Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PKI в Junos OS

SUMMARY В этой теме описываются основные элементы инфраструктуры открытых ключей (PKI) в Junos OS.

Инфраструктура открытых ключей (PKI) поддерживает распределение и идентификацию открытых ключей шифрования, что позволяет пользователям обмениваться данными через такие сети, как Интернет, и проверять удостоверения другой стороны.

Введение в PKI в Junos OS

Обзор приложений PKI

В Junos OS используются открытые и частные ключи в следующих областях:

  • SSH/SCP (для интерфейс командной строки управления [интерфейс командной строки])

  • Безопасный уровень Sockets (SSL) (для безопасного веб-администрирования и веб-аутентификации на основе https)

  • Internet Key Exchange (IKE) (для туннелей IPsec VPN)

Прим.:

Обратите внимание на следующие пункты:

  • В настоящее время Junos OS поддерживает только сертификаты IKE (используя инфраструктуру открытых ключей (PKI) для проверки открытого ключа).

  • SSH и SCP используются исключительно для системного администрирования и зависят от использования вне диапазона элементов проверки привязки и проверки личных данных открытого ключа. Подробные сведения о SSH в этой теме не закрыты.

Компоненты для администрирования PKI Junos OS

Для администрирования PKI в Junos OS требуются следующие Junos OS:

  • CA сертификатов и настройки полномочий

  • Локальные сертификаты, в том числе идентификация устройств (пример: IKE тип и значение ID) и частные и общедоступные ключи

  • Проверка сертификата через список отзыва сертификатов (CRL)

Основные элементы PKI в Junos OS

Junos OS поддерживают три определенных типа объектов PKI:

  • Пара частных/общедоступных ключей

  • Сертификаты

    • Локальный сертификат — локальный сертификат содержит открытый ключ и идентификацию Juniper Networks устройства. Устройству Juniper Networks принадлежит связанный частный ключ. Этот сертификат создается на основе запроса сертификата от Juniper Networks устройства.

    • Ожидающий сертификат — ожидающий сертификат содержит пару ключей и идентификацию, которые генерируются в запрос сертификата PKCS10 и отправляются вручную на центр сертификации (CA). Пока Juniper Networks ожидает сертификата от CA, существующий объект (пара ключей и запрос сертификата) помечен как запрос сертификата или ожидающее сертификата.

      Прим.:

      Junos OS версии 9.0 и более поздних поддерживает автоматическую отправку запросов сертификатов через SCEP.

    • CA сертификат . Когда сертификат выдан CA и загружен на Junos OS, ожидающее сертификат заменяется только что созданным локальным сертификатом. Все остальные сертификаты, загруженные на устройство, считаются CA сертификатами.

  • Списки отзыва сертификатов (списки отзыва сертификатов)

Обратите внимание на следующие пункты о сертификатах:

  • Локальные сертификаты обычно используются, когда Junos OS имеет VPN в более чем одном административном домене.

  • Все объекты PKI хранятся в отдельном разделе постоянной памяти, отдельно от Junos OS образа и общей конфигурации системы.

  • Каждый объект PKI имеет уникальное имя или сертификат-ID, который дается при его создания и поддерживает этот ID до его удаления. Можно просмотреть сертификат-ID с помощью show security pki local-certificate команды.

  • В большинстве случаях сертификат нельзя скопировать с устройства. Частный ключ на устройстве должен быть сгенерирован только на этом устройстве, и его никогда не следует просматривать и не сэкономить с этого устройства. Таким образом, файлы PKCS12 (содержащие сертификат с публичным ключом и связанным с ним частным ключом) не поддерживаются на Junos OS устройствах.

  • CA сертификаты подтверждают сертификаты, полученные одноранговой IKE узла. Если сертификат является допустимым, то в CRL проверяется, был ли сертификат отозван.

    Каждый CA содержит конфигурацию профиля CA, в которых хранится следующая информация:

    • CA тождественность, которая обычно является доменным именем CA

    • Адрес электронной почты для отправки запросов сертификата непосредственно на CA

    • Параметры отзыва:

      • Проверка отзыва параметра enable/disable

      • Отключение проверки отзыва на случай сбоя загрузки CRL.

      • Расположение точки распределения CRL (CDP) (для настройки URL-адреса вручную)

      • Интервал обновления CRL

Компоненты PKI в Junos OS

Данная тема включает в себя следующие разделы:

Управление и реализация PKI

Минимальные элементы PKI, необходимые для аутентификации на основе сертификатов, Junos OS:

  • CA сертификатов и настройки полномочий.

  • Локальные сертификаты, в том числе идентификация устройства (пример: IKE тип и значение ID) и частные и общедоступные ключи

  • Проверка сертификата через CRL.

Junos OS поддерживают три разных типа объектов PKI:

Internet Key Exchange

Процедура цифрового подписывания сообщений, отправленных между двумя участниками сеанса Internet Key Exchange (IKE) аналогична проверке цифрового сертификата со следующими отличиями:

  • Вместо того, чтобы сделать дайджест из CA, отправитель производит его из данных из полезной нагрузки IP-пакета.

  • Вместо использования пары открытых CA ключей общего частного пользования, участники используют пару открытых и частных ключей отправи мне.

Доверенные CA группы

Орган сертификации (CA) является доверенным третьим лицом, ответственным за выдачу и отмену сертификатов. Для данной топологии можно групп CA несколько ЦС (CA профилей) в одну CA группу доверенных пользователей. Эти сертификаты используются для установления соединения между двумя конечными точками. Чтобы установить IKE или IPsec, обе конечные точки должны доверять одному CA. Если одна из конечных точек не может проверить сертификат с помощью своих доверенных CA (ca-profile) или CA группы, соединение не устанавливается.

Например, две конечные точки: конечная точка A и конечная точка B пытаются установить безопасное соединение. Когда конечная точка B представляет сертификат конечной точке A, оконечная точка A проверяет, является ли сертификат действительным. CA конечной точки A проверяет подписанный сертификат, который используется конечной точкой B для получения авторизации. Когда trusted-ca или настроено, устройство будет использовать только профили CA добавленные к этому или профиль CA, настроенный под проверку сертификата, исходя из конечной точки trusted-ca-grouptrusted-ca-grouptrusted-ca B. Если сертификат проверен как допустимый, соединение разрешается, в другом случае соединение отклоняется.

Преимущества:

  • Для любого запроса входящих соединений проверяется только сертификат, выданный этим доверенным CA конечной точки. Если нет, авторизация отклоняет установление соединения.

Обзор обработки криптографического ключа

С помощью обработки криптографического ключа постоянные ключи хранятся в памяти устройства без попыток их изменения. Хотя внутреннее устройство памяти не доступно потенциальному злоумышленнику напрямую, те, кому требуется второй уровень защиты, могут включить специальную обработку криптографических ключей. После включения криптографическая клавиша шифрует ключи, не при непосредственном использовании, выполняет обнаружение ошибок при копировании ключа из одного местоположения памяти в другое и переописывает местоположение памяти ключа случайным битом, если ключ больше не используется. Ключи также защищены, если они хранятся во флэш-памяти устройства. Включение функции обработки криптографического ключа не вызывает внешнего изменения в поведении устройства, и устройство продолжает работать с другими устройствами.

Криптографический администратор может включить и отключить функции самотестирований шифрования; однако администратор системы безопасности может изменить поведение криптографических функций самопроверки, например, настраивать периодические самопроверки или выбирать подмножество криптографических самопроверок.

Следующие постоянные ключи в настоящее время находятся под управлением IKE PKI:

  • IKE предварительные ключи (IKE PSKs)

  • Частные ключи PKI

  • Ключи VPN вручную