.

Resultados

Desde el modo de configuración, escriba el show security comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobación de la configuración de un certificado SSL

Purpose

Compruebe la configuración del certificado SSL.

Intervención

En modo operativo, escriba el show security comando.

Comprobación de una configuración de acceso seguro

Purpose

Compruebe la configuración de acceso seguro.

Intervención

En modo operativo, escriba el show system services comando. El siguiente resultado de ejemplo muestra los valores de ejemplo para el acceso web seguro: