Validação de certificados
Entendendo a validação de certificados digitais
Durante a negociação do IKE, o daemon PKI em um firewall da Série SRX valida os certificados X509 recebidos dos pares de VPN. A validação do certificado realizada é especificada no perfil rfc 5280, Certificado de infraestrutura de chave pública Internet X.509 e perfil da Lista de revogação de certificados (CRL). As validações básicas da cadeia de certificados e certificados incluem validação de assinatura e data, bem como verificações de revogação. Este tópico descreve validações adicionais de certificados digitais realizadas pelo daemon PKI.
- Validação de políticas
- Validação do comprimento do caminho
- Uso de chave
- Validação de nomes distintos do emissor e do assunto
Validação de políticas
Os certificados X509 podem incluir campos de validação de políticas opcionais. Se um campo de validação de políticas estiver presente, a validação de políticas é realizada para toda a cadeia de certificados, incluindo certificados de entidade final (EE) e certificados de autoridade de certificado intermediário (CA). A validação da política não é aplicável ao certificado raiz. A validação da política garante que os certificados de EE e CA intermediários tenham uma política comum. Se não houver uma política comum para validação da cadeia de certificados, a validação do certificado falhará.
Antes da validação de políticas, deve ser criada uma cadeia de certificados contendo o certificado raiz autoassinado, certificados de CA intermediários e certificado EE. A validação da política começa com o certificado de CA intermediário emitido pelo certificado raiz auto-assinado e continua por meio do certificado EE.
Os seguintes campos de certificado opcional são usados para validação de políticas:
policy-oids
requireExplicitPolicy
skipCerts
Esses campos são descritos nas seções a seguir.
- OIDs de políticas configurados em firewalls da Série SRX
- Sem OIDs de política configuradas em firewalls da Série SRX
OIDs de políticas configurados em firewalls da Série SRX
Em algumas situações, pode ser desejável aceitar apenas certificados com identificadores de objetos de política (OIDs) conhecidos de pares. Essa configuração opcional permite que a validação do certificado só tenha sucesso se a cadeia de certificados recebida do peer conter pelo menos uma OID de política configurada no firewall da Série SRX.
No firewall da Série SRX, as OIDs de políticas estão configuradas em uma política de IKE com a policy-oids declaração de configuração no nível [edit security ike policy policy-name certificate] de hierarquia. Você pode configurar até cinco OIDs de política. Para que o certificado de um peer seja validado com sucesso, a cadeia de certificados do peer deve conter pelo menos uma das OIDs de política configuradas no firewall da Série SRX. Observe que o policy-oids campo em um certificado é opcional. Se você configurar os OIDs de política no firewall da Série SRX, mas a cadeia de certificados do peer não conter nenhuma OIDs de política, a validação do certificado falha.
Sem OIDs de política configuradas em firewalls da Série SRX
Se nenhuma OID de política estiver configurada no firewall da Série SRX, a validação de políticas começa sempre que o requireExplicitPolicy campo é encontrado na cadeia de certificados. Um certificado pode conter uma ou mais OIDs de política de certificado. Para que a validação de políticas tenha sucesso, deve haver uma OID de política comum na cadeia de certificados.
Figura 1 mostra uma cadeia de certificados que consiste em certificados para um CA raiz, três CAs intermediários e um EE. O certificado de CA para Int-CA-2 contém o requireExplicitPolicy campo; portanto, a validação de políticas começa com a Int-CA-2 e continua por meio do EE-1. O certificado para Int-CA-2 contém políticas OIDs P1, P2 e P3. O certificado para Int-CA-3 contém políticas OIDs P2, P3 e P4. O certificado para EE-1 contém políticas OIDs P2 e P5. Como a política OID P2 é comum que os certificados sejam validados, a validação de políticas é bem-sucedida.
O campo opcional skipCerts em um certificado de CA intermediário indica o número de certificados, incluindo o certificado CA atual, que devem ser excluídos da validação das políticas. Se skipCerts for 0, a validação da política começa a partir do certificado atual. Se skipCerts for 1, o certificado atual é excluído da validação da política. O valor do skipCerts campo é verificado em todos os certificados de CA intermediários. Se um skipCerts valor for encontrado que seja menor do que o número atual de certificados que estão sendo excluídos, o valor mais baixo skipCerts é usado.
Figura 2 mostra uma cadeia de certificados composta por um CA raiz, quatro CAs intermediários e um EE. O skipCerts valor em Int-CA-1 é de 12, o que ignora 12 certificados, incluindo o certificado para Int-CA-1. No entanto, o skipCerts valor é verificado em todos os certificados de CA intermediários da cadeia. O skipCerts valor em Int-CA-2 é 2, que é inferior a 12, portanto, agora 2 certificados são indispedentes. O skipCerts valor em Int-CA-4 é 5, que é maior que 2, de modo que o valor Int-CA-4 skipCerts é ignorado.
Quando as OIDs de políticas são configuradas no firewall da Série SRX, os campos requireExplicitPolicy de certificados são ignorados.skipCerts
Validação do comprimento do caminho
A validação do certificado pode envolver uma cadeia de certificados que inclui um CA raiz, um ou mais CAs intermediários opcionais e um certificado EE. O número de CAs intermediários pode crescer dependendo do cenário de implantação. A validação do comprimento do caminho fornece um mecanismo para limitar o número de certificados intermediários envolvidos na validação do certificado. path-length é um campo opcional em um certificado X509. O valor indica path-length o número de certificados de CA intermediários não autografados permitidos para validação de certificados. O último certificado, que geralmente é o certificado EE, não está incluído no limite do caminho. Se o certificado raiz contém um path-length valor de 0, não serão permitidos certificados de CA intermediários. Se o path-length valor for 1, pode haver 0 ou 1 certificados de CA intermediários.
path-length pode estar presente em vários certificados de CA na cadeia de certificados. A validação do comprimento do caminho sempre começa com o certificado raiz auto-assinado. O limite de caminho é decrementeado em 1 em cada certificado intermediário da cadeia. Se um certificado intermediário contém um path-length valor menor do que o limite de caminho atual, o novo limite será aplicado. Por outro lado, se o path-length valor for maior do que o limite do caminho atual, ele é ignorado.
Figura 3 mostra uma cadeia de certificados que consiste em um CA raiz, quatro CAs intermediários e um EE. O path-length valor em Root-CA é de 10, portanto, o limite inicial de caminho de certificados de CA intermediários não autografados permitidos para validação de certificados é de 10. Na Int-CA-1, o limite de caminho é de 10-1 ou 9. O path-length valor em Int-CA-1 é 4, que é menor do que o limite de caminho de 9, de modo que o novo limite de caminho se torna 4. Na Int-CA-2, o limite de caminho é de 4-1 ou 3. O path-length valor em Int-CA-2 é 5, que é maior do que o limite de caminho de 3, por isso é ignorado. Na Int-CA-3, o limite de caminho é de 3-1 ou 2. O path-length valor em Int-CA-3 é de 20, que é maior do que o limite de caminho de 2, por isso também é ignorado.
Uso de chave
O campo de uso chave em um certificado de EE ou CA define a finalidade da chave contida no certificado.
Para certificados EE, se o campo de uso chave estiver presente, mas o certificado não conter digitalSignature ou nonrepudiation sinalizar, o certificado será rejeitado. Se o campo de uso da chave não estiver presente, a utilização da chave não será verificada.
Para certificados ca, a chave pode ser usada para validação de certificados ou assinaturas de CRL. Como o daemon PKI é responsável pela validação do certificado X509 e pelos downloads de CRL, o uso da chave deve ser verificado antes de validar o certificado ou o CRL.
Na validação da assinatura do certificado, a keyCertSign bandeira indica que um certificado ca pode ser usado para validação da assinatura do certificado. Se essa bandeira não estiver definida, a validação do certificado será rescindida.
Nas negociações da Fase 1 da validação da assinatura da CRL, os participantes verificam a lista de revogação de certificados (CRL) para ver se os certificados recebidos durante uma troca de IKE ainda são válidos. O CRL é baixado periodicamente para perfis de CA configurados com CRL conforme a verificação de revogação do certificado. Os arquivos CRL baixados devem ser verificados antes de serem baixados no dispositivo. Uma das etapas de verificação é validar a assinatura de CRL usando um certificado CA. O CRL baixado é assinado com a chave privada do certificado CA e deve ser verificado com a chave pública do certificado ca armazenada no dispositivo. O campo de uso chave no certificado CA deve conter a CRLSign bandeira para verificar o CRL baixado. Se essa bandeira não estiver presente, o CRL será descartado.
Validação de nomes distintos do emissor e do assunto
A validação da assinatura é realizada para certificados recebidos de um peer, bem como para o arquivo CRL baixado de um servidor CA. A validação da assinatura envolve procurar o certificado ca em um banco de dados de CA com base no nome distinto (DN) do emissor no certificado ou no CRL que está sendo verificado.
Figura 4 mostra a busca por certificados de CA com base no DN do emissor. No certificado EE, o DN emissor é o CA-1, que é o DN sujeito do certificado de CA intermediário na cadeia. No certificado de CA intermediário, o emissor DN é CA-Root, que é o assunto DN do certificado Root-CA auto-assinado na cadeia. No CRL, o emissor DN é CA-Root, que é o assunto DN do certificado Root-CA auto-assinado.
A busca pelo emissor ou DN do assunto deve seguir essas regras para obter valores de atributos:
Os valores de atributo codificados em diferentes tipos de ASN.1 (por exemplo, PrintableString e BMPString) são considerados como diferentes strings.
Os valores de atributo codificados em tipos de PrintableString não são sensíveis ao caso. Esses valores de atributos são comparados após a remoção de espaços brancos líderes e trailing e a conversão de subdireções internas de um ou mais espaços brancos consecutivos em um único espaço.
Os valores de atributo codificados em tipos diferentes do PrintableString são sensíveis ao caso.
Consulte também
Exemplo: Validação de certificado digital configurando OIDs de políticas em um firewall da Série SRX
Em algumas situações, pode ser desejável aceitar apenas certificados com identificadores de objetos de política (OIDs) conhecidos de pares. Essa configuração opcional permite que a validação do certificado só tenha sucesso se a cadeia de certificados recebida do peer conter pelo menos uma OID de política configurada no firewall da Série SRX. Este exemplo mostra como configurar os OIDs de políticas na política de IKE em um firewall da Série SRX.
Você deve garantir que pelo menos uma das OIDs de política configurada no firewall da Série SRX esteja incluída na cadeia de certificados ou certificados de um peer. Observe que o policy-oids campo no certificado de um peer é opcional. Se você configurar os OIDs de políticas em uma política de IKE e a cadeia de certificados de peer não conter nenhuma OIDs de política, a validação do certificado para o peer falhará.
Requisitos
Antes de começar:
Certifique-se de que você esteja usando o Junos OS Release 12.3X48-D10 ou posterior para firewalls da Série SRX.
Configure um túnel VPN IPsec. Veja VPN IPsec com uma visão geral da configuração do IKE autokey. A configuração completa do túnel vpn da fase 1 e fase 2 da IKE não é mostrada neste exemplo.
Visão geral
Este exemplo mostra uma configuração de política de IKE onde as OIDs de políticas 2.16.840.1.101.3.1.48.2 e 5.16.40.1.101.3.1.55.2 estão especificadas. A política de IKE ike_cert_pol faz referência à proposta de IKE ike_cert_prop, que não é mostrada. O certificado local do firewall da Série SRX é lc-igloo-root.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security ike policy ike_cert_pol mode main set security ike policy ike_cert_pol proposals ike_cert_prop set security ike policy ike_cert_pol certificate local-certificate lc-igloo-root set security ike policy ike_cert_pol certificate policy-oids 2.16.840.1.101.3.1.48.2 set security ike policy ike_cert_pol certificate policy-oids 5.16.40.1.101.3.1.55.2
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar OIDs de políticas para validação de certificados:
Configure a política de IKE:
[edit security ike policy ike_cert_pol] user@host# set mode main user@host# set proposals ike_cert_prop user@host# set certificate local-certificate lc-igloo-root user@host# set certificate policy-oids 2.16.840.1.101.3.1.48.2 user@host# set certificate policy-oids 5.16.40.1.101.3.1.55.2
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security ike policy ike_cert_pol comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show security ike policy ike_cert_pol
mode main;
proposals ike_cert_prop;
certificate {
local-certificate lc-igloo-root;
policy-oids [ 2.16.840.1.101.3.1.48.2 5.16.40.1.101.3.1.55.2 ];
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Verificação do certificado de CA
Propósito
Exibir o certificado ca configurado no dispositivo.
Ação
A partir do modo operacional, entre no show security pki ca-certificate ca-profile ca-tmp comando.
user@host> show security pki ca-certificate ca-profile ca-tmp detail
Certificate identifier: ca-tmp
Certificate version: 3
Serial number: 00000047
Issuer:
Organization: U.S. Government,
Organizational unit: DoD, Organizational unit: Testing, Country: US,
Common name: Trust Anchor
Subject:
Organization: U.S. Government,
Organizational unit: Dod, Organizational unit: Testing, Country: US,
Common name: CA1-PP.01.03
Subject string:
C=US, O=U.S. Government, OU=Dod, OU=Testing, CN=CA1-PP.01.03
Validity:
Not before: 01- 1-1998 12:01 UTC
Not after: 01- 1-2048 12:01 UTC
?Public key algorithm: rsaEncryption(1024 bits)
30:81:89:02:81:81:00:cb:fd:78:0c:be:87:ac:cd:c0:33:66:a3:18
9e:fd:40:b7:9b:bc:dc:66:ff:08:45:f7:7e:fe:8e:d6:32:f8:5b:75
db:76:f0:4d:21:9a:6e:4f:04:21:4c:7e:08:a1:f9:3d:ac:8b:90:76
44:7b:c4:e9:9b:93:80:2a:64:83:6e:6a:cd:d8:d4:23:dd:ce:cb:3b
b5:ea:da:2b:40:8d:ad:a9:4d:97:58:cf:60:af:82:94:30:47:b7:7d
88:c3:76:c0:97:b4:6a:59:7e:f7:86:5d:d8:1f:af:fb:72:f1:b8:5c
2a:35:1e:a7:9e:14:51:d4:19:ae:c7:5c:65:ea:f5:02:03:01:00:01
Signature algorithm: sha1WithRSAEncryption
Certificate Policy:
Policy Identifier = 2.16.840.1.101.3.1.48.2
Use for key: CRL signing, Certificate signing
Fingerprint:
e0:b3:2f:2e:a1:c5:ee:ad:af:dd:96:85:f6:78:24:c5:89:ed:39:40 (sha1)
f3:47:6e:55:bc:9d:80:39:5a:40:70:8b:10:0e:93:c5 (md5)
Verificação da validação do OID da política
Propósito
Se o certificado do peer for validado com sucesso, as associações de segurança IKE e IPsec serão estabelecidas. Se a validação do certificado do peer falhar, nenhuma associação de segurança IKE será estabelecida.
Ação
A partir do modo operacional, entre no show security ike security-associations e show security ipsec security-associations comanda.
user@host> show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 821765168 UP 88875c981252c1d8 b744ac9c21bde57e IKEv2 192.0.2.2 1106977837 UP 1a09e32d1e6f20f1 e008278091060acb IKEv2 198.51.100.202
user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <213909506 ESP:aes-cbc-192/sha256 8cb9e40a 1295/ unlim - root 500 192.0.2.2 >213909506 ESP:aes-cbc-192/sha256 8271d2b2 1295/ unlim - root 500 192.0.2.2 <218365954 ESP:aes-cbc-192/sha256 d0153bc0 1726/ unlim - root 1495 198.51.100.202 >218365954 ESP:aes-cbc-192/sha256 97611813 1726/ unlim - root 1495 198.51.100.202
Significado
O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Neste caso, verifique a PKID_CERT_POLICY_CHECK_FAIL mensagem nos logs do sistema. Esta mensagem indica que a cadeia de certificados do peer não contém uma OID de política configurada no firewall da Série SRX. Verifique os policy-oids valores na cadeia de certificados do peer com os valores configurados no firewall da Série SRX.
Também pode ser que a cadeia de certificados do peer não contenha campos policy-oids , que são campos opcionais. Se esse for o caso, a validação do certificado falha se houver alguma OIDs de política configurada no firewall da Série SRX.