Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

デジタル証明書とサービス セット

デジタル証明書

小規模なネットワークでは、多くの場合、IPSec 構成で事前共有キーを使用するだけで十分です。しかし、ネットワークが拡大するにつれて、ローカル ルーターとすべての新規および既存の IPSec ピアに新しい事前共有キーを追加することが課題になる場合があります。IPSec ネットワークを拡張するための 1 つの解決策は、デジタル証明書を使用することです。

デジタル証明書の実装では、公開キー基盤 (PKI) を使用するため、公開キーと秘密キーで構成されるキー ペアを生成する必要があります。キーは乱数ジェネレーターで作成され、データの暗号化と復号化に使用されます。デジタル証明書を使用しないネットワークでは、IPSec 対応デバイスが秘密キーを使用してデータを暗号化し、IPSec ピアが公開キーを使用してデータを復号化します。

デジタル証明書では、鍵共有プロセスにさらに複雑なレベルが必要になります。まず、ユーザーと IPSec ピアは、認証局 (CA) に、CA の公開キーを含む CA 証明書を送信するように要求します。次に、公開キーと追加情報を含むローカル デジタル証明書を登録するように CA に要求します。CA が要求を処理すると、CA の秘密キーを使用してローカル証明書に署名します。次に、CA 証明書とローカル証明書をローカル ルーターにインストールし、CA 証明書をリモート デバイスにロードしてから、ピアと IPSec トンネルを確立します。

IPSec ピアとのピアリング関係を要求すると、ピアはローカル証明書のコピーを受け取ります。ピアにはCA証明書がすでにロードされているため、CA証明書に含まれるCAの公開キーを使用して、CAのプライベートキーによって署名されたローカル証明書を復号化できます。その結果、ピアは公開鍵のコピーを持つことになります。ピアは、データを送信する前に公開鍵でデータを暗号化します。ローカルルーターがデータを受信すると、秘密鍵を使用してデータを復号化します。

Junos OS では、デジタル証明書を最初に使用できるようにするために、次の手順を実装する必要があります。

  • CA およびローカル デジタル証明書を要求する CA プロファイルの設定 - プロファイルには、CA または登録機関(RA)の名前と URL、およびいくつかの再試行タイマー設定が含まれています。

  • 証明書失効リストのサポートを構成する - 証明書失効リスト(CRL)には、有効期限前にキャンセルされた証明書のリストが含まれます。参加ピアが CRL を使用する場合、CA は最後に発行された CRL を取得し、ピアのデジタル証明書の署名と有効性を確認します。CRL を手動で要求してロードしたり、CRL 処理を自動的に処理するように LDAP サーバーを構成したり、デフォルトで有効になっている CRL 処理を無効にしたりできます。

  • CA にデジタル証明書を要求する:要求は、オンラインまたは手動で行うことができます。オンライン CA デジタル証明書要求では、簡易証明書登録プロトコル (SCEP) 形式が使用されます。CA 証明書を手動で要求する場合は、証明書も手動で読み込む必要があります。

  • 秘密キーと公開キーのペアを生成する - 公開キーはローカルデジタル証明書に含まれ、プライベートキーはピアから受信したデータの復号化に使用されます。

  • ローカル デジタル証明書を生成して登録する - ローカル証明書は、SCEP を使用してオンラインで処理することも、公開キー暗号化標準 #10(PKCS-10)形式で手動で生成することもできます。ローカル証明書要求を手動で作成する場合は、証明書も手動で読み込む必要があります。

  • IPSec 構成にデジタル証明書を適用する - ローカル デジタル証明書をアクティブにするには、事前共有キーの代わりにデジタル証明書を使用するように IKE プロポーザルを設定し、IKE ポリシーでローカル証明書を参照し、サービス セットで CA を識別します。

必要に応じて、次の操作を実行できます。

  • デジタル証明書を自動的に再登録するように設定する - Junos OS リリース 8.5 以降、デジタル証明書の自動再登録を設定できます。

  • デジタル証明書イベントを監視し、証明書と要求を削除する - 動作モード コマンドを発行して、デジタル証明書を使用して確立された IPSec トンネルを監視し、証明書または要求を削除できます。

デジタル証明書の管理、IPSec サービス セットでの構成、およびデジタル証明書の監視とクリアの詳細については、「 IPsec でのデジタル証明書の使用 」および 「例:デジタル証明書を使用した AS PIC IKE DYNAMIC SA」を参照してください。

サービスセット

アダプティブ サービス PIC は、IPSec トンネルを設定するときに、2 種類のサービス セットをサポートします。これらはさまざまな目的で使用されるため、これらのサービス セットの種類の違いを知っておくことが重要です。

  • ネクストホップ サービス セット - IPSec 上でマルチキャストおよびマルチキャスト スタイルの動的ルーティング プロトコル(OSPF など)をサポートします。ネクストホップ サービス セットを使用すると、Adaptive Services PIC の内部 および 外部の 論理インターフェイスを使用して、複数のルーティング インスタンスと接続できます。また、ネットワーク アドレス変換(NAT)やステートフル ファイアウォール機能も使用できます。ただし、ネクストホップ サービス セットは、デフォルトではルーティング エンジンのトラフィックをモニタしないため、複数のインターフェイスからのトラフィックをサポートするには、複数のサービス セットを設定する必要があります。

  • インターフェイスサービスセット—物理インターフェイスに適用され、ステートレス ファイアウォールフィルターと同様です。設定が簡単で、複数のインターフェイスからのトラフィックをサポートし、デフォルトでルーティングエンジンのトラフィックを監視できます。ただし、IPSec トンネル経由の動的ルーティング プロトコルまたはマルチキャスト トラフィックをサポートすることはできません。

一般に、次ホップ サービス セットは、IPSec トンネルを介したルーティング プロトコルとマルチキャストをサポートし、理解しやすく、ルーティング テーブルが管理者の介入なしで転送の決定を行うため、使用することを推奨します。

関連項目