인증 기관
인증 기관(CA) 프로필은 특정 인증서와 연관된 모든 매개 변수를 정의하여 두 엔드포인트 간의 보안 연결을 설정합니다. 프로필은 사용할 인증서, 인증서 해지 상태를 확인하는 방법 및 해당 상태가 액세스를 제한하는 방법을 지정합니다.
신뢰할 수 있는 CA 그룹 구성
이 섹션에서는 CA 프로필 목록에 대해 신뢰할 수 있는 CA 그룹을 생성하고 신뢰할 수 있는 CA 그룹을 삭제하는 절차에 대해 설명합니다.
CA 프로필 목록에 대한 신뢰할 수 있는 CA 그룹 만들기
신뢰할 수 있는 CA 그룹을 구성하고 할당하여 엔터티에 권한을 부여할 수 있습니다. 피어가 클라이언트와의 연결을 설정하려고 하면 해당 엔터티의 신뢰할 수 있는 특정 CA에서 발급한 인증서만 유효성이 검사됩니다. 디바이스는 인증서 발급자와 인증서를 제시하는 발급자가 동일한 클라이언트 네트워크에 속하는지 확인합니다. 발행자와 발표자가 동일한 클라이언트 네트워크에 속해 있으면 연결이 설정됩니다. 그렇지 않으면 연결이 설정되지 않습니다.
시작하기 전에 신뢰할 수 있는 그룹에 추가하려는 모든 CA 프로필 목록이 있어야 합니다.
이 예에서는 , , 라는 orgC-ca-profile 세 개의 CA 프로필을 orgA-ca-profile만들고 각 프로필에 대해 다음 CA 식별자 ca-profile1, ca-profile2및 를 ca-profile3 연결합니다. orgB-ca-profile 신뢰할 수 있는 CA 그룹에 속하도록 세 개의 CA 프로필을 모두 그룹화할 수 있습니다 orgABC-trusted-ca-group.
신뢰할 수 있는 CA 그룹에 대해 최대 20개의 CA 프로필을 구성할 수 있습니다.
디바이스에 구성된 CA 프로필 및 신뢰할 수 있는 CA 그룹을 보려면 명령을 실행합니다 show security pki .
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
ca-profile orgC-ca-profile {
ca-identity ca-profile3;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile orgC-ca-profile ];
}
이 show security pki 명령은 아래에 orgABC_trusted-ca-group그룹화된 모든 CA 프로필을 표시합니다.
신뢰할 수 있는 CA 그룹에서 CA 프로필 삭제
신뢰할 수 있는 CA 그룹에서 특정 CA 프로필을 삭제하거나 신뢰할 수 있는 CA 그룹 자체를 삭제할 수 있습니다.
예를 들어 신뢰할 수 있는 CA 그룹에서 orgABC-trusted-ca-group이름이 orgC-ca-profile 지정된 CA 프로필을 삭제하려면 항목에 표시된 대로 디바이스에 구성되어 다음 단계를 수행합니다.신뢰할 수 있는 CA 그룹 구성
에서 삭제되는 을 orgC-ca-profile (를) orgABC-trusted-ca-group 보려면 명령을 실행합니다 show security pki .
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile ];
}
신뢰할 수 있는 CA 그룹에서 삭제되므로 출력에 프로필이 표시되지 orgC-ca-profile 않습니다.
신뢰할 수 있는 CA 그룹 삭제
엔터티는 신뢰할 수 있는 많은 CA 그룹을 지원할 수 있으며 엔터티에 대한 신뢰할 수 있는 CA 그룹을 삭제할 수 있습니다.
예를 들어, 주제와 신뢰할 수 있는 CA 그룹 구성 같이 디바이스에 구성된 신뢰할 수 있는 CA 그룹 orgABC-trusted-ca-group을(를) 삭제하려면 다음 단계를 수행합니다.
엔터티에서 삭제되는 것을 orgABC-trusted-ca-group 보려면 명령을 실행합니다 show security pki .
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
출력에는 엔터티에서 삭제되므로 이( orgABC-trusted-ca-group 가) 표시되지 않습니다.
인증 기관 프로파일 이해
인증 기관(CA) 프로파일 구성에는 CA와 관련된 정보가 포함되어 있습니다. SRX 시리즈 방화벽에는 여러 CA 프로필이 있을 수 있습니다. 예를 들어 orgA에 대한 프로필과 orgB에 대한 프로필이 있을 수 있습니다. 각 프로필은 CA 인증서와 연결됩니다. 이전 인증서를 제거하지 않고 새 CA 인증서를 로드하려면 새 CA 프로필(예: Microsoft-2008)을 만듭니다.
Junos OS 릴리스 18.1R1부터 CA 서버는 IPv6 CA 서버가 될 수 있습니다.
PKI 모듈은 IPv6 주소 형식을 지원하므로 IPv6가 유일한 프로토콜인 네트워크에서 SRX 시리즈 방화벽을 사용할 수 있습니다.
CA는 인증서 유효성 검사를 통해 두 엔드포인트 간의 보안 연결을 설정하는 데 도움이 되는 디지털 인증서를 발급합니다. 지정된 토폴로지에 대해 하나의 신뢰할 수 있는 CA 그룹에서 여러 CA 프로필을 그룹화할 수 있습니다. 이러한 인증서는 두 끝점 간의 연결을 설정하는 데 사용됩니다. IKE 또는 IPsec을 설정하려면 두 엔드포인트가 동일한 CA를 신뢰해야 합니다. 엔드포인트 중 하나가 각각의 신뢰할 수 있는 CA(ca-profile) 또는 신뢰할 수 있는 CA 그룹을 사용하여 인증서의 유효성을 검사할 수 없는 경우 연결이 설정되지 않습니다. 신뢰할 수 있는 CA 그룹을 만들려면 최소 하나의 CA 프로필이 필수이며 하나의 신뢰할 수 있는 CA 그룹에는 최대 20개의 CA가 허용됩니다. 특정 그룹의 모든 CA는 해당 특정 엔드포인트에 대한 인증서의 유효성을 검사할 수 있습니다.
Junos OS 릴리스 18.1R1부터 지정된 CA 서버 또는 CA 서버 그룹을 사용하여 구성된 IKE 피어의 검증을 수행할 수 있습니다. 신뢰할 수 있는 CA 서버 그룹은 [edit security pki] 계층 수준의 구성 문을 사용하여 trusted-ca-group 만들 수 있으며 하나 이상의 CA 프로필을 지정할 수 있습니다. 신뢰할 수 있는 CA 서버는 [edit security ike policy policy certificate] 계층 수준에서 피어에 대한 IKE 정책 구성에 바인딩됩니다.
프록시 프로파일이 CA 프로파일에 구성된 경우 인증서 등록, 확인 또는 해지 중에 디바이스가 CA 서버 대신 프록시 호스트에 연결됩니다. 프록시 호스트는 디바이스의 요청에 따라 CA 서버와 통신한 다음 디바이스에 응답을 릴레이합니다.
CA 프록시 프로필은 SCEP, CMPv2 및 OCSP 프로토콜을 지원합니다.
CA 프록시 프로파일은 HTTP에서만 지원되며 HTTPS 프로토콜에서는 지원되지 않습니다.
참조
예: CA 프로필 구성
이 예에서는 CA 프로필을 구성하는 방법을 보여 줍니다.
요구 사항
이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.
개요
이 예제에서는 CA ID가 microsoft-2008인 ca-profile-ipsec CA 프로필을 만듭니다. 그런 다음 CA 프로필에 대한 프록시 프로필을 만듭니다. 구성은 CRL이 48시간마다 새로 고쳐지도록 지정하며, CRL을 검색할 위치는 입니다 http://www.my-ca.com. 이 예제에서는 등록 재시도 값을 20으로 설정합니다. (기본 재시도 값은 10입니다.)
자동 인증서 폴링은 30분마다로 설정됩니다. 재시도 간격을 구성하지 않고 재시도 전용을 구성하는 경우 기본 재시도 간격은 900초(또는 15분)입니다. 재시도 또는 재시도 간격을 구성하지 않으면 폴링이 없습니다.
구성
절차
단계별 절차
CA 프로필을 구성하려면 다음을 수행합니다.
CA 프로필을 만듭니다.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 user@host#
선택적으로 프록시 프로필을 CA 프로필로 구성합니다.
[edit] user@host# set security pki ca-profile ca-profile-ipsec proxy-profile px-profile
PKI(Public Key Infrastructure)는 시스템 수준에서 구성된 프록시 프로필을 사용합니다. CA 프로필에서 사용 중인 프록시 프로필은 계층에서
[edit services proxy]구성해야 합니다. 계층 아래에[edit services proxy]구성된 프록시 프로필이 두 개 이상 있을 수 있습니다. 각 CA 프로필은 이러한 프록시 프로필 중 가장 많이 참조됩니다. 계층에서 프록시 프로파일의 호스트 및 포트를 구성할 수 있습니다[edit system services proxy].해지 검사를 작성하여 인증서 해지 확인 방법을 지정합니다.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
새로 고침 간격(시간)을 설정하여 CRL을 업데이트할 빈도를 지정합니다. 기본값은 CRL의 다음 업데이트 시간 또는 다음 업데이트 시간이 지정되지 않은 경우 1주일입니다.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl refresh-interval 48 url http://www.my-ca.com/my-crl.crl
등록 재시도 값을 지정합니다.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry 20
CA 인증서를 온라인으로 자동 등록하려는 시도 사이의 시간 간격을 초 단위로 지정합니다.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry-interval 1800
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@host# commit
검증
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security pki .
예: IPv6 주소를 CA 프로필의 소스 주소로 구성
이 예에서는 IPv6 주소를 CA 프로필의 소스 주소로 구성하는 방법을 보여 줍니다.
이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.
이 예에서는 CA ID v6-ca 로 라는 orgA-ca-profile CA 프로필을 생성하고 CA 프로필의 소스 주소를 IPv6 주소(예: 2001:db8:0:f101::1)로 설정합니다. IPv6 주소를 수락하도록 등록 URL을 구성할 수 있습니다 http://[2002:db8:0:f101::1]:/.../.
참조
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.