Autoridad de certificación
Un perfil de entidad de certificación (CA) define todos los parámetros asociados a un certificado específico para establecer una conexión segura entre dos extremos. Los perfiles especifican qué certificados usar, cómo comprobar el estado de revocación de certificados y cómo ese estado restringe el acceso.
Configuración de un grupo de CA de confianza
En esta sección se describe el procedimiento para crear un grupo de CA de confianza para una lista de perfiles de CA y eliminar un grupo de CA de confianza.
- Crear un grupo de CA de confianza para una lista de perfiles de CA
- Eliminar un perfil de CA de un grupo de CA de confianza
- Eliminación de un grupo de CA de confianza
Crear un grupo de CA de confianza para una lista de perfiles de CA
Puede configurar y asignar un grupo de CA de confianza para autorizar una entidad. Cuando un par intenta establecer una conexión con un cliente, solo se valida el certificado emitido por esa CA de confianza en particular de esa entidad. El dispositivo valida si el emisor del certificado y el que presenta el certificado pertenecen a la misma red cliente. Si el emisor y el presentador pertenecen a la misma red cliente, se establece la conexión. De lo contrario, no se establecerá la conexión.
Antes de comenzar, debe tener una lista de todos los perfiles de CA que desea agregar al grupo de confianza.
En este ejemplo, estamos creando tres perfiles de CA denominados orgA-ca-profile
, orgB-ca-profile
y orgC-ca-profile
asociando los siguientes identificadores de ca-profile1
CA , ca-profile2
y ca-profile3
para los perfiles respectivos. Puede agrupar los tres perfiles de CA para que pertenezcan a un grupo orgABC-trusted-ca-group
de CA de confianza.
Puede configurar un máximo de 20 perfiles de CA para un grupo de CA de confianza.
Para ver los perfiles de CA y los grupos de CA de confianza configurados en su dispositivo, ejecute show security pki
comando.
user@host# show security pki ca-profile orgA-ca-profile { ca-identity ca-profile1; } ca-profile orgB-ca-profile { ca-identity ca-profile2; } ca-profile orgC-ca-profile { ca-identity ca-profile3; } trusted-ca-group orgABC-trusted-ca-group { ca-profiles [ orgA-ca-profile orgB-ca-profile orgC-ca-profile ]; }
El show security pki
comando muestra todos los perfiles de CA agrupados en el orgABC_trusted-ca-group
.
Eliminar un perfil de CA de un grupo de CA de confianza
Puede eliminar un perfil de CA específico en un grupo de CA de confianza o puede eliminar el propio grupo de CA de confianza.
Por ejemplo, si desea eliminar un perfil de CA denominado orgC-ca-profile
de un grupo orgABC-trusted-ca-group
de CA de confianza, configurado en su dispositivo como se muestra en Configuración de un grupo de CA de confianza el tema, realice los siguientes pasos:
Para ver lo orgC-ca-profile
que se está eliminando del orgABC-trusted-ca-group
, ejecute el show security pki
comando.
user@host# show security pki ca-profile orgA-ca-profile { ca-identity ca-profile1; } ca-profile orgB-ca-profile { ca-identity ca-profile2; } trusted-ca-group orgABC-trusted-ca-group { ca-profiles [ orgA-ca-profile orgB-ca-profile ]; }
El resultado no muestra el orgC-ca-profile
perfil cuando se elimina del grupo de CA de confianza.
Eliminación de un grupo de CA de confianza
Una entidad puede admitir muchos grupos de CA de confianza y puede eliminar cualquier grupo de CA de confianza de una entidad.
Por ejemplo, si desea eliminar un grupo de CA de confianza denominado orgABC-trusted-ca-group
, configurado en su dispositivo como se muestra en Configuración de un grupo de CA de confianza el tema, realice los pasos siguientes:
Para ver la eliminación de la orgABC-trusted-ca-group
entidad, ejecute el show security pki
comando.
user@host# show security pki ca-profile orgA-ca-profile { ca-identity ca-profile1; } ca-profile orgB-ca-profile { ca-identity ca-profile2; }
El resultado no se muestra cuando se elimina de orgABC-trusted-ca-group
la entidad.
Descripción de los perfiles de entidades emisoras de certificados
Una configuración de perfil de entidad de certificación (CA) contiene información específica de una CA. Puede tener varios perfiles de CA en un firewall de la serie SRX. Por ejemplo, puede tener un perfil para orgA y otro para orgB. Cada perfil está asociado a un certificado de CA. Si desea cargar un nuevo certificado de CA sin quitar el anterior, cree un nuevo perfil de CA (por ejemplo, Microsoft-2008).
A partir de Junos OS versión 18.1R1, el servidor de CA puede ser un servidor de CA IPv6.
El módulo PKI admite el formato de dirección IPv6 para permitir el uso de firewalls de la serie SRX en redes donde IPv6 es el único protocolo utilizado.
Una CA emite certificados digitales, lo que ayuda a establecer una conexión segura entre dos puntos de conexión mediante la validación de certificados. Puede agrupar varios perfiles de CA en un grupo de CA de confianza para una topología determinada. Estos certificados se utilizan para establecer una conexión entre dos extremos. Para establecer IKE o IPsec, ambos extremos deben confiar en la misma CA. Si alguno de los extremos no puede validar el certificado con su CA de confianza (perfil de ca) o grupo de CA de confianza respectivos, la conexión no se establece. Es obligatorio crear un mínimo de un perfil de CA de confianza y se permite un máximo de 20 CA en un grupo de CA de confianza. Cualquier CA de un grupo determinado puede validar el certificado para ese extremo concreto.
A partir de Junos OS versión 18.1R1, la validación de un par IKE configurado se puede realizar con un servidor de CA especificado o un grupo de servidores de CA. Se puede crear un grupo de servidores de CA de confianza con la trusted-ca-group
instrucción configuration en el nivel de jerarquía [edit security pki
]; se pueden especificar uno o varios perfiles de CA. El servidor de CA de confianza está enlazado a la configuración de política de IKE para el par en el nivel de jerarquía [edit security ike policy policy certificate
].
Si el perfil de proxy está configurado en el perfil de CA, el dispositivo se conecta al host proxy en lugar del servidor de CA durante la inscripción, verificación o revocación del certificado. El host proxy se comunica con el servidor de CA con las solicitudes del dispositivo y, a continuación, transmite la respuesta al dispositivo.
El perfil de proxy de CA admite los protocolos SCEP, CMPv2 y OCSP.
El perfil de proxy de CA solo se admite en HTTP y no en el protocolo HTTPS.
Consulte también
Ejemplo: Configuración de un perfil de CA
En este ejemplo se muestra cómo configurar un perfil de CA.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Descripción general
En este ejemplo, se crea un perfil de CA denominado ca-profile-ipsec
con identidad de CA microsoft-2008. A continuación, cree el perfil de proxy en el perfil de CA. La configuración especifica que la CRL se actualice cada 48 horas y que la ubicación para recuperar la CRL es http://www.my-ca.com
. En el ejemplo, establezca el valor de reintento de inscripción en 20. (El valor predeterminado de reintento es 10.)
El sondeo automático de certificados se establece en cada 30 minutos. Si configura el reintento solo sin configurar un intervalo de reintento, el intervalo de reintento predeterminado es de 900 segundos (o 15 minutos). Si no configura el reintento o un intervalo de reintento, no hay sondeo.
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar un perfil de CA:
Cree un perfil de CA.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 user@host#
Opcionalmente, configure el perfil de proxy en el perfil de CA.
[edit] user@host# set security pki ca-profile ca-profile-ipsec proxy-profile px-profile
La infraestructura de clave pública (PKI) usa un perfil de proxy configurado en el nivel del sistema. El perfil de proxy que se utiliza en el perfil de CA debe configurarse en la
[edit services proxy]
jerarquía. Puede haber más de un perfil de proxy configurado en[edit services proxy]
la jerarquía. Cada perfil de CA se refiere a la mayoría de estos perfiles de proxy. Puede configurar el host y el puerto del perfil de proxy en la[edit system services proxy]
jerarquía.Cree una comprobación de revocación para especificar un método para comprobar la revocación de certificados.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
Establezca el intervalo de actualización, en horas, para especificar la frecuencia con la que se actualizará la CRL. Los valores predeterminados son la hora de la próxima actualización en la CRL, o 1 semana, si no se especifica la hora de la próxima actualización.
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl refresh-interval 48 url http://www.my-ca.com/my-crl.crl
Especifique el valor de reintento de inscripción.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry 20
Especifique el intervalo de tiempo en segundos entre los intentos de inscribir automáticamente el certificado de CA en línea.
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry-interval 1800
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security pki
comando.
Ejemplo: Configuración de una dirección IPv6 como dirección de origen para un perfil de CA
En este ejemplo se muestra cómo configurar una dirección IPv6 como dirección de origen para un perfil de CA.
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
En este ejemplo, cree un perfil de CA llamado orgA-ca-profile
con identidad v6-ca
de CA y establezca que la dirección de origen del perfil de CA sea una dirección IPv6, como 2001:db8:0:f101::1
. Puede configurar la URL de inscripción para aceptar una dirección http://[2002:db8:0:f101::1]:/.../
IPv6.
Consulte también
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.