証明書のライフ サイクル管理の概要

公開/秘密鍵、ID情報、証明書要求の生成

デバイスの秘密キーは、そのデバイスで生成する必要があり、そのデバイスから表示または保存しないでください。ユーザー ID と秘密キーは、証明書要求の基礎を形成し、登録後もローカル証明書と共に引き続き使用されます。したがって、生成された鍵の certificate-ID を適切な証明書要求と一致させ、最終的にはローカル証明書と一致させることが重要です。証明書要求は PKCS10 形式で入手できます。証明書要求は、電子メールまたは何らかの Web ベースのフロントエンド サイトを介して証明機関 (CA) に送信する必要があります。

証明書の登録

Junos OS リリース 8.5 以前では、手動の証明書要求のみがサポートされています。このプロセスには、PKCS10リクエストの生成、認証機関(CA)への送信、署名付き証明書の取得、ローカル証明書としてJunos OSデバイスへの証明書の手動読み込みが含まれます。

簡易証明書登録プロトコル(SCEP)を介した証明書要求の自動送信は、Junos OS Release 9.0 以降でのみサポートされています。詳細については、「 付録 D: 簡易証明書登録プロトコル」を参照してください。

IKE 内での証明書 ID の使用

インターネット鍵交換(IKE)フェーズ1のセットアップ中に、証明書は次の方法でピアを識別できます。

• IPアドレス

• 完全修飾ドメイン名 (FQDN) (ドメイン名)

• ユーザー完全修飾ドメイン名 (U-FQDN) (電子メール アドレス)

• DN (識別名)

ほとんどの仮想プライベート ネットワーク (VPN) 管理者は、VPN ゲートウェイ ID の種類に IP アドレスまたは FQDN を使用し、NetScreen-Remote (NSR) クライアント VPN ラップトップ/ユーザーの ID の種類に電子メール アドレス (U-FQDN) を使用します。IKE ID が証明書の(v3 拡張)フィールドに追加されます SubjectAlternativeName 。

メモ：

VPN ピアの IP アドレスが変更された場合は、新しい IP アドレスで新しい証明書を発行し、古い証明書を取り消す必要があります。

認証局(CA)がフィールドを使用した SubjectAlternativeName 証明書の署名をサポートしていない場合は、Junos OSデバイスまたはNSR設定でDNをIKE IDとして使用する必要があります。

証明書要求のIKE IDとして、次のいずれかを指定する必要があります。

• IPアドレス

• ドメイン名

• メールアドレス

証明書の検証と失効の確認

Junos OSは、証明書失効リスト(CRL)検索方法を使用した失効確認をサポートしています。CRL は、Junos OS デバイスに手動で読み込むか、CRL 配布ポイント(CDP)からオンラインで自動的に再試行するか、ライトウェイト ディレクトリ アクセス プロトコル(LDAP)または HTTP を介してオンデマンドで読み込むことができます。Junos OS は、CRL 向けに DER およびプライバシ拡張メール(PEM)形式の両方をサポートしています。

メモ：

Junos OSは、CRLやCDPよりも拡張性に優れたシステムであるオンライン証明書ステータスプロトコル(OCSP)方式をサポートしていません。他の多くの CA も OCSP インターフェイスをサポートしていません。

証明書の更新

証明書の更新プロセスは、最初の証明書登録プロセスに似ています。更新プロセスには、仮想プライベート ネットワーク (VPN) デバイス上の古い証明書 (有効期限が近づいている) を新しい証明書に置き換えることが含まれます。

現在、Junos OSは手動更新プロセスのみをサポートしています。簡易証明書登録プロトコル (SCEP) を使用すると、有効期限が切れる前にローカル証明書を自動的に再登録できます。詳細については、「 付録 D: 簡易証明書登録プロトコル」を参照してください。