自己署名デジタル証明書
自己署名証明書は、認証局 (CA) ではなく、それを作成したのと同じエンティティによって署名された証明書です。 Junos OS では、自己署名証明書を生成するために、自動生成と手動生成の 2 つの方法を提供しています。
自己署名証明書について
自己署名証明書は、認証局 (CA) ではなく、作成者によって署名された証明書です。
自己署名証明書を使用すると、ユーザーまたは管理者が CA によって署名された ID 証明書を取得するというかなりのタスクを行うことなく、SSL ベース (Secure Sockets Layer) サービスを使用できます。
自己署名証明書は、CA によって生成される証明書のような追加のセキュリティを提供しません。これは、接続先のサーバーが証明書 アドバタイズされているサーバーであることをクライアントが確認できないためです。
Junos OS では、自己署名証明書を生成する方法が 2 つあります。
自動生成
この場合、証明書の作成者はジュニパーネットワークスのデバイスです。自動生成された自己署名証明書は、デフォルトでデバイスに設定されます。
デバイスが初期化されると、自動的に生成された自己署名証明書が存在するかどうかが確認されます。見つからない場合、デバイスは生成し、ファイル システムに保存します。
手動生成
この場合、デバイスの自己署名証明書を作成します。
CLI を使用して、いつでも自己署名証明書を生成できます。これらの証明書は、SSL サービスにアクセスするためにも使用されます。
自己署名証明書は、生成されてから 5 年間有効です。
自動生成された自己署名証明書により、管理者が CA によって署名された ID 証明書を取得しなくても、SSL ベースのサービスを使用できます。
デバイスによって自動的に生成される自己署名証明書は、セキュアシェル(SSH)ホストキーに似ています。これは、構成の一部としてではなく、ファイル システムに格納されます。デバイスの再起動時に保持され、 request system snapshot コマンドが発行されても保持されます。
手動で生成する自己署名証明書を使用すると、CA によって署名された ID 証明書を取得しなくても、SSL ベースのサービスを使用できます。手動で生成された自己署名証明書は、公開キー基盤 (PKI) ローカル証明書の一例です。すべての PKI ローカル証明書と同様に、手動で生成された自己署名証明書はファイル システムに格納されます。
関連項目
例:公開鍵と秘密鍵のペアの生成
この例では、公開キーと秘密キーのペアを生成する方法を示します。
要件
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、 self-cert という名前の公開鍵と秘密鍵のペアを生成します。
設定
手順
ステップバイステップでの手順
公開鍵と秘密鍵のペアを生成するには:
証明書キーペアを作成します。
user@host> request security pki generate-key-pair certificate-id self-cert
検証
公開鍵と秘密鍵のペアが生成されると、ジュニパーネットワークスのデバイスには次のように表示されます。
generated key pair ca-ipsec, key size 1024 bits
例:自己署名証明書の手動生成
この例では、自己署名証明書を手動で生成する方法を示します。
要件
開始する前に、公開秘密キーのペアを生成します。デジタル証明書を参照してください。
概要
手動で生成された自己署名証明書の場合は、作成時に 識別名 (DN を指定します。自動生成された自己署名証明書の場合、システムは DN を提供し、自身を作成者として識別します。
この例では、電子メール アドレスを mholmes@example.net として自己署名証明書を生成します。Web 管理によって参照される self-cert の証明書 ID を指定します。
設定
手順
ステップバイステップでの手順
自己署名証明書を手動で生成するには、 動作モードで以下のコマンドを入力します:
user@host> request security pki local-certificate generate-self-signed certificate-id self-cert subject CN=abc domain-name example.net ip-address 1.2.3.4 email mholmes@example.net
Web 管理 HTTPS サービス用に手動で生成された自己署名証明書を指定するには、コンフィギュレーションモードで以下のコマンドを入力します。
[edit] user@host# set system services web-management https local-certificate self-cert
検証
証明書が正しく生成され、読み込まれていることを確認するには、動作モードで次のコマンドを入力します
user@host> show security pki local-certificate
表示された出力のIssued to、validity、algorithm、およびkeypair locationの詳細に関するCertificate identifier情報に注目してください。
Web 管理に関連付けられている証明書を確認するには、コンフィギュレーション・モードで以下のコマンドを入力します。
user@host# show system services web-management https local-certificate
自動生成された自己署名証明書の使用(CLI手順)
デバイスが初期化されると、自己署名証明書が存在するかどうかが確認されます。自己署名証明書が存在しない場合、デバイスは自動的に自己署名証明書を生成します。デバイスが再起動されると、起動時に自己署名証明書が自動的に生成されます。
システムによって生成された証明書を確認するには、運用モードで次のコマンドを実行します。
user@host> show security pki local-certificate system-generated
出力の Certificate identifier の詳細に注目してください。自動的に生成された証明書の次の詳細識別名 (DN) が表示されます。
-
CN = device serial number -
CN = system generated -
CN = self-signed
Web 管理 HTTPS サービスに使用する次のコマンド設定モード自動的に生成された自己署名証明書を指定する を使用します。
[edit] user@host# set system services web-management https system-generated-certificate
次の操作コマンドを使用して、自動生成された自己署名証明書を削除します。
user@host# exit user@host> clear security pki local-certificate system-generated
システムによって生成された自己署名証明書を削除すると、デバイスによって自動的に新しい証明書が生成され、ファイル システムに保存されます。