Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autoridad de certificación

Un perfil de entidad de certificación (CA) define todos los parámetros asociados a un certificado específico para establecer una conexión segura entre dos extremos. Los perfiles especifican qué certificados usar, cómo comprobar el estado de revocación de certificados y cómo ese estado restringe el acceso.

Configuración de un grupo de CA de confianza

En esta sección se describe el procedimiento para crear un grupo de CA de confianza para una lista de perfiles de CA y eliminar un grupo de CA de confianza.

Crear un grupo de CA de confianza para una lista de perfiles de CA

Puede configurar y asignar un grupo de CA de confianza para autorizar una entidad. Cuando un par intenta establecer una conexión con un cliente, solo se valida el certificado emitido por esa CA de confianza en particular de esa entidad. El dispositivo valida si el emisor del certificado y el que presenta el certificado pertenecen a la misma red cliente. Si el emisor y el presentador pertenecen a la misma red cliente, se establece la conexión. De lo contrario, no se establecerá la conexión.

Antes de comenzar, debe tener una lista de todos los perfiles de CA que desea agregar al grupo de confianza.

En este ejemplo, estamos creando tres perfiles de CA denominados orgA-ca-profile, orgB-ca-profiley orgC-ca-profile asociando los siguientes identificadores de ca-profile1CA , ca-profile2y ca-profile3 para los perfiles respectivos. Puede agrupar los tres perfiles de CA para que pertenezcan a un grupo orgABC-trusted-ca-groupde CA de confianza.

Puede configurar un máximo de 20 perfiles de CA para un grupo de CA de confianza.

  1. Cree perfiles de CA y asocie identificadores de CA al perfil.
  2. Agrupe los perfiles de CA en un grupo de CA de confianza.
  3. Confirme la configuración cuando haya terminado de configurar los perfiles de CA y los grupos de CA de confianza.

Para ver los perfiles de CA y los grupos de CA de confianza configurados en su dispositivo, ejecute show security pki comando.

El show security pki comando muestra todos los perfiles de CA agrupados en el orgABC_trusted-ca-group.

Eliminar un perfil de CA de un grupo de CA de confianza

Puede eliminar un perfil de CA específico en un grupo de CA de confianza o puede eliminar el propio grupo de CA de confianza.

Por ejemplo, si desea eliminar un perfil de CA denominado orgC-ca-profile de un grupo orgABC-trusted-ca-groupde CA de confianza, configurado en su dispositivo como se muestra en Configuración de un grupo de CA de confianza el tema, realice los siguientes pasos:

  1. Elimine un perfil de CA del grupo de CA de confianza.
  2. Si ha terminado de eliminar el perfil de CA del grupo de CA de confianza, confirme la configuración.

Para ver lo orgC-ca-profile que se está eliminando del orgABC-trusted-ca-group , ejecute el show security pki comando.

El resultado no muestra el orgC-ca-profile perfil cuando se elimina del grupo de CA de confianza.

Eliminación de un grupo de CA de confianza

Una entidad puede admitir muchos grupos de CA de confianza y puede eliminar cualquier grupo de CA de confianza de una entidad.

Por ejemplo, si desea eliminar un grupo de CA de confianza denominado orgABC-trusted-ca-group, configurado en su dispositivo como se muestra en Configuración de un grupo de CA de confianza el tema, realice los pasos siguientes:

  1. Elimine un grupo de CA de confianza.
  2. Si ha terminado de eliminar el perfil de CA del grupo de CA de confianza, confirme la configuración.

Para ver la eliminación de la orgABC-trusted-ca-group entidad, ejecute el show security pki comando.

El resultado no se muestra cuando se elimina de orgABC-trusted-ca-group la entidad.

Descripción de los perfiles de entidades emisoras de certificados

Una configuración de perfil de entidad de certificación (CA) contiene información específica de una CA. Puede tener varios perfiles de CA en un firewall de la serie SRX. Por ejemplo, puede tener un perfil para orgA y otro para orgB. Cada perfil está asociado a un certificado de CA. Si desea cargar un nuevo certificado de CA sin quitar el anterior, cree un nuevo perfil de CA (por ejemplo, Microsoft-2008).

A partir de Junos OS versión 18.1R1, el servidor de CA puede ser un servidor de CA IPv6.

El módulo PKI admite el formato de dirección IPv6 para permitir el uso de firewalls de la serie SRX en redes donde IPv6 es el único protocolo utilizado.

Una CA emite certificados digitales, lo que ayuda a establecer una conexión segura entre dos puntos de conexión mediante la validación de certificados. Puede agrupar varios perfiles de CA en un grupo de CA de confianza para una topología determinada. Estos certificados se utilizan para establecer una conexión entre dos extremos. Para establecer IKE o IPsec, ambos extremos deben confiar en la misma CA. Si alguno de los extremos no puede validar el certificado con su CA de confianza (perfil de ca) o grupo de CA de confianza respectivos, la conexión no se establece. Es obligatorio crear un mínimo de un perfil de CA de confianza y se permite un máximo de 20 CA en un grupo de CA de confianza. Cualquier CA de un grupo determinado puede validar el certificado para ese extremo concreto.

A partir de Junos OS versión 18.1R1, la validación de un par IKE configurado se puede realizar con un servidor de CA especificado o un grupo de servidores de CA. Se puede crear un grupo de servidores de CA de confianza con la trusted-ca-group instrucción configuration en el nivel de jerarquía [edit security pki]; se pueden especificar uno o varios perfiles de CA. El servidor de CA de confianza está enlazado a la configuración de política de IKE para el par en el nivel de jerarquía [edit security ike policy policy certificate].

Si el perfil de proxy está configurado en el perfil de CA, el dispositivo se conecta al host proxy en lugar del servidor de CA durante la inscripción, verificación o revocación del certificado. El host proxy se comunica con el servidor de CA con las solicitudes del dispositivo y, a continuación, transmite la respuesta al dispositivo.

El perfil de proxy de CA admite los protocolos SCEP, CMPv2 y OCSP.

El perfil de proxy de CA solo se admite en HTTP y no en el protocolo HTTPS.

Ejemplo: Configuración de un perfil de CA

En este ejemplo se muestra cómo configurar un perfil de CA.

Requisitos

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Descripción general

En este ejemplo, se crea un perfil de CA denominado ca-profile-ipsec con identidad de CA microsoft-2008. A continuación, cree el perfil de proxy en el perfil de CA. La configuración especifica que la CRL se actualice cada 48 horas y que la ubicación para recuperar la CRL es http://www.my-ca.com. En el ejemplo, establezca el valor de reintento de inscripción en 20. (El valor predeterminado de reintento es 10.)

El sondeo automático de certificados se establece en cada 30 minutos. Si configura el reintento solo sin configurar un intervalo de reintento, el intervalo de reintento predeterminado es de 900 segundos (o 15 minutos). Si no configura el reintento o un intervalo de reintento, no hay sondeo.

Configuración

Procedimiento

Procedimiento paso a paso

Para configurar un perfil de CA:

  1. Cree un perfil de CA.

  2. Opcionalmente, configure el perfil de proxy en el perfil de CA.

    La infraestructura de clave pública (PKI) usa un perfil de proxy configurado en el nivel del sistema. El perfil de proxy que se utiliza en el perfil de CA debe configurarse en la [edit services proxy] jerarquía. Puede haber más de un perfil de proxy configurado en [edit services proxy] la jerarquía. Cada perfil de CA se refiere a la mayoría de estos perfiles de proxy. Puede configurar el host y el puerto del perfil de proxy en la [edit system services proxy] jerarquía.

  3. Cree una comprobación de revocación para especificar un método para comprobar la revocación de certificados.

  4. Establezca el intervalo de actualización, en horas, para especificar la frecuencia con la que se actualizará la CRL. Los valores predeterminados son la hora de la próxima actualización en la CRL, o 1 semana, si no se especifica la hora de la próxima actualización.

  5. Especifique el valor de reintento de inscripción.

  6. Especifique el intervalo de tiempo en segundos entre los intentos de inscribir automáticamente el certificado de CA en línea.

  7. Cuando termine de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security pki comando.

Ejemplo: Configuración de una dirección IPv6 como dirección de origen para un perfil de CA

En este ejemplo se muestra cómo configurar una dirección IPv6 como dirección de origen para un perfil de CA.

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

En este ejemplo, cree un perfil de CA llamado orgA-ca-profile con identidad v6-ca de CA y establezca que la dirección de origen del perfil de CA sea una dirección IPv6, como 2001:db8:0:f101::1. Puede configurar la URL de inscripción para aceptar una dirección http://[2002:db8:0:f101::1]:/.../IPv6.

  1. Cree un perfil de CA.
  2. Configure la dirección de origen del perfil de CA para que sea una dirección IPv6.
  3. Especifique los parámetros de inscripción para la CA.
  4. Cuando termine de configurar el dispositivo, confirme la configuración.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
18.1R1
A partir de Junos OS versión 18.1R1, el servidor de CA puede ser un servidor de CA IPv6.
18.1R1
A partir de Junos OS versión 18.1R1, la validación de un par IKE configurado se puede realizar con un servidor de CA especificado o un grupo de servidores de CA.