Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Inscripción de certificados

Una entidad emisora de certificados emite certificados digitales que ayudan a establecer una conexión segura entre dos extremos a través de la validación de certificados. En los siguientes temas se describe cómo configurar certificados de CA en línea o locales mediante el protocolo de inscripción de certificados simple (SCEP):

Inscripción en línea de certificados digitales: Información general de configuración

Puede usar el protocolo de administración de certificados versión 2 (CMPv2) o el protocolo de inscripción de certificados simple (SCEP) para inscribir certificados digitales. Para inscribir un certificado en línea:

  1. Generar un par de claves en el dispositivo. Consulte Certificados digitales auto firmados.

  2. Crear un perfil o perfiles de entidad emisora que contengan información específica de una entidad emisora. Consulte ejemplo: Configuración de un perfilde CA.

  3. Solo para SCEP, inscriba el certificado de CA. Consulte inscripción en línea de un certificado de CA con SCEP.

  4. Inscriba el certificado local de la entidad emisora de certificados cuyo certificado de entidad emisora haya cargado previamente. Consulte ejemplo: Inscripción en línea de un certificado local con SCEP.

  5. Configure la reinscripción automática. Consulte ejemplo: Uso de SCEP para renovar automáticamente uncertificado local.

Descripción de la inscripción de certificados de CA en línea

Con el protocolo de inscripción de certificados simple (SCEP), puede configurar el dispositivo Juniper Networks para obtener un certificado de entidad de certificación (CA) en línea e iniciar la inscripción en línea para el ID. de certificado especificado. La clave pública de entidad emisora comprueba certificados de los interlocutores remotos.

Descripción de las solicitudes de certificados locales

Cuando crea una solicitud de certificado local, el dispositivo genera un certificado de CA en formato PKCS #10 desde un par de claves generado anteriormente con el mismo ID. de certificado.

Un nombre de sujeto se asocia con la solicitud de certificado local en forma de nombre común (CN), unidad organizativa (OU), organización (O), localidad (L), estado (ST), país (C) y componente de dominio (DC). Además, un nombre alternativo de firmante está asociado con el siguiente formato:

  • Dirección IP

  • Dirección de correo electrónico

  • Nombre de dominio completo (FQDN)

    Especifique el nombre del asunto en el formato de nombre completo entre comillas, incluidos el componente de dominio (DC), el nombre común (CN), el número de serie (SN), el nombre de la unidad organizativa (OU), el nombre de organización (O), la localidad (L), el estado (ST) y el país (C).

    Algunas entidades de certificación no admiten una dirección de correo electrónico como nombre de dominio en un certificado. Si no incluye una dirección de correo electrónico en la solicitud de certificado local, no puede usar una dirección de correo electrónico como identificador de ICR local al configurar el dispositivo como un sistema de mismo nivel dinámico. En su lugar, puede usar un nombre de dominio completo (si se encuentra en el certificado local) o puede dejar el campo identificador local en blanco. Si no especifica un ID local para un par dinámico, escriba el nombre de host.domain de ese par en el dispositivo al otro extremo del túnel IPsec en el campo ID par.

Inscripción en línea de un certificado de CA con SCEP

Antes de empezar:

  1. Generar un par de claves pública y privada. Consulte Certificados digitales auto firmados.

  2. Crear un perfil de CA. Consulte ejemplo: Configuración de un perfilde CA.

Para inscribir un certificado de entidad emisora en línea:

  1. Recupere el certificado de CA en línea con SCEP. (Los atributos necesarios para llegar al servidor de la entidad emisora de certificados se obtienen del perfil de entidad emisora definido.)

    El comando se procesa de forma sincrónica para proporcionar la huella digital del certificado de la entidad emisora recibido.

  2. Confirme que se ha cargado el certificado correcto. El AC certificado solo se carga cuando se escribe yes en el CLI único.

    Para obtener más información sobre el certificado, como la longitud de bits del par de claves, utilice el show security pki ca-certificatecomando.

Ejemplo Inscripción en línea de un certificado local con SCEP

En este ejemplo, se muestra cómo inscribir un certificado local en línea usando el protocolo de inscripción de certificados simple (SCEP).

Aplicables

Antes de empezar:

Descripción general

En este ejemplo, puede configurar su dispositivo Juniper Networks para obtener un certificado local en línea e iniciar la inscripción en línea para el identificador de certificado especificado con SCEP. Debe especificar la ruta de dirección URL del servidor de entidad emisora en ca-profile-ipsecel nombre del perfil de la entidad emisora.

Utilice el comando request security pki local-certificate enroll scep para iniciar la inscripción en línea para el ID de certificado especificado. (A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, se admite scep y se requiere la palabra clave.) Debe especificar el nombre AC de perfil (por ejemplo), el ID de certificado correspondiente a un par de claves generado anteriormente (por ejemplo, ) y la ca-profile-ipsecqqq siguiente información:

  • Contraseña de desafío proporcionada por el administrador de CA para la inscripción de certificados y la reinscripción.

  • Al menos uno de los siguientes valores:

    • El nombre de dominio para identificar al propietario del certificado en ICR negociaciones, por ejemplo, qqq.example.net .

    • La identidad del propietario del certificado para ICR negociación con la instrucción de correo electrónico, por ejemplo, qqq@example.net .

    • La dirección IP si el dispositivo está configurado para una dirección IP estática, por ejemplo, 10.10.10.10 .

Especifique el nombre del asunto en el formato de nombre completo entre comillas, incluidos el componente de dominio (DC), el nombre común (CN), el número de serie (SN), el nombre de la unidad organizativa (OU), el nombre de organización (O), la localidad (L), el estado (ST) y el país (C).

Una vez que se obtenga el certificado de dispositivo y se inicie la inscripción en línea para el identificador de certificado. El comando se procesa de forma asincrónica.

Automática

Modalidades

Procedimiento paso a paso

Para inscribir un certificado local en línea:

  1. Especifique el perfil de CA.

  2. Si ha terminado de configurar el dispositivo, confirme la configuración.

  3. Ejecute el comando modo de operación para iniciar el proceso de inscripción.

    Si define SN en el campo Subject (asunto) sin el número de serie, el número de serie se leerá directamente del dispositivo y se agregará a la solicitud de firma de certificado (CSR).

A partir de Junos OS versión 19.4 R2, se muestra ECDSA Keypair not supported with SCEP for cert_id <certificate id> un mensaje de advertencia cuando intenta inscribir un certificado local mediante una clave de un algoritmo de firma digital de curva elíptica (ECDSA) con el protocolo de inscripción de certificados simple (SCEP), ya que la clave ECDSA no se admite con SCEP.

Comproba

Para comprobar que la configuración funciona correctamente, escriba el show security pki comando.

Ejemplo Uso de SCEP para renovar automáticamente un certificado local

Puede usar el protocolo de administración de certificados versión 2 (CMPv2) o el protocolo de inscripción de certificados simple (SCEP) para inscribir certificados digitales. En este ejemplo se muestra cómo renovar automáticamente los certificados locales usando SCEP.

Aplicables

Antes de empezar:

Descripción general

Puede habilitar el dispositivo para que renueve automáticamente los certificados adquiridos por la inscripción en línea o que se carguen manualmente. La renovación automática de certificados evita tener que recordar la renovación de certificados en el dispositivo antes de que caduquen, lo que ayuda a mantener certificados válidos en todo momento.

La renovación automática de certificados está deshabilitada de forma predeterminada. Puede habilitar la renovación automática de certificados y configurar el dispositivo para que envíe automáticamente una solicitud para reinscribir un certificado antes de que caduque. Puede especificar cuándo se va a enviar la solicitud de inscripción de certificado; el desencadenante de la inscripción es el porcentaje de vida útil del certificado que permanece antes de la expiración. Por ejemplo, si la solicitud de renovación se va a enviar cuando la duración restante del certificado es del 10 por ciento, configure 10 para el disparador de reencadenamiento.

Para que esta característica funcione, el dispositivo debe ser capaz de alcanzar el servidor de la entidad emisora y el certificado debe estar presente en el dispositivo durante el proceso de renovación. Además, también debe asegurarse de que la entidad emisora de certificados que emite el certificado puede devolver el mismo DN. La CA no debe modificar el nombre de asunto o la extensión de nombre de sujeto alternativo en el nuevo certificado.

Puede habilitar y deshabilitar la renovación automática de certificados SCEP para todos los certificados SCEP o para cada certificado. Utilice el comando set security pki auto-re-enrollment scep para activar y configurar la reinscripción de certificados. En este ejemplo, se especifica el ID de certificado del certificado de AC como y se establece el nombre de perfil AC asociado con ca-ipsec el certificado en ca-profile-ipsec . Puede establecer la contraseña de desafío para el certificado de la entidad emisora en la contraseña de desafío proporcionada por el administrador de la entidad emisora; Esta contraseña debe ser la misma configurada anteriormente para la entidad emisora de certificados. También debe establecer el porcentaje para el desencadenador de reinscripción 10en. Durante la reinscripción automática, el Juniper Networks dispositivo utiliza de forma predeterminada el par de claves existente. Una buena práctica de seguridad consiste en volver a generar un nuevo par de claves para la reinscripción. Para generar un nuevo par de claves, utilice re-generate-keypair el comando.

Automática

Modalidades

Procedimiento paso a paso

Para habilitar y configurar la reinscripción de certificados local:

  1. Para habilitar y configurar la reinscripción de certificados.

    A partir de Junos OS Release 15.1 X49-D40 y Junos OS las puntuaciones de scep versión R1, la palabra clave es compatible y es obligatoria.

  2. Si ha terminado de configurar el dispositivo, confirme la configuración.

Comproba

Para comprobar que la configuración funciona correctamente, especifique el show security pki local-certificate detail comando modo de funcionamiento.

Descripción de la inscripción de certificados CMPv2 y SCEP

En función del entorno de implementación, puede usar la versión 2 del Protocolo de administración de certificados (CMPv2) o el protocolo de inscripción de certificados simple (SCEP) para la inscripción de certificados en línea. En este tema se describen algunas de las diferencias básicas entre los dos protocolos.

Tabla 1describe las diferencias entre los protocolos de inscripción de certificados CMPv2 y SCEP.

Tabla 1: Comparación de la inscripción de un CMPv2 y de un certificado de SCEP

Atribui

CMPv2

SCEP

Tipos de certificado compatibles:

DSA, ECDSA y RSA

Solo RSA

Estándares compatibles

RFC 4210 y 4211

Grupo de trabajo de ingeniería de Internet borrador

Las solicitudes y respuestas de inscripción de certificado y reinscripción se diferencian entre CMPv2 y SCEP. Con CMPv2, no hay un comando independiente para inscribir certificados de CA. Con SCEP, los certificados de CA se inscriben con el request security pki ca-certificate enroll comando y se especifica el perfil de CA. Un perfil de CA debe configurarse con CMPv2 o SCEP.

Descripción de la inscripción de certificados con CMPv2

El request security pki local-certificate enroll cmpv2 comando usa CMPv2 para inscribir un certificado digital local en línea. Este comando carga los certificados de la entidad final y la entidad de certificación según la configuración del servidor de la entidad emisora. El perfil de CA debe crearse antes de la inscripción de certificados de CA porque la dirección URL de inscripción se extrae del perfil de CA.

En este tema se describe la inscripción de certificados con el protocolo CMPv2.

Mensajes de inscripción y reinscripción de certificados

El protocolo CMPv2 incluye principalmente operaciones de inscripción de certificados y de reinscripción. El proceso de inscripción de certificados incluye mensajes de inicialización y de respuesta de inicialización, mientras que la reinscripción de certificados incluye mensajes de solicitud de actualización de claves y de respuesta de actualización de claves.

Si es necesario autenticar el mensaje de respuesta de inicialización mediante un certificado de CA, se debe inscribir el certificado de CA antes que cualquier inscripción de certificado de entidad final.

El mensaje de respuesta de inicialización o de actualización de clave puede contener un certificado de CA emisora o una cadena de certificados de CA. Los certificados de CA recibidos en las respuestas se tratan como certificados de CA de confianza y se almacenan en el dispositivo receptor si aún no están presentes en el almacén de CA de confianza. Estos certificados de CA se utilizan posteriormente para la validación de certificados de entidad final.

No se admite la reinscripción de certificados de CA.

Una CA puede emitir un nuevo certificado de CA antes de que expire el certificado de CA actual. Si se recibe un nuevo certificado de CA durante la reinscripción de certificados con una nueva clave pública, el nuevo certificado de CA no se guarda en el dispositivo.

Certificado de entidad final con certificado de CA emisora

En un escenario sencillo, el mensaje de respuesta de inicialización podría contener solo un certificado de entidad final, en cuyo caso la información de la entidad emisora se proporciona de forma independiente. El certificado se almacena en el almacén de certificados de entidad final.

El mensaje de respuesta de inicialización puede contener un certificado de entidad final, así como un certificado de CA emisora autofirmado. El certificado de la entidad final se almacena en primer lugar en el almacén de certificados y, a continuación, se comprueba el certificado de la entidad emisora. Si se encuentra el certificado de CA y el nombre distintivo del firmante (DN) del certificado de CA en el mensaje de respuesta de inicialización coincide con el DN de emisor del certificado de entidad final, el certificado de CA se almacena en el almacén de certificados de entidad emisora para el nombre del perfil de CA especificado en el comando de inscripción de certificados CMPv2 Si el certificado de CA ya existe en el almacén de certificados de la entidad emisora, no se llevará a cabo ninguna acción.

Certificado de entidad final con cadena de certificado de CA

En muchas implementaciones, un certificado de entidad final lo emite una entidad de certificación intermedia en una cadena de certificados. En este caso, el mensaje de respuesta de inicialización puede contener el certificado de la entidad final junto con una lista de certificados de entidad emisora en la cadena. Los certificados de entidad EMISORa intermedias y los certificados de entidad emisora raíz autofirmados son todos necesarios para validar el certificado de la entidad final. También podría ser necesaria la cadena de CA para validar certificados recibidos desde dispositivos del mismo nivel con jerarquías similares. En la siguiente sección se describe cómo se almacenan los certificados de la cadena de CA.

En Figura 1, el mensaje de respuesta de inicialización incluye el certificado de entidad final y tres certificados de CA en una cadena de certificados.

Figura 1: Certificado de entidad final con cadena de certificado de CACertificado de entidad final con cadena de certificado de CA

El certificado de la entidad final se almacena en el almacén de certificados de la entidad final. Cada certificado de CA necesita un perfil de CA. El certificado de CA con el asunto DN Sub11-CA es la primera entidad de certificación de la cadena y es el emisor del certificado de entidad final. Se almacena en el perfil de CA que se especifica con el comando de inscripción de certificado CMPv2.

Se comprueba su presencia en el almacén de CA de cada uno de los restantes certificados de la entidad emisora de la cadena. Si no hay un certificado de CA en el almacén de CA, se guardará y se creará un perfil de CA para él. El nuevo nombre del perfil de CA se crea con los 16 dígitos menos significativos del número de serie de certificado de la entidad emisora. Si el número de serie tiene más de 16 dígitos, se truncarán los dígitos más significativos más allá de 16 dígitos. Si el número de serie es inferior a 16 dígitos, los dígitos más significativos se rellenarán 0con s. Por ejemplo, si el número de serie es 11111000100010001000, entonces el nombre del perfil 1000100010001000de la entidad emisora de certificados es. Si el número de serie es 10001000, entonces el nombre del perfil 0000000010001000de la CA es.

Es posible que varios números de serie de certificados tengan los mismos 16 dígitos menos significativos. En ese caso, -00 se anexa al nombre del perfil para crear un nombre de Perfil de entidad emisora de certificados único; los nombres adicionales del perfil de entidad emisora se crean incrementando el número -01 anexado -99, de hasta. Por ejemplo, los nombres de los perfiles 1000100010001000de 1000100010001000-00entidades emisoras pueden ser,, y 1000100010001000-01.

Ejemplo Generar manualmente un CSR para el certificado local y enviarlo al servidor de la CA

En este ejemplo se muestra cómo generar manualmente una solicitud de firma de certificado.

Aplicables

Generar una clave pública y privada. Consulte Certificados digitales auto firmados.

Descripción general

En este ejemplo, se genera una solicitud de certificado mediante el identificador de certificado de un par de claves privada y pública generado anteriormente (CA-IPSec). A continuación, especifique el nombre del dominio (example.net) y el nombre común asociado (ABC). La solicitud de certificado se muestra en formato PEM.

Copiará la solicitud de certificado generada y la pegará en el campo apropiado del sitio web de la entidad emisora para obtener un certificado local. (Consulte la documentación del servidor de entidad emisora para determinar dónde se debe pegar la solicitud de certificado.) Cuando se muestra el contenido de PKCS #10, también se muestra el hash MD5 y el hash SHA-1 del archivo de #10 PKCS.

Automática

Modalidades

Procedimiento paso a paso

Para generar manualmente un certificado local:

  • Especifique el ID de certificado, nombre de dominio y nombre común.

Comproba

Para ver la solicitud de firma de certificado, show security pki certificate-request detail escriba el comando.

Ejemplo Cargar manualmente certificados de CA y locales

En este ejemplo se muestra cómo cargar manualmente la entidad emisora y los certificados locales.

Aplicables

Antes de empezar:

Descripción general

En este ejemplo, descargará los certificados locales. cert y CA. cert y los guardará en el directorio/var/tmp/del dispositivo.

Después de descargar certificados de una entidad de certificación, debe transferirlos al dispositivo (por ejemplo, mediante FTP) y, a continuación, cargarlos.

Puede cargar los siguientes archivos de certificado en un dispositivo que ejecute Junos OS:

  • Certificado local o de entidad final (EE) que identifica el dispositivo local. Este certificado es su clave pública.

  • Un AC certificado que contiene la clave AC de la red.

  • Lista CRL que enumera todos los certificados revocados por la entidad emisora.

    Puede cargar varios certificados EE en el dispositivo.

Automática

Modalidades

Procedimiento paso a paso

Para cargar los archivos de certificado en un dispositivo:

  1. Cargue el certificado local.

  2. Cargue el certificado de la entidad emisora.

  3. Examine la huella digital del certificado de la entidad emisora, si es correcta para este certificado de entidad emisora Seleccione Sí para aceptar.

Comproba

Para comprobar que los certificados se han cargado correctamente show security pki local-certificate , show security pki ca-certificate escriba los comandos y en modo operativo.

Eliminar certificados (procedimiento de la CLI)

Puede eliminar un certificado de CA local o de confianza que se genere automática o manualmente.

Utilice el siguiente comando para eliminar un certificado local:

Especifique un identificador de certificado para eliminar un certificado local con un identificador específico, all use para eliminar todos los certificados locales o system-generated especifique si desea eliminar el certificado autofirmado generado automáticamente.

Cuando elimina un certificado autofirmado generado automáticamente, el dispositivo genera uno nuevo.

Para eliminar un certificado de entidad emisora:

Especificar un perfil de CA para eliminar un certificado de CA específico o all utilizar para eliminar todos los certificados de CA presentes en el almacén persistente.

Se le pedirá confirmación antes de poder eliminar un certificado de entidad emisora.

Tabla de historial de versiones
Liberación
Descripción
19.4R2
A partir de Junos OS versión 19.4 R2, se muestra ECDSA Keypair not supported with SCEP for cert_id <certificate id> un mensaje de advertencia cuando intenta inscribir un certificado local mediante una clave de un algoritmo de firma digital de curva elíptica (ECDSA) con el protocolo de inscripción de certificados simple (SCEP), ya que la clave ECDSA no se admite con SCEP.
15.1X49-D40
A partir de Junos OS Release 15.1 X49-D40 y Junos OS las puntuaciones de scep versión R1, la palabra clave es compatible y es obligatoria.
15.1X49-D40
A partir de Junos OS Release 15.1 X49-D40 y Junos OS las puntuaciones de scep versión R1, la palabra clave es compatible y es obligatoria.