Configuração de certificados digitais
Visão geral dos certificados digitais
Um certificado digital fornece uma maneira de autenticar usuários por meio de um terceiro confiável chamado autoridade de certificado (CA). A CA valida a identidade de um titular de certificado e "assina" o certificado para atestar que ele não foi forjado ou alterado.
Um certificado inclui as seguintes informações:
O nome distinto (DN) do proprietário. Uma DN é um identificador único e consiste em um nome totalmente qualificado, incluindo o nome comum (CN) do proprietário, a organização do proprietário e outras informações distintas.
A chave pública do dono.
A data em que o certificado foi emitido.
A data em que o certificado expira.
O nome diferenciado da CA em emissão.
A assinatura digital da CA em emissão.
As informações adicionais em um certificado permitem que os destinatários decidam se aceitam o certificado. O destinatário pode determinar se o certificado ainda é válido com base na data de validade. O destinatário pode verificar se a CA é confiável pelo site com base na CA de emissão.
Com um certificado, um CA pega a chave pública do proprietário, assina a chave pública com sua própria chave privada e devolve isso ao proprietário como certificado. O destinatário pode extrair o certificado (contendo a assinatura do CA) com a chave pública do proprietário. Ao usar a chave pública da CA e a assinatura da CA no certificado extraído, o destinatário pode validar a assinatura do CA e o proprietário do certificado.
Ao usar certificados digitais, você primeiro envia uma solicitação para obter um certificado do seu CA. Em seguida, você configura certificados digitais e uma política de IKE de certificado digital. Por fim, você obtém um certificado assinado digitalmente por um CA.
Os certificados sem um nome de assunto alternativo não são apropriados para serviços IPsec.
Obtenção de um certificado de uma autoridade de certificado para um ES PIC
As autoridades de certificados (CA) gerenciam solicitações de certificados e emitem certificados aos dispositivos de rede IPsec participantes. Ao criar uma solicitação de certificado, você precisa fornecer as informações sobre o proprietário do certificado. As informações necessárias e seu formato variam entre as autoridades de certificados.
Os certificados usam nomes no formato X.500, um protocolo de acesso de diretório que fornece acesso lido e atualizado. Todo o nome é chamado de DN (nome distinto). Consiste em um conjunto de componentes, que muitas vezes inclui uma CN (nome comum), uma organização (O), uma unidade de organização (OU), um país (C), uma localidade (L) e assim por diante.
Para o registro dinâmico de certificados digitais, o Junos OS oferece suporte apenas ao Protocolo de inscrição de certificados simples (SCEP).
Veja também
Solicitando um certificado digital de CA para um ES PIC em um roteador da Série M ou Série T
Para uma interface de criptografia em um roteador da Série M ou Série T, emita o seguinte comando para obter um certificado de chave pública de um CA. Os resultados são salvos no arquivo especificado no /var/etc/ikecert directory. A chave pública da CA verifica certificados de pares remotos.
user@host> request security certificate enroll filename filename ca-name ca-name parameters parameters
Veja também
Exemplo: solicitação de um certificado digital da CA
Especifique uma URL para o servidor SCEP e o nome da autoridade de certificação cujo certificado você deseja: mycompany.com. nome do arquivo 1 é o nome do arquivo que armazena o resultado. A saída, "Certificado de CA recebido:" fornece a assinatura do certificado, o que permite verificar (offline) se o certificado é genuíno.
user@host> request security certificate enroll filename ca_verisign ca-file verisign ca-name xyzcompany url http://hostname/path/filename URL: http://hostname/path/filename name: example.com CA file: verisign Encoding: binary Certificate enrollment has started. To see the certificate enrollment status, check the key management process (kmd) log file at /var/log/kmd. <--------------
Cada roteador é inicialmente inscrito manualmente com uma autoridade de certificado.
Veja também
Gerando um par de chaves privadas e públicas para certificados digitais para um PIC ES
Para gerar uma chave privada e pública, emita o seguinte comando:
user@host> request security key-pair name size key-size type ( rsa | dsa )
name especifica o nome do arquivo em que armazenar as chaves públicas e privadas.
key-size podem ser 512, 1024, 1596 ou 2048 bytes. O tamanho padrão da chave é 1024 bytes.
type pode ser rsa ou dsa. O padrão é RSA.
Quando você usa o SCEP, o Junos OS só oferece suporte ao RSA.
O exemplo a seguir mostra como gerar um par de chave pública e privada:
user@host> request security key-pair batt Generated key pair, key size 1024, file batt Algorithm RSA