Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Acceso web seguro para la administración remota

Puede administrar un dispositivo Juniper Networks de forma remota a través de la interfaz J-Web. Para habilitar el acceso web seguro, los dispositivos de Juniper Networks admiten HTTP a través de la capa de sockets seguros (HTTPS). Puede habilitar el acceso HTTP o HTTPS en interfaces y puertos específicos del dispositivo según sea necesario. Lea este tema para obtener información.

Descripción general de Secure Web Access

Puede administrar un dispositivo Juniper Networks de forma remota a través de la interfaz J-Web. Para comunicarse con el dispositivo, la interfaz J-Web usa el Protocolo de transferencia de hipertexto (HTTP). HTTP permite un acceso web fácil, pero no cifrado. Los datos que se transmiten entre el navegador Web y el dispositivo mediante HTTP son vulnerables a la intercepción y los ataques. Para habilitar el acceso web seguro, los dispositivos de Juniper Networks admiten HTTP a través de la capa de sockets seguros (HTTPS). Puede habilitar el acceso HTTP o HTTPS en interfaces y puertos específicos según sea necesario.

El dispositivo Juniper Networks utiliza el protocolo de capa de sockets seguros (SSL) para proporcionar administración de dispositivos seguros a través de la interfaz web. SSL usa tecnología de clave pública-privada que requiere una clave privada emparejada y un certificado de autenticación para proporcionar el servicio SSL. SSL cifra la comunicación entre el dispositivo y el navegador Web con una clave de sesión negociada por el certificado de servidor SSL.

Un certificado SSL incluye información de identificación, como una clave pública y una firma realizada por una entidad de certificación (CA). Cuando accede al dispositivo a través de HTTPS, un protocolo de enlace SSL autentica al servidor y al cliente, y comienza una sesión segura. Si la información no coincide o el certificado ha caducado, no puede tener acceso al dispositivo a través de HTTPS.

Sin el cifrado SSL, la comunicación entre el dispositivo y el navegador se envía al aire libre y se puede interceptar. Recomendamos que habilite el acceso HTTPS en sus interfaces WAN.

El acceso HTTP está habilitado de forma predeterminada en las interfaces de administración integradas. De forma predeterminada, el acceso HTTPS se admite en cualquier interfaz con un certificado de servidor SSL.

Consulte también

Generación de certificados SSL para acceso web seguro (firewalls serie SRX)

Para generar un certificado SSL mediante el openssl comando:

  1. Ingrese openssl la CLI. El openssl comando genera un certificado SSL autofirmado en formato de correo de privacidad mejorada (PEM). Escribe el certificado y una clave privada RSA no cifrada de 1024 bits en el archivo especificado.
    Nota:

    Ejecute este comando en un dispositivo LINUX o UNIX porque las puertas de enlace de servicios de Juniper Networks no admiten el openssl comando.

    Reemplace por filename el nombre de un archivo en el que desea que se escriba el certificado SSL, por ejemplo, new.pem.

  2. Cuando se le solicite, escriba la información adecuada en el formulario de identificación. Por ejemplo, escriba US el nombre del país.
  3. Muestra el contenido del archivo new.pem.

    cat new.pem

    Copie el contenido de este archivo para instalar el certificado SSL.

Generación de certificados SSL para su uso en el acceso web seguro (conmutador de la serie EX)

Puede configurar un acceso web seguro para un conmutador de la serie EX. Para habilitar el acceso web seguro, debe generar un certificado digital de capa de sockets seguros (SSL) y, luego, habilitar el acceso HTTPS en el conmutador.

Para generar un certificado SSL:

  1. Escriba el siguiente openssl comando en su interfaz de línea de comandos SSH en un sistema BSD o Linux en el que openssl esté instalado. El openssl comando genera un certificado SSL autofirmado en el formato de correo de privacidad mejorada (PEM). Escribe el certificado y una clave privada RSA no cifrada de 1024 bits en el archivo especificado.

    % openssl req –x509 –nodes –newkey rsa:1024 –keyout filename.pem -out filename.pem

    donde filename es el nombre de un archivo en el que desea que se escriba el certificado SSL; por ejemplo, my-certificate.

  2. Cuando se le solicite, escriba la información adecuada en el formulario de identificación. Por ejemplo, escriba US el nombre del país.
  3. Muestra el contenido del archivo que creó.

    cat my-certificate.pem

Puede usar la página configuración de J-Web para instalar el certificado SSL en el conmutador. Para ello, copie el archivo que contiene el certificado del sistema BSD o Linux en el conmutador. A continuación, abra el archivo, copie su contenido y péguelo en el cuadro Certificado en la página configuración de J-Web Secure Access.

También puede usar la siguiente instrucción de CLI para instalar el certificado SSL en el conmutador:

Para obtener más información acerca de la instalación de certificados, consulte ejemplo: Configuración del acceso web seguro.

Consulte también

Generación automática de un certificado SSL autofirmado

Para generar un certificado SSL autofirmado en dispositivos Juniper Networks:

  1. Establezca una conectividad básica.
  2. Reinicie el sistema. El certificado autofirmado se genera automáticamente en el tiempo de arranque.
  3. Especifique system-generated-certificate en administración web HTTPS.

Generación manual de certificados SSL autofirmados

Para generar manualmente un certificado SSL autofirmado en dispositivos de Juniper Networks:

  1. Establezca una conectividad básica.
  2. Si tiene acceso de inicio de sesión raíz, puede generar manualmente el certificado autofirmado mediante los siguientes comandos:
    Nota:

    Al generar el certificado, debe especificar el asunto, la dirección de correo electrónico y el nombre de dominio o la dirección IP.

  3. Para comprobar que el certificado se generó y se cargó correctamente, ingrese el show security pki local-certificate comando operativo y especifique local-certificate en administración web HTTPS.

Eliminación de certificados autofirmados (procedimiento de CLI)

Puede eliminar un certificado autofirmado que se genera de forma automática o manual desde el conmutador de la serie EX. Cuando elimina el certificado autofirmado generado automáticamente, el conmutador genera un nuevo certificado autofirmado y lo almacena en el sistema de archivos.

  • Para eliminar el certificado generado automáticamente y su par de claves asociadas del conmutador:

  • Para eliminar un certificado generado manualmente y su par de claves asociadas del conmutador:

  • Para eliminar todos los certificados generados manualmente y sus pares de claves asociados del conmutador:

Descripción de certificados autofirmados en conmutadores de la serie EX

Cuando inicializa un conmutador Ethernet de la serie EX de Juniper Networks con la configuración predeterminada de fábrica, el conmutador genera un certificado autofirmado, lo que permite el acceso seguro al conmutador mediante el protocolo Secure Sockets Layer (SSL). El protocolo de transferencia de hipertexto sobre capa de sockets seguros (HTTPS) y la administración de red XML sobre capa de sockets seguros (XNM-SSL) son los dos servicios que pueden hacer uso de los certificados autofirmados.

Nota:

Los certificados autofirmados no proporcionan seguridad adicional, como lo hacen los generados por las entidades de certificación (CA). Esto se debe a que un cliente no puede comprobar que el servidor al que se ha conectado es el anunciado en el certificado.

Los conmutadores proporcionan dos métodos para generar un certificado autofirmado:

  • Generación automática

    En este caso, el creador del certificado es el conmutador. Un certificado autofirmado generado automáticamente (también llamado "generado por el sistema") se configura de forma predeterminada en el conmutador.

    Después de inicializar el conmutador, comprueba la presencia de un certificado autofirmado generado automáticamente. Si no encuentra uno, el conmutador genera uno y lo guarda en el sistema de archivos.

    Un certificado autofirmado que el conmutador genera automáticamente es similar a una clave de host SSH. Se almacena en el sistema de archivos, no como parte de la configuración. Persiste cuando se reinicia el conmutador y se conserva cuando se emite un request system snapshot comando.

    El conmutador usa el siguiente nombre distinguido para el certificado generado automáticamente:

    “ CN=<device serial number>, CN=system generated, CN=self-signed”

    Si elimina el certificado autofirmado generado por el sistema en el conmutador, el conmutador genera un certificado autofirmado automáticamente.

  • Generación manual

    En este caso, se crea el certificado autofirmado para el conmutador. En cualquier momento, puede usar la CLI para generar un certificado autofirmado. Los certificados autofirmados generados manualmente se almacenan en el sistema de archivos, no como parte de la configuración.

Los certificados autofirmados tienen una validez de cinco años a partir del momento en que se generan. Cuando caduca la validez de un certificado autofirmado generado automáticamente, puede eliminarlo del conmutador para que el conmutador genere un nuevo certificado autofirmado.

Los certificados autofirmados generados por el sistema y los certificados autofirmados manualmente pueden coexistir en el conmutador.

Generación manual de certificados autofirmados en conmutadores (procedimiento de CLI)

Los conmutadores de la serie EX le permiten generar certificados personalizados autofirmados y almacenarlos en el sistema de archivos. El certificado que se genera manualmente puede coexistir con el certificado autofirmado que se genera automáticamente en el conmutador. Para habilitar el acceso seguro al conmutador mediante SSL, puede usar el certificado autofirmado generado por el sistema o un certificado que haya generado manualmente.

Para generar certificados autofirmados manualmente, debe realizar las siguientes tareas:

Generación de un par de claves públicas y privadas en conmutadores

Un certificado digital tiene un par de claves criptográficas asociadas que se utiliza para firmar el certificado digitalmente. El par de claves criptográficas consta de una clave pública y una clave privada. Cuando genere un certificado autofirmado, debe proporcionar un par de claves públicas y privadas que se puedan usar para firmar el certificado autofirmado. Por lo tanto, debe generar un par de claves públicas y privadas antes de poder generar un certificado autofirmado.

Para generar un par de claves públicas y privadas:

Nota:

Opcionalmente, puede especificar el algoritmo de cifrado y el tamaño de la clave de cifrado. Si no especifica el algoritmo de cifrado ni el tamaño de la clave de cifrado, se usarán los valores predeterminados. El algoritmo de cifrado predeterminado es RSA y el tamaño predeterminado de la clave de cifrado es de 1024 bits.

Después de generar el par de claves públicas y privadas, el conmutador muestra lo siguiente:

Generación de certificados autofirmados en conmutadores

Para generar el certificado autofirmado manualmente, incluya el nombre del ID del certificado, el asunto del nombre distinguido (DN), el nombre de dominio, la dirección IP del conmutador y la dirección de correo electrónico del titular del certificado:

El certificado que ha generado se almacena en el sistema de archivos del conmutador. El ID de certificado que ha especificado al generar el certificado es un identificador único que puede usar para habilitar los servicios HTTPS o XNM-SSL.

Para comprobar que el certificado se generó y cargó correctamente, ingrese el show security pki local-certificate comando operativo.

Consulte también

Ejemplo: Configuración del acceso web seguro

En este ejemplo, se muestra cómo configurar el acceso web seguro en el dispositivo.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Nota:

Puede habilitar el acceso HTTPS en interfaces especificadas. Si habilita HTTPS sin especificar una interfaz, HTTPS se habilita en todas las interfaces.

Descripción general

En este ejemplo, importa el certificado SSL que ha generado como una clave nueva y privada en formato PEM. A continuación, habilite el acceso HTTPS y especifique el certificado SSL que se utilizará para la autenticación. Por último, especifique el puerto como 8443 en el que se va a habilitar el acceso HTTPS.

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar el acceso web seguro en su dispositivo:

  1. Importe el certificado SSL y la clave privada.

  2. Habilite el acceso HTTPS y especifique el puerto y el certificado SSL.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar una configuración de certificado SSL

Propósito

Compruebe la configuración del certificado SSL.

Acción

Desde el modo operativo, ingrese el show security comando.

Verificar una configuración de acceso seguro

Propósito

Verifique la configuración de acceso seguro.

Acción

Desde el modo operativo, ingrese el show system services comando. En el siguiente resultado de ejemplo se muestran los valores de ejemplo para el acceso web seguro:

Temas relacionados