Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Inscripción de certificados

Una entidad de certificación (CA) emite certificados digitales, lo que ayuda a establecer una conexión segura entre dos puntos de conexión mediante la validación de certificados. En los temas siguientes se describe cómo configurar certificados de CA en línea o locales mediante el Protocolo simple de inscripción de certificados (SCEP):

Inscripción de certificados digitales en línea: Descripción general de la configuración

Puede usar el Protocolo de administración de certificados versión 2 (CMPv2) o el Protocolo simple de inscripción de certificados (SCEP) para inscribir certificados digitales. Para inscribir un certificado en línea:

  1. Genere un par de claves en el dispositivo. Consulte Certificados digitales autofirmados.

  2. Cree uno o varios perfiles de CA que contengan información específica de una CA. Consulte Ejemplo: Configuración de un perfil de CA.

  3. Solo para SCEP, inscriba el certificado de CA. Consulte Inscripción de un certificado de CA en línea mediante SCEP.

  4. Inscriba el certificado local de la CA cuyo certificado de CA haya cargado anteriormente. Consulte Ejemplo: Inscribir un certificado local en línea mediante SCEP.

  5. Configure la reinscripción automática. Consulte Ejemplo: Usar SCEP para renovar automáticamente un certificado local.

Descripción de la inscripción de certificados de CA en línea

Con el Protocolo simple de inscripción de certificados (SCEP), puede configurar su dispositivo de Juniper Networks para obtener un certificado de autoridad de certificación (CA) en línea e iniciar la inscripción en línea para el ID de certificado especificado. La clave pública de CA verifica los certificados de pares remotos.

Descripción de las solicitudes de certificados locales

Cuando crea una solicitud de certificado local, el dispositivo genera uncertificado de entidad n end en formato PKCS #10 a partir de un par de claves que generó anteriormente con el mismo ID de certificado.

Un nombre de sujeto se asocia a la solicitud de certificado local en forma de nombre común (CN), unidad organizativa (OU), organización (O), localidad (L), estado (ST), país (C) y componente de dominio (DC). Además, un nombre alternativo de sujeto se asocia de la siguiente forma:

  • Dirección IP

  • Dirección de correo electrónico

  • Nombre de dominio completo (FQDN)

    Especifique el nombre del sujeto entre comillas, incluidos el componente de dominio (DC), el nombre común (CN), el número de serie (SN), el nombre de la unidad organizativa (OU), el nombre de la organización (O), la localidad (L), el estado (ST) y el país (C).

    Algunas CA no admiten una dirección de correo electrónico como nombre de dominio en un certificado. Si no incluye una dirección de correo electrónico en la solicitud de certificado local, no podrá utilizar una dirección de correo electrónico como ID de IKE local al configurar el dispositivo como par dinámico. En su lugar, puede usar un nombre de dominio completo (si está en el certificado local) o puede dejar vacío el campo ID local. Si no especifica un ID local para un par dinámico, escriba el hostname.domain-name de ese par en el dispositivo en el otro extremo del túnel IPsec en el campo ID del par.

Inscripción de un certificado de CA en línea mediante SCEP

Antes de empezar:

  1. Generar un par de claves pública y privada. Consulte Certificados digitales autofirmados.

  2. Cree un perfil de CA. Consulte Ejemplo: Configuración de un perfil de CA.

Para inscribir un certificado de CA en línea:

  1. Recupere el certificado de CA en línea mediante SCEP. (Los atributos necesarios para llegar al servidor de CA se obtienen del perfil de CA definido).

    El comando se procesa de forma sincrónica para proporcionar la huella digital del certificado de CA recibido.

  2. Confirme que se ha cargado el certificado correcto. El certificado de CA solo se carga cuando se escribe yes en el indicador de la CLI.

    Para obtener más información sobre el certificado, como la longitud de bits del par de claves, utilice el comando show security pki ca-certificate.

Ejemplo: Inscribir un certificado local en línea mediante SCEP

En este ejemplo se muestra cómo inscribir un certificado local en línea mediante el Protocolo simple de inscripción de certificados (SCEP).

Requisitos

Antes de empezar:

Descripción general

En este ejemplo, configura el dispositivo de Juniper Networks para obtener un certificado local en línea e iniciar la inscripción en línea para el ID de certificado especificado con SCEP. Especifique la ruta URL al servidor de CA en el nombre ca-profile-ipsecde perfil de CA .

Utilice el request security pki local-certificate enroll scep comando para iniciar la inscripción en línea para el identificador de certificado especificado. (A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, la scep palabra clave es compatible y necesaria). Debe especificar el nombre del perfil de CA (por ejemplo, ca-profile-ipsec), el ID de certificado correspondiente a un par de claves generado previamente (por ejemplo, qqq) y la siguiente información:

  • La contraseña de desafío proporcionada por el administrador de CA para la inscripción y reinscripción de certificados.

  • Al menos uno de los siguientes valores:

    • El nombre de dominio para identificar al propietario del certificado en las negociaciones de IKE, por ejemplo, qqq.example.net.

    • La identidad del propietario del certificado para la negociación de IKE con la instrucción de correo electrónico, por ejemplo, qqq@example.net.

    • La dirección IP si el dispositivo está configurado para una dirección IP estática, por ejemplo, 10.10.10.10.

Especifique el nombre del sujeto entre comillas, incluidos el componente de dominio (DC), el nombre común (CN), el número de serie (SN), el nombre de la unidad organizativa (OU), el nombre de la organización (O), la localidad (L), el estado (ST) y el país (C).

Una vez que se obtiene el certificado del dispositivo y comienza la inscripción en línea para el ID del certificado. El comando se procesa de forma asincrónica.

Configuración

Procedimiento

Procedimiento paso a paso

Para inscribir un certificado local en línea:

  1. Especifique el perfil de CA.

  2. Cuando termine de configurar el dispositivo, confirme la configuración.

  3. Inicie el proceso de inscripción ejecutando el comando de modo operativo.

    Si define SN en el campo asunto sin el número de serie, el número de serie se lee directamente desde el dispositivo y se agrega a la solicitud de firma de certificado (CSR).

A partir de Junos OS versión 19.4R2, se muestra un mensaje ECDSA Keypair not supported with SCEP for cert_id <certificate id> de advertencia cuando intenta inscribir un certificado local mediante una clave de algoritmo de firma digital de curva elíptica (ECDSA) con Protocolo simple de inscripción de certificados (SCEP), ya que la clave ECDSA no es compatible con SCEP.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security pki comando.

Ejemplo: Uso de SCEP para renovar automáticamente un certificado local

Puede usar el Protocolo de administración de certificados versión 2 (CMPv2) o el Protocolo simple de inscripción de certificados (SCEP) para inscribir certificados digitales. En este ejemplo se muestra cómo renovar los certificados locales automáticamente mediante SCEP.

Requisitos

Antes de empezar:

Descripción general

Puede habilitar el dispositivo para que renueve automáticamente los certificados adquiridos mediante inscripción en línea o cargados manualmente. La renovación automática de certificados le evita tener que acordarse de renovar los certificados en el dispositivo antes de que caduquen, y ayuda a mantener certificados válidos en todo momento.

La renovación automática de certificados está deshabilitada de forma predeterminada. Puede habilitar la renovación automática de certificados y configurar el dispositivo para que envíe automáticamente una solicitud para volver a inscribir un certificado antes de que caduque. Puede especificar cuándo se enviará la solicitud de reinscripción del certificado; El desencadenante para la reinscripción es el porcentaje de la vida útil del certificado que queda antes de su vencimiento. Por ejemplo, si la solicitud de renovación se va a enviar cuando la duración restante del certificado es del 10 por ciento, configure 10 para el desencadenador de reinscripción.

Para que esta característica funcione, el dispositivo debe poder comunicarse con el servidor de CA y el certificado debe estar presente en el dispositivo durante el proceso de renovación. Además, también debe asegurarse de que la CA que emite el certificado pueda devolver el mismo DN. La CA no debe modificar el nombre de sujeto ni la extensión de nombre de sujeto alternativo en el nuevo certificado.

Puede habilitar y deshabilitar la renovación automática de certificados SCEP para todos los certificados SCEP o por certificado. Utilice el comando para habilitar y configurar la set security pki auto-re-enrollment scep reinscripción de certificados. En este ejemplo, especifique el ID de certificado del certificado de CA como ca-ipsec y establezca el nombre del perfil de CA asociado al certificado en ca-profile-ipsec. Establezca la contraseña de desafío para el certificado de CA en la contraseña de desafío proporcionada por el administrador de CA; esta contraseña debe ser la misma que se configuró anteriormente para la CA. También establezca el porcentaje del desencadenador de reinscripción en 10. Durante la reinscripción automática, el dispositivo de Juniper Networks utiliza de forma predeterminada el par de claves existente. Una buena práctica de seguridad es regenerar un nuevo par de claves para volver a inscribirse. Para generar un nuevo par de claves, utilice el re-generate-keypair comando.

Configuración

Procedimiento

Procedimiento paso a paso

Para habilitar y configurar la reinscripción de certificados locales:

  1. Para habilitar y configurar la reinscripción de certificados.

    A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, la scep palabra clave es compatible y necesaria.

  2. Cuando termine de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, introduzca el comando del show security pki local-certificate detail modo operativo.

Descripción de la inscripción de certificados CMPv2 y SCEP

En función del entorno de implementación, puede usar el Protocolo de administración de certificados versión 2 (CMPv2) o el Protocolo simple de inscripción de certificados (SCEP) para la inscripción de certificados en línea. En este tema se describen algunas de las diferencias básicas entre los dos protocolos.

Tabla 1 describe las diferencias entre los protocolos de inscripción de certificados CMPv2 y SCEP.

Tabla 1: Comparación de la inscripción de certificados CMPv2 y SCEP

Atributo

CMPv2

SCEP

Tipos de certificados admitidos:

DSA, ECDSA y RSA

Solo RSA

Estándares compatibles

RFC 4210 y 4211

Borrador del Grupo de trabajo de ingeniería de Internet

Las solicitudes y respuestas de inscripción y reinscripción de certificados difieren entre CMPv2 y SCEP. Con CMPv2, no hay ningún comando independiente para inscribir certificados de CA. Con SCEP, los certificados de CA se inscriben con el request security pki ca-certificate enroll comando y se especifica el perfil de CA. Un perfil de CA debe configurarse con CMPv2 o SCEP.

Descripción de la inscripción de certificados con CMPv2

El request security pki local-certificate enroll cmpv2 comando utiliza CMPv2 para inscribir un certificado digital local en línea. Este comando carga tanto la entidad final como los certificados de CA según la configuración del servidor de CA. El perfil de CA debe crearse antes de la inscripción del certificado de CA, ya que la URL de inscripción se extrae del perfil de CA.

En este tema se describe la inscripción de certificados con el protocolo CMPv2.

Mensajes de inscripción y reinscripción de certificados

El protocolo CMPv2 implica principalmente operaciones de inscripción y reinscripción de certificados. El proceso de inscripción de certificados incluye mensajes de solicitud de inicialización y respuesta de inicialización, mientras que la reinscripción de certificados incluye mensajes de solicitud de actualización de clave y respuesta de actualización de clave.

El servidor CMPv2 responde con respuesta de inicialización (IP). La respuesta contiene un certificado de entidad final junto con certificados de CA opcionales. La integridad del mensaje y la autenticidad del mensaje de la respuesta de inicialización se pueden verificar mediante información secreta compartida según RFC 4210. La respuesta de inicialización también se puede comprobar mediante la clave pública de CA del emisor. Antes de volver a inscribir un certificado de entidad final, debe tener un certificado de CA válido inscrito en el dispositivo.

El mensaje Respuesta de inicialización o Respuesta de actualización de clave puede contener un certificado de CA del emisor o una cadena de certificados de CA. Los certificados de CA recibidos en las respuestas se tratan como certificados de CA de confianza y se almacenan en el dispositivo receptor si aún no están presentes en el almacén de CA de confianza. Estos certificados de CA se usan posteriormente para la validación de certificados de entidad final.

No se admite la reinscripción de certificados de CA. Si un certificado de CA caduca, debe anular la inscripción del certificado de CA actual y volver a inscribirlo.

Certificado de entidad final con certificado de CA de emisor

En un caso sencillo, el mensaje de respuesta de inicialización puede contener solo un certificado de entidad final, en cuyo caso la información de CA se proporciona por separado. El certificado se almacena en el almacén de certificados de la entidad final.

El mensaje de respuesta de inicialización puede contener un certificado de entidad final, así como un certificado de CA de emisor autofirmado. El certificado de entidad final se almacena primero en el almacén de certificados y, a continuación, se comprueba el certificado de CA. Si se encuentra el certificado de CA y el nombre distintivo (DN) del sujeto del certificado de CA en el mensaje de respuesta de inicialización coincide con el DN del emisor del certificado de entidad final, el certificado de CA se almacena en el almacén de certificados de CA para el nombre de perfil de CA especificado en el comando de inscripción de certificados CMPv2. Si el certificado de CA ya existe en el almacén de certificados de CA, no se realiza ninguna acción.

Certificado de entidad final con cadena de certificados de CA

En muchas implementaciones, el certificado de entidad final lo emite una CA intermedia en una cadena de certificados. En este caso, el mensaje de respuesta de inicialización puede contener el certificado de entidad final junto con una lista de certificados de CA de la cadena. Los certificados de CA intermedios y los certificados de CA raíz autofirmados son necesarios para validar el certificado de entidad final. Es posible que la cadena de CA también sea necesaria para validar certificados recibidos de dispositivos del mismo nivel con jerarquías similares. En la siguiente sección se describe cómo se almacenan los certificados de la cadena de CA.

En Figura 1, el mensaje Respuesta de inicialización incluye el certificado de entidad final y tres certificados de CA en una cadena de certificados.

Figura 1: Certificado de entidad final con cadena de certificados de CACertificado de entidad final con cadena de certificados de CA

El certificado de entidad final se almacena en el almacén de certificados de entidad final. Cada certificado de CA necesita un perfil de CA. El certificado de CA con el sujeto DN Sub11-CA es la primera CA de la cadena y es el emisor del certificado de entidad final. Se almacena en el perfil de CA que se especifica con el comando de inscripción de certificados CMPv2.

Se comprueba la presencia de cada uno de los certificados de CA restantes de la cadena en el almacén de CA. Si un certificado de CA no está presente en el almacén de CA, se guarda y se crea un perfil de CA para él. El nuevo nombre de perfil de CA se crea con los 16 dígitos menos significativos del número de serie del certificado de CA. Si el número de serie tiene más de 16 dígitos, se truncarán los dígitos más significativos más allá de 16 dígitos. Si el número de serie es inferior a 16 dígitos, los dígitos más significativos restantes se rellenan con 0s. Por ejemplo, si el número de serie es 11111000100010001000, el nombre del perfil de CA es 1000100010001000. Si el número de serie es 10001000, el nombre del perfil de CA es 0000000010001000.

Es posible que varios números de serie de certificados puedan tener los mismos 16 dígitos menos significativos. En ese caso, -00 se anexa al nombre de perfil para crear un nombre de perfil de CA único; se crean nombres de perfil de CA adicionales incrementando el número adjunto, de -01 hasta -99. Por ejemplo, los nombres de perfil de CA pueden ser 1000100010001000, 1000100010001000-00, y 1000100010001000-01.

Ejemplo: Generar manualmente una CSR para el certificado local y enviarla al servidor de CA

En este ejemplo se muestra cómo generar una solicitud de firma de certificado manualmente.

Requisitos

Generar una clave pública y privada. Consulte Certificados digitales autofirmados.

Descripción general

En este ejemplo, se genera una solicitud de certificado mediante el identificador de certificado de un par de claves pública y privada que generó anteriormente (ca-ipsec). A continuación, especifique el nombre de dominio (example.net) y el nombre común asociado (abc). La solicitud de certificado se muestra en formato PEM.

Copie la solicitud de certificado generada y péguela en el campo correspondiente en el sitio web de CA para obtener un certificado local. (Consulte la documentación del servidor de CA para determinar dónde pegar la solicitud de certificado). Cuando se muestra el contenido de PKCS #10, también se muestran el hash MD5 y el hash SHA-1 del archivo PKCS #10.

Configuración

Procedimiento

Procedimiento paso a paso

Para generar un certificado local manualmente:

  • Especifique el ID del certificado, el nombre de dominio y el nombre común.

Verificación

Para ver la solicitud de firma de certificado, escriba el show security pki certificate-request detail comando.

Ejemplo: Carga manual de certificados locales y de CA

En este ejemplo se muestra cómo cargar certificados locales y de CA manualmente.

Requisitos

Antes de empezar:

Descripción general

En este ejemplo, se descargan los certificados local.cert y ca.cert y se guardan en el directorio /var/tmp/ del dispositivo.

Después de descargar certificados de una CA, los transfiere al dispositivo (por ejemplo, mediante FTP) y, a continuación, los carga.

Puede cargar los siguientes archivos de certificado en un dispositivo que ejecute Junos OS:

  • Un certificado local o de entidad final (EE) que identifica el dispositivo local. Este certificado es su clave pública.

  • Un certificado de CA que contiene la clave pública de la CA.

  • Una CRL que enumera los certificados revocados por la CA.

    Puede cargar varios certificados EE en el dispositivo.

Configuración

Procedimiento

Procedimiento paso a paso

Para cargar los archivos de certificado en un dispositivo:

  1. Cargue el certificado local.

  2. Cargue el certificado de CA.

  3. Examine la huella digital del certificado de CA, si es correcto para este certificado de CA, seleccione sí para aceptar.

Verificación

Para comprobar que los certificados se cargaron correctamente, escriba los show security pki local-certificate comandos y show security pki ca-certificate en modo operativo.

Eliminación de certificados (procedimiento de la CLI)

Puede eliminar un certificado de CA local o de confianza que se genere automática o manualmente.

Utilice el siguiente comando para eliminar un certificado local:

Especifique un ID de certificado para eliminar un certificado local con un identificador específico, utilícelo all para eliminar todos los certificados locales o especifique system-generated que se elimine el certificado autofirmado generado automáticamente.

Cuando elimina un certificado autofirmado generado automáticamente, el dispositivo genera uno nuevo.

Para eliminar un certificado de CA:

Especifique un perfil de CA para eliminar un certificado de CA específico o utilícelo all para eliminar todos los certificados de CA presentes en el almacén persistente.

Se le pedirá confirmación antes de que se pueda eliminar un certificado de CA.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
19.4R2
A partir de Junos OS versión 19.4R2, se muestra un mensaje ECDSA Keypair not supported with SCEP for cert_id <certificate id> de advertencia cuando intenta inscribir un certificado local mediante una clave de algoritmo de firma digital de curva elíptica (ECDSA) con Protocolo simple de inscripción de certificados (SCEP), ya que la clave ECDSA no es compatible con SCEP.
15.1X49-D40
A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, la scep palabra clave es compatible y necesaria.
15.1X49-D40
A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, la scep palabra clave es compatible y necesaria.