Protocolo ACME
Entendendo o protocolo ACME
O protocolo Automated Certificate Management Environment (ACME) é um novo padrão de inscrição PKI usado por vários servidores PKI, como o Let's Encrypt. O certificado Let's Encrypt permite o uso gratuito de certificados de servidor Web em firewalls da Série SRX, e isso pode ser usado no Juniper Secure Connect e J-Web. O Junos OS reinscreve automaticamente os certificados Let's Encrypt em ocorrência de cada 25 dias.
O protocolo ACME permite a inscrição de certificados do servidor Let's Encrypt ou servidores habilitados para ACME. Os firewalls da Série SRX registram os certificados do servidor Let's Encrypt e o Juniper Secure Connect valida os certificados sem copiar e baixar quaisquer certificados de CA.
Ao usar o Let's Encrypt, certifique-se de que o servidor Let's Encrypt seja capaz de resolver o nome do domínio no endereço IP da interface de firewall da Série SRX, conforme mostrado em Figura 1. Ele deve ser capaz de alcançar a interface de firewall da Série SRX na porta TCP 80. Durante a inscrição do certificado, o firewall da Série SRX permitirá temporariamente essa solicitação de entrada automaticamente. Se o seu firewall da Série SRX ou um firewall intermediário ou um roteador estiver bloqueando a porta TCP 80, a inscrição do certificado falhará.
Limitações
-
Especificação do ACME — A vinculação de conta externa e dns-01 não é suportada.
-
A ACME não pode ser usada quando a J-Web ouve a porta 80
-
O certificado curinga não é suportado, como
*.mydomain.com
, em vez disso, você pode inscrever vários nomes de dns.
Inscreva um certificado local usando Let's Encrypt Server
Este exemplo mostra como inscrever o certificado local usando o Let's Encrypt.
-
Especifique o perfil da CA.
[edit] user@host# set security pki ca-profile ISRG_Root_X1 ca-identity ISRG_Root_X1 user@host# set security pki ca-profile ISRG_Root_X1 revocation-check disable user@host# set security pki ca-profile Lets_Encrypt ca-identity Lets_Encrypt user@host# set security pki ca-profile Lets_Encrypt enrollment url https://acme-v02.api.letsencrypt.org/directory
-
Confirmar a configuração.
[edit] user@host# commit
-
Carregue o certificado ca.
[edit] user@host> request security pki ca-certificate load ca-profile ISRG_Root_X1 filename ISRG_Root_X1.pem
-
Crie uma ID chave ACME.
[edit] user@host> request security pki generate-key-pair size 2048 type rsa acme-key-id mydomain
-
Preparando a inscrição de certificado local.
[edit] user@host> request security pki generate-key-pair size 2048 type rsa certificate-id service-mydomain
-
Inscreva um certificado com um nome de domínio.
[edit] user@host> request security pki local-certificate enroll acme acme-key-id mydoamin certificate-id service-mydomain ca-profile Lets_Encrypt domain-name jweb.mydomain.com email jweb@acmejnpr.net letsencrypt-enrollment yes terms-of-service agree
Inscreva um certificado com vários nomes de domínio.
[edit] user@host> request security pki local-certificate enroll acme acme-key-id mydomain certificate-id service-mydomain ca-profile Lets_Encrypt domain-name jweb.mydomain.com,remote-acess.mydomain.com email jweb@acmejnpr.net letsencrypt-enrollment yes terms-of-service agree
-
Assim que a inscrição terminar, o certificado emitido será carregado no serviço de certificado id mydomian.
Certificado local de re inscrição manual
Para reinscrever um certificado local on-line:
-
Inicie a solicitação de rematrícula.
[edit] user@host> request security pki local-certificate re-enroll acme acme-key-id mydomain certificate-id serice-mydomain ca-profile Lets_Encrypt re-generate-keypair
-
Assim que a rematrícula for concluída, o certificado emitido será carregado no certificado de id service-mydomian.
Exclua a conta ACME
Para excluir a conta ACME:
-
Exclua a conta ACME.
[edit] user@host> clear security pki acme account acme-key-id mydomain ca-profile Lets_Encrypt
Você só pode excluir a chave da conta ACME se o ACME for ativado ou criado pela inscrição.