Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autoridad de certificación

Un perfil de autoridad de certificación (CA) define cada parámetro asociado con un certificado específico para establecer una conexión segura entre dos puntos de conexión. Los perfiles especifican qué certificados usar, cómo comprobar el estado de revocación del certificado y cómo ese estado restringe el acceso.

Configuración de un grupo de CA de confianza

En esta sección se describe el procedimiento para crear un grupo de CA de confianza para una lista de perfiles de CA y eliminar un grupo de CA de confianza.

Creación de un grupo de CA de confianza para una lista de perfiles de CA

Puede configurar y asignar un grupo de CA de confianza para autorizar una entidad. Cuando un par intenta establecer una conexión con un cliente, solo se valida el certificado emitido por esa CA de confianza determinada de esa entidad. El dispositivo valida si el emisor del certificado y el que presenta el certificado pertenece a la misma red de cliente. Si el emisor y el presentador pertenecen a la misma red de cliente, entonces se establece la conexión. Si no es así, no se establecerá la conexión.

Antes de comenzar, debe tener una lista de todos los perfiles de CA que desea agregar al grupo de confianza.

En este ejemplo, estamos creando tres perfiles de CA denominados , y asociando los siguientes identificadores de CA , ca-profile2y ca-profile3 para los perfiles respectivosca-profile1.orgC-ca-profileorgB-ca-profileorgA-ca-profile Puede agrupar los tres perfiles de CA para que pertenezcan a un grupo orgABC-trusted-ca-groupde CA de confianza.

Puede configurar un máximo de 20 perfiles de CA para un grupo de CA de confianza.

  1. Cree perfiles de CA y asocie identificadores de CA al perfil.
  2. Agrupe los perfiles de CA en un grupo de CA de confianza.
  3. Confirme la configuración cuando termine de configurar los perfiles de CA y los grupos de CA de confianza.

Para ver los perfiles de CA y los grupos de CA de confianza configurados en su dispositivo, ejecute el show security pki comando.

El show security pki comando muestra todos los perfiles de CA que se agrupan en .orgABC_trusted-ca-group

Eliminación de un perfil de CA de un grupo de CA de confianza

Puede eliminar un perfil de CA específico en un grupo de CA de confianza o eliminar el propio grupo de CA de confianza.

Por ejemplo, si desea eliminar un perfil de CA llamado orgC-ca-profile desde un grupo orgABC-trusted-ca-groupde CA de confianza, configurado en el dispositivo como se muestra en Configuración de un grupo de CA de confianza el tema, realice los pasos siguientes:

  1. Eliminar un perfil de CA del grupo de CA de confianza.
  2. Si ha terminado de eliminar el perfil de CA del grupo de CA de confianza, confirme la configuración.

Para ver la orgC-ca-profile eliminación del orgABC-trusted-ca-group comando , ejecute el show security pki comando.

El resultado no muestra el orgC-ca-profile perfil, ya que se elimina del grupo de CA de confianza.

Eliminación de un grupo de CA de confianza

Una entidad puede admitir muchos grupos de CA de confianza y puede eliminar cualquier grupo de CA de confianza para una entidad.

Por ejemplo, si desea eliminar un grupo de CA de confianza denominado orgABC-trusted-ca-group, configurado en el dispositivo como se muestra en Configuración de un grupo de CA de confianza el tema, realice los pasos siguientes:

  1. Eliminar un grupo de CA de confianza.
  2. Si ha terminado de eliminar el perfil de CA del grupo de CA de confianza, confirme la configuración.

Para ver la orgABC-trusted-ca-group eliminación de la entidad, ejecute el show security pki comando.

El resultado no muestra el orgABC-trusted-ca-group como se elimina de la entidad.

Descripción de los perfiles de autoridad de certificación

Una configuración de perfil de autoridad de certificación (CA) contiene información específica de una CA. Puede tener varios perfiles de CA en un dispositivo serie SRX. Por ejemplo, puede tener un perfil para orgA y otro para orgB. Cada perfil está asociado a un certificado de CA. Si desea cargar un certificado de CA nuevo sin quitar el anterior, cree un nuevo perfil de CA (por ejemplo, Microsoft-2008).

A partir de Junos OS versión 18.1R1, el servidor de CA puede ser un servidor de CA IPv6.

El módulo PKI admite el formato de dirección IPv6 para habilitar el uso de dispositivos serie SRX en redes donde IPv6 es el único protocolo utilizado.

Una CA emite certificados digitales, lo que ayuda a establecer una conexión segura entre dos puntos de conexión mediante la validación de certificados. Puede agrupar varios perfiles de CA en un grupo de CA de confianza para una topología determinada. Estos certificados se utilizan para establecer una conexión entre dos puntos de conexión. Para establecer IKE o IPsec, ambos puntos de conexión deben confiar en la misma CA. Si cualquiera de los puntos de conexión no puede validar el certificado mediante su respectivo grupo de CA de confianza (ca-perfil) o de confianza, no se establece la conexión. Un mínimo de un perfil de CA es obligatorio para crear un grupo de CA de confianza y se permiten un máximo de 20 CA en un grupo de CA de confianza. Cualquier CA de un grupo determinado puede validar el certificado para ese punto de conexión determinado.

A partir de Junos OS versión 18.1R1, la validación de un par IKE configurado se puede hacer con un servidor de CA especificado o un grupo de servidores de CA. Se puede crear un grupo de servidores de CA de confianza con la trusted-ca-group instrucción de configuración en el nivel de jerarquía [edit security pki]; se puede especificar uno o varios perfiles de CA. El servidor de CA de confianza está enlazado a la configuración de política de IKE para el par en el nivel de jerarquía [edit security ike policy policy certificate].

Si el perfil de proxy está configurado en el perfil de CA, el dispositivo se conecta al host proxy en lugar del servidor de CA mientras se inscripción, verificación o revocación de certificados. El host de proxy se comunica con el servidor de CA con las solicitudes del dispositivo y, a continuación, retransmite la respuesta al dispositivo.

El perfil de proxy de CA admite protocolos SCEP, CMPv2 y OCSP.

El perfil de proxy de CA solo se admite en HTTP y no se admite en el protocolo HTTPS.

Ejemplo: Configuración de un perfil de CA

En este ejemplo, se muestra cómo configurar un perfil de CA.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Descripción general

En este ejemplo, cree un perfil de CA llamado ca-profile-ipsec con identidad de CA microsoft-2008. A continuación, cree un perfil de proxy en el perfil de CA. La configuración especifica que la CRL se actualiza cada 48 horas y la ubicación para recuperar la CRL es http://www.my-ca.com. En el ejemplo, establece el valor de reintento de inscripción en 20. (El valor de reintento predeterminado es 10.)

El sondeo automático de certificados se establece en cada 30 minutos. Si configura el reintento solo sin configurar un intervalo de reintentos, el intervalo de reintentos predeterminado es de 900 segundos (o 15 minutos). Si no configura reintentos o un intervalo de reintentos, no hay sondeo.

Configuración

Procedimiento

Procedimiento paso a paso

Para configurar un perfil de CA:

  1. Cree un perfil de CA.

  2. Si lo desea, configure el perfil de proxy en el perfil de CA.

    La infraestructura de clave pública (PKI) utiliza el perfil de proxy configurado a nivel del sistema. El perfil de proxy que se usa en el perfil de CA se debe configurar en la [edit services proxy] jerarquía. Puede haber más de un perfil de proxy configurado bajo [edit services proxy] jerarquía. Cada perfil de CA se refiere al más uno de estos perfiles de proxy. Puede configurar el host y el puerto del perfil de proxy en la [edit system services proxy] jerarquía.

  3. Cree una comprobación de revocación para especificar un método para comprobar la revocación del certificado.

  4. Establezca el intervalo de actualización, en horas, para especificar la frecuencia en la que se va a actualizar la CRL. Los valores predeterminados son la próxima hora de actualización en CRL, o 1 semana, si no se especifica ninguna hora de actualización siguiente.

  5. Especifique el valor de reintento de inscripción.

  6. Especifique el intervalo de tiempo en segundos entre los intentos de inscribir automáticamente el certificado de CA en línea.

  7. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security pki comando.

Ejemplo: Configuración de una dirección IPv6 como dirección de origen para un perfil de CA

En este ejemplo, se muestra cómo configurar una dirección IPv6 como dirección de origen para un perfil de CA.

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

En este ejemplo, cree un perfil de CA llamado orgA-ca-profile con identidad v6-ca de CA y establezca la dirección de origen del perfil de CA como una dirección IPv6, como 2001:db8:0:f101::1. Puede configurar la DIRECCIÓN URL de inscripción para aceptar una dirección http://[2002:db8:0:f101::1]:/.../IPv6 .

  1. Cree un perfil de CA.
  2. Configure la dirección de origen del perfil de CA para que sea una dirección IPv6.
  3. Especifique los parámetros de inscripción para la CA.
  4. Si ha terminado de configurar el dispositivo, confirme la configuración.
Tabla de historial de versiones
Liberación
Descripción
18.1R1
A partir de Junos OS versión 18.1R1, el servidor de CA puede ser un servidor de CA IPv6.
18.1R1
A partir de Junos OS versión 18.1R1, la validación de un par IKE configurado se puede hacer con un servidor de CA especificado o un grupo de servidores de CA.