Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Безопасный веб-доступ для удаленного управления

Удаленно управлять устройством Juniper Networks можно через веб-интерфейс J-Web. Чтобы обеспечить безопасный доступ к Веб-сети, Juniper Networks устройства поддерживают http через безопасный уровень sockets (HTTPS). При необходимости можно включить доступ ПО HTTP или HTTPS на определенные интерфейсы и порты устройства. Для получения дополнительной информации ознакомьтесь с этой темой.

Обзор защищенного веб-доступа

Удаленно управлять устройством Juniper Networks можно через веб-интерфейс J-Web. Для связи с устройством веб-интерфейс J-Web использует протокол передачи гипертекста (HTTP). Протокол HTTP обеспечивает простой доступ к веб-сети, но не шифрование. Данные, передаваемые между веб-браузером и устройством средствами HTTP, уязвимы для перехвата и атаки. Чтобы обеспечить безопасный доступ к Веб-сети, Juniper Networks устройства поддерживают http через безопасный уровень sockets (HTTPS). При необходимости можно включить доступ ПО HTTP или HTTPS на определенные интерфейсы и порты.

Устройство Juniper Networks использует протокол Secure Sockets Layer (SSL) для обеспечения безопасного управления устройством через веб-интерфейс. SSL использует технологию открытых частных ключей, которая требует использования пара частного ключа и сертификата аутентификации для предоставления услуги SSL. SSL шифрует связь между устройством и веб-браузером с помощью ключа сеанса, согласуемого сертификатом сервера SSL.

Сертификат SSL включает в себя идентификационную информацию, например открытый ключ и подпись, выполненную центр сертификации (CA). При доступе к устройству через HTTPS, с помощью SSL-связи происходит аутентификация сервера и клиента и начинается безопасный сеанс. Если сведения не совпадают или истек срок сертификата, доступ к устройству с помощью HTTPS будет невозможно.

Без SSL-шифрования связь между устройством и браузером передается открытым образом и может быть перехвачена. Рекомендуется включить httpS-доступ на свои интерфейсы WAN.

Доступ по протоколу HTTP по умолчанию включен на встроенных интерфейсах управления. По умолчанию доступ ПО HTTPS поддерживается на любом интерфейсе с сертификатом SSL-сервера.

Создание сертификатов SSL для безопасного веб-доступа (серия SRX устройств)

Чтобы создать сертификат SSL с помощью openssl команды:

  1. Введите openssl интерфейс командной строки. Команда генерирует подписанный сертификат SSL в формате электронной почты, улучшенной openssl конфиденциальностью (PEM). Он записывает сертификат и незашифрованный 1024-битный частный ключ RSA в указанный файл.
    Прим.:

    Запустите эту команду на устройстве LINUX или UNIX, Juniper Networks Шлюзы служб не поддерживают openssl эту команду.

    Замените имя файла, в котором должен быть записан filename сертификат SSL, new.pem например.

  2. При запросе введите соответствующую информацию в идентификационный форме. Например, US введите название страны.
  3. Отобразить содержимое new.pem файла.

    cat new.pem

    Скопируйте содержимое этого файла для установки SSL-сертификата.

Создание сертификатов SSL, используемых для защищенного веб-доступа (коммутатор серии EX)

Можно настроить безопасный веб-доступ для коммутатора серии EX. Для обеспечения безопасного web-доступа необходимо создать сертификат цифрового безопасного уровня sockets (SSL) и включить доступ HTTPS на коммутаторе.

Чтобы создать сертификат SSL:

  1. Введите следующую openssl команду в SSH-интерфейс командной строки системе BSD или Linux, на которой openssl установлена система. Команда генерирует подписанный сертификат SSL в формате электронной почты, улучшенной openssl конфиденциальностью (PEM). Он записывает сертификат и незашифрованный 1024-битный частный ключ RSA в указанный файл.

    % openssl req –x509 –nodes –newkey rsa:1024 –keyout filename.pem -out filename.pem

    где имя файла, в котором должен быть записан filename сертификат SSL, my-certificate например.

  2. При запросе введите соответствующую информацию в идентификационный форме. Например, US введите название страны.
  3. Отобразить содержимое созданного файла.

    cat my-certificate.pem

Для установки сертификата SSL на коммутатор можно использовать страницу конфигурации J-Web. Для этого скопируйте на коммутатор файл, содержащий сертификат из системы BSD или Linux. Затем откройте файл, скопируйте его содержимое и в поле Certificate (Сертификат) на странице конфигурации защищенного доступа J-Web.

Для установки сертификата SSL на коммутаторе интерфейс командной строки использовать следующую утверждение:

Дополнительные сведения об установке сертификатов см. в примере: Настройка защищенного веб-доступа.

Автоматическое создание самозаписаного сертификата SSL

Для создания самозаписаного SSL-сертификата на Juniper Networks устройствах:

  1. Установить основное подключение.
  2. Перезагружаем систему. Во время загрузки самостоятельно подписанный сертификат генерируется автоматически.
  3. Укажите system-generated-certificate при управлении веб-ресурсами HTTPS.

Создание сертификатов SSL, подписанных вручную

Чтобы вручную создать сертификат SSL, подписанный на Juniper Networks устройства:

  1. Установить основное подключение.
  2. При доступе к корневому входу можно вручную создать самозаписаный сертификат, используя следующие команды:
    Прим.:

    При создании сертификата необходимо указать субъект, адрес электронной почты и доменное имя или IP-адрес.

  3. Чтобы проверить, что сертификат был создан и загружен должным образом, введите команду operational и show security pki local-certificate укажите local-certificate под веб-управлением HTTPS.

Удаление самозаписаных сертификатов (интерфейс командной строки)

Можно удалить подписанный сертификат, автоматически или вручную сгенерированный на коммутаторе серии EX. При удалении автоматически сгенерированного самозаписаного сертификата коммутатор генерирует новый самозаписаемый сертификат и сохраняет его в файловой системе.

  • Удаление автоматического сгенерированного сертификата и связанной с ним пары ключей из коммутатора:

  • Удаление сертификата, сформированного вручную, и связанной с ним пары ключей из коммутатора:

  • Удаление всех созданных вручную сертификатов и связанных с ними пар ключей с коммутатора:

О самозаписаных сертификатах на коммутаторах серии EX

При инициализации Juniper Networks Ethernet серии EX с заводской конфигурацией по умолчанию коммутатор генерирует само подписанный сертификат, который обеспечивает безопасный доступ к коммутатору через протокол защищенного уровня (SSL) sockets Layer. Протокол передачи гипертекста через безопасный уровень sockets (HTTPS) и управление сетью XML через безопасный уровень sockets (XNM-SSL) — это две службы, которые могут использовать самозаписаные сертификаты.

Прим.:

Самозаписаные сертификаты не обеспечивают дополнительной безопасности, как и сертификаты, созданные службами сертификации (ЦС). Это связано с тем, что клиент не может подтвердить, что сервер, к который он подключен, является сервером, объявленным в сертификате.

Коммутаторы предоставляют два метода создания самозаписаного сертификата:

  • автоматическое поколение

    В данном случае создателем сертификата является коммутатор. По умолчанию на коммутаторе настраивается автоматически созданный (также называемый "системно-сгенерируемым") сертификат.

    После инициализации коммутатора он проверяет наличие автоматически сгенерированного самозаписаного сертификата. Если он его не находит, коммутатор генерирует его и сохраняет в файловой системе.

    Сертификат, автоматически генерируемый коммутатором, аналогиен ключу хоста SSH. Он хранится в файловой системе, а не в составе конфигурации. Она сохраняется при перезагрузке коммутатора и сохраняется при request system snapshot выдаче команды.

    Для автоматического сгенерированного сертификата коммутатор использует следующее отличительное имя:

    “ CN=<device serial number>, CN=system generated, CN=self-signed”

    При удалении сгенерированного в системе сертификата самозаписи на коммутаторе коммутатор автоматически генерирует самозаписаемый сертификат.

  • Ручное поколение

    В этом случае для коммутатора создается самозаписаный сертификат. В любое время можно использовать интерфейс командной строки для создания самозаписаного сертификата. Созданные вручную самозаписные сертификаты хранятся в файловой системе, а не в составе конфигурации.

Самозаписаные сертификаты действительны в течение пяти лет с того времени, когда они создаются. По истечении срока действия действительности автоматического сгенерированного самозаписаного сертификата его можно удалить с коммутатора, чтобы коммутатор генерировать новый сертификат самостоятельной подписи.

Созданные системами самозаписаные сертификаты и созданные вручную сертификаты могут сосуществовать на коммутаторе.

Создание сертификатов, подписанных вручную на коммутаторах (интерфейс командной строки процедуры)

Коммутаторы серии EX позволяют создавать собственные сертификаты и хранить их в файловой системе. Сертификат, созданный вручную, может сосуществовать с автоматически созданным самозаписаным сертификатом на коммутаторе. Чтобы обеспечить безопасный доступ к коммутатору через SSL, можно использовать созданный системой сертификат самостоятельно или сертификат, созданный вручную.

Для создания сертификатов, подписанных вручную, необходимо выполнить следующие задачи:

Создание пары открытых и частных ключей на коммутаторах

Цифровой сертификат имеет связанную криптографическую пару ключей, которая используется для цифровой подписывания сертификата. Пара криптографических ключей состоит из общего ключа и частного ключа. При генерации самозаписаного сертификата необходимо предоставить пару открыто-частных ключей, которая может использоваться для подписывания сертификата. Таким образом, необходимо создать пару ключей общего частного частного подписью, прежде чем можно будет создать самозаписаный сертификат.

Чтобы создать пару открытых и частных ключей:

Прим.:

Дополнительно можно указать алгоритм шифрования и размер ключа шифрования. Если не указать алгоритм шифрования и размер ключа шифрования, будут использованы значения по умолчанию. По умолчанию используется алгоритм шифрования RSA, размер ключа шифрования по умолчанию составляет 1024 бита.

После того, как будет сгенерирована пара открытых ключей, коммутатор отобразит следующее:

Создание самозаписаных сертификатов на коммутаторах

Для создания сертификата, подписав его вручную, включим в него имя сертификата, имя отличительного имени (DN), доменное имя, IP-адрес коммутатора и адрес электронной почты держателя сертификата:

Созданный сертификат хранится в файловой системе коммутатора. Идентификатор сертификата, определенный при создании сертификата, является уникальным идентификатором, который можно использовать для создания служб HTTPS или XNM-SSL.

Чтобы проверить, что сертификат был создан и загружен должным образом, введите show security pki local-certificate команду operational.

Примере: Настройка безопасного веб-доступа

В данном примере показано, как настроить защищенный веб-доступ на своем устройстве.

Требования

До настройки этой функции специальная настройка после инициализации устройства не требуется.

Прим.:

Можно включить httpS-доступ на указанных интерфейсах. Если httpS включен без указания интерфейса, протокол HTTPS включается на всех интерфейсах.

Обзор

В данном примере импортируется сертификат SSL, созданный как новый и частный ключ в формате PEM. Затем включается доступ ПО HTTPS и указывается SSL-сертификат, который будет использоваться для аутентификации. В конце укажите порт 8443, для которого должен быть включен доступ ПО HTTPS.

Топологии

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Для настройки безопасного web-доступа на своем устройстве:

  1. Импорт сертификата SSL и частного ключа.

  2. В этом протоколе включается доступ ПО HTTPS, а также указывается сертификат и порт SSL.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка конфигурации сертификата SSL

Цель

Проверьте конфигурацию сертификата SSL.

Действий

В рабочем режиме введите show security команду.

Проверка конфигурации защищенного доступа

Цель

Проверьте конфигурацию безопасного доступа.

Действий

В рабочем режиме введите show system services команду. В следующем примере выходных данных показаны примеры значений для безопасного веб-доступа: