공개 키 암호화
스위치의 공개 키 암호화 이해
암호화는 정보 보안의 다음 측면과 관련된 기술을 설명합니다.
개인 정보 보호 또는 기밀 유지
데이터 무결성
인증
출처 부인 또는 부인 불가 - 출처 부인 금지는 서명자가 개인 키가 비밀로 유지된다고 주장하면서 메시지에 서명하지 않았다고 주장할 수 없음을 의미합니다. 디지털 서명에 사용되는 일부 부인 방지 체계에서는 타임스탬프가 디지털 서명에 첨부되므로 개인 키가 노출되더라도 서명은 유효한 상태로 유지됩니다. 공개 키와 개인 키는 다음 텍스트에 설명되어 있습니다.
실제로 암호화 방법은 암호화 키를 사용하여 데이터를 암호화하여 공용 네트워크를 통해 한 시스템에서 다른 시스템으로 전송되는 데이터를 보호합니다. 주니퍼 네트웍스 EX 시리즈 이더넷 스위치에서 사용되는 PKC(Public Key Cryptography)는 공개 키와 개인 키라는 한 쌍의 암호화 키를 사용합니다. 공개 키와 개인 키는 동일한 암호화 알고리즘을 사용하여 동시에 생성됩니다. 개인 키는 사용자가 비밀리에 보유하며 공개 키는 게시됩니다. 공개 키로 암호화된 데이터는 해당 개인 키로만 해독할 수 있으며 그 반대의 경우도 마찬가지입니다. 퍼블릭/프라이빗 키 쌍을 생성하면 스위치는 키 쌍을 인증서 저장소의 파일에 자동으로 저장하며, 이 쌍은 이후에 인증서 요청 명령에 사용됩니다. 생성된 키 페어는 로 certificate-id저장됩니다.프라이빗.
기본 RSA 및 DSA 키 크기는 1024비트입니다. SCEP(Simple Certificate Enrollment Protocol)를 사용하는 경우 주니퍼 네트웍스 Junos 운영 체제(Junos OS)는 RSA만 지원합니다.
PKI(Public Key Infrastructure) 및 디지털 인증서
PKI(공개 키 인프라)를 사용하면 보안 및 무결성을 갖춘 공개 키 암호화에서 공개 키를 배포하고 사용할 수 있습니다. PKI는 디지털 인증서를 사용하여 공개 키를 관리합니다. 디지털 인증서는 개인, 조직 또는 디지털 인증서를 저장할 수 있는 디렉터리 서비스의 ID를 확인하는 전자적 수단을 제공합니다.
PKI는 일반적으로 엔터티의 ID를 확인하고, 인증서 요청에 권한을 부여하고, 고유한 비대칭 키 쌍을 생성하는 RA(등록 기관)로 구성됩니다(사용자의 인증서 요청에 이미 공개 키가 포함되어 있지 않은 경우). 및 요청 엔터티에 해당하는 디지털 인증서를 발급하는 인증 기관(CA)이 있습니다. 선택적으로 인증서를 저장하고 배포하는 인증서 저장소와 더 이상 유효하지 않은 인증서를 식별하는 CRL(인증서 해지 목록)을 사용할 수 있습니다. CA의 인증 공개 키를 소유한 각 엔터티는 해당 CA에서 발급한 인증서를 확인할 수 있습니다.
디지털 서명은 다음과 같이 공개 키 암호화 시스템을 이용합니다.
발신자는 데이터 다이제스트에 개인 키와 관련된 암호화 작업을 적용하여 데이터에 디지털 서명합니다.
결과 서명은 데이터에 첨부되어 수신자에게 전송됩니다.
수신자는 발신자의 공개 키와 ID와 공개 키 간의 링크 확인을 제공하는 발신자의 디지털 인증서를 얻습니다. 보낸 사람의 인증서는 서명된 데이터에 첨부되는 경우가 많습니다.
수신자는 이 인증서를 신뢰하거나 확인을 시도합니다. 수신자는 인증서에 포함된 공개 키를 사용하여 데이터에 대한 서명을 확인합니다. 이 검증은 수신된 데이터의 신뢰성과 무결성을 보장합니다.
PKI를 사용하는 대신 엔터티는 키의 무결성이 보호되는 한 모든 잠재적 서명 검증자에게 공개 키를 직접 배포할 수 있습니다. 스위치는 자체 서명된 인증서를 공개 키 및 해당 엔터티의 ID에 대한 컨테이너로 사용하여 이 작업을 수행합니다.
또한보십시오
EX 시리즈 스위치의 자체 서명 인증서 이해
공장 기본 구성으로 주니퍼 네트웍스 EX 시리즈 이더넷 스위치를 초기화하면 스위치가 자체 서명 인증서를 생성하여 SSL(Secure Sockets Layer) 프로토콜을 통해 스위치에 안전하게 액세스할 수 있습니다. HTTPS(Hypertext Transfer Protocol over Secure Sockets Layer) 및 XNM-SSL(XML Network Management over Secure Sockets Layer)은 자체 서명된 인증서를 사용할 수 있는 두 서비스입니다.
자체 서명된 인증서는 인증 기관(CA)에서 생성한 인증서와 달리 추가 보안을 제공하지 않습니다. 이는 클라이언트가 자신이 연결한 서버가 인증서에 보급된 서버인지 확인할 수 없기 때문입니다.
스위치는 자체 서명 인증서를 생성하는 두 가지 방법을 제공합니다.
자동 생성
이 경우 인증서 작성자가 스위치입니다. 자동으로 생성된("시스템 생성"이라고도 함) 자체 서명 인증서는 기본적으로 스위치에 구성됩니다.
스위치가 초기화되면 자동으로 생성된 자체 서명 인증서가 있는지 확인합니다. 찾지 못하면 스위치가 하나를 생성하여 파일 시스템에 저장합니다.
스위치에 의해 자동으로 생성되는 자체 서명 인증서는 SSH 호스트 키와 유사합니다. 구성의 일부가 아닌 파일 시스템에 저장됩니다. 스위치가 재부팅될 때 지속되며 명령이 내려져도 보존
request system snapshot됩니다.스위치는 자동으로 생성된 인증서에 대해 다음과 같은 고유 이름을 사용합니다.
" CN=<장치 일련 번호>, CN=시스템 생성, CN=자체 서명"
스위치에서 시스템 생성 자체 서명 인증서를 삭제하면 스위치가 자체 서명 인증서를 자동으로 생성합니다.
수동 생성
이 경우 스위치에 대한 자체 서명 인증서를 생성합니다. 언제든지 CLI를 사용하여 자체 서명 인증서를 생성할 수 있습니다. 수동으로 생성된 자체 서명 인증서는 구성의 일부가 아닌 파일 시스템에 저장됩니다.
자체 서명된 인증서는 생성된 시점부터 5년 동안 유효합니다. 자동으로 생성된 자체 서명 인증서의 유효 기간이 만료되면 스위치에서 해당 인증서를 삭제하여 스위치가 새 자체 서명 인증서를 생성하도록 할 수 있습니다.
시스템에서 생성된 자체 서명 인증서와 수동으로 생성된 자체 서명 인증서는 스위치에 공존할 수 있습니다.
스위치에서 자체 서명 인증서 수동 생성(CLI 절차)
EX 시리즈 스위치를 사용하면 사용자 지정 자체 서명 인증서를 생성하고 파일 시스템에 저장할 수 있습니다. 수동으로 생성한 인증서는 스위치에서 자동으로 생성된 자체 서명 인증서와 공존할 수 있습니다. SSL을 통해 스위치에 대한 보안 액세스를 활성화하기 위해 시스템에서 생성된 자체 서명 인증서 또는 수동으로 생성한 인증서를 사용할 수 있습니다.
자체 서명된 인증서를 수동으로 생성하려면 다음 작업을 완료해야 합니다.
스위치에서 퍼블릭-프라이빗 키 페어 생성
디지털 인증서에는 인증서에 디지털 서명하는 데 사용되는 연관된 암호화 키 쌍이 있습니다. 암호화 키 쌍은 공개 키와 개인 키로 구성됩니다. 자체 서명된 인증서를 생성할 때 자체 서명된 인증서에 서명하는 데 사용할 수 있는 퍼블릭-프라이빗 키 쌍을 제공해야 합니다. 따라서 자체 서명된 인증서를 생성하기 전에 퍼블릭-프라이빗 키 쌍을 생성해야 합니다.
퍼블릭-프라이빗 키 쌍을 생성하려면 다음을 수행합니다.
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
선택적으로 암호화 알고리즘과 암호화 키의 크기를 지정할 수 있습니다. 암호화 알고리즘 및 암호화 키 크기를 지정하지 않으면 기본값이 사용됩니다. 기본 암호화 알고리즘은 RSA이고 기본 암호화 키 크기는 1024비트입니다.
퍼블릭-프라이빗 키 쌍이 생성되면 스위치에 다음이 표시됩니다.
generated key pair certificate-id-name, key size 1024 bits
스위치에서 자체 서명 인증서 생성
자체 서명 인증서를 수동으로 생성하려면 인증서 ID 이름, 고유 이름(DN)의 주체, 도메인 이름, 스위치의 IP 주소 및 인증서 소유자의 이메일 주소를 포함합니다.
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
생성한 인증서는 스위치의 파일 시스템에 저장됩니다. 인증서를 생성하는 동안 지정한 인증서 ID는 HTTPS 또는 XNM-SSL 서비스를 사용하도록 설정하는 데 사용할 수 있는 고유 식별자입니다.
인증서가 제대로 생성되고 로드되었는지 확인하려면 작동 명령을 입력합니다 show security pki local-certificate .
자체 서명 인증서 삭제(CLI 절차)
EX 시리즈 스위치에서 자동 또는 수동으로 생성되는 자체 서명 인증서를 삭제할 수 있습니다. 자동으로 생성된 자체 서명 인증서를 삭제하면 스위치가 새 자체 서명 인증서를 생성하여 파일 시스템에 저장합니다.
스위치에서 자동으로 생성된 인증서 및 관련 키 쌍을 삭제하려면,
user@switch> clear security pki local-certificate system-generated
스위치에서 수동으로 생성된 인증서 및 관련 키 쌍을 삭제하려면:
user@switch> clear security pki local-certificate certificate-id certificate-id-name
스위치에서 수동으로 생성된 모든 인증서 및 관련 키 쌍을 삭제하려면:
user@switch> clear security pki local-certificate all
자체 서명 인증서를 사용하여 스위치에서 HTTPS 및 XNM-SSL 서비스 활성화(CLI 절차)
시스템에서 생성된 자체 서명 인증서 또는 수동으로 생성된 자체 서명 인증서를 사용하여 웹 관리 HTTPS 및 XNM-SSL 서비스를 사용하도록 설정할 수 있습니다.
자동으로 생성된 자체 서명 인증서를 사용하여 HTTPS 서비스를 사용하도록 설정하려면:
[edit] user@switch# set system services web-management https system-generated-certificate
수동으로 생성된 자체 서명 인증서를 사용하여 HTTPS 서비스를 활성화하려면,
[edit] user@switch# set system services web-management https pki-local-certificate certificate-id-name
메모:의 certificate-id-name 값은 자체 서명된 인증서를 수동으로 생성할 때 지정한 이름과 일치해야 합니다.
수동으로 생성된 자체 서명 인증서를 사용하여 XNM-SSL 서비스를 사용하도록 설정하려면:
[edit] user@switch# set system services xnm-ssl local-certificate certificate-id-name
메모:의 certificate-id-name 값은 자체 서명된 인증서를 수동으로 생성할 때 지정한 이름과 일치해야 합니다.