公開キー暗号化
スイッチでの公開キー暗号化について
暗号化では、情報セキュリティの次の側面に関連する手法について説明します。
プライバシーまたは機密性
データの整合性
認証
発信元の否認防止または否認防止 - 発信元の否認防止とは、署名者が自分の秘密キーを秘密のままであると主張しながら、メッセージに署名しなかったと主張することができないことを意味します。デジタル署名で使用される一部の否認防止スキームでは、タイムスタンプがデジタル署名に添付されるため、秘密キーが公開されても署名は有効なままです。公開キーと秘密キーについては、次のテキストで説明します。
実際には、暗号化方式は、暗号化キーを使用してデータを暗号化することにより、パブリックネットワークを介してあるシステムから別のシステムに転送されたデータを保護します。ジュニパーネットワークス EX シリーズ イーサネット スイッチで使用されている公開キー暗号化(PKC)は、公開キーと秘密キーの暗号化キーのペアを使用します。公開鍵と秘密鍵は、同じ暗号化アルゴリズムを使用して同時に作成されます。秘密キーはユーザーによって秘密裏に保持され、公開キーが公開されます。公開キーで暗号化されたデータは、対応する秘密キーでのみ復号化でき、その逆も同様です。公開キーと秘密キーのペアを生成すると、スイッチはキー ペアを証明書ストア内のファイルに自動的に保存し、その後証明書要求コマンドで使用されます。生成されたキーペアは certificate-idとして保存されます。プライベート。
デフォルトの RSA および DSA 鍵サイズは 1024 ビットです。簡易証明書登録プロトコル(SCEP)を使用している場合、ジュニパーネットワークスJunosオペレーティングシステム(Junos OS)はRSAのみをサポートします。
公開キー基盤 (PKI) とデジタル証明書
公開キー基盤 (PKI) を使用すると、セキュリティと整合性を備えた公開キー暗号化で公開キーを配布および使用できます。PKI は、デジタル証明書を使用して公開キーを管理します。デジタル証明書は、デジタル証明書を格納できる個人、組織、またはディレクトリ サービスの ID を確認する電子的な手段を提供します。
PKI は通常、エンティティの ID を検証し、証明書要求を承認し、一意の非対称キー ペアを生成する登録機関 (RA) で構成されます (ユーザーの証明書要求に既に公開キーが含まれている場合を除く)。および要求エンティティに対応するデジタル証明書を発行する認証局 (CA)。オプションで、証明書を保管および配布する証明書リポジトリーと、無効になった証明書を識別する証明書失効リスト (CRL) を使用できます。CA の本物の公開キーを所有する各エンティティは、その CA によって発行された証明書を検証できます。
デジタル署名は、公開キー暗号化システムを次のように悪用します。
送信者は、データのダイジェストに秘密キーを含む暗号化操作を適用して、データにデジタル署名します。
結果の署名はデータに添付され、受信者に送信されます。
受信者は、送信者の公開キーと、送信者の ID と公開キーの間のリンクの確認を提供する送信者のデジタル証明書を取得します。送信者の証明書は、多くの場合、署名されたデータに添付されます。
受信者は、この証明書を信頼するか、検証を試みます。受信者は、証明書に含まれる公開キーを使用して、データの署名を検証します。この検証により、受信したデータの信頼性と整合性が保証されます。
PKI を使用する代わりに、エンティティは、キーの整合性が保護されている限り、公開キーをすべての潜在的な署名検証者に直接配布できます。スイッチは、公開キーと対応するエンティティの ID のコンテナーとして自己署名証明書を使用してこれを行います。
関連項目
EXシリーズスイッチの自己署名証明書について
ジュニパーネットワークスEXシリーズイーサネットスイッチを工場出荷時のデフォルト設定で初期化すると、スイッチは自己署名証明書を生成し、SSL(セキュアソケットレイヤー)プロトコルを介してスイッチに安全にアクセスできるようにします。セキュアソケットレイヤーを介したハイパーテキスト転送プロトコル(HTTPS)とセキュアソケットレイヤーを介したXMLネットワーク管理(XNM-SSL)は、自己署名証明書を利用できる2つのサービスです。
自己署名証明書は、認証局 (CA) によって生成されるような追加のセキュリティを提供しません。これは、クライアントが接続したサーバーが証明書でアドバタイズされているサーバーであることを確認できないためです。
スイッチには、自己署名証明書を生成する方法が 2 つあります。
自動生成
この場合、証明書の作成者はスイッチです。自動生成された(「システム生成」とも呼ばれる)自己署名証明書は、デフォルトでスイッチで設定されます。
スイッチが初期化されると、自動的に生成された自己署名証明書が存在するかどうかが確認されます。見つからない場合、スイッチは生成してファイル システムに保存します。
スイッチによって自動的に生成される自己署名証明書は、SSHホストキーに似ています。これは、構成の一部としてではなく、ファイル システムに格納されます。これは、スイッチのリブート時に保持され、
request system snapshotコマンドが発行されたときも保持されます。スイッチは、自動的に生成された証明書に次の識別名を使用します。
" CN=<デバイスのシリアル番号>、CN=システム生成、CN=自己署名」
スイッチでシステム生成の自己署名証明書を削除すると、スイッチは自動的に自己署名証明書を生成します。
手動生成
ここでは、スイッチの自己署名証明書を作成します。CLI を使用して、いつでも自己署名証明書を生成できます。手動で生成された自己署名証明書は、構成の一部としてではなく、ファイル システムに格納されます。
自己署名証明書は、生成されてから 5 年間有効です。自動生成された自己署名証明書の有効期限が切れた場合、スイッチからその証明書を削除して、スイッチが新しい自己署名証明書を生成するようにすることができます。
システム生成の自己署名証明書と手動で生成された自己署名証明書は、スイッチ上で共存できます。
スイッチでの自己署名証明書の手動生成(CLI手順)
EX シリーズ スイッチでは、カスタムの自己署名証明書を生成して、ファイル システムに保存できます。手動で生成した証明書は、スイッチ上で自動生成された自己署名証明書と共存できます。SSL 経由でスイッチへのセキュアなアクセスを有効にするには、システム生成の自己署名証明書または手動で生成した証明書を使用できます。
自己署名証明書を手動で生成するには、以下のタスクを完了する必要があります。
スイッチでの公開鍵と秘密鍵のペアの生成
デジタル証明書には、証明書のデジタル署名に使用される暗号化キーのペアが関連付けられています。暗号化キーのペアは、公開キーと秘密キーで構成されます。自己署名証明書を生成するときは、自己署名証明書の署名に使用できる公開鍵と秘密鍵のペアを指定する必要があります。したがって、自己署名証明書を生成する前に、公開キーと秘密キーのペアを生成する必要があります。
公開鍵と秘密鍵のペアを生成するには:
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
必要に応じて、暗号化アルゴリズムと暗号化キーのサイズを指定できます。暗号化アルゴリズムと暗号化キーのサイズを指定しない場合は、デフォルト値が使用されます。デフォルトの暗号化アルゴリズムは RSA で、デフォルトの暗号化キーのサイズは 1024 ビットです。
公開鍵と秘密鍵のペアが生成されると、スイッチは次のように表示します。
generated key pair certificate-id-name, key size 1024 bits
スイッチでの自己署名証明書の生成
自己署名証明書を手動で生成するには、証明書 ID 名、識別名(DN)のサブジェクト、ドメイン名、スイッチの IP アドレス、証明書所有者の電子メール アドレスを含めます。
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
生成した証明書は、スイッチのファイル システムに保存されます。証明書の生成時に指定した証明書 ID は、HTTPS または XNM-SSL サービスを有効にするために使用できる一意の識別子です。
証明書が生成され、正しく読み込まれたことを確認するには、 show security pki local-certificate 操作コマンドを入力します。
自己署名証明書の削除(CLI手順)
EX シリーズ スイッチから自動または手動で生成された自己署名証明書を削除できます。自動的に生成された自己署名証明書を削除すると、スイッチは新しい自己署名証明書を生成し、ファイル システムに保存します。
自動的に生成された証明書とそれに関連付けられたキーペアをスイッチから削除するには:
user@switch> clear security pki local-certificate system-generated
手動で生成された証明書とそれに関連付けられたキーペアをスイッチから削除するには:
user@switch> clear security pki local-certificate certificate-id certificate-id-name
手動で生成されたすべての証明書とそれに関連付けられたキーペアをスイッチから削除するには:
user@switch> clear security pki local-certificate all
自己署名証明書を使用したスイッチでのHTTPSおよびXNM-SSLサービスの有効化(CLI手順)
システム生成の自己署名証明書または手動で生成された自己署名証明書を使用して、Web 管理の HTTPS および XNM-SSL サービスを有効にすることができます。
自動的に生成された自己署名証明書を使用して HTTPS サービスを有効にするには:
[edit] user@switch# set system services web-management https system-generated-certificate
手動で生成された自己署名証明書を使用して HTTPS サービスを有効にするには:
[edit] user@switch# set system services web-management https pki-local-certificate certificate-id-name
手記:certificate-id-nameの値は、自己署名証明書を手動で生成したときに指定した名前と一致する必要があります。
手動で生成された自己署名証明書を使用して XNM-SSL サービスを有効にするには:
[edit] user@switch# set system services xnm-ssl local-certificate certificate-id-name
手記:certificate-id-nameの値は、自己署名証明書を手動で生成したときに指定した名前と一致する必要があります。