Uso de certificados digitales para IPsec

Una forma popular para que los administradores de red escalen una red IPsec es usar certificados digitales en lugar de claves previamente compartidas. Para habilitar los certificados digitales en la red, debe usar una combinación de comandos de modo operativo e instrucciones de configuración. Las siguientes tareas permiten implementar certificados digitales en PIC AS y multiservicios instaladas en enrutadores serie M y T:

• Configuración de un perfil de CA

• Configuración de una lista de revocación de certificados

• Solicitud de un certificado digital de CA

• Generación de un par de claves privada/pública

• Generación e inscripción de un certificado digital local

• Aplicación del certificado digital local a una configuración IPsec

• Configuración de la reinscripción automática de certificados digitales

• Supervisión de certificados digitales

• Borrar certificados digitales

El perfil de CA contiene el nombre y la URL de la CA o RA, así como algunas configuraciones del temporizador de reintento. Los certificados de CA emitidos por Entrust, VeriSign y Microsoft son compatibles con los enrutadores serie M y T. Para configurar el nombre de dominio de la CA o RA, incluya la ca-identity instrucción en el nivel de [edit security pki ca-profile ca-profile-name] jerarquía. Para configurar la dirección URL de la CA, incluya la url instrucción en el [edit security pki ca-profile ca-profile-name enrollment] nivel de jerarquía. Para configurar el número de intentos de inscripción que debe realizar el enrutador, incluya la retry instrucción en el [edit security pki ca-profile ca-profile-name enrollment] nivel de jerarquía. Para configurar la cantidad de tiempo que el enrutador debe esperar entre intentos de inscripción, incluya la retry-interval instrucción en el nivel de [edit security pki ca-profile ca-profile-name enrollment] jerarquía.

Nota:

Cuando se elimina toda la configuración de infraestructura de clave pública (PKI), no se eliminan todos los certificados de CA del dispositivo como se esperaba. Se puede acceder a estos certificados de CA después de volver a crear los perfiles de CA.

Una lista de revocación de certificados (CRL) contiene una lista de certificados digitales que se han cancelado antes de su fecha de caducidad. Cuando un par participante utiliza un certificado digital, comprueba la firma y la validez del certificado. También adquiere la CRL emitida más recientemente y comprueba que el número de serie del certificado no esté en esa CRL. De forma predeterminada, la verificación de CRL está habilitada en cualquier perfil de CA que se ejecute en Junos OS versión 8.1 o posterior. Para deshabilitar la verificación de CRL, incluya la disable instrucción en el nivel jerárquico [edit security pki ca-profile ca-profile-name revocation-check].

Para especificar la dirección URL del servidor LDAP (Protocolo ligero de acceso a directorios) en el que la CA almacena su CRL actual, incluya la url instrucción en el nivel jerárquico [edit security pki ca-profile ca-profile-name revocation-check crl]. Si el servidor LDAP requiere una contraseña para acceder a la CRL, incluya la password instrucción en el nivel jerárquico [edit security pki ca-profile ca-profile-name revocation-check crl url].

Nota:

No es necesario especificar una URL para el servidor LDAP si el certificado incluye un punto de distribución de certificados (CDP). El CDP es un campo dentro del certificado que contiene información acerca de cómo recuperar la CRL para el certificado. El enrutador utiliza esta información para descargar la CRL automáticamente. Cualquier URL LDAP que configure tendrá prioridad sobre el CDP incluido en el certificado.

Si descargó manualmente la CRL, debe instalarla manualmente en el enrutador. Para instalar manualmente la CRL, ejecute el request security pki crl load ca-profile ca-profile-name filename path/filename comando.

Para configurar el intervalo de tiempo entre las actualizaciones de CRL, incluya la refresh-interval instrucción en el nivel jerárquico [edit security ca-profile ca-profile-name revocation-check crl].

Para invalidar el comportamiento predeterminado y permitir que la autenticación del mismo nivel IPsec continúe cuando no se pueda descargar la CRL, incluya la disable on-download-failure instrucción en el nivel jerárquico [edit security ca-profile ca-profile-name revocation-check crl].