Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

Junos OS의 PKI

SUMMARY 이 주제는 Junos OS의 PKI(공개 키 인프라)의 기본 요소에 대해 설명합니다.

PKI(공개 키 인프라)는 공개 암호화 키의 배포 및 식별을 지원하여 사용자가 인터넷과 같은 네트워크를 통해 데이터를 안전하게 교환하고 상대방의 신원을 확인할 수 있도록 합니다.

Junos OS의 PKI 소개

PKI 응용 프로그램 개요

Junos OS는 다음 영역에서 퍼블릭/프라이빗 키를 사용합니다.

  • SSH/SCP(CLI[SECURE COMMAND-LINE INTERFACE] 기반 관리용)

  • SSL(Secure Sockets Layer)(보안 웹 기반 관리 및 사용자 인증을 위한 HTTPS 기반 웹 인증용)

  • IKE(Internet Key Exchange)(IPsec VPN 터널용)

주:

다음 사항에 유의하십시오.

  • 현재 Junos OS는 IKE(공개 키 검증을 위한 PKI(Public Key Infrastructure) 인증서 사용)만 지원합니다.

  • SSH 및 SCP는 시스템 관리용으로만 사용되며 공개 키 ID 바인딩 및 검증을 위한 대역 외 지문 사용에 따라 달라집니다. SSH에 대한 자세한 내용은 이 항목에서 다루지 않습니다.

Junos OS에서 PKI를 관리하기 위한 구성 요소

Junos OS에서 PKI를 관리하기 위해서는 다음 구성 요소가 필요합니다.

  • CA 인증서 및 기관 구성

  • 디바이스 ID를 포함한 로컬 인증서(예: IKE ID 유형 및 값)과 개인 및 공개 키

  • CRL(인증서 해지 목록)을 통한 인증서 유효성 검사

Junos OS에서 PKI의 기본 요소

Junos OS는 다음과 같은 세 가지 유형의 PKI 객체를 지원합니다.

  • 프라이빗/퍼블릭 키 쌍

  • 인증서

    • 로컬 인증서 - 로컬 인증서에는 주니퍼 네트웍스 디바이스에 대한 공개 키와 ID 정보가 포함되어 있습니다. 주니퍼 네트웍스 디바이스는 연결된 프라이빗 키를 소유합니다. 이 인증서는 주니퍼 네트웍스 디바이스의 인증서 요청에 따라 생성됩니다.

    • 보류 중인 인증서 — 보류 중인 인증서에는 PKCS10 인증서 요청으로 생성되어 인증 기관(CA)으로 수동으로 전송되는 키 쌍 및 ID 정보가 포함되어 있습니다. 주니퍼 네트웍스 디바이스가 CA의 인증서를 기다리는 동안 기존 개체(키 페어 및 인증서 요청)는 인증서 요청 또는 보류 중인 인증서로 태그가 지정됩니다.

      주:

      Junos OS 릴리스 9.0 이상은 SCEP를 통해 인증서 요청의 자동 전송을 지원합니다.

    • CA 인증서 — CA에서 인증서를 발급하고 Junos OS 디바이스에 로드하면 보류 중인 인증서가 새로 생성된 로컬 인증서로 대체됩니다. 디바이스에 로드된 다른 모든 인증서는 CA 인증서로 간주됩니다.

  • 인증서 해지 목록(CRL)

인증서에 대한 다음 사항에 유의하십시오.

  • 로컬 인증서는 일반적으로 Junos OS 디바이스가 둘 이상의 관리 도메인에 VPN을 가지고 있을 때 사용됩니다.

  • 모든 PKI 객체는 Junos OS 이미지 및 시스템의 일반 구성과는 별도로 별도의 영구 메모리 파티션에 저장됩니다.

  • 각 PKI 개체는 생성될 때 지정된 고유한 이름 또는 인증서 ID를 가지며 삭제될 때까지 해당 ID를 유지합니다. 명령을 사용하여 인증서 ID를 볼 수 있습니다 show security pki local-certificate .

  • 대부분의 경우 장치에서 인증서를 복사할 수 없습니다. 장치의 개인 키는 해당 장치에서만 생성되어야 하며 해당 장치에서 보거나 저장해서는 안 됩니다. 따라서 PKCS12 파일(공개 키 및 관련 개인 키가 포함된 인증서 포함)은 Junos OS 디바이스에서 지원되지 않습니다.

  • CA 인증서는 IKE 피어가 수신한 인증서의 유효성을 검사합니다. 인증서가 유효한 경우 CRL에서 확인되어 인증서가 해지되었는지 여부를 확인합니다.

    각 CA 인증서에는 다음 정보를 저장하는 CA 프로필 구성이 포함되어 있습니다.

    • CA ID(일반적으로 CA의 도메인 이름)

    • 인증서 요청을 CA로 직접 보내기 위한 전자 메일 주소

    • 해지 설정:

      • 해지 확인 사용/사용 안 함 옵션

      • CRL 다운로드 실패 시 해지 확인 사용 안 함.

      • CDP(CRL 배포 지점)의 위치(수동 URL 설정용)

      • CRL 새로 고침 간격

Junos OS의 PKI 구성 요소

이 주제는 다음 섹션을 포함합니다.

PKI 관리 및 구현

Junos OS에서 인증서 기반 인증에 필요한 최소 PKI 요소는 다음과 같습니다.

  • CA 인증서 및 기관 구성.

  • 디바이스의 ID를 포함한 로컬 인증서(예: IKE ID 유형 및 값)과 개인 및 공개 키

  • CRL을 통한 인증서 유효성 검사.

Junos OS는 세 가지 유형의 PKI 객체를 지원합니다.

Internet Key Exchange

IKE(Internet Key Exchange) 세션에서 두 참가자 간에 전송되는 메시지에 디지털 서명하는 절차는 디지털 인증서 확인과 비슷하지만 다음과 같은 차이점이 있습니다.

  • CA 인증서에서 다이제스트를 만드는 대신 발신자는 IP 패킷 페이로드의 데이터에서 다이제스트를 만듭니다.

  • CA의 퍼블릭-프라이빗 키 쌍을 사용하는 대신 참가자는 보낸 사람의 퍼블릭-프라이빗 키 쌍을 사용합니다.

신뢰할 수 있는 CA 그룹

인증 기관(CA)은 인증서 발급 및 해지를 담당하는 신뢰할 수 있는 제3자입니다. 지정된 토폴로지에 대해 신뢰할 수 있는 하나의 CA 그룹에서 여러 CA(CA 프로필)를 그룹화할 수 있습니다. 이러한 인증서는 두 엔드포인트 간의 연결을 설정하는 데 사용됩니다. IKE 또는 IPsec을 설정하려면 두 엔드포인트가 동일한 CA를 신뢰해야 합니다. 엔드포인트 중 하나가 각각의 신뢰할 수 있는 CA(ca-profile) 또는 신뢰할 수 있는 CA 그룹을 사용하여 인증서의 유효성을 검사할 수 없는 경우 연결이 설정되지 않습니다.

예를 들어 끝점 A와 끝점 B라는 두 개의 끝점이 보안 연결을 설정하려고 합니다. 엔드포인트 B가 엔드포인트 A에 인증서를 제시하면 엔드포인트 A는 인증서가 유효한지 확인합니다. 엔드포인트 A의 CA는 엔드포인트 B가 권한을 부여받기 위해 사용하는 서명된 인증서를 확인합니다. 또는 trusted-ca-group 가 구성되면 trusted-ca 디바이스는 이 trusted-ca-group 프로필에 추가된 CA 프로필 또는 에 trusted-ca 구성된 CA 프로필만 사용하여 엔드포인트 B에서 오는 인증서의 유효성을 검사합니다. 인증서가 유효한 것으로 확인되면 연결이 허용되고, 그렇지 않으면 연결이 거부됩니다.

혜택:

  • 들어오는 연결 요청의 경우 해당 엔드포인트의 신뢰할 수 있는 특정 CA에서 발급한 인증서만 유효성이 검사됩니다. 그렇지 않으면 권한 부여에서 연결 설정을 거부합니다.

암호화 키 처리 개요

암호화 키 처리를 사용하면 영구 키를 변경하려는 시도 없이 디바이스의 메모리에 저장됩니다. 내부 메모리 장치는 잠재적인 악의적 사용자가 직접 액세스할 수 없지만 두 번째 방어 계층이 필요한 사용자는 암호화 키에 대한 특수 처리를 가능하게 할 수 있습니다. 사용하도록 설정하면 암호화 키 처리가 즉시 사용되지 않을 때 키를 암호화하고, 한 메모리 위치에서 다른 메모리 위치로 키를 복사할 때 오류 검색을 수행하고, 키가 더 이상 사용되지 않을 때 임의의 비트 패턴으로 키의 메모리 위치를 덮어씁니다. 키는 장치의 플래시 메모리에 저장될 때도 보호됩니다. 암호화 키 처리 기능을 사용하도록 설정해도 장치 동작에 외부에서 관찰할 수 있는 변경이 발생하지 않으며 장치는 다른 장치와 계속 상호 운용됩니다.

암호화 관리자는 암호화 자체 테스트 기능을 활성화 및 비활성화할 수 있습니다. 그러나 보안 관리자는 주기적인 자체 테스트 구성 또는 암호화 자체 테스트의 하위 집합 선택과 같은 암호화 자체 테스트 기능의 동작을 수정할 수 있습니다.

다음 영구 키는 현재 IKE 및 PKI에서 관리하고 있습니다.

  • IKE 사전 공유 키(IKE PSK)

  • PKI 개인 키

  • 수동 VPN 키

TPM 기반 인증서 처리

SRX 시리즈 방화벽에서 사용할 수 있는 TPM 기반(Trusted Platform Module 기반) 인증서는 디바이스의 안전한 식별을 보장합니다. Junos OS 릴리스 24.2R1부터 TPM 기반 인증서를 SRX1600, SRX2300 및 SRX4300 시리즈 방화벽과 함께 사용할 수 있습니다. 주니퍼 ATP(Advanced Threat Prevention) 클라우드를 사용하는 고급 멀웨어 방지(AAMW) 탐지와 같은 애플리케이션을 사용하는 경우 TPM 기반 인증서를 증명에 사용할 수 있으므로 애플리케이션이 디바이스의 적법성을 검증할 수 있습니다. TPM 및 방화벽에서 PKI를 사용하여 TPM 기반 인증서를 관리하는 방법에 대한 자세한 내용은 신뢰할 수 있는 플랫폼 모듈을 참조하세요.

참조

관련 항목