EN ESTA PÁGINA
Generación de certificados SSL para acceso web seguro (firewalls de la serie SRX)
Eliminación de certificados autofirmados (procedimiento de CLI)
Descripción de los certificados autofirmados en conmutadores de la serie EX
Generación manual de certificados autofirmados en conmutadores (procedimiento de CLI)
Acceso web seguro para administración remota
Puede administrar un dispositivo de Juniper Networks de forma remota a través de la interfaz J-Web. Para habilitar el acceso web seguro, los dispositivos de Juniper Networks admiten HTTP a través de Capa de sockets seguros (HTTPS). Puede habilitar el acceso HTTP o HTTPS en interfaces y puertos específicos del dispositivo según sea necesario. Lea este tema para obtener información.
Descripción general de Secure Web Access
Puede administrar un dispositivo de Juniper Networks de forma remota a través de la interfaz J-Web. Para comunicarse con el dispositivo, la interfaz J-Web utiliza el Protocolo de transferencia de hipertexto (HTTP). HTTP permite un fácil acceso a la Web, pero sin cifrado. Los datos que se transmiten entre el navegador web y el dispositivo por medio de HTTP son vulnerables a interceptación y ataque. Para habilitar el acceso web seguro, los dispositivos de Juniper Networks admiten HTTP a través de Capa de sockets seguros (HTTPS). Puede habilitar el acceso HTTP o HTTPS en interfaces y puertos específicos, según sea necesario.
El dispositivo de Juniper Networks utiliza el protocolo Capa de sockets seguros (SSL) para proporcionar administración segura de dispositivos a través de la interfaz web. SSL utiliza una tecnología de clave pública y privada que requiere una clave privada emparejada y un certificado de autenticación para proporcionar el servicio SSL. SSL cifra la comunicación entre el dispositivo y el explorador web con una clave de sesión negociada por el certificado de servidor SSL.
Un certificado SSL incluye información de identificación, como una clave pública y una firma realizada por una autoridad de certificación (CA). Cuando accede al dispositivo a través de HTTPS, un protocolo de enlace SSL autentica el servidor y el cliente y comienza una sesión segura. Si la información no coincide o el certificado ha caducado, no puede acceder al dispositivo a través de HTTPS.
Sin el cifrado SSL, la comunicación entre su dispositivo y el navegador se envía abiertamente y puede ser interceptada. Le recomendamos que habilite el acceso HTTPS en sus interfaces WAN.
El acceso HTTP está habilitado de forma predeterminada en las interfaces de administración integradas. De forma predeterminada, el acceso HTTPS se admite en cualquier interfaz con un certificado de servidor SSL.
Consulte también
Generación de certificados SSL para acceso web seguro (firewalls de la serie SRX)
Para generar un certificado SSL mediante el comando:openssl
Generación de certificados SSL que se utilizarán para el acceso Web seguro (conmutador de la serie EX)
Puede configurar un acceso Web seguro para un conmutador de la serie EX. Para habilitar el acceso web seguro, debe generar un certificado digital de Capa de sockets seguros (SSL) y, a continuación, habilitar el acceso HTTPS en el conmutador.
Para generar un certificado SSL:
Puede utilizar la página J-Web Configuration (Configuración J-Web) para instalar el certificado SSL en el conmutador. Para ello, copie el archivo que contiene el certificado del sistema BSD o Linux al conmutador. A continuación, abra el archivo, copie su contenido y péguelo en el cuadro Certificado de la página Configuración de acceso seguro de J-Web.
También puede usar la siguiente instrucción CLI para instalar el certificado SSL en el conmutador:
[edit] user@switch# set security certificates local my-signed-cert load-key-file my-certificate.pem
Para obtener más información sobre la instalación de certificados, consulte Ejemplo: Configuración de Secure Web Access.
Consulte también
Generación automática de un certificado SSL autofirmado
Para generar un certificado SSL autofirmado en dispositivos de Juniper Networks:
Generación manual de certificados SSL autofirmados
Para generar manualmente un certificado SSL autofirmado en dispositivos de Juniper Networks:
Eliminación de certificados autofirmados (procedimiento de CLI)
Puede eliminar un certificado autofirmado que se genera automática o manualmente desde el conmutador de la serie EX. Cuando elimina el certificado autofirmado generado automáticamente, el conmutador genera un nuevo certificado autofirmado y lo almacena en el sistema de archivos.
Para eliminar el certificado generado automáticamente y su par de claves asociado del conmutador:
user@switch> clear security pki local-certificate system-generated
Para eliminar un certificado generado manualmente y su par de claves asociado del modificador:
user@switch> clear security pki local-certificate certificate-id certificate-id-name
Para eliminar todos los certificados generados manualmente y sus pares de claves asociados del conmutador:
user@switch> clear security pki local-certificate all
Descripción de los certificados autofirmados en conmutadores de la serie EX
Cuando inicializa un conmutador Ethernet de la serie EX de Juniper Networks con la configuración predeterminada de fábrica, el conmutador genera un certificado autofirmado que permite el acceso seguro al conmutador mediante el protocolo Capa de sockets seguros (SSL). El Protocolo de transferencia de hipertexto sobre Capa de sockets seguros (HTTPS) y la Administración de red XML sobre Capa de sockets seguros (XNM-SSL) son los dos servicios que pueden hacer uso de los certificados autofirmados.
Los certificados autofirmados no proporcionan seguridad adicional al igual que los generados por las entidades de certificación (CA). Esto se debe a que un cliente no puede comprobar que el servidor al que se ha conectado es el anunciado en el certificado.
Los modificadores proporcionan dos métodos para generar un certificado autofirmado:
Generación automática
En este caso, el creador del certificado es el modificador. Un certificado autofirmado generado automáticamente (también denominado "generado por el sistema") se configura en el conmutador de forma predeterminada.
Una vez inicializado el conmutador, comprueba la presencia de un certificado autofirmado generado automáticamente. Si no encuentra ninguno, el conmutador genera uno y lo guarda en el sistema de archivos.
Un certificado autofirmado generado automáticamente por el conmutador es similar a una clave de host SSH. Se almacena en el sistema de archivos, no como parte de la configuración. Persiste cuando se reinicia el conmutador y se conserva cuando se emite un comando.
request system snapshotEl conmutador utiliza el siguiente nombre distintivo para el certificado generado automáticamente:
“ CN=<device serial number>, CN=system generated, CN=self-signed”
Si elimina el certificado autofirmado generado por el sistema en el conmutador, el conmutador genera un certificado autofirmado automáticamente.
Generación manual
En este caso, debe crear el certificado autofirmado para el conmutador. En cualquier momento, puede usar la CLI para generar un certificado autofirmado. Los certificados autofirmados generados manualmente se almacenan en el sistema de archivos, no como parte de la configuración.
Los certificados autofirmados tienen una validez de cinco años a partir del momento en que se generan. Cuando expire la validez de un certificado autofirmado generado automáticamente, puede eliminarlo del conmutador para que el conmutador genere un nuevo certificado autofirmado.
Los certificados autofirmados generados por el sistema y los certificados autofirmados generados manualmente pueden coexistir en el conmutador.
Generación manual de certificados autofirmados en conmutadores (procedimiento de CLI)
Los modificadores de la serie EX le permiten generar certificados autofirmados personalizados y almacenarlos en el sistema de archivos. El certificado que genere manualmente puede coexistir con el certificado autofirmado generado automáticamente en el conmutador. Para habilitar el acceso seguro al conmutador a través de SSL, puede utilizar el certificado autofirmado generado por el sistema o un certificado que haya generado manualmente.
Para generar certificados autofirmados manualmente, debe completar las siguientes tareas:
- Generación de un par de claves público-privada en conmutadores
- Generación de certificados autofirmados en conmutadores
Generación de un par de claves público-privada en conmutadores
Un certificado digital tiene asociado un par de claves criptográficas que se utiliza para firmar el certificado digitalmente. El par de claves criptográficas comprende una clave pública y una clave privada. Al generar un certificado autofirmado, debe proporcionar un par de claves pública-privada que se pueda usar para firmar el certificado autofirmado. Por lo tanto, debe generar un par de claves pública-privada antes de poder generar un certificado autofirmado.
Para generar un par de claves pública-privada:
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
Opcionalmente, puede especificar el algoritmo de cifrado y el tamaño de la clave de cifrado. Si no especifica el algoritmo de cifrado y el tamaño de la clave de cifrado, se utilizan los valores predeterminados. El algoritmo de cifrado predeterminado es RSA y el tamaño predeterminado de la clave de cifrado es 1024 bits.
Después de generar el par de claves pública-privada, el conmutador muestra lo siguiente:
generated key pair certificate-id-name, key size 1024 bits
Generación de certificados autofirmados en conmutadores
Para generar el certificado autofirmado manualmente, incluya el nombre del ID del certificado, el asunto del nombre distintivo (DN), el nombre de dominio, la dirección IP del conmutador y la dirección de correo electrónico del titular del certificado:
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
El certificado que ha generado se almacena en el sistema de archivos del conmutador. El ID de certificado que especificó al generar el certificado es un identificador único que puede usar para habilitar los servicios HTTPS o XNM-SSL.
Para comprobar que el certificado se generó y cargó correctamente, escriba el comando operativo.show security pki local-certificate
Ejemplo: Configuración de Secure Web Access
En este ejemplo se muestra cómo configurar el acceso web seguro en el dispositivo.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Puede habilitar el acceso HTTPS en interfaces especificadas. Si habilita HTTPS sin especificar una interfaz, HTTPS se habilitará en todas las interfaces.
Descripción general
En este ejemplo, se importa el certificado SSL que se ha generado como clave nueva y privada en formato PEM. A continuación, habilite el acceso HTTPS y especifique el certificado SSL que se utilizará para la autenticación. Por último, especifique el puerto como 8443 en el que se va a habilitar el acceso HTTPS.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security certificates local new load-key-file /var/tmp/new.pem set system services web-management https local-certificate new port 8443
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar el acceso web seguro en el dispositivo:
Importe el certificado SSL y la clave privada.
[edit security] user@host# set certificates local new load-key-file /var/tmp/new.pem
Habilite el acceso HTTPS y especifique el certificado SSL y el puerto.
[edit system] user@host# set services web-management https local-certificate new port 8443
Resultados
Desde el modo de configuración, confírmela con el comando show security. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security
certificates {
local {
new {
"-----BEGIN RSA PRIVATE KEY-----\nMIICXQIBAAKBgQC/C5UI4frNqbi qPwbTiOkJvqoDw2YgYse0Z5zzVJyErgSg954T\nEuHM67Ck8hAOrCnb0YO+SY Y5rCXLf4+2s8k9EypLtYRw/Ts66DZoXI4viqE7HSsK\n5sQw/UDBIw7/MJ+OpA ... KYiFf4CbBBbjlMQJ0HFudW6ISVBslONkzX+FT\ni95ddka6iIRnArEb4VFCRh+ e1QBdp1UjziYf7NuzDx4Z\n -----END RSA PRIVATE KEY-----\n-----BEGIN CERTIFICATE----- \nMIIDjDCCAvWgAwIBAgIBADANBgkqhkiG9w0BAQQ ... FADCBkTELMAkGA1UEBhMCdXMx\nCzAJBgNVBAgTAmNhMRIwEAYDVQQHEwlzdW5ue HB1YnMxDTALBgNVBAMTBGpucHIxJDAiBgkqhkiG\n9w0BCQEWFW5iaGFyZ2F2YUB fLUYAnBYmsYWOH\n -----END CERTIFICATE-----\n"; ## SECRET-DATA
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
Verificar la configuración de un certificado SSL
Propósito
Compruebe la configuración del certificado SSL.
Acción
Desde el modo operativo, ingrese el comando show security.
Verificación de una configuración de acceso seguro
Propósito
Compruebe la configuración de acceso seguro.
Acción
Desde el modo operativo, ingrese el comando show system services. El siguiente resultado de ejemplo muestra los valores de ejemplo para el acceso Web seguro:
[edit]
user@host# show system services
web-management {
http;
https {
port 8443;
local-certificate new;
}
}