認証機関
認証局 (CA) プロファイルは、2 つのエンドポイント間にセキュアな接続を確立するために、特定の証明書に関連するすべてのパラメーターを定義します。プロファイルは、使用する証明書、証明書の失効状態の確認方法、およびその状態がアクセスを制限する方法を指定します。
信頼された CA グループの設定
ここでは、CA プロファイルの一覧に対して信頼される CA グループを作成し、信頼される CA グループを削除する手順を説明します。
CA プロファイルのリストに対する信頼された CA グループの作成
信頼できる CA グループを構成して割り当て、エンティティを承認できます。ピアがクライアントとの接続を確立しようとすると、そのエンティティの特定の信頼された CA によって発行された証明書のみが検証されます。デバイスは、証明書の発行者と証明書を提示する人が同じクライアントネットワークに属しているかどうかを検証します。発行者と発表者が同じクライアント ネットワークに属している場合、接続が確立されます。そうでない場合、接続は確立されません。
開始する前に、信頼するグループに追加するすべての CA プロファイルのリストが必要です。
この例では、 orgA-ca-profile、 orgB-ca-profile、および orgC-ca-profile という名前の 3 つの CA プロファイルを作成し、それぞれのプロファイルに次の CA 識別子 ca-profile1、 ca-profile2、および ca-profile3 を関連付けます。3 つの CA プロファイルすべてをグループ化して、信頼できる CA グループ orgABC-trusted-ca-groupに属することができます。
信頼できる CA グループには、最大 20 の CA プロファイルを設定できます。
デバイスで構成されている CA プロファイルと信頼された CA グループを表示するには、 show security pki コマンドを実行します。
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
ca-profile orgC-ca-profile {
ca-identity ca-profile3;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile orgC-ca-profile ];
}
show security pki コマンドは、orgABC_trusted-ca-groupの下にグループ化されているすべての CA プロファイルを表示します。
信頼された CA グループからの CA プロファイルの削除
信頼された CA グループ内の特定の CA プロファイルを削除することも、信頼される CA グループ自体を削除することもできます。
たとえば、トピックに示すようにデバイスで構成されている信頼された CA グループ orgABC-trusted-ca-groupから orgC-ca-profile という名前の CA プロファイルを削除する場合は信頼された CA グループの設定次の手順を実行します。
orgABC-trusted-ca-group から削除されるorgC-ca-profileを表示するには、show security pkiコマンドを実行します。
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile ];
}
信頼された CA グループから削除される orgC-ca-profile プロファイルは、出力に表示されません。
信頼された CA グループの削除
エンティティは多くの信頼された CA グループをサポートでき、エンティティの信頼された CA グループを削除できます。
たとえば、トピックに示すようにデバイスに構成されている orgABC-trusted-ca-group という名前の信頼された CA グループを削除する場合は 信頼された CA グループの設定 次の手順を実行します。
エンティティから削除される orgABC-trusted-ca-group を表示するには、 show security pki コマンドを実行します。
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
出力には、エンティティから削除される orgABC-trusted-ca-group は表示されません。
認証局プロファイルについて
認証局(CA)プロファイル構成には、CA に固有の情報が含まれています。SRXシリーズファイアウォールでは、複数のCAプロファイルを持つことができます。たとえば、orgA 用に 1 つのプロファイルがあり、orgB 用に 1 つのプロファイルがあるとします。各プロファイルは CA 証明書に関連付けられています。古い CA 証明書を削除せずに新しい CA 証明書を読み込む場合は、新しい CA プロファイル (Microsoft-2008 など) を作成します。
Junos OS リリース 18.1R1 以降、CA サーバを IPv6 CA サーバにすることができます。
PKIモジュールはIPv6アドレスフォーマットをサポートしており、IPv6が唯一のプロトコルであるネットワークでSRXシリーズファイアウォールを使用できるようにします。
CA はデジタル証明書を発行し、証明書の検証を通じて 2 つのエンドポイント間に安全な接続を確立するのに役立ちます。特定のトポロジーに対して、複数の CA プロファイルを 1 つの信頼できる CA グループにグループ化できます。これらの証明書は、2 つのエンドポイント間の接続を確立するために使用されます。IKEまたはIPsecを確立するには、両方のエンドポイントが同じCAを信頼する必要があります。いずれかのエンドポイントが、それぞれの信頼できる CA (CA プロファイル)または信頼できる CA グループを使用して証明書を検証できない場合、接続は確立されません。信頼できる CA グループを作成するには、最低 1 つの CA プロファイルが必須であり、1 つの信頼された CA グループでは最大 20 の CA が許可されます。特定のグループの CA は、その特定のエンドポイントの証明書を検証できます。
Junos OSリリース18.1R1以降では、指定したCAサーバーまたはCAサーバーのグループを使用して、設定されたIKEピアを検証できます。信頼できる CA サーバのグループは、[edit security pki] 階層レベルの trusted-ca-group 設定ステートメントを使用して作成できます。1 つまたは複数の CA プロファイルを指定できます。信頼できる CA サーバは、[edit security ike policy policy certificate] 階層レベルでピアの IKE ポリシー設定にバインドされます。
CA プロファイルでプロキシ プロファイルが設定されている場合、デバイスは証明書の登録、検証、または失効中に CA サーバではなくプロキシ ホストに接続します。プロキシ ホストは、デバイスからの要求を使用して CA サーバーと通信し、応答をデバイスにリレーします。
CA プロキシ プロファイルは、SCEP、CMPv2、および OCSP プロトコルをサポートします。
CA プロキシ プロファイルは HTTP でのみサポートされ、HTTPS プロトコルではサポートされていません。
関連項目
例:CA プロファイルの設定
この例では、CA プロファイルを設定する方法を示します。
要件
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、マイクロソフト-2008 の CA ID を持つ ca-profile-ipsec という CA プロファイルを作成します。次に、CA プロファイルへのプロキシ プロファイルを作成します。構成では、CRL を 48 時間ごとに更新するように指定し、CRL を取得する場所は http://www.my-ca.com です。この例では、登録の再試行値を 20 に設定します。(既定の再試行値は 10 です)。
証明書の自動ポーリングは 30 分ごとに設定されています。再試行間隔を設定せずに再試行のみを設定した場合、デフォルトの再試行間隔は 900 秒(15 分)になります。再試行または再試行間隔を設定しない場合、ポーリングは行われません。
設定
手順
ステップバイステップでの手順
CA プロファイルを設定するには、次の手順に従います。
CA プロファイルを作成します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 user@host#
必要に応じて、プロキシ プロファイルを CA プロファイルに設定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec proxy-profile px-profile
公開キー基盤 (PKI) は、システム レベルで構成されたプロキシ プロファイルを使用します。CA プロファイルで使用されているプロキシ プロファイルは、
[edit services proxy]階層で設定する必要があります。[edit services proxy]階層には、複数のプロキシ プロファイルを設定できます。各 CA プロファイルは、このようなプロキシー・プロファイルの 1 つを最も多く参照します。[edit system services proxy]階層でプロキシプロファイルのホストとポートを設定できます。失効チェックを作成して、証明書の失効を確認する方法を指定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
更新間隔を時間単位で設定し、CRL を更新する頻度を指定します。既定値は、CRL での次の更新時刻、または次の更新時刻が指定されていない場合は 1 週間です。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl refresh-interval 48 url http://www.my-ca.com/my-crl.crl
登録再試行の値を指定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry 20
CA 証明書をオンラインで自動的に登録する間隔を秒単位で指定します。
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry-interval 1800
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 show security pki コマンドを入力します。
例:CA プロファイルの送信元アドレスとしての IPv6 アドレスの設定
この例では、CA プロファイルの送信元アドレスとして IPv6 アドレスを設定する方法を示します。
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
この例では、CA ID v6-caを持つ orgA-ca-profile という CA プロファイルを作成し、CA プロファイルの送信元アドレスを 2001:db8:0:f101::1 などの IPv6 アドレスに設定します。IPv6 アドレス http://[2002:db8:0:f101::1]:/.../を受け入れるように登録 URL を構成できます。
関連項目
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。