Validación de certificados
Descripción de la validación de certificados digitales
Durante la negociación de IKE, el demonio PKI en un firewall de la serie SRX valida los certificados X509 recibidos de los pares VPN. La validación del certificado realizada se especifica en RFC 5280, Perfil de lista de revocación de certificados (CRL) y certificado de infraestructura de clave pública X.509 de Internet. Las validaciones básicas de certificados y cadenas de certificados incluyen validación de firma y fecha, así como comprobaciones de revocación. En este tema se describen las validaciones de certificados digitales adicionales realizadas por el demonio PKI.
- Validación de políticas
- Validación de longitud de ruta
- Uso de claves
- Validación del nombre distinguido del emisor y del sujeto
Validación de políticas
Los certificados X509 pueden incluir campos opcionales de validación de políticas. Si hay un campo de validación de política, la validación de política se realiza para toda la cadena de certificados, incluidos el certificado de entidad final (EE) y los certificados de entidad de certificación (CA) intermedios. La validación de directivas no se aplica al certificado raíz. La validación de políticas garantiza que los certificados EE y CA intermedia tengan una política común. Si no existe una política común para la cadena de certificados que se está validando, se producirá un error en la validación del certificado.
Antes de la validación de la directiva, se debe crear una cadena de certificados que contenga el certificado raíz autofirmado, los certificados de CA intermedios y el certificado EE. La validación de la política comienza con el certificado de CA intermedio emitido por el certificado raíz autofirmado y continúa a través del certificado EE.
Los siguientes campos de certificado opcionales se utilizan para la validación de directivas:
policy-oids
requireExplicitPolicy
skipCerts
Estos campos se describen en las secciones siguientes.
- OID de políticas configurados en firewalls de la serie SRX
- No hay OID de política configurados en firewalls de la serie SRX
OID de políticas configurados en firewalls de la serie SRX
En algunas situaciones, puede ser conveniente aceptar solo certificados con identificadores de objeto de política conocidos (OID) de pares (OID). Esta configuración opcional permite que la validación de certificados se realice correctamente solo si la cadena de certificados recibida del par contiene al menos un OID de política configurado en el firewall de la serie SRX.
En el firewall de la serie SRX, los OID de políticas se configuran en una política de IKE con la instrucción configuration en el nivel de jerarquía [].policy-oidsedit security ike policy policy-name certificate Puede configurar hasta cinco OID de directiva. Para que el certificado de un par se valide correctamente, la cadena de certificados del mismo nivel debe contener al menos uno de los OID de directiva configurados en el firewall de la serie SRX. Tenga en cuenta que el campo de un certificado es opcional.policy-oids Si configura OID de directiva en el firewall de la serie SRX, pero la cadena de certificados del par no contiene ningún OID de directiva, se producirá un error en la validación del certificado.
No hay OID de política configurados en firewalls de la serie SRX
Si no se configura ningún OID de política en el firewall de la serie SRX, la validación de la política comienza cada vez que se encuentra el campo en la cadena de certificados.requireExplicitPolicy Un certificado puede contener uno o varios OID de directiva de certificado. Para que la validación de la política se realice correctamente, debe haber un OID de política común en la cadena de certificados.
Figura 1 muestra una cadena de certificados que consta de certificados para una CA raíz, tres CA intermedias y un EE. El certificado de CA para Int-CA-2 contiene el campo; por lo tanto, la validación de políticas comienza con Int-CA-2 y continúa hasta EE-1.requireExplicitPolicy El certificado para Int-CA-2 contiene los OID de directiva P1, P2 y P3. El certificado para Int-CA-3 contiene los OID de directiva P2, P3 y P4. El certificado para EE-1 contiene los OID de política P2 y P5. Dado que el OID P2 de la directiva es común a los certificados que se validan, la validación de la política se realiza correctamente.
El campo opcional de un certificado de CA intermedio indica el número de certificados, incluido el certificado de CA actual, que se van a excluir de la validación de directivas.skipCerts Si es 0, la validación de la directiva comienza desde el certificado actual.skipCerts Si es 1, el certificado actual se excluye de la validación de la directiva.skipCerts El valor del campo se comprueba en todos los certificados de CA intermedios.skipCerts Si se encuentra un valor inferior al número actual de certificados que se excluyen, se utiliza el valor inferior .skipCertsskipCerts
Figura 2 muestra una cadena de certificados que consta de una CA raíz, cuatro CA intermedias y un EE. El valor de Int-CA-1 es 12, que omite 12 certificados, incluido el certificado para Int-CA-1.skipCerts Sin embargo, el valor se comprueba en todos los certificados de CA intermedios de la cadena.skipCerts El valor en Int-CA-2 es 2, que es inferior a 12, por lo que ahora se omiten 2 certificados.skipCerts El valor de Int-CA-4 es 5, que es mayor que 2, por lo que se omite el valor de Int-CA-4 .skipCertsskipCerts
Cuando se configuran OID de directiva en el firewall de la serie SRX, los campos del certificado y se ignoran.requireExplicitPolicyskipCerts
Validación de longitud de ruta
La validación de certificados puede implicar una cadena de certificados que incluya una CA raíz, una o más CA intermedias opcionales y un certificado EE. El número de CA intermedias puede aumentar en función del escenario de implementación. La validación de longitud de ruta proporciona un mecanismo para limitar el número de certificados intermedios implicados en la validación de certificados. es un campo opcional en un certificado X509.path-length El valor de indica el número de certificados de CA intermedios no autofirmados permitidos para la validación de certificados.path-length El último certificado, que generalmente es el certificado EE, no se incluye en el límite de ruta. Si el certificado raíz contiene un valor de 0, no se permiten certificados de CA intermedios.path-length Si el valor es 1, puede haber 0 o 1 certificados de CA intermedios.path-length
path-length puede estar presente en varios certificados de CA de la cadena de certificados. La validación de la longitud de la ruta siempre comienza con el certificado raíz autofirmado. El límite de ruta se reduce en 1 en cada certificado intermedio de la cadena. Si un certificado intermedio contiene un valor inferior al límite de ruta de acceso actual, se aplica el nuevo límite.path-length Por otro lado, si el valor es mayor que el límite de ruta actual, se omite.path-length
Figura 3 muestra una cadena de certificados que consta de una CA raíz, cuatro CA intermedias y un EE. El valor de Root-CA es 10; por lo tanto, el límite de ruta de acceso inicial de los certificados de CA intermedios no autofirmados permitidos para la validación de certificados es 10.path-length En Int-CA-1, el límite de ruta es 10-1 o 9. El valor en Int-CA-1 es 4, que es menor que el límite de ruta de 9, por lo que el nuevo límite de ruta se convierte en 4. En Int-CA-2, el límite de ruta es 4-1 o 3. El valor en Int-CA-2 es 5, que es mayor que el límite de ruta de acceso de 3, por lo que se omite.path-lengthpath-length En Int-CA-3, el límite de ruta es 3-1 o 2. El valor de Int-CA-3 es 20, que es mayor que el límite de ruta de acceso de 2, por lo que también se omite.path-length
Uso de claves
El campo de uso de clave en un certificado EE o CA define el propósito de la clave contenida en el certificado.
Para los certificados EE, si el campo de uso de clave está presente pero el certificado no contiene ni marca, el certificado se rechaza.digitalSignaturenonrepudiation Si el campo de uso de clave no está presente, entonces el uso de clave no está marcado.
En el caso de los certificados de CA, la clave se puede utilizar para la validación de certificados o firmas CRL. Dado que el demonio PKI es responsable tanto de la validación del certificado X509 como de las descargas de CRL, se debe comprobar el uso de claves antes de validar el certificado o la CRL.
En la validación de firma de certificado, el indicador indica que se puede usar un certificado de CA para la validación de firma de certificado .keyCertSign Si no se establece este indicador, se finaliza la validación del certificado.
En las negociaciones de fase 1 de validación de firma de CRL, los participantes comprueban la lista de revocación de certificados (CRL) para ver si los certificados recibidos durante un intercambio de IKE siguen siendo válidos. La CRL se descarga periódicamente para los perfiles de CA configurados con CRL como comprobación de revocación de certificados. Los archivos CRL descargados deben verificarse antes de descargarse en el dispositivo. Uno de los pasos de verificación es validar la firma CRL mediante un certificado de CA. La CRL descargada está firmada con la clave privada del certificado de CA y debe verificarse con la clave pública del certificado de CA almacenada en el dispositivo. El campo de uso de clave del certificado de CA debe contener el indicador para comprobar la CRL descargada.CRLSign Si este indicador no está presente, se descarta la CRL.
Validación del nombre distinguido del emisor y del sujeto
La validación de la firma se realiza para los certificados recibidos de un par, así como para el archivo CRL descargado de un servidor de CA. La validación de firma implica buscar el certificado de CA en una base de datos de CA en función del nombre distintivo (DN) del emisor en el certificado o la CRL que se está verificando.
Figura 4 muestra la búsqueda de certificados de CA según el DN del emisor. En el certificado EE, el DN del emisor es CA-1, que es el DN sujeto del certificado de CA intermedio en la cadena. En el certificado de CA intermedio, el DN del emisor es CA-Raíz, que es el DN sujeto del certificado de CA raíz autofirmado en la cadena. En la CRL, el DN del emisor es CA-Raíz, que es el DN sujeto del certificado Root-CA autofirmado.
La búsqueda del DN del emisor o del sujeto debe seguir estas reglas para los valores de atributo:
Se supone que los valores de atributo codificados en distintos tipos de ASN.1 (por ejemplo, PrintableString y BMPString) representan cadenas diferentes.
Los valores de atributo codificados en los tipos PrintableString no distinguen entre mayúsculas y minúsculas. Estos valores de atributo se comparan después de eliminar los espacios en blanco iniciales y finales y convertir subcadenas internas de uno o más espacios en blanco consecutivos en un único espacio.
Los valores de atributo codificados en tipos distintos de PrintableString distinguen entre mayúsculas y minúsculas.
Consulte también
Ejemplo: Validación de certificados digitales mediante la configuración de OID de directivas en un firewall de la serie SRX
En algunas situaciones, puede ser conveniente aceptar solo certificados con identificadores de objeto de política conocidos (OID) de pares (OID). Esta configuración opcional permite que la validación de certificados se realice correctamente solo si la cadena de certificados recibida del par contiene al menos un OID de política configurado en el firewall de la serie SRX. En este ejemplo se muestra cómo configurar OID de políticas en la política de IKE en un firewall de la serie SRX.
Debe asegurarse de que al menos uno de los OID de política configurados en el firewall de la serie SRX esté incluido en el certificado o la cadena de certificados de un par. Tenga en cuenta que el campo en el certificado de un par es opcional.policy-oids Si configura OID de directiva en una política de IKE y la cadena de certificados del mismo nivel no contiene ningún OID de directiva, se producirá un error en la validación del certificado del mismo nivel.
Requisitos
Antes de empezar:
Asegúrese de que está utilizando Junos OS versión 12.3X48-D10 o posterior para firewalls serie SRX.
Configure un túnel VPN IPsec. Consulte Descripción general de la configuración de VPN IPsec con IKE de clave automática.Descripción general de la configuración de VPN IPsec con IKE de clave automática En este ejemplo no se muestra la configuración completa del túnel VPN de fase 1 y fase 2 de IKE.
Descripción general
En este ejemplo se muestra una configuración de política de IKE en la que se especifican los OID de directiva 2.16.840.1.101.3.1.48.2 y 5.16.40.1.101.3.1.55.2. El ike_cert_pol de políticas de IKE hace referencia al ike_cert_prop de propuesta de ICR, que no se muestra. El certificado local en el firewall de la serie SRX es lc-igloo-root.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security ike policy ike_cert_pol mode main set security ike policy ike_cert_pol proposals ike_cert_prop set security ike policy ike_cert_pol certificate local-certificate lc-igloo-root set security ike policy ike_cert_pol certificate policy-oids 2.16.840.1.101.3.1.48.2 set security ike policy ike_cert_pol certificate policy-oids 5.16.40.1.101.3.1.55.2
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar OID de directiva para la validación de certificados:
Configure la política de IKE:
[edit security ike policy ike_cert_pol] user@host# set mode main user@host# set proposals ike_cert_prop user@host# set certificate local-certificate lc-igloo-root user@host# set certificate policy-oids 2.16.840.1.101.3.1.48.2 user@host# set certificate policy-oids 5.16.40.1.101.3.1.55.2
Resultados
Desde el modo de configuración, confírmela con el comando show security ike policy ike_cert_pol. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@host# show security ike policy ike_cert_pol
mode main;
proposals ike_cert_prop;
certificate {
local-certificate lc-igloo-root;
policy-oids [ 2.16.840.1.101.3.1.48.2 5.16.40.1.101.3.1.55.2 ];
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
Comprobación del certificado de CA
Propósito
Muestra el certificado de CA configurado en el dispositivo.
Acción
Desde el modo operativo, ingrese el comando show security pki ca-certificate ca-profile ca-tmp.
user@host> show security pki ca-certificate ca-profile ca-tmp detail
Certificate identifier: ca-tmp
Certificate version: 3
Serial number: 00000047
Issuer:
Organization: U.S. Government,
Organizational unit: DoD, Organizational unit: Testing, Country: US,
Common name: Trust Anchor
Subject:
Organization: U.S. Government,
Organizational unit: Dod, Organizational unit: Testing, Country: US,
Common name: CA1-PP.01.03
Subject string:
C=US, O=U.S. Government, OU=Dod, OU=Testing, CN=CA1-PP.01.03
Validity:
Not before: 01- 1-1998 12:01 UTC
Not after: 01- 1-2048 12:01 UTC
?Public key algorithm: rsaEncryption(1024 bits)
30:81:89:02:81:81:00:cb:fd:78:0c:be:87:ac:cd:c0:33:66:a3:18
9e:fd:40:b7:9b:bc:dc:66:ff:08:45:f7:7e:fe:8e:d6:32:f8:5b:75
db:76:f0:4d:21:9a:6e:4f:04:21:4c:7e:08:a1:f9:3d:ac:8b:90:76
44:7b:c4:e9:9b:93:80:2a:64:83:6e:6a:cd:d8:d4:23:dd:ce:cb:3b
b5:ea:da:2b:40:8d:ad:a9:4d:97:58:cf:60:af:82:94:30:47:b7:7d
88:c3:76:c0:97:b4:6a:59:7e:f7:86:5d:d8:1f:af:fb:72:f1:b8:5c
2a:35:1e:a7:9e:14:51:d4:19:ae:c7:5c:65:ea:f5:02:03:01:00:01
Signature algorithm: sha1WithRSAEncryption
Certificate Policy:
Policy Identifier = 2.16.840.1.101.3.1.48.2
Use for key: CRL signing, Certificate signing
Fingerprint:
e0:b3:2f:2e:a1:c5:ee:ad:af:dd:96:85:f6:78:24:c5:89:ed:39:40 (sha1)
f3:47:6e:55:bc:9d:80:39:5a:40:70:8b:10:0e:93:c5 (md5)
Verificación de la validación del OID de directivas
Propósito
Si el certificado del par se valida correctamente, se establecerán asociaciones de seguridad IKE e IPsec. Si se produce un error en la validación del certificado del par, no se establece ninguna asociación de seguridad IKE.
Acción
Desde el modo operativo, escriba los comandos y .show security ike security-associationsshow security ipsec security-associations
user@host> show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 821765168 UP 88875c981252c1d8 b744ac9c21bde57e IKEv2 192.0.2.2 1106977837 UP 1a09e32d1e6f20f1 e008278091060acb IKEv2 198.51.100.202
user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <213909506 ESP:aes-cbc-192/sha256 8cb9e40a 1295/ unlim - root 500 192.0.2.2 >213909506 ESP:aes-cbc-192/sha256 8271d2b2 1295/ unlim - root 500 192.0.2.2 <218365954 ESP:aes-cbc-192/sha256 d0153bc0 1726/ unlim - root 1495 198.51.100.202 >218365954 ESP:aes-cbc-192/sha256 97611813 1726/ unlim - root 1495 198.51.100.202
Significado
El comando enumera todas las SA de fase 1 de IKE activas.show security ike security-associations Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. En este caso, compruebe el mensaje PKID_CERT_POLICY_CHECK_FAIL en los registros del sistema. Este mensaje indica que la cadena de certificados del par no contiene un OID de directiva configurado en el firewall de la serie SRX. Compruebe los valores en la cadena de certificados del par con los valores configurados en el firewall de la serie SRX.policy-oids
También puede ser que la cadena de certificados del par no contenga ningún campo, que son campos opcionales.policy-oids Si este es el caso, se producirá un error en la validación del certificado si hay algún OID de directiva configurado en el firewall de la serie SRX.