IKE 認証(証明書ベースの認証)
証明書認証の複数階層
認定書ベースの認証は、IKE ネゴシエーション中に SRX シリーズファイアウォールでサポートされる認証方法です。大規模なネットワークでは、複数の認証局(CA)がそれぞれのエンドデバイスにエンドエンティティ(EE)証明書を発行できます。個々の場所、部門、または組織に対して個別の CA を持つのが一般的です。
証明書ベースの認証に単一レベルの階層を使用する場合、ネットワーク内のすべての EE 証明書は、同じ CA によって署名されている必要があります。すべてのファイアウォール デバイスには、ピア証明書の検証用に同じ CA 証明書が登録されている必要があります。IKE ネゴシエーション中に送信される証明書ペイロードには、EE 証明書のみが含まれます。
または、IKE ネゴシエーション中に送信される証明書ペイロードに、EE および CA 証明書のチェーンを含めることができます。証明書 チェーン は、ピアの EE 証明書を検証するために必要な証明書のリストです。証明書チェーンには、EE 証明書と、ローカルピアに存在しない CA 証明書が含まれます。
ネットワーク管理者は、IKE ネゴシエーションに参加するすべてのピアが、それぞれの証明書チェーンに少なくとも 1 つの共通の信頼される CA を持っていることを確認する必要があります。共通の信頼された CA は、ルート CA である必要はありません。EE の証明書とチェーン内の最上位の CA を含む、チェーン内の証明書の数は 10 を超えることはできません。
Junos OSリリース18.1R1以降では、指定したCAサーバーまたはCAサーバーのグループを使用して、設定されたIKEピアを検証できます。証明書チェーンを使用する場合、ルート CA は IKE ポリシーで設定された信頼できる CA グループまたは CA サーバと一致する必要があります
図 1 に示す CA 階層の例では、ルート CA がネットワーク内のすべてのデバイスにとって共通の信頼できる CA です。ルート CA は、エンジニアリング CA と販売 CA にそれぞれ Eng-CA と Sales-CA として識別される CA 証明書を発行します。Eng-CA は、開発 CA と品質保証 CA にそれぞれ Dev-CA と Qa-CA として識別される CA 証明書を発行します。ホスト A は Dev-CA から EE 証明書を受信し、ホスト B は Sales-CA から EE 証明書を受け取ります。
の複数階層
各エンド デバイスは、その階層内に CA 証明書をロードする必要があります。ホスト A には、ルート CA、英語 CA、および開発 CA の証明書が必要です。sales-CA および Qa-CA の証明書は必要ありません。ホスト B には、ルート CA 証明書と販売 CA 証明書が必要です。証明書は、デバイスに手動で読み込むか、簡易証明書登録プロセス(SCEP)を使用して登録できます。
各エンド デバイスには、証明書チェーン内の各 CA の CA プロファイルを設定する必要があります。以下の出力は、Host-A で構成された CA プロファイルを示しています。
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url “www.example.net/scep/Eng/”;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url “www.example.net/scep/Dev/”;
}
}
}
以下の出力は、Host-B に設定された CA プロファイルを示しています。
admin@host-B# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Sales-CA {
ca-identity Sales-CA;
enrollment {
url “www.example.net/scep/Sales/”;
}
}
}