EN ESTA PÁGINA
Criptografía de clave pública
Descripción de la criptografía de clave pública en conmutadores
La criptografía describe las técnicas relacionadas con los siguientes aspectos de la seguridad de la información:
Privacidad o confidencialidad
Integridad de los datos
Autenticación
No repudio o no repudio de origen: el no repudio de origen significa que los firmantes no pueden afirmar que no firmaron un mensaje mientras afirman que su clave privada permanece secreta. En algunos esquemas de no rechazo utilizados en firmas digitales, se adjunta una marca de tiempo a la firma digital, de modo que incluso si la clave privada está expuesta, la firma sigue siendo válida. Las claves públicas y privadas se describen en el texto siguiente.
En la práctica, los métodos criptográficos protegen los datos transferidos de un sistema a otro a través de redes públicas mediante el cifrado de los datos mediante una clave de cifrado. La criptografía de clave pública (PKC), que se utiliza en los conmutadores Ethernet de la serie EX de Juniper Networks, utiliza un par de claves de cifrado: una clave pública y una clave privada. Las claves públicas y privadas se crean simultáneamente utilizando el mismo algoritmo de cifrado. La clave privada es mantenida por un usuario en secreto y la clave pública se publica. Los datos cifrados con una clave pública solo se pueden descifrar con la clave privada correspondiente y viceversa. Cuando se genera un par de claves pública/privada, el modificador guarda automáticamente el par de claves en un archivo del almacén de certificados, desde el que se utiliza posteriormente en los comandos de solicitud de certificado. El par de claves generado se guarda como certificate-id.Priv.
El tamaño predeterminado de las claves RSA y DSA es de 1024 bits. Si utiliza el Protocolo simple de inscripción de certificados (SCEP), el sistema operativo Junos de Juniper Networks (Junos OS) solo admite RSA.
Infraestructura de clave pública (PKI) y certificados digitales
La infraestructura de clave pública (PKI) permite la distribución y el uso de las claves públicas en criptografía de clave pública con seguridad e integridad. PKI administra las claves públicas mediante certificados digitales. Un certificado digital proporciona un medio electrónico para comprobar la identidad de una persona, una organización o un servicio de directorio que puede almacenar certificados digitales.
Una PKI suele estar compuesta por una autoridad de registro (RA) que comprueba las identidades de las entidades, autoriza sus solicitudes de certificado y genera pares de claves asimétricas únicas (a menos que las solicitudes de certificado de los usuarios ya contengan claves públicas); y una Autoridad de Certificación (CA) que emite los certificados digitales correspondientes para las entidades solicitantes. Opcionalmente, puede utilizar un repositorio de certificados que almacene y distribuya certificados y una lista de revocación de certificados (CRL) que identifique los certificados que ya no son válidos. Cada entidad que posea la clave pública auténtica de una CA puede verificar los certificados emitidos por esa CA.
Las firmas digitales explotan el sistema criptográfico de clave pública de la siguiente manera:
Un remitente firma digitalmente los datos aplicando una operación criptográfica, que implica su clave privada, en un resumen de los datos.
La firma resultante se adjunta a los datos y se envía al receptor.
El receptor obtiene el certificado digital del remitente, que proporciona la clave pública del remitente y la confirmación del vínculo entre su identidad y la clave pública. El certificado del remitente a menudo se adjunta a los datos firmados.
El receptor confía en este certificado o intenta verificarlo. El receptor verifica la firma en los datos utilizando la clave pública contenida en el certificado. Esta verificación garantiza la autenticidad e integridad de los datos recibidos.
Como alternativa al uso de una PKI, una entidad puede distribuir su clave pública directamente a todos los posibles verificadores de firmas, siempre que la integridad de la clave esté protegida. El modificador lo hace mediante un certificado autofirmado como contenedor para la clave pública y la identidad de la entidad correspondiente.
Ver también
Descripción de los certificados autofirmados en conmutadores de la serie EX
Cuando inicializa un conmutador Ethernet de la serie EX de Juniper Networks con la configuración predeterminada de fábrica, el conmutador genera un certificado autofirmado que permite el acceso seguro al conmutador mediante el protocolo Capa de sockets seguros (SSL). El Protocolo de transferencia de hipertexto sobre Capa de sockets seguros (HTTPS) y la Administración de red XML sobre Capa de sockets seguros (XNM-SSL) son los dos servicios que pueden hacer uso de los certificados autofirmados.
Los certificados autofirmados no proporcionan seguridad adicional al igual que los generados por las entidades de certificación (CA). Esto se debe a que un cliente no puede comprobar que el servidor al que se ha conectado es el anunciado en el certificado.
Los modificadores proporcionan dos métodos para generar un certificado autofirmado:
Generación automática
En este caso, el creador del certificado es el modificador. Un certificado autofirmado generado automáticamente (también denominado "generado por el sistema") se configura en el conmutador de forma predeterminada.
Una vez inicializado el conmutador, comprueba la presencia de un certificado autofirmado generado automáticamente. Si no encuentra ninguno, el conmutador genera uno y lo guarda en el sistema de archivos.
Un certificado autofirmado generado automáticamente por el conmutador es similar a una clave de host SSH. Se almacena en el sistema de archivos, no como parte de la configuración. Persiste cuando se reinicia el conmutador y se conserva cuando se emite un
request system snapshotcomando.El conmutador utiliza el siguiente nombre distintivo para el certificado generado automáticamente:
" CN=<número de serie del dispositivo>, CN=sistema generado, CN=autofirmado"
Si elimina el certificado autofirmado generado por el sistema en el conmutador, el conmutador genera un certificado autofirmado automáticamente.
Generación manual
En este caso, debe crear el certificado autofirmado para el conmutador. En cualquier momento, puede usar la CLI para generar un certificado autofirmado. Los certificados autofirmados generados manualmente se almacenan en el sistema de archivos, no como parte de la configuración.
Los certificados autofirmados tienen una validez de cinco años a partir del momento en que se generan. Cuando expire la validez de un certificado autofirmado generado automáticamente, puede eliminarlo del conmutador para que el conmutador genere un nuevo certificado autofirmado.
Los certificados autofirmados generados por el sistema y los certificados autofirmados generados manualmente pueden coexistir en el conmutador.
Generación manual de certificados autofirmados en conmutadores (procedimiento de CLI)
Los modificadores de la serie EX le permiten generar certificados autofirmados personalizados y almacenarlos en el sistema de archivos. El certificado que genere manualmente puede coexistir con el certificado autofirmado generado automáticamente en el conmutador. Para habilitar el acceso seguro al conmutador a través de SSL, puede utilizar el certificado autofirmado generado por el sistema o un certificado que haya generado manualmente.
Para generar certificados autofirmados manualmente, debe completar las siguientes tareas:
- Generación de un par de claves público-privada en conmutadores
- Generación de certificados autofirmados en conmutadores
Generación de un par de claves público-privada en conmutadores
Un certificado digital tiene asociado un par de claves criptográficas que se utiliza para firmar el certificado digitalmente. El par de claves criptográficas comprende una clave pública y una clave privada. Al generar un certificado autofirmado, debe proporcionar un par de claves pública-privada que se pueda usar para firmar el certificado autofirmado. Por lo tanto, debe generar un par de claves pública-privada antes de poder generar un certificado autofirmado.
Para generar un par de claves pública-privada:
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
Opcionalmente, puede especificar el algoritmo de cifrado y el tamaño de la clave de cifrado. Si no especifica el algoritmo de cifrado y el tamaño de la clave de cifrado, se utilizan los valores predeterminados. El algoritmo de cifrado predeterminado es RSA y el tamaño predeterminado de la clave de cifrado es 1024 bits.
Después de generar el par de claves pública-privada, el conmutador muestra lo siguiente:
generated key pair certificate-id-name, key size 1024 bits
Generación de certificados autofirmados en conmutadores
Para generar el certificado autofirmado manualmente, incluya el nombre del ID del certificado, el asunto del nombre distintivo (DN), el nombre de dominio, la dirección IP del conmutador y la dirección de correo electrónico del titular del certificado:
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
El certificado que ha generado se almacena en el sistema de archivos del conmutador. El ID de certificado que especificó al generar el certificado es un identificador único que puede usar para habilitar los servicios HTTPS o XNM-SSL.
Para comprobar que el certificado se generó y cargó correctamente, escriba el show security pki local-certificate comando operativo.
Eliminación de certificados autofirmados (procedimiento de CLI)
Puede eliminar un certificado autofirmado que se genera automática o manualmente desde el conmutador de la serie EX. Cuando elimina el certificado autofirmado generado automáticamente, el conmutador genera un nuevo certificado autofirmado y lo almacena en el sistema de archivos.
Para eliminar el certificado generado automáticamente y su par de claves asociado del conmutador:
user@switch> clear security pki local-certificate system-generated
Para eliminar un certificado generado manualmente y su par de claves asociado del modificador:
user@switch> clear security pki local-certificate certificate-id certificate-id-name
Para eliminar todos los certificados generados manualmente y sus pares de claves asociados del conmutador:
user@switch> clear security pki local-certificate all
Habilitación de servicios HTTPS y XNM-SSL en conmutadores mediante certificados autofirmados (procedimiento de CLI)
Puede usar el certificado autofirmado generado por el sistema o un certificado autofirmado generado manualmente para habilitar los servicios HTTPS y XNM-SSL de administración web.
Para habilitar servicios HTTPS mediante el certificado autofirmado generado automáticamente:
[edit] user@switch# set system services web-management https system-generated-certificate
Para habilitar servicios HTTPS mediante un certificado autofirmado generado manualmente:
[edit] user@switch# set system services web-management https pki-local-certificate certificate-id-name
Nota:El valor del certificate-id-name debe coincidir con el nombre especificado cuando generó el certificado autofirmado manualmente.
Para habilitar servicios XNM-SSL mediante un certificado autofirmado generado manualmente:
[edit] user@switch# set system services xnm-ssl local-certificate certificate-id-name
Nota:El valor del certificate-id-name debe coincidir con el nombre especificado cuando generó el certificado autofirmado manualmente.