Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PKI en Junos OS

SUMMARY En este tema se describen los elementos básicos de la infraestructura de clave pública (PKI) en Junos OS.

Una infraestructura de clave pública (PKI) admite la distribución e identificación de claves de cifrado públicas, lo que permite a los usuarios intercambiar datos de forma segura a través de redes como Internet y verificar la identidad de la otra parte.

Introducción a la PKI en Junos OS

Descripción general de las aplicaciones de PKI

Junos OS utiliza claves públicas/privadas en las siguientes áreas:

  • SSH/SCP (para la administración basada en la interfaz de línea de comandos segura [CLI])

  • Capa de sockets seguros (SSL) (para una administración segura basada en web y para el webauth basado en https para la autenticación de usuario)

  • Intercambio de claves por red (IKE) (para túneles VPN IPsec)

Nota:

Tenga en cuenta los siguientes puntos:

  • Actualmente, Junos OS solo admite IKE (mediante el uso de certificados de infraestructura de clave pública (PKI) para la validación de claves públicas).

  • El SSH y el SCP se utilizan exclusivamente para la administración del sistema y depende del uso de huellas dactilares fuera de banda para la validación y la vinculación de identidad de clave pública. En este tema, no se tratan detalles sobre SSH.

Componentes para administrar PKI en Junos OS

Los siguientes componentes son necesarios para administrar PKI en Junos OS:

  • Configuración de certificados de CA y autoridad

  • Certificados locales, incluida la identidad de los dispositivos (por ejemplo: Tipo y valor de ID de IKE) y claves privadas y públicas

  • Validación de certificados mediante una lista de revocación de certificados (CRL)

Elementos básicos de PKI en Junos OS

Junos OS admite tres tipos específicos de objetos PKI:

  • Par de claves privadas/públicas

  • Certificados

    • Certificado local: el certificado local contiene la clave pública y la información de identidad del dispositivo de Juniper Networks. El dispositivo de Juniper Networks posee la clave privada asociada. Este certificado se genera en función de una solicitud de certificado del dispositivo juniper Networks.

    • Certificado pendiente: un certificado pendiente contiene un par de claves e información de identidad que se genera en una solicitud de certificado PKCS10 y se envía manualmente a una autoridad de certificación (CA). Mientras el dispositivo de Juniper Networks espera el certificado de la CA, el objeto existente (par de claves y la solicitud de certificado) se etiqueta como una solicitud de certificado o un certificado pendiente.

      Nota:

      Junos OS versión 9.0 y posteriores admiten el envío automático de solicitudes de certificado a través de SCEP.

    • Certificado de CA: cuando la CA emite el certificado y se carga en el dispositivo Junos OS, el certificado pendiente se sustituye por el certificado local recién generado. Todos los demás certificados cargados en el dispositivo se consideran certificados de CA.

  • Listas de revocación de certificados (CRLs)

Tenga en cuenta los siguientes puntos acerca de los certificados:

  • Los certificados locales se suelen usar cuando un dispositivo Junos OS tiene VPN en más de un dominio administrativo.

  • Todos los objetos PKI se almacenan en una partición independiente de memoria persistente, aparte de la imagen de Junos OS y la configuración general del sistema.

  • Cada objeto PKI tiene un nombre único o ID de certificado que se le da cuando se crea y mantiene ese ID hasta su eliminación. Puede ver el ID de certificado mediante el show security pki local-certificate comando.

  • En la mayoría de las circunstancias, no se puede copiar un certificado de un dispositivo. La clave privada de un dispositivo debe generarse solo en ese dispositivo, y nunca se debe ver ni guardar desde ese dispositivo. Por lo tanto, los archivos PKCS12 (que contienen un certificado con la clave pública y la clave privada asociada) no se admiten en dispositivos Junos OS.

  • Los certificados de CA validan los certificados recibidos por el par IKE. Si el certificado es válido, se verifica en la CRL para ver si el certificado se ha revocado.

    Cada certificado de CA incluye una configuración de perfil de CA que almacena la siguiente información:

    • Identidad de CA, que suele ser el nombre de dominio de la CA

    • Dirección de correo electrónico para enviar las solicitudes de certificado directamente a la CA

    • Configuración de revocación:

      • Opción de activación/desactivación de comprobación de revocación

      • Deshabilitar la comprobación de revocación en caso de falla en la descarga de CRL.

      • Ubicación del punto de distribución CRL (CDP) (para la configuración de URL manual)

      • Intervalo de actualización de CRL

Componentes PKI en Junos OS

En este tema se incluyen las siguientes secciones:

Administración e implementación de PKI

Los elementos mínimos de PKI necesarios para la autenticación basada en certificados en Junos OS son:

  • Certificados de CA y configuración de autoridad.

  • Certificados locales, incluida la identidad del dispositivo (por ejemplo: Tipo y valor de ID de IKE) y claves privadas y públicas

  • Validación de certificados a través de una CRL.

Junos OS admite tres tipos diferentes de objetos PKI:

Intercambio de claves por red

El procedimiento para firmar digitalmente mensajes enviados entre dos participantes en una sesión de intercambio de claves por internet (IKE) es similar a la verificación de certificados digitales, con las siguientes diferencias:

  • En lugar de hacer un resumen del certificado de CA, el remitente lo hace a partir de los datos de la carga del paquete IP.

  • En lugar de usar el par de claves públicas y privadas de la CA, los participantes utilizan el par de claves pública-privada del remitente.

Grupo de CA de confianza

Una autoridad de certificación (CA) es un tercero de confianza responsable de emitir y revocar certificados. Puede agrupar varias CA (perfiles de CA) en un grupo de CA de confianza para una topología dada. Estos certificados se utilizan para establecer la conexión entre dos puntos de conexión. Para establecer IKE o IPsec, ambos puntos de conexión deben confiar en la misma CA. Si cualquiera de los puntos de conexión no puede validar el certificado mediante su respectivo grupo de CA de confianza (ca-perfil) o de confianza, no se establece la conexión.

Por ejemplo, hay dos puntos de conexión, el punto de conexión A y el punto de conexión B están intentando establecer una conexión segura. Cuando el punto de conexión B presenta su certificado al punto de conexión A, el punto de conexión A comprobará si el certificado es válido. La CA del punto de conexión A verifica el certificado firmado que el punto de conexión B utiliza para obtener autorización. Cuando trusted-ca o trusted-ca-group está configurado, el dispositivo solo utilizará los perfiles de CA agregados en este trusted-ca-group o el perfil de CA configurado para trusted-ca validar el certificado procedente del punto de conexión B. Si el certificado se verifica como válido, se permite la conexión, de lo contrario, se rechaza la conexión.

Ventajas:

  • Para cualquier solicitud de conexión entrante, solo se valida el certificado emitido por esa CA de confianza determinada de ese punto de conexión. Si no es así, la autorización rechazará el establecimiento de la conexión.

Descripción general del manejo de claves criptográficas

Con el manejo de claves criptográficas, las claves persistentes se almacenan en la memoria del dispositivo sin ningún intento de modificarlas. Aunque el dispositivo de memoria interna no es accesible directamente a un potencial adversario, aquellos que requieren una segunda capa de defensa pueden habilitar un manejo especial para claves criptográficas. Cuando está habilitada, el manejo de claves criptográficas cifra las claves cuando no se utilizan de inmediato, realiza la detección de errores al copiar una clave de una ubicación de memoria a otra y sobrescribe la ubicación de memoria de una clave con un patrón de bits aleatorio cuando la clave ya no está en uso. Las claves también están protegidas cuando se almacenan en la memoria flash del dispositivo. Habilitar la función de control de claves criptográficas no provoca ningún cambio observable externamente en el comportamiento del dispositivo, y el dispositivo sigue interoperando con los otros dispositivos.

Un administrador criptográfico puede habilitar y deshabilitar las funciones de autoe test criptográficas; sin embargo, el administrador de seguridad puede modificar el comportamiento de las funciones criptográficas de auto prueba, como configurar auto pruebas periódicas o seleccionar un subconjunto de auto pruebas criptográficas.

Actualmente, las siguientes claves persistentes se encuentran bajo la administración de IKE y PKI:

  • Claves previamente compartidas IKE (PSK IKE)

  • Claves privadas PKI

  • Claves VPN manuales