Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Revocación de certificados

Sin embargo, los certificados digitales no tienen fecha de caducidad anterior, por lo que es posible que un certificado ya no sea válido por varias razones. Puede administrar las revocacións de certificados y validaciones localmente y haciendo referencia a la lista de revocación de certificados (CRL) de una entidad de certificación (CA).

Descripción del Protocolo de estado de certificados en línea y listas de revocación de certificados

OCSP se utiliza para comprobar el estado de revocación de los certificados X509. OCSP proporciona un estado de revocación en los certificados en tiempo real y es útil para situaciones en las que el tiempo es muy importante, como las transacciones bancarias y los intercambios de existencias.

El estado de revocación de un certificado se comprueba mediante el envío de una solicitud a un servidor OCSP que reside fuera de un dispositivo serie SRX. En función de la respuesta del servidor, la conexión VPN está permitida o denegada. Las respuestas de OCSP no se almacenan en memoria caché en dispositivos serie SRX.

El servidor OCSP puede ser la entidad emisora de certificados (CA) que emite un certificado o un respondedor autorizado designado. La ubicación del servidor OCSP puede configurarse manualmente o extraerse del certificado que se está comprobando. Las solicitudes se envían primero a las ubicaciones del servidor OCSP que se configuran manualmente ocsp url en perfiles de CAedit security pki ca-profile profile-name revocation-checkcon la instrucción en el nivel de jerarquía []; se pueden configurar hasta dos ubicaciones para cada perfil de entidad emisora. Si no se puede obtener acceso al primer servidor de OCSP configurado, la solicitud se envía al segundo servidor OCSP. Si no se puede acceder al segundo servidor OCSP, la solicitud se envía a la ubicación en el campo de extensión AuthorityInfoAccess del certificado. También use-ocsp debe configurarse la opción, ya que la lista de revocación de certificados (CRL) es el método de comprobación predeterminado.

Los dispositivos serie SRX aceptan únicamente respuestas OCSP firmadas de la entidad emisora o el respondedor autorizado. La respuesta recibida se valida mediante certificados de confianza. La respuesta se valida de la siguiente manera:

  1. Para validar la respuesta, se utiliza el certificado de CA inscrito en el perfil de CA configurado.

  2. La respuesta de OCSP podría contener un certificado para validar la respuesta de OCSP. El certificado recibido debe estar firmado por un certificado de CA inscrito en el dispositivo serie SRX. Una vez que el certificado de la CA valida el certificado recibido, se utiliza para validar la respuesta de OCSP.

La respuesta del servidor OCSP puede ser firmada por entidades emisoras de certificación diferentes. Se admiten los siguientes escenarios:

  • El servidor de CA que emite el certificado de entidad final de un dispositivo también firma la respuesta de estado de revocación de OCSP. El dispositivo serie SRX comprueba la firma de la respuesta de OCSP mediante el certificado de CA inscrito en el dispositivo serie SRX. Después de validar la respuesta de OCSP, se comprueba el estado de revocación del certificado.

  • Un respondedor autorizado firma la respuesta del estado de revocación de OCSP. El certificado del respondedor autorizado y el certificado de entidad final que se está verificando deben ser emitidos por la misma CA. El respondedor autorizado se verifica primero con el certificado de CA inscrito en el dispositivo serie SRX. La respuesta OCSP se valida mediante el certificado de AC respondedor. A continuación, el dispositivo serie SRX usa la respuesta de OCSP para comprobar el estado de revocación del certificado de entidad final.

  • Hay distintos firmantes de CA para el certificado de entidad final que se están comprobando y la respuesta de OCSP. La respuesta de OCSP está firmada por una CA en la cadena de certificados para el certificado de entidad final que se está comprobando. (Todos los pares que participen en una negociación de ICR deben tener al menos AC confianza comunes en sus respectivas cadenas de certificados).) El informe del respondedor OCSP AC verifica mediante una AC en la cadena de certificados. Después de validar el respondedor AC certificado, la respuesta OCSP se valida mediante el certificado de AC respondedor.

Para evitar ataques de reproducción, se puede enviar una carga nonce en una solicitud de OCSP. Las cargas nonce se envían de forma predeterminada a menos que esté deshabilitada de forma explícita. Si se habilita, el dispositivo de serie SRX espera que la respuesta de OCSP contenga una carga de nonce, de lo contrario no se podrá comprobar la revocación. Si los contestadores de OCSP no pueden responder con una carga Nonce, la carga de nonce debe estar deshabilitada en el dispositivo de serie SRX.

En el curso normal del negocio, los certificados se revocan por varias razones. Es posible que desee revocar un certificado si sospecha que se ha puesto en peligro, por ejemplo, o cuando un titular de un certificado sale de la compañía.

Puede administrar las revocación y validaciones de certificados de dos maneras:

  • Localmente: esta es una solución limitada.

  • Si hace referencia a una lista de revocación de certificados (CRL) de la autoridad de certificación (AC): puede acceder automáticamente a la CRL en línea en los intervalos que especifique o en el intervalo predeterminado establecido por el AC.

En las negociaciones de fase 1, los participantes comprueban la lista de CRL para ver si los certificados recibidos durante un ICR de intercambio siguen siendo válidos. Si una CRL no acompaña a un certificado de CA y no se carga en el dispositivo, el dispositivo intenta descargarlo automáticamente desde el punto de distribución CRL del certificado local. Si el dispositivo no puede conectarse a la dirección URL del punto de distribución de certificados (CDP), intentará recuperar la CRL de la dirección URL configurada en el perfil de la entidad de certificación.

Si el certificado no contiene una extensión de punto de distribución de certificados y no puede recuperar automáticamente la CRL a través del Protocolo ligero de acceso a directorios (LDAP) o el protocolo de transferencia de hipertexto (HTTP), puede recuperar manualmente una lista CRL y cargar que en el dispositivo.

Los certificados locales se están validando con la lista de revocación de certificados (CRL) incluso aunque la comprobación de CRL esté deshabilitada. Esto puede detenerse deshabilitando la comprobación de CRL mediante la configuración de la infraestructura de clave pública (PKI). Cuando la comprobación de CRL está deshabilitada, la PKI no validará el certificado local contra la CRL.

Comparación del Protocolo de estado de certificados en línea y la lista de revocación de certificados

El protocolo de estado de certificados en línea (OCSP) y la lista de revocación de certificados (CRL) se pueden usar para comprobar el estado de revocación de un certificado. Cada método tiene ventajas e inconvenientes.

  • OCSP proporciona el estado de certificado en tiempo real, mientras que la CRL usa los datos almacenados en caché. En el caso de aplicaciones sensibles al tiempo, OCSP es el enfoque preferido.

  • La comprobación de CRL es más rápida porque se realiza una búsqueda del estado de los certificados sobre la información almacenada en la caché del dispositivo VPN. OCSP requiere tiempo para obtener el estado de revocación de un servidor externo.

  • CRL requiere memoria adicional para almacenar la lista de revocaciones recibida de un servidor de CRL. OCSP no requiere memoria adicional para guardar el estado de revocación de los certificados.

  • OCSP requiere que el servidor OCSP esté disponible en todo momento. CRL puede usar los datos almacenados en caché para comprobar el estado de revocación de certificados cuando no se puede tener acceso al servidor.

En la serie MX y los dispositivos serie SRX, CRL es el método predeterminado que se utiliza para comprobar el estado de revocación de un certificado.

Ejemplo Carga manual de una CRL en el dispositivo

En este ejemplo, se muestra cómo cargar una lista CRL manualmente en el dispositivo.

Aplicables

Antes de empezar:

  1. Generar un par de claves pública y privada. Consulte Certificados digitales auto firmados.

  2. Generar una solicitud de certificado. Consulte ejemplo: Generar manualmente un CSR para el certificado local y enviarlo al servidorde la CA.

  3. Configure un perfil de autoridad de certificados (CA). Consulte ejemplo: Configuración de un perfilde CA.

  4. Cargue su certificado en el dispositivo. Consulte ejemplo: Carga manualde CA y certificados locales.

Descripción general

Puede cargar una lista CRL manualmente o puede hacer que el dispositivo la cargue automáticamente cuando Compruebe la validez de los certificados. Para cargar una lista CRL manualmente, puede obtenerla de una entidad emisora de certificados y transferirla al dispositivo (por ejemplo, mediante FTP).

En este ejemplo, carga un certificado de CRL llamado revoke.crl desde el directorio/var/tmp del dispositivo. Se llama ca-profile-ipsecal perfil de la entidad de certificación. (El tamaño máximo de archivo es de 5 MB.)

Si ya se ha cargado una CRL en el perfil de la entidad clear security pki crl ca-profile ca-profile-ipsec emisora de certificados, debe ejecutar primero el comando para borrar la antigua lista de revocaciones de certificados.

Automática

Modalidades

Procedimiento paso a paso

Para cargar un certificado de CRL manualmente:

  1. Cargue un certificado de CRL.

    Junos OS admite la carga de certificados de entidades emisoras en los formatos X509, PKCS #7, DER o PEM.

Comproba

Para comprobar que la configuración funciona correctamente, especifique el show security pki crl comando modo de funcionamiento.

Descripción de la descarga y comprobación de CRL dinámicas

Los certificados digitales se emiten durante un período de tiempo definido y no son válidos después de la fecha de caducidad especificada. Una entidad emisora de certificados puede revocar un certificado emitido incluyéndolo en una lista de revocación de certificados (CRL). Durante la validación del certificado del mismo nivel, el estado de revocación de un certificado del mismo nivel se comprueba mediante la descarga de la CRL de un servidor de CA al dispositivo local.

Un dispositivo VPN debe poder comprobar el estado de revocación de un certificado de un par. Un dispositivo puede usar el AC certificado

recibida de su par para extraer la URL para descargar dinámicamente la CRL de AC y comprobar el estado de revocación del certificado del par. Un perfil de entidad emisora de certificados dinámico se crea automáticamente en el dynamic-nnndispositivo local con el formato. Un perfil AC dinámico permite que el dispositivo local descargue la CRL del AC par y compruebe el estado de revocación del certificado del par. En , host-A puede usar los certificados Sales-AC y EE recibidos del host B para descargar dinámicamente la CRL para Sales-AC y comprobar el estado de revocación del certificado de Figura 1 Host-B.

Figura 1: Jerarquía multinivel para la autenticación basada en certificadosJerarquía multinivel para la autenticación basada en certificados

Para habilitar perfiles de CA dinámicos revocation-check crl , la opción debe estar configurada en un perfil deedit security pki ca-profile profile-nameCA principal en el nivel de jerarquía [].

Las propiedades de comprobación de revocación de un perfil de CA principal se heredan para perfiles de CA dinámicas. En Figura 1, la configuración del perfil de la entidad emisora de certificados en host-a para CA raíz habilita perfiles de CA dinámicas, como se muestra en el siguiente resultado:

Un perfil de entidad emisora dinámica se crea en host-A para sales-CA. La comprobación de revocación se hereda para el perfil de CA dinámica ventas-CA de raíz-CA.

Si la revocation-check disable instrucción se configura en un perfil de CA principal, no se crearán perfiles de CA dinámicas y no se realizará la descarga ni la comprobación de CRL dinámicas.

Los datos de las listas CRL descargadas de perfiles de entidades show security pki crl emisoras dinámicas se muestran con el comando del mismo modo que las CRL descargadas por los perfiles de CA configurados. La lista CRL de un perfil de entidad emisora dinámica se actualiza periódicamente, al igual que las de los perfiles de CA que se configuran en el dispositivo.

El certificado de la entidad emisora es necesario para validar la lista CRL recibida de un servidor de entidad emisora; por lo tanto, el certificado de la entidad emisora recibido de un interlocutor se almacena en el dispositivo local. Dado que el certificado de CA no lo inscribe un administrador, solo se utiliza para validar la CRL recibida desde el servidor de CA y no para validar el certificado del mismo nivel.

Ejemplo Configuración de un perfil de autoridad de certificados con ubicaciones de CRL

En este ejemplo se muestra cómo configurar un perfil de autoridad de certificados con ubicaciones de CRL.

Aplicables

Antes de empezar:

  1. Generar un par de claves en el dispositivo. Consulte Certificados digitales.

  2. Crear un perfil o perfiles de entidad emisora que contengan información específica de una entidad emisora. Consulte ejemplo: Configuración de un perfilde CA.

  3. Obtenga un certificado personal de la entidad emisora de certificados. Consulte ejemplo: Generar manualmente un CSR para el certificado local y enviarlo al servidorde la CA.

  4. Cargue el certificado en el dispositivo. Consulte ejemplo: Carga manualde CA y certificados locales.

  5. Configure la reinscripción automática. Consulte ejemplo: Configuración de la autenticaciónde usuario de SecurID.

  6. Si fuera necesario, cargue la CRL del certificado en el dispositivo. Consulte ejemplo: Cargar manualmente una CRL en el dispositivo.

Descripción general

En las negociaciones de la fase 1, comprueba la lista CRL para ver si el certificado que ha recibido durante el intercambio de ICR sigue siendo válido. Si una lista CRL no acompaña a un certificado de entidad emisora y no está cargada en el dispositivo, Junos OS intenta recuperar la CRL a través de la ubicación de CRL LDAP o HTTP definida en el propio certificado de entidad emisora. Si no se define ninguna dirección URL en el certificado de la entidad emisora, el dispositivo utilizará la dirección URL del servidor definido para dicho certificado de entidad emisora. Si no define una dirección URL de CRL para un certificado de CA determinado, el dispositivo obtiene la CRL de la dirección URL en la configuración del perfil de la CA.

La extensión de punto de distribución CRL (. CDP) de un certificado X509 puede agregarse tanto a una dirección URL HTTP como a una dirección URL LDAP.

En este ejemplo, se dirige el dispositivo para comprobar la validez del perfil de CA llamado my_profile y, si una CRL no acompaña a un certificado de CA y no se carga en el dispositivo, para recuperar la CRL de la http://abc/abc-crl.crldirección URL.

Automática

Modalidades

Procedimiento paso a paso

Para configurar el certificado mediante CRL:

  1. Especifique el perfil y dirección URL de la entidad emisora.

  2. Si ha terminado de configurar el dispositivo, confirme la configuración.

Comproba

Para comprobar que la configuración funciona correctamente, especifique el show security pki comando modo de funcionamiento.

Ejemplo Comprobar la validez de los certificados

En este ejemplo se muestra cómo comprobar la validez de un certificado.

Aplicables

Antes de configurar esta característica, es necesaria una configuración especial más allá de la inicialización del dispositivo.

Descripción general

En este ejemplo, los certificados se comprueban manualmente para averiguar si se ha revocado un certificado o si el certificado de la CA utilizado para crear un certificado local ya no está presente en el dispositivo.

Cuando comprueba certificados manualmente, el dispositivo utiliza el certificado de entidad emisora (ca-cert) para comprobar el certificado local.certlocal (). Si el certificado local es válido, y si revocation-check está habilitado en el perfil de CA, el dispositivo comprueba que la CRL está cargada y es válida. Si la CRL no está cargada ni es válida, el dispositivo descarga la nueva CRL.

Para AC emitidos por AC certificado, se debe configurar un DNS en la configuración del dispositivo. El DNS debe ser capaz de resolver el host en la CRL de distribución y en la dirección URL de la lista de certificados/revocación de CA en la configuración del perfil de la entidad emisora de certificados. Además, debe tener acceso a la red al mismo host para que se reciban los cheques.

Automática

Modalidades

Procedimiento paso a paso

Para comprobar manualmente la validez de un certificado:

  1. Comprobar la validez de un certificado local.

  2. Comprobar la validez de un certificado de entidad emisora.

    La clave privada asociada y la firma también se comprueban.

Comproba

Para comprobar que la configuración funciona correctamente, escriba el show security pki ca-profile comando.

Si se devuelve un error en lugar de una comprobación positiva, el fallo se registra en pkid.

Eliminación de una CRL cargada (procedimiento de CLI)

Puede optar por eliminar una CRL cargada si ya no necesita utilizarla para administrar las revocacións de certificados y la validación.

Utilice el siguiente comando para eliminar una lista de revocación de certificados cargada:

Especifique un perfil de CA para eliminar una CRL asociada con la entidad emisora de certificados identificada all por el perfil o para eliminar todas las CRL.