公钥加密
了解交换机上的公钥加密
密码学描述了与以下信息安全方面相关的技术:
隐私或保密性
数据的完整性
认证
来源不可否认性或不可否认性 - 源的不可否认性意味着签名者不能声称他们没有签署消息,同时声称他们的私钥仍然是秘密的。在数字签名中使用的某些不可否认性方案中,时间戳附加到数字签名上,因此即使私钥暴露,签名仍然有效。以下文本介绍了公钥和私钥。
在实践中,加密方法通过使用加密密钥加密数据来保护通过公共网络从一个系统传输到另一个系统的数据。瞻博网络 EX 系列以太网交换机上使用的公钥加密 (PKC) 使用一对加密密钥:公钥和私钥。公钥和私钥使用相同的加密算法同时创建。私钥由用户秘密持有,公钥被发布。使用公钥加密的数据只能使用相应的私钥解密,反之亦然。生成公钥/私钥对时,交换机会自动将密钥对保存在证书存储中的文件中,随后将在证书请求命令中使用。生成的密钥对将另存为 certificate-id.私人。
默认 RSA 和 DSA 密钥大小为 1024 位。如果您使用的是简单证书注册协议 (SCEP),瞻博网络 Junos 操作系统 (Junos OS) 仅支持 RSA。
公钥基础设施 (PKI) 和数字证书
公钥基础设施 (PKI) 允许在公钥加密中分发和使用具有安全性和完整性的公钥。PKI 使用数字证书管理公钥。数字证书提供了一种电子方法来验证可以存储数字证书的个人、组织或目录服务的身份。
PKI 通常由注册机构 (RA) 组成,用于验证实体的身份、授权其证书请求并生成唯一的非对称密钥对(除非用户的证书请求已包含公钥);以及为请求实体颁发相应数字证书的证书颁发机构 (CA)。(可选)可以使用存储和分发证书的证书存储库和标识不再有效的证书的证书吊销列表 (CRL)。拥有 CA 真实公钥的每个实体都可以验证该 CA 颁发的证书。
数字签名利用公钥加密系统,如下所示:
发送方通过在数据摘要上应用涉及其私钥的加密操作来对数据进行数字签名。
生成的签名附加到数据并发送给接收方。
接收方获得发送方的数字证书,该证书提供发送方的公钥并确认其身份与公钥之间的链接。发件人的证书通常附加到签名数据。
接收方信任此证书或尝试验证它。接收方使用证书中包含的公钥验证数据上的签名。此验证可确保接收数据的真实性和完整性。
作为使用 PKI 的替代方法,实体可以将其公钥直接分发给所有潜在的签名验证者,只要密钥的完整性受到保护即可。交换机通过使用自签名证书作为公钥和相应实体标识的容器来实现此目的。
参见
了解 EX 系列交换机上的自签名证书
使用出厂默认配置初始化瞻博网络 EX 系列以太网交换机时,交换机会生成自签名证书,从而允许通过安全套接字层 (SSL) 协议对交换机进行安全访问。安全套接字层上的超文本传输协议 (HTTPS) 和安全套接字层上的 XML 网络管理 (XNM-SSL) 是可以使用自签名证书的两种服务。
自签名证书不像证书颁发机构 (CA) 生成的证书那样提供额外的安全性。这是因为客户端无法验证他或她连接到的服务器是否为证书中播发的服务器。
交换机提供两种生成自签名证书的方法:
自动生成
在这种情况下,证书的创建者是交换机。默认情况下,交换机上会配置自动生成(也称为“系统生成”)的自签名证书。
初始化交换机后,它会检查是否存在自动生成的自签名证书。如果未找到,交换机将生成一个并将其保存在文件系统中。
交换机自动生成的自签名证书类似于 SSH 主机密钥。它存储在文件系统中,而不是作为配置的一部分。交换机重新启动时,它仍然存在,发出命令时
request system snapshot会保留。交换机对自动生成的证书使用以下可分辨名称:
“ CN=<设备序列号>,CN=系统生成,CN=自签名”
如果删除交换机上系统生成的自签名证书,交换机将自动生成自签名证书。
手动生成
在这种情况下,您将为交换机创建自签名证书。您可以随时使用 CLI 生成自签名证书。手动生成的自签名证书存储在文件系统中,而不是作为配置的一部分。
自签名证书自生成之日起有效期为五年。自动生成的自签名证书有效期到期时,您可以将其从交换机中删除,以便交换机生成新的自签名证书。
系统生成的自签名证书和手动生成的自签名证书可以在交换机上共存。
在交换机上手动生成自签名证书(CLI 过程)
EX 系列交换机允许您生成自定义自签名证书并将其存储在文件系统中。手动生成的证书可以与交换机上自动生成的自签名证书共存。要通过 SSL 实现对交换机的安全访问,您可以使用系统生成的自签名证书或手动生成的证书。
要手动生成自签名证书,您必须完成以下任务:
在交换机上生成公钥-私钥对
数字证书具有关联的加密密钥对,用于对证书进行数字签名。加密密钥对包括公钥和私钥。生成自签名证书时,必须提供可用于签署自签名证书的公钥-私钥对。因此,必须先生成公钥-私钥对,然后才能生成自签名证书。
要生成公钥-私钥对,请执行以下操作:
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
(可选)您可以指定加密算法和加密密钥的大小。如果未指定加密算法和加密密钥大小,则使用默认值。默认加密算法为 RSA,默认加密密钥大小为 1024 位。
生成公钥-私钥对后,交换机将显示以下内容:
generated key pair certificate-id-name, key size 1024 bits
在交换机上生成自签名证书
要手动生成自签名证书,请包括证书 ID 名称、可分辨名称 (DN) 的主题、域名、交换机的 IP 地址以及证书持有者的电子邮件地址:
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
您生成的证书存储在交换机的文件系统中。生成证书时指定的证书 ID 是可用于启用 HTTPS 或 XNM-SSL 服务的唯一标识符。
要验证证书是否已正确生成和加载,请输入 show security pki local-certificate 操作命令。
删除自签名证书(CLI 过程)
您可以删除从 EX 系列交换机自动或手动生成的自签名证书。删除自动生成的自签名证书时,交换机会生成新的自签名证书并将其存储在文件系统中。
要从交换机中删除自动生成的证书及其关联的密钥对:
user@switch> clear security pki local-certificate system-generated
要从交换机中删除手动生成的证书及其关联的密钥对:
user@switch> clear security pki local-certificate certificate-id certificate-id-name
要从交换机中删除所有手动生成的证书及其关联的密钥对:
user@switch> clear security pki local-certificate all
使用自签名证书在交换机上启用 HTTPS 和 XNM-SSL 服务(CLI 过程)
您可以使用系统生成的自签名证书或手动生成的自签名证书来启用 Web 管理 HTTPS 和 XNM-SSL 服务。
要使用自动生成的自签名证书启用 HTTPS 服务,请执行以下操作:
[edit] user@switch# set system services web-management https system-generated-certificate
要使用手动生成的自签名证书启用 HTTPS 服务,请执行以下操作:
[edit] user@switch# set system services web-management https pki-local-certificate certificate-id-name
注意:的值 certificate-id-name 必须与您手动生成自签名证书时指定的名称匹配。
要使用手动生成的自签名证书启用 XNM-SSL 服务,请执行以下操作:
[edit] user@switch# set system services xnm-ssl local-certificate certificate-id-name
注意:的值 certificate-id-name 必须与您手动生成自签名证书时指定的名称匹配。