Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

Junos OS 中的 PKI 简介

本主题介绍 Junos OS 中公钥基础架构 (PKI) 的基本元素,包括 PKI 的组件、证书生命周期管理和互联网密钥交换 (IKE) 中的用法,并包括以下部分:

印尼共产党的基本原理

Junos OS 是瞻博网络的单一操作系统,提供以下功能:

  • 功能强大的操作系统和丰富的 IP 服务工具包。

  • 无与伦比的 IP 可靠性和安全性,可确保高效、可预测的 IP 基础架构。

  • 瞻博网络防火墙/IP 安全 (IPsec) VPN 平台(包括 SSG 产品系列)增强了安全性和 VPN 功能。

注意:

有关数字证书的更多详细信息, 请参阅以下网址https://www.juniper.net/documentation/software/junos/

有关加密、RSA 和 PKI 的信息,请访问 网站 http://www.rsasecurity.com/rsalabs

有关 PKI 相关技术术语的列表,请参阅 PKI 相关术语表

PKI 应用程序概述

Junos OS 在以下方面使用公钥/私钥:

  • SSH/SCP(用于基于安全命令行界面 [CLI] 的管理)

  • 安全套接字层 (SSL)(用于基于 Web 的安全管理和用于用户身份验证的基于 https 的 Webauth)

  • 互联网密钥交换 (IKE)(用于 IPsec VPN 隧道)

注意:

请注意以下几点:

  • 目前 Junos OS 仅支持 IKE(使用公钥基础架构 (PKI) 证书进行公钥验证)。

  • 目前不支持使用 SSL 进行身份绑定。本主题中包含有关 SSL 的简短部分。有关详细信息,请参阅 有关使用 SSL 和 IPsec/IKE 方法的概述

  • SSH 和 SCP 专门用于系统管理,依赖于使用带外指纹进行公钥身份绑定和验证。本主题不介绍有关 SSH 的详细信息。

用于在 Junos OS 中管理 PKI 的组件

在 Junos OS 中管理 PKI 需要以下组件:

  • CA 证书和颁发机构配置

  • 本地证书,包括设备标识(例如:IKE ID 类型和值)以及私钥和公钥

  • 通过证书吊销列表 (CRL) 进行证书验证

Junos OS 中 PKI 的基本元素

Junos OS 支持三种特定类型的 PKI 对象:

  • 私钥/公钥对

  • 证书

    • 本地证书 — 本地证书包含瞻博网络设备的公钥和身份信息。瞻博网络设备拥有关联的私钥。此证书是根据来自瞻博网络设备的证书请求生成的。

    • 待处理证书 — 待处理证书包含密钥对和身份信息,这些信息生成到 PKCS10 证书请求中并手动发送到证书颁发机构 (CA)。当瞻博网络设备等待来自 CA 的证书时,现有对象(密钥对和证书请求)将被标记为证书请求或待处理证书。

      注意:

      Junos OS 9.0 及更高版本支持通过 SCEP 自动发送证书请求。有关详细信息,请参阅 附录 D:简单证书注册协议

    • CA 证书 — 当证书由 CA 颁发并加载到 Junos OS 设备中时,挂起的证书将替换为新生成的本地证书。加载到设备的所有其他证书都被视为 CA 证书。

  • 证书吊销列表 (CRL)

请注意有关证书的以下几点:

  • 当 Junos OS 设备在多个管理域中具有 VPN 时,通常使用本地证书。

  • 除 Junos OS 映像和系统的常规配置外,所有 PKI 对象都存储在单独的持久内存分区中。

  • 每个 PKI 对象在创建时都有一个唯一的名称或证书 ID,并在删除之前一直保持该 ID。您可以使用命令 show security pki local-certificate 查看证书 ID。

  • 在大多数情况下,无法从设备复制证书。设备上的私钥必须仅在该设备上生成,并且永远不应从该设备查看或保存。因此,Junos OS 设备不支持 PKCS12 文件(其中包含带有公钥的证书和关联的私钥)。

  • CA 证书验证 IKE 对等方收到的证书。如果证书有效,则会在 CRL 中进行验证,以查看证书是否已吊销。

    每个 CA 证书都包含一个存储以下信息的 CA 配置文件配置:

    • CA 身份,通常是 CA 的域名

    • 用于将证书请求直接发送到 CA 的电子邮件地址

    • 吊销设置:

      • 吊销检查启用/禁用选项

      • 在 CRL 下载失败时禁用吊销检查。

      • CRL 分发点 (CDP) 的位置(用于手动 URL 设置)

      • CRL 刷新间隔

Junos OS 支持多个本地证书,具体取决于设备大小。有关详细信息,请参阅 附录 A:常见问题 解答。

表 1 提供了有关可能的 PKI 对象及其平均大小的信息。

表 1:PKI 对象和平均大小

PKI 对象

平均尺寸

私钥/公钥对

1 KB

本地证书

2 KB

CA 证书

2 KB

CA 颁发机构配置

500 字节

CRL(平均大小是一个变量,取决于该特定 CA 已吊销的证书数量)

300 字节,高达 2 MB+

例子:

计算闪存要求:

假设 Junos OS 设备中存在以下设置:

  • 平均 CRL 为 10 KB

  • 一个本地证书、一个 CA 证书和 CA 颁发机构配置

CRL 的闪存要求 =

2 KB(本地证书)+ 1 KB(密钥对)+ 2 KB(CA 证书)+ 0.5(CA 颁发机构配置)+ 10 (CRL) = 15.5 KB

相关文档