Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Certificados digitales autofirmados

Un certificado autofirmado es un certificado que está firmado por la misma entidad que lo creó en lugar de por una entidad de certificación (CA). Junos OS proporciona dos métodos para generar un certificado autofirmado: generación automática y generación manual.

Descripción de certificados autofirmados

Un certificado autofirmado es un certificado firmado por su creador en lugar de por una entidad de certificación (CA).

Los certificados autofirmados permiten el uso de servicios basados en SSL (Secure Sockets Layer) sin necesidad de que el usuario o el administrador realicen la considerable tarea de obtener un certificado de identidad firmado por una CA.

Los certificados autofirmados no proporcionan seguridad adicional como los generados por las CA. Esto se debe a que un cliente no puede comprobar que el servidor al que se ha conectado es el anunciado en el certificado.

Junos OS proporciona dos métodos para generar un certificado autofirmado:

  • Generación automática

    En este caso, el creador del certificado es el dispositivo Juniper Networks. Un certificado autofirmado generado automáticamente se configura en el dispositivo de forma predeterminada.

    Después de inicializar el dispositivo, comprueba la presencia de un certificado autofirmado generado automáticamente. Si no encuentra uno, el dispositivo genera uno y lo guarda en el sistema de archivos.

  • Generación manual

    En este caso, se crea el certificado autofirmado para el dispositivo.

    En cualquier momento, puede usar la CLI para generar un certificado autofirmado. Estos certificados también se utilizan para obtener acceso a los servicios SSL.

Los certificados autofirmados tienen una validez de cinco años a partir del momento en que se generaron.

Un certificado autofirmado generado automáticamente permite el uso de servicios basados en SSL sin necesidad de que el administrador obtenga un certificado de identidad firmado por una CA.

Un certificado autofirmado que el dispositivo genera automáticamente es similar a una clave de host de Shell seguro (SSH). Se almacena en el sistema de archivos, no como parte de la configuración. Persiste cuando se reinicia el dispositivo y se conserva cuando se emite un request system snapshot comando.

Un certificado autofirmado que se genera manualmente permite el uso de servicios basados en SSL sin necesidad de obtener un certificado de identidad firmado por una CA. Un certificado autofirmado generado manualmente es un ejemplo de un certificado local de infraestructura de clave pública (PKI). Como ocurre con todos los certificados locales de PKI, los certificados autofirmados manualmente se almacenan en el sistema de archivos.

Ejemplo: Generación de un par de claves públicas y privadas

En este ejemplo, se muestra cómo generar un par de claves público-privada.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Descripción general

En este ejemplo, se genera un par de claves públicas y privadas denominadas ca-ipsec.

Configuración

Procedimiento

Procedimiento paso a paso

Para generar un par de claves públicas y privadas:

  • Cree un par de claves de certificado.

Verificación

Después de generar el par de claves públicas y privadas, el dispositivo Juniper Networks muestra lo siguiente:

Ejemplo: Generación manual de certificados autofirmados

En este ejemplo, se muestra cómo generar certificados autofirmados manualmente.

Requisitos

Antes de comenzar, genere un par de claves públicas privadas. Consulte Certificados digitales.

Descripción general

Para un certificado autofirmado generado manualmente, especifique el DN al crearlo. Para un certificado autofirmado generado automáticamente, el sistema suministra el DN, identificándose como el creador.

En este ejemplo, se genera un certificado autofirmado con la dirección de correo electrónico como mholmes@example.net. Especifique un id de certificado de self-cert que va a ser referenciado por la administración web, que hace referencia a un ejemplo: Generar un par de claves públicas y privadas del mismo id de certificado.

Configuración

Procedimiento

Procedimiento paso a paso

Para generar el certificado autofirmado manualmente:

  1. Cree el certificado autofirmado.

Verificación

Para comprobar que el certificado se generó y cargó correctamente, ingrese el comando del show security pki local-certificate modo operativo.

Uso de certificados autofirmados generados automáticamente (procedimiento de CLI)

Después de inicializar el dispositivo, comprueba la presencia de un certificado autofirmado. Si no hay un certificado autofirmado, el dispositivo genera uno automáticamente.

Puede agregar la siguiente instrucción a la configuración si desea usar el certificado autofirmado que se genera automáticamente para proporcionar acceso a los servicios HTTPS:

El dispositivo usa el siguiente nombre distinguido para el certificado generado automáticamente:

Utilice el siguiente comando para especificar que el certificado autofirmado que se va a utilizar para los servicios HTTPS de administración web:

Utilice el siguiente comando operativo para eliminar el certificado autofirmado que se genera automáticamente:

Después de eliminar el certificado autofirmado generado por el sistema, el dispositivo genera automáticamente uno nuevo y lo guarda en el sistema de archivos.