リモート管理のためのセキュアなWebアクセス

J-Web インターフェイスを介して、ジュニパーネットワークスのデバイスをリモートで管理できます。デバイスと通信するために、J-Webインターフェイスはハイパーテキスト転送プロトコル(HTTP)を使用します。HTTPでは簡単にWebにアクセスできますが、暗号化はできません。HTTP によって Web ブラウザーとデバイス間で送信されるデータは、傍受や攻撃に対して脆弱です。セキュアなWebアクセスを有効にするために、ジュニパーネットワークスのデバイスはHTTPS over Secure Sockets Layer(HTTPS)をサポートしています。必要に応じて、特定のインターフェイスとポートでHTTPまたはHTTPSアクセスを有効にすることができます。

ジュニパーネットワークスのデバイスは、セキュアソケットレイヤー(SSL)プロトコルを使用して、ウェブインターフェイスを介したセキュアなデバイス管理を提供します。SSL は、SSL サービスを提供するために、ペアの秘密鍵と認証証明書を必要とする公開秘密鍵技術を使用します。SSLは、SSLサーバー証明書によってネゴシエートされたセッションキーを使用して、デバイスとWebブラウザー間の通信を暗号化します。

SSL証明書には、公開鍵や認証局(CA)による署名などの識別情報が含まれます。HTTPS 経由でデバイスにアクセスすると、SSL ハンドシェイクによってサーバーとクライアントが認証され、セキュアなセッションが開始されます。情報が一致しない場合、または証明書の有効期限が切れている場合は、HTTPS 経由でデバイスにアクセスできません。

SSL暗号化を使用しないと、デバイスとブラウザ間の通信が公開され、傍受される可能性があります。WAN インターフェイスで HTTPS アクセスを有効にすることをお勧めします。

HTTP アクセスは、組み込みの管理インターフェイスでデフォルトで有効になっています。デフォルトでは、HTTPS アクセスは、SSL サーバー証明書を持つすべてのインターフェイスでサポートされています。

ジュニパーネットワークスEXシリーズイーサネットスイッチを工場出荷時のデフォルト設定で初期化すると、スイッチは自己署名証明書を生成し、SSL(セキュアソケットレイヤー)プロトコルを介してスイッチに安全にアクセスできるようにします。セキュアソケットレイヤーを介したハイパーテキスト転送プロトコル(HTTPS)とセキュアソケットレイヤーを介したXMLネットワーク管理(XNM-SSL)は、自己署名証明書を利用できる2つのサービスです。

スイッチには、自己署名証明書を生成する方法が 2 つあります。

• 自動生成

  この場合、証明書の作成者はスイッチです。自動生成された(「システム生成」とも呼ばれる)自己署名証明書は、デフォルトでスイッチで設定されます。

  スイッチが初期化されると、自動的に生成された自己署名証明書が存在するかどうかが確認されます。見つからない場合、スイッチは生成してファイル システムに保存します。

  スイッチによって自動的に生成される自己署名証明書は、SSHホストキーに似ています。これは、構成の一部としてではなく、ファイル システムに格納されます。これはスイッチのリブート時に保持され、 request system snapshot コマンドの発行時に保持されます。

  スイッチは、自動的に生成された証明書に次の識別名を使用します。

  “ CN=<device serial number>, CN=system generated, CN=self-signed”

  スイッチでシステム生成の自己署名証明書を削除すると、スイッチは自動的に自己署名証明書を生成します。

• 手動生成

  ここでは、スイッチの自己署名証明書を作成します。CLI を使用して、いつでも自己署名証明書を生成できます。手動で生成された自己署名証明書は、構成の一部としてではなく、ファイル システムに格納されます。

自己署名証明書は、生成されてから 5 年間有効です。自動生成された自己署名証明書の有効期限が切れた場合、スイッチからその証明書を削除して、スイッチが新しい自己署名証明書を生成するようにすることができます。

システム生成の自己署名証明書と手動で生成された自己署名証明書は、スイッチ上で共存できます。

この例では、デバイスでセキュアな Web アクセスを設定する方法を示しています。