Autoridade de certificados
Um perfil de autoridade de certificado (CA) define todos os parâmetros associados a um certificado específico para estabelecer uma conexão segura entre dois endpoints. Os perfis especificam quais certificados usar, como verificar o status de revogação do certificado e como esse status restringe o acesso.
Configuração de um grupo de CA confiável
Esta seção descreve o procedimento para criar um grupo de CA confiável para uma lista de perfis de CA e excluir um grupo de CA confiável.
- Criação de um grupo de CA confiável para uma lista de perfis de CA
- Exclusão de um perfil de CA de um grupo de CA confiável
- Exclusão de um grupo de CA confiável
Criação de um grupo de CA confiável para uma lista de perfis de CA
Você pode configurar e atribuir um grupo de CA confiável para autorizar uma entidade. Quando um peer tenta estabelecer uma conexão com um cliente, somente o certificado emitido por esse CA confiável específico dessa entidade é validado. O dispositivo valida se o emissor do certificado e aquele que apresenta o certificado pertence à mesma rede cliente. Se o emissor e o apresentador pertencem à mesma rede cliente, então a conexão será estabelecida. Se não, a conexão não será estabelecida.
Antes de começar, você deve ter uma lista de todos os perfis de CA que deseja adicionar ao grupo de confiança.
Neste exemplo, estamos criando três perfis de CA nomeadosorgA-ca-profile, orgB-ca-profilee orgC-ca-profile associando os seguintes identificadores ca-profile1ca-profile2de CA e ca-profile3 para os respectivos perfis. Você pode agrupar todos os três perfis de CA para pertencer a um grupo orgABC-trusted-ca-groupde CA de confiança.
Você pode configurar um máximo de 20 perfis de CA para um grupo de CA confiável.
Para visualizar os perfis de CA e os grupos de CA confiáveis configurados em seu dispositivo, execute show security pki o comando.
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
ca-profile orgC-ca-profile {
ca-identity ca-profile3;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile orgC-ca-profile ];
}
O show security pki comando exibe todos os perfis de CA agrupados sob o orgABC_trusted-ca-group.
Exclusão de um perfil de CA de um grupo de CA confiável
Você pode excluir um perfil de CA específico em um grupo de CA confiável ou excluir o próprio grupo de CA confiável.
Por exemplo, se você quiser excluir um perfil de CA nomeado orgC-ca-profile de um grupo orgABC-trusted-ca-groupde CA confiável, configurado em seu dispositivo conforme mostrado no Configuração de um grupo de CA confiável tópico, execute as seguintes etapas:
Para visualizar o orgC-ca-profile ser excluído do orgABC-trusted-ca-group comando, execute o show security pki comando.
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile ];
}
A saída não exibe o orgC-ca-profile perfil, pois é excluído do grupo de CA confiável.
Exclusão de um grupo de CA confiável
Uma entidade pode oferecer suporte a muitos grupos de CA confiáveis e você pode excluir qualquer grupo de CA confiável para uma entidade.
Por exemplo, se você quiser excluir um grupo de CA confiável nomeado orgABC-trusted-ca-group, configurado em seu dispositivo conforme mostrado no Configuração de um grupo de CA confiável tópico, execute as seguintes etapas:
Para ver o orgABC-trusted-ca-group ser excluído da entidade, execute o show security pki comando.
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
A saída não exibe a orgABC-trusted-ca-group como ela é excluída da entidade.
Entendendo os perfis da autoridade de certificados
Uma configuração de perfil de autoridade de certificado (CA) contém informações específicas para um CA. Você pode ter vários perfis de CA em um firewall da Série SRX. Por exemplo, você pode ter um perfil para orgA e outro para orgB. Cada perfil está associado a um certificado ca. Se você quiser carregar um novo certificado de CA sem remover o antigo, crie um novo perfil de CA (por exemplo, Microsoft-2008).
Começando pelo Junos OS Release 18.1R1, o servidor CA pode ser um servidor CA IPv6.
O módulo PKI oferece suporte ao formato de endereço IPv6 para permitir o uso de firewalls da Série SRX em redes onde o IPv6 é o único protocolo usado.
A CA emite certificados digitais, o que ajuda a estabelecer uma conexão segura entre dois endpoints por meio da validação do certificado. Você pode agrupar vários perfis de CA em um grupo de CA confiável para uma determinada topologia. Esses certificados são usados para estabelecer uma conexão entre dois endpoints. Para estabelecer IKE ou IPsec, ambos os endpoints devem confiar na mesma CA. Se algum dos endpoints não conseguir validar o certificado usando seu respectivo CA confiável (ca-profile) ou grupo de CA confiável, a conexão não será estabelecida. Um mínimo de um perfil de CA é obrigatório para criar um grupo de CA confiável e no máximo 20 CAs são permitidos em um grupo de CA confiável. Qualquer CA de um determinado grupo pode validar o certificado para esse endpoint específico.
A partir do Junos OS Release 18.1R1, a validação de um peer IKE configurado pode ser feita com um servidor CA ou grupo de servidores CA especificados. Um grupo de servidores CA confiáveis pode ser criado com a trusted-ca-group declaração de configuração no nível [edit security pki] hierarquia; um ou vários perfis de CA podem ser especificados. O servidor CA confiável está vinculado à configuração de política de IKE para o nível de hierarquia deedit security ike policy policy certificate peer.
Se o perfil de proxy estiver configurado no perfil ca, o dispositivo se conecta ao host proxy em vez do servidor CA enquanto o registro, verificação ou revogação de certificados. O host proxy comunica-se com o servidor CA com as solicitações do dispositivo e, em seguida, transmite a resposta ao dispositivo.
O perfil de proxy ca oferece suporte a protocolos SCEP, CMPv2 e OCSP.
O perfil de proxy ca é suportado apenas em HTTP e não é suportado no protocolo HTTPS.
Consulte também
Exemplo: Configuração de um perfil de CA
Este exemplo mostra como configurar um perfil de CA.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você cria um perfil de CA chamado ca-profile-ipsec de identidade CA microsoft-2008. Em seguida, você cria um perfil de proxy para o perfil ca. A configuração especifica que o CRL seja atualizado a cada 48 horas, e o local para recuperar o CRL é http://www.my-ca.com. No exemplo, você define o valor da nova tentativa de inscrição para 20. (O valor de nova tentativa padrão é de 10.)
A votação automática de certificados é definida a cada 30 minutos. Se você configurar a nova tentativa apenas sem configurar um intervalo de nova tentativa, então o intervalo de nova tentativa padrão será de 900 segundos (ou 15 minutos). Se você não configurar uma nova tentativa ou um intervalo de nova tentativa, então não haverá votação.
Configuração
Procedimento
Procedimento passo a passo
Para configurar um perfil de CA:
Crie um perfil de CA.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 user@host#
Opcionalmente, configure o perfil de proxy para o perfil ca.
[edit] user@host# set security pki ca-profile ca-profile-ipsec proxy-profile px-profile
A infraestrutura de chave pública (PKI) usa o perfil de proxy configurado no nível do sistema. O perfil de proxy usado no perfil ca deve ser configurado na
[edit services proxy]hierarquia. Pode haver mais de um perfil de proxy configurado sob[edit services proxy]a hierarquia. Cada perfil de CA é referido ao perfil mais um desses proxys. Você pode configurar o host e a porta do perfil de proxy na[edit system services proxy]hierarquia.Crie uma verificação de revogação para especificar um método para verificar a revogação do certificado.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
Definir o intervalo de atualização, em horas, para especificar a frequência em que atualizar o CRL. Os valores padrão são o tempo de próxima atualização no CRL, ou 1 semana, se não for especificado um tempo de próxima atualização.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl refresh-interval 48 url http://www.my-ca.com/my-crl.crl
Especifique o valor da nova tentativa de inscrição.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry 20
Especifique o intervalo de tempo em segundos entre as tentativas de inscrever automaticamente o certificado ca on-line.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry-interval 1800
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira o show security pki comando.
Exemplo: Configuração de um endereço IPv6 como endereço fonte para um perfil de CA
Este exemplo mostra como configurar um endereço IPv6 como endereço fonte para um perfil de CA.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Neste exemplo, crie um perfil de CA chamado orgA-ca-profile de identidade v6-ca CA e defina o endereço fonte do perfil ca para ser um endereço IPv6, como 2001:db8:0:f101::1. Você pode configurar a URL de inscrição para aceitar um endereço http://[2002:db8:0:f101::1]:/.../IPv6.
Consulte também
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.