ACME 프로토콜
ACME 프로토콜 이해하기
ACME(Automated Certificate Management Environment) 프로토콜은 Let's Encrypt와 같은 여러 PKI 서버에서 사용하는 새로운 PKI 등록 표준입니다. Let's encrypt 인증서를 사용하면 SRX 시리즈 방화벽에서 웹 서버 인증서를 무료로 사용할 수 있으며, 이는 Juniper Secure Connect 및 J-Web에서 사용할 수 있습니다. Junos OS는 25일마다 Let's Encrypt 인증서를 자동으로 재등록합니다.
ACME 프로토콜을 사용하면 Let's Encrypt 서버 또는 ACME 지원 서버에서 인증서를 등록할 수 있습니다. SRX 시리즈 방화벽은 Let's Encrypt 서버의 인증서를 등록하고 Juniper Secure Connect는 CA 인증서를 복사 및 다운로드하지 않고 인증서를 검증합니다.
Let's Encrypt를 사용할 때는 에 표시된 그림 1대로 Let's Encrypt 서버가 도메인 이름을 SRX 시리즈 방화벽 인터페이스의 IP 주소로 확인할 수 있는지 확인합니다. TCP 포트 80에서 SRX 시리즈 방화벽 인터페이스에 연결할 수 있어야 합니다. 인증서를 등록하는 동안 SRX 시리즈 방화벽은 이 수신 요청을 자동으로 일시적으로 허용합니다. SRX 시리즈 방화벽, 중간 방화벽 또는 라우터가 TCP 포트 80을 차단하는 경우 인증서 등록이 실패합니다.
제한
-
ACME 사양 - dns-01 및 외부 계정 바인딩은 지원되지 않습니다.
-
J-Web이 포트 80을 수신할 때 ACME를 사용할 수 없습니다.
-
와일드카드 인증서는 지원되지
*.mydomain.com
않으며, 대신 여러 DNS 이름을 등록할 수 있습니다.
Let's Encrypt Server를 사용하여 로컬 인증서 등록
이 예제에서는 Let's Encrypt를 사용하여 로컬 인증서를 등록하는 방법을 보여 줍니다.
-
CA 프로필을 지정합니다.
[edit] user@host# set security pki ca-profile ISRG_Root_X1 ca-identity ISRG_Root_X1 user@host# set security pki ca-profile ISRG_Root_X1 revocation-check disable user@host# set security pki ca-profile Lets_Encrypt ca-identity Lets_Encrypt user@host# set security pki ca-profile Lets_Encrypt enrollment url https://acme-v02.api.letsencrypt.org/directory
-
구성을 커밋합니다.
[edit] user@host# commit
-
CA 인증서를 로드합니다.
[edit] user@host> request security pki ca-certificate load ca-profile ISRG_Root_X1 filename ISRG_Root_X1.pem
-
ACME 키 ID를 생성합니다.
[edit] user@host> request security pki generate-key-pair size 2048 type rsa acme-key-id mydomain
-
로컬 인증서 등록을 준비합니다.
[edit] user@host> request security pki generate-key-pair size 2048 type rsa certificate-id service-mydomain
-
하나의 도메인 이름으로 인증서를 등록합니다.
[edit] user@host> request security pki local-certificate enroll acme acme-key-id mydoamin certificate-id service-mydomain ca-profile Lets_Encrypt domain-name jweb.mydomain.com email jweb@acmejnpr.net letsencrypt-enrollment yes terms-of-service agree
여러 도메인 이름으로 인증서를 등록합니다.
[edit] user@host> request security pki local-certificate enroll acme acme-key-id mydomain certificate-id service-mydomain ca-profile Lets_Encrypt domain-name jweb.mydomain.com,remote-acess.mydomain.com email jweb@acmejnpr.net letsencrypt-enrollment yes terms-of-service agree
-
등록이 완료되면 발급된 인증서가 certificate-id service-mydomian에 로드됩니다.
로컬 인증서 수동 재등록
온라인으로 로컬 인증서를 다시 등록하려면:
-
재등록 요청을 시작합니다.
[edit] user@host> request security pki local-certificate re-enroll acme acme-key-id mydomain certificate-id serice-mydomain ca-profile Lets_Encrypt re-generate-keypair
-
재등록이 완료되면 발급된 인증서가 certificate-id service-mydomian에 로드됩니다.
ACME 계정 삭제
ACME 계정을 삭제하려면 다음을 수행합니다.
-
ACME 계정을 삭제합니다.
[edit] user@host> clear security pki acme account acme-key-id mydomain ca-profile Lets_Encrypt
등록에 의해 ACME가 활성화되거나 생성된 경우에만 ACME 계정 키를 삭제할 수 있습니다.