Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PKI en Junos OS

SUMMARY En este tema se describen los elementos básicos de la infraestructura de clave pública (PKI) en Junos OS.

Una infraestructura de clave pública (PKI) admite la distribución e identificación de claves de cifrado públicas, lo que permite a los usuarios intercambiar datos de forma segura a través de redes como Internet y comprobar la identidad de la otra parte.

Introducción a la PKI en Junos OS

Descripción general de las aplicaciones de PKI

El Junos OS utiliza claves públicas/privadas en las siguientes áreas:

  • SSH/SCP (para una administración interfaz de línea de comandos basada en [CLI])

  • Capa de conexión segura (SSL) (para una administración web segura y una autenticación web basada en https para la autenticación del usuario)

  • Intercambio de claves por red (ICR) (para túneles VPN IPsec)

Nota:

Tenga en cuenta los siguientes puntos:

  • Actualmente Junos OS solo admite ICR (uso de certificados de infraestructura de clave pública (PKI) para la validación de claves públicas).

  • SSH y SCP se utilizan exclusivamente para la administración del sistema y depende del uso de huellas digitales fuera de banda para el enlace y validación de identidad de clave pública. Los detalles de SSH no se tratan en este tema.

Componentes para administrar PKI en Junos OS

Se requieren los siguientes componentes para administrar la PKI en Junos OS:

  • AC certificados y configuración de autoridad

  • Certificados locales, incluida laidentidad del dispositivo s (ejemplo: ICR el tipo y valor de ID.) y claves privadas y públicas

  • Validación de certificados mediante una lista de revocación de certificados (CRL)

Elementos básicos de PKI en Junos OS

Junos OS admite tres tipos específicos de objetos PKI:

  • Par de claves privada y pública

  • Certificados

    • Certificado local: el certificado local contiene la información de identidad y clave pública para el Juniper Networks dispositivo. El dispositivo Juniper Networks es propietario de la clave privada asociada. Este certificado se genera a partir de una solicitud de certificado del dispositivo de Juniper Networks.

    • Certificado pendiente: un certificado pendiente contiene un par de claves e información de identidad que se genera en una solicitud de certificado BPC10 y se envía manualmente a una autoridad de certificación (AC). Mientras el Juniper Networks dispositivo espera a que el certificado de la CA, el objeto existente (par de claves y la solicitud de certificado) se etiqueta como solicitud de certificado o certificado pendiente.

      Nota:

      Junos OS versión 9.0 y posteriores admiten el envío automático de solicitudes de certificado a través de SCEP.

    • AC certificado: cuando el AC emite el certificado y se carga en el dispositivo Junos OS, el certificado pendiente se sustituye por el certificado local recién generado. El resto de certificados cargados en el dispositivo se consideran AC certificados.

  • Listas de revocación de certificados (CRL)

Tenga en cuenta los siguientes puntos acerca de los certificados:

  • Los certificados locales se utilizan generalmente cuando un Junos OS dispositivo tiene VPN en más de un dominio administrativo.

  • Todos los objetos PKI se almacenan en una partición independiente de memoria persistente, aparte de la Junos OS imagen y la configuración general del sistema.

  • Cada objeto PKI tiene un nombre único o ID de certificado que se le da cuando se crea y mantiene ese ID hasta su eliminación. Puede ver el ID de certificado con el show security pki local-certificate comando.

  • En la mayoría de las circunstancias, no se puede copiar un certificado de un dispositivo. La clave privada de un dispositivo solo se debe generar en ese dispositivo y nunca se debe ver o guardar desde ese dispositivo. Por lo tanto, los archivos PKCS12 (que contienen un certificado con la clave pública y la clave privada asociada) no se admiten en Junos OS dispositivos.

  • AC validan los certificados recibidos por el ICR par. Si el certificado es válido, se verifica en la CRL para ver si se revocó el certificado.

    Cada AC certificado incluye una configuración de AC de perfil que almacena la siguiente información:

    • AC identidad, que normalmente es el nombre de dominio de la AC

    • Dirección de correo electrónico para enviar las solicitudes de certificado directamente al AC

    • Configuración de revocación:

      • Opción de activación/desactivación de comprobación de revocación

      • Deshabilitar la comprobación de revocación en caso de falla en la descarga de CRL.

      • Ubicación del punto de distribución CRL (CDP) (para la configuración manual de URL)

      • intervalo de actualización de CRL

Componentes de PKI en Junos OS

Este tema incluye las siguientes secciones:

Administración e implementación de la PKI

Los elementos mínimos de PKI necesarios para la autenticación basada en certificados en Junos OS son:

  • Certificados de entidad emisora y configuración de la entidad.

  • Certificados locales que incluyen la identidad del dispositivo (ejemplo: ICR el tipo y valor de ID.) y claves privadas y públicas

  • Validación de certificado a través de una CRL.

Junos OS admite tres tipos diferentes de objetos de PKI:

Intercambio de claves por red

El procedimiento para firmar digitalmente los mensajes enviados entre dos participantes en una sesión Intercambio de claves por red (ICR) es similar a la comprobación de certificados digitales, con las siguientes diferencias:

  • En lugar de crear un resumen del certificado de CA, el remitente lo convierte a partir de los datos de la carga del paquete IP.

  • En lugar de utilizar el par de claves pública y privada de la entidad emisora de certificados, los participantes utilizan el par de claves pública y privada del remitente.

Grupo de CA de confianza

Una entidad emisora de certificados es una tercera persona a la que se confía para emitir y revocar certificados. Puede agrupar varias entidades emisoras (perfiles de entidades emisoras) en un grupo de entidades emisoras de certificados de confianza para una topología determinada. Estos certificados se utilizan para establecer una conexión entre dos extremos. Para establecer ICR o IPsec, ambos puntos de conexión deben confiar en la misma entidad emisora de certificados. Si alguno de los extremos no puede validar el certificado con su CA de confianza (CA-Profile) correspondiente o el grupo de CA de confianza, la conexión no se establece.

Por ejemplo, hay dos extremos, el extremo a y el extremo B intentan establecer una conexión segura. Cuando el punto de conexión B presenta su certificado al punto de conexión A, el punto de conexión A comprobará si el certificado es válido. La entidad emisora del extremo A comprueba el certificado firmado que el extremo B utiliza para obtener la autorización. Cuando trusted-ca o trusted-ca-group está configurado, el dispositivo solo usará los perfiles de CA agregados en trusted-ca-group este o el perfil de CA trusted-ca configurado en para validar el certificado que procede del extremo B. Si el certificado se comprueba como válido, se permite la conexión, de lo contrario se rechaza la conexión.

Ventajas

  • Para cualquier solicitud de conexión entrante, solo se validará el certificado emitido por dicha entidad de certificación de confianza de ese extremo. Si no lo es, la autorización rechazará el establecimiento de la conexión.

Información general sobre el control de claves criptográficas

Con el control de claves de cifrado, las claves persistentes se almacenan en la memoria del dispositivo sin intentar modificarlas. Aunque el dispositivo de memoria interna no es directamente accesible para un posible adversario, aquellos que requieran una segunda capa de defensa pueden habilitar un tratamiento especial para las claves criptográficas. Cuando está habilitada, el control de claves de cifrado cifra las claves cuando no se utiliza inmediatamente, realiza la detección de errores cuando se copia una clave de una ubicación de memoria a otra y sobrescribe la ubicación de memoria de una clave con un patrón de bits aleatorio cuando la clave ya no está en uso . Las claves también se protegen cuando se almacenan en la memoria flash del dispositivo. La habilitación de la característica de control de claves de cifrado no provoca ningún cambio de observación externa en el comportamiento del dispositivo, y el dispositivo sigue interoperando con los demás dispositivos.

Un administrador de cifrado puede habilitar y deshabilitar las funciones de prueba automática criptográficas; sin embargo, el administrador de seguridad puede modificar el comportamiento de las funciones de prueba automática criptográficas, tales como configurar pruebas automáticas periódicas o seleccionar un subconjunto de pruebas automáticas criptográficas.

Actualmente, las siguientes claves persistentes se encuentran bajo la administración de ICR y la PKI:

  • ICR claves previamente compartidas (ICR PSKs)

  • Claves privadas de PKI

  • Claves VPN manuales