Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS の PKI

SUMMARY このトピックでは、Junos OS の公開カギ基盤(PKI)の基本要素について説明します。

公開キー基盤 (PKI) は、公開暗号化キーの配布と識別をサポートし、ユーザーがインターネットなどのネットワークを介して安全にデータを交換し、相手の ID を確認できるようにします。

Junos OS における PKI の概要

PKI アプリケーションの概要

Junos OSは、以下の領域で公開鍵と秘密鍵を使用します。

  • SSH/SCP(セキュアなコマンドラインインターフェイス(CLI)ベースの管理用)

  • Secure Sockets Layer(SSL)(セキュアなウェブベースの管理およびユーザー認証のためのhttpsベースのウェブ認証用)

  • インターネット鍵交換(IKE)(IPsec VPN トンネル用)

注:

次の点に注意してください。

  • 現在、Junos OSはIKE(公開キーの検証に公開キー基盤(PKI)証明書を使用)のみをサポートしています。

  • SSHとSCPはシステム管理にのみ使用され、公開キーIDのバインディングと検証にアウトオブバンドフィンガープリントを使用することに依存します。SSH の詳細については、このトピックでは説明しません。

Junos OS で PKI を管理するためのコンポーネント

Junos OS で PKI を管理するには、以下のコンポーネントが必要です。

  • CA 証明書と認証局の構成

  • デバイスの ID を含むローカル証明書(例: IKE IDのタイプと値)および秘密鍵と公開鍵

  • 証明書失効リスト (CRL) による証明書の検証

Junos OS における PKI の基本要素

Junos OS は、次の 3 つの特定のタイプの PKI オブジェクトをサポートします。

  • 秘密キーと公開キーのペア

  • 証明書

    • ローカル証明書 - ローカル証明書には、ジュニパーネットワークスデバイスの公開キーと ID 情報が含まれています。ジュニパーネットワークスのデバイスは、関連付けられたプライベートキーを所有しています。この証明書は、ジュニパーネットワークスのデバイスからの証明書要求に基づいて生成されます。

    • 保留中の証明書 — 保留中の証明書には、PKCS10 証明書要求に生成され、認証局(CA)に手動で送信されるキーペアと ID 情報が含まれています。ジュニパーネットワークスのデバイスが CA からの証明書を待機している間、既存のオブジェクト(キーペアと証明書要求)は、証明書要求または保留中の証明書としてタグ付けされます。

      注:

      Junos OS リリース 9.0 以降では、SCEP を介した証明書要求の自動送信がサポートされています。

    • CA 証明書 — 証明書が CA によって発行され、Junos OS デバイスに読み込まれると、保留中の証明書は新しく生成されたローカル証明書に置き換えられます。デバイスにロードされた他のすべての証明書は、CA 証明書と見なされます。

  • 証明書失効リスト (CRL)

証明書については、次の点に注意してください。

  • ローカル証明書は通常、Junos OSデバイスのVPNが複数の管理ドメインにある場合に使用されます。

  • すべてのPKIオブジェクトは、Junos OSイメージとシステムの一般的な構成とは別に、永続メモリの個別のパーティションに保存されます。

  • 各 PKI オブジェクトには、作成時に一意の名前または証明書 ID が与えられ、削除されるまでその ID が保持されます。証明書 ID は、 show security pki local-certificate コマンドを使用して表示できます。

  • ほとんどの場合、デバイスから証明書をコピーすることはできません。デバイスの秘密キーは、そのデバイスでのみ生成する必要があり、そのデバイスから表示または保存しないでください。そのため、PKCS12ファイル(公開鍵と関連する秘密鍵を含む証明書を含む)は、Junos OSデバイスではサポートされていません。

  • CA 証明書は、IKE ピアが受信した証明書を検証します。証明書が有効な場合は、証明書が失効しているかどうかを確認するために CRL で検証されます。

    各 CA 証明書には、次の情報を格納する CA プロファイル構成が含まれています。

    • CA ID。通常は CA のドメイン名です。

    • 証明書要求を CA に直接送信するための電子メール アドレス

    • 失効設定:

      • 失効チェックの有効化/無効化オプション

      • CRL のダウンロードに失敗した場合の失効チェックの無効化。

      • CRL 配布ポイント (CDP) の場所 (手動 URL 設定用)

      • CRL リフレッシュ間隔

Junos OS の PKI コンポーネント

このトピックは、以下のセクションで構成されています。

PKI の管理と実装

Junos OS の認定書ベースの認証に必要な最小限の PKI 要素は次のとおりです。

  • CA 証明書と認証局の構成。

  • デバイスの ID を含むローカル証明書(例: IKE IDのタイプと値)および秘密鍵と公開鍵

  • CRL による証明書の検証。

Junos OS は、次の 3 種類の PKI オブジェクトをサポートしています。

インターネット鍵交換

インターネット鍵交換(IKE)セッションの2人の参加者間で送信されるメッセージにデジタル署名する手順は、デジタル証明書の検証と似ていますが、次の点が異なります。

  • 送信者は、CA 証明書からダイジェストを作成する代わりに、IP パケット ペイロード内のデータからダイジェストを作成します。

  • CA の公開鍵と秘密鍵のペアを使用する代わりに、参加者は送信者の公開鍵と秘密鍵のペアを使用します。

信頼された CA グループ

認証局(CA)は、証明書の発行と失効を担当する信頼できるサードパーティです。特定のトポロジーに対して、複数の CA (CA プロファイル) を 1 つの信頼できる CA グループにグループ化できます。これらの証明書は、2 つのエンドポイント間の接続を確立するために使用されます。IKEまたはIPsecを確立するには、両方のエンドポイントが同じCAを信頼する必要があります。いずれかのエンドポイントが、それぞれの信頼できる CA (CA プロファイル)または信頼できる CA グループを使用して証明書を検証できない場合、接続は確立されません。

たとえば、エンドポイント A とエンドポイント B の 2 つのエンドポイントがセキュリティで保護された接続を確立しようとしているとします。エンドポイント B がエンドポイント A に証明書を提示すると、エンドポイント A は証明書が有効かどうかを確認します。エンドポイント A の CA は、エンドポイント B が承認を得るために使用している署名付き証明書を検証します。trusted-ca または trusted-ca-group が構成されている場合、デバイスは、このtrusted-ca-groupで追加された CA プロファイルまたは trusted-ca で構成された CA プロファイルのみを使用して、エンドポイント B からの証明書を検証します。証明書が有効であることが確認された場合、接続は許可され、それ以外の場合は接続が拒否されます。

利点:

  • 着信接続要求に対しては、そのエンドポイントの特定の信頼された CA によって発行された証明書のみが検証されます。そうでない場合、承認は接続の確立を拒否します。

暗号化キー処理の概要

暗号化キー処理では、永続キーは変更を試みることなくデバイスのメモリに格納されます。潜在的な攻撃者は内部メモリデバイスに直接アクセスできませんが、防御の第2層を必要とする人は、暗号化キーの特別な処理を有効にすることができます。有効にすると、暗号化キー処理は、すぐに使用されていない場合はキーを暗号化し、あるメモリ位置から別のメモリ位置にキーをコピーするときにエラー検出を実行し、キーが使用されなくなったときにランダムなビット パターンでキーのメモリ位置を上書きします。キーは、デバイスのフラッシュメモリに保存されるときにも保護されます。暗号化キー処理機能を有効にしても、デバイスの動作に外部から観察可能な変化は発生せず、デバイスは引き続き他のデバイスと相互運用します。

暗号管理者は、暗号セルフテスト機能を使用可能または使用不可にすることができます。ただし、セキュリティー管理者は、定期セルフテストの構成や暗号セルフテストのサブセットの選択など、暗号セルフテスト機能の動作を変更できます。

以下の永続キーは、現在 IKE および PKI の管理下にあります。

  • IKE 事前共有キー(IKE PSK)

  • PKI 秘密キー

  • 手動 VPN キー

TPM ベースの証明書の処理

SRXシリーズファイアウォールで利用可能なTPMベース(トラステッドプラットフォームモジュールベース)の認定書により、デバイスのセキュアな識別が保証されます。Junos OSリリース24.2R1以降、SRX1600、SRX2300、およびSRX4300シリーズのファイアウォールでTPMベースの証明書を使用できるようになりました。Juniper Advanced Threat Prevention Cloudを使用して高度なアンチマルウェア(AAMW)検出などのアプリケーションを使用する場合、TPMベースの証明書を構成証明に使用することで、アプリケーションがデバイスの正当性を検証できます。TPM の詳細と、ファイアウォールが PKI を使用して TPM ベースの証明書を管理する方法については、「 トラステッド プラットフォーム モジュール」を参照してください。