Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autoridad de certificación

Un perfil de autoridad de certificados (CA) define todos los parámetros asociados con un certificado específico para establecer una conexión segura entre dos extremos. Los perfiles especifican qué certificados usar, cómo comprobar el estado de revocación de certificados y cómo ese estado restringe el acceso.

Configuración de un grupo de CA de confianza

En esta sección se describe el procedimiento para crear un grupo de CA de confianza para una lista de perfiles de entidad emisora de certificados y eliminar un grupo de CA de confianza.

Crear un grupo de CA de confianza para una lista de perfiles de CA

Puede configurar y asignar un grupo de CA de confianza para autorizar una entidad. Cuando un elemento del mismo nivel intenta establecer una conexión con un cliente, solo se valida el certificado emitido por esa entidad EMISORa de certificados de confianza específica de dicha entidad. El dispositivo se valida si el emisor del certificado y el que lo presenta pertenecen a la misma red del cliente. Si el emisor y el moderador pertenecen a la misma red cliente, se establecerá la conexión. De lo contrario, no se establecerá la conexión.

Antes de comenzar, debe disponer de una lista de todos los perfiles de CA que desea agregar al grupo de confianza.

En este ejemplo, vamos a crear tres perfiles de CA orgA-ca-profileorgB-ca-profiledenominados, orgC-ca-profile , y,, y a asociar ca-profile1los ca-profile2siguientes identificadores de CA, y ca-profile3 para los perfiles respectivos. Puede agrupar todos los tres perfiles de entidad emisora para que pertenezcan orgABC-trusted-ca-groupa un grupo de CA de confianza.

Puede configurar un máximo de 20 perfiles de CA para un grupo de CA de confianza.

  1. Crear perfiles de CA y asociar identificadores de CA al perfil.
  2. Agrupe los perfiles de entidad emisora bajo un grupo de CA de confianza.
  3. Confirme la configuración cuando haya terminado de configurar los perfiles de CA y los grupos de CA de confianza.

Para ver los perfiles de CA y los grupos de CA de confianza configurados show security pki en su dispositivo, ejecute el comando.

El show security pki comando muestra todos los perfiles de entidades emisoras que se agrupan bajo el orgABC_trusted-ca-group.

Eliminación de un perfil de CA de un grupo de CA de confianza

Puede eliminar un perfil de CA específico en un grupo de CA de confianza o puede eliminar el grupo de CA de confianza propiamente dicho.

Por ejemplo, si desea eliminar un perfil de CA nombrado orgC-ca-profile de un grupo orgABC-trusted-ca-groupde CA de confianza, configurado en el dispositivo tal y Configuración de un grupo de CA de confianza como se muestra en el tema, siga estos pasos:

  1. Elimine un perfil de CA del grupo de CA de confianza.
  2. Si ha terminado de eliminar el perfil de CA del grupo de CA de confianza, confirme la configuración.

Para ver el orgC-ca-profile que se está eliminando de orgABC-trusted-ca-group , show security pki ejecute el comando.

La salida no muestra el orgC-ca-profile perfil tal y como se elimina del grupo de CA de confianza.

Eliminación de un grupo de entidades de certificación de confianza

Una entidad puede admitir varios grupos de entidades de certificación de confianza y puede eliminar cualquier grupo de CA de confianza para una entidad.

Por ejemplo, si desea eliminar un grupo de CA de confianza llamado orgABC-trusted-ca-group, configurado en el dispositivo tal y como Configuración de un grupo de CA de confianza se muestra en el tema, realice los siguientes pasos:

  1. Eliminar un grupo de CA de confianza.
  2. Si ha terminado de eliminar el perfil de CA del grupo de CA de confianza, confirme la configuración.

Para ver el orgABC-trusted-ca-group que se está eliminando de la entidad show security pki , ejecute el comando.

El resultado no muestra el orgABC-trusted-ca-group a medida que se elimina de la entidad.

Descripción de los perfiles de autoridad de certificados

La configuración del perfil de una entidad de certificación (CA) contiene información específica de una entidad emisora de certificados. Puede tener varios perfiles de CA en un dispositivo serie SRX. Por ejemplo, podría tener un perfil para orgA y otro para orgB. Cada perfil se asocia con un certificado de entidad emisora. Si desea cargar un nuevo certificado de entidad emisora sin quitar el antiguo, cree un nuevo perfil de entidad emisora (por ejemplo, Microsoft-2008).

A partir de Junos OS versión 18.1 R1, el servidor de la entidad emisora de certificados puede ser un servidor de CA IPv6.

El módulo PKI admite el formato de dirección IPv6 para permitir el uso de serie SRX dispositivos en redes en las que IPv6 es el único protocolo utilizado.

Una entidad de certificación emite certificados digitales, lo que ayuda a establecer una conexión segura entre dos extremos a través de la validación de certificados. Puede agrupar varios perfiles de entidades emisoras de certificados en un grupo de CA de confianza para una topología determinada. Estos certificados se utilizan para establecer una conexión entre dos puntos finales. Para establecer ICR o IPsec, ambos puntos de conexión deben confiar en la misma entidad emisora de certificados. Si alguno de los extremos no puede validar el certificado con su CA de confianza (CA-Profile) correspondiente o el grupo de CA de confianza, la conexión no se establece. Un mínimo de un perfil de CA es obligatorio para crear un grupo de CA de confianza y se permite un máximo de 20 CA en un grupo de CA de confianza. Cualquier entidad de certificación de un grupo determinado puede validar el certificado para ese extremo concreto.

A partir de Junos OS versión 18.1 R1, se puede llevar a cabo la validación de una ICR del mismo nivel configurada con un servidor de CA especificado o con un grupo de servidores de entidad emisora. Se puede crear un grupo de servidores de entidades emisoras trusted-ca-group de certificados de confianza conedit security pkila instrucción de configuración en el nivel de jerarquía []; se pueden especificar uno o varios perfiles de CA. El servidor de CA de confianza se enlaza a la configuración de la Directiva de ICRedit security ike policy policy certificatepara el nivel de jerarquía peer at [].

Si el perfil de proxy se configura en el perfil de CA, el dispositivo se conecta al host proxy en lugar de al servidor de la CA, durante la inscripción, comprobación o revocación de certificados. El host proxy se comunica con el servidor de la entidad de certificación con las solicitudes del dispositivo y, a continuación, retransmite la respuesta al dispositivo.

El perfil de proxy de CA admite los protocolos SCEP, CMPv2 y OCSP.

El perfil de proxy de CA solo se admite en HTTP y no se admite en el protocolo HTTPS.

Ejemplo Configuración de un perfil de CA

En este ejemplo se muestra cómo configurar un perfil de CA.

Aplicables

Antes de configurar esta característica, es necesaria una configuración especial más allá de la inicialización del dispositivo.

Descripción general

En este ejemplo, creará un perfil de CA ca-profile-ipsec llamado con la identidad de CA microsoft-2008. A continuación, cree un perfil de proxy para el perfil de CA. La configuración especifica que la CRL se actualice cada 48 horas y que la ubicación en la que se recuperará la http://www.my-ca.comCRL es. En el ejemplo, establece el valor del reintento de inscripción en 20. El valor predeterminado de Retry es 10.

El sondeo de certificados automático se establece cada 30 minutos. Si configura Reintentar únicamente sin configurar un intervalo de reintentos, el intervalo de reintento predeterminado es de 900 segundos (o 15 minutos). Si no configura un intento o un intervalo de reintentos, no habrá sondeo.

Automática

Modalidades

Procedimiento paso a paso

Para configurar un perfil de CA:

  1. Crear un perfil de CA.

  2. Si lo desea, puede configurar el perfil de proxy para el perfil de CA.

    La infraestructura de claves públicas (PKI) utiliza el perfil de proxy configurado en el nivel del sistema. El perfil de proxy que se utiliza en el perfil de CA debe configurarse en la [edit services proxy] jerarquía. Puede haber más de un perfil de proxy configurado en [edit services proxy] la jerarquía. A cada perfil de entidad emisora se le hace referencia el perfil de proxy más uno. Puede configurar el host y el puerto del perfil proxy en la [edit system services proxy] jerarquía.

  3. Cree una comprobación de revocación para especificar un método para comprobar la revocación de certificados.

  4. Establezca el intervalo de actualización, en horas, para especificar la frecuencia de actualización de la CRL. Los valores predeterminados son el tiempo de actualización siguiente en la lista CRL, o 1 semana si no se especifica ninguna hora de la siguiente actualización.

  5. Especifique el valor de reintento de inscripción.

  6. Especifique el intervalo de tiempo (en segundos) entre los intentos para inscribir automáticamente el certificado de entidad emisora en línea.

  7. Si ha terminado de configurar el dispositivo, confirme la configuración.

Comproba

Para comprobar que la configuración funciona correctamente, escriba el show security pki comando.

Ejemplo Configuración de una dirección IPv6 como dirección de origen de un perfil de CA

En este ejemplo se muestra cómo configurar una dirección IPv6 como dirección de origen de un perfil de CA.

Antes de configurar esta característica, es necesaria una configuración especial más allá de la inicialización del dispositivo.

En este ejemplo, cree un perfil de CA orgA-ca-profile llamado con la v6-ca identidad de CA y configure la dirección de origen del perfil de CA como una dirección 2001:db8:0:f101::1IPv6, como. Puede configurar la dirección URL de inscripción para aceptar una dirección http://[2002:db8:0:f101::1]:/.../IPv6.

  1. Crear un perfil de CA.
  2. Configure la dirección de origen del perfil de CA como una dirección IPv6.
  3. Especifique los parámetros de inscripción para la CA.
  4. Si ha terminado de configurar el dispositivo, confirme la configuración.
Tabla de historial de versiones
Liberación
Descripción
18.1R1
A partir de Junos OS versión 18.1 R1, el servidor de la entidad emisora de certificados puede ser un servidor de CA IPv6.
18.1R1
A partir de Junos OS versión 18.1 R1, se puede llevar a cabo la validación de una ICR del mismo nivel configurada con un servidor de CA especificado o con un grupo de servidores de entidad emisora.