Certificados digitales autofirmados
Un certificado autofirmado es un certificado firmado por la misma entidad que lo creó en lugar de por una entidad de certificación (CA). Junos OS proporciona dos métodos para generar un certificado autofirmado: generación automática y generación manual.
Descripción de los certificados autofirmados
Un certificado autofirmado es un certificado firmado por su creador en lugar de por una autoridad de certificación (CA).
Los certificados autofirmados permiten el uso de servicios basados en SSL (Secure Sockets Layer) sin necesidad de que el usuario o el administrador emprendan la considerable tarea de obtener un certificado de identidad firmado por una CA.
Los certificados autofirmados no proporcionan seguridad adicional al igual que los generados por las CA. Esto se debe a que un cliente no puede comprobar que el servidor al que está conectado es el que se anuncia en el certificado.
Junos OS proporciona dos métodos para generar un certificado autofirmado:
Generación automática
En este caso, el creador del certificado es el dispositivo de Juniper Networks. Un certificado autofirmado generado automáticamente se configura en el dispositivo de forma predeterminada.
Una vez inicializado el dispositivo, comprueba la presencia de un certificado autofirmado generado automáticamente. Si no encuentra uno, el dispositivo genera uno y lo guarda en el sistema de archivos.
Generación manual
En este caso, debe crear el certificado autofirmado para el dispositivo.
En cualquier momento, puede usar la CLI para generar un certificado autofirmado. Estos certificados también se utilizan para obtener acceso a los servicios SSL.
Los certificados autofirmados son válidos durante cinco años desde el momento en que se generaron.
Un certificado autofirmado generado automáticamente permite el uso de servicios basados en SSL sin necesidad de que el administrador obtenga un certificado de identidad firmado por una CA.
Un certificado autofirmado generado automáticamente por el dispositivo es similar a una clave de host de Secure Shell (SSH). Se almacena en el sistema de archivos, no como parte de la configuración. Persiste cuando se reinicia el dispositivo y se conserva cuando se emite un request system snapshot
comando.
Un certificado autofirmado que se genera manualmente permite el uso de servicios basados en SSL sin necesidad de obtener un certificado de identidad firmado por una CA. Un certificado autofirmado generado manualmente es un ejemplo de un certificado local de infraestructura de clave pública (PKI). Como ocurre con todos los certificados locales PKI, los certificados autofirmados generados manualmente se almacenan en el sistema de archivos.
Consulte también
Ejemplo: Generación de un par de claves público-privada
En este ejemplo se muestra cómo generar un par de claves pública-privada.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Descripción general
En este ejemplo, se genera un par de claves pública-privada denominado self-cert.
Configuración
Procedimiento
Procedimiento paso a paso
Para generar un par de claves pública-privada:
Cree un par de claves de certificado.
user@host> request security pki generate-key-pair certificate-id self-cert
Verificación
Después de generar el par de claves pública-privada, el dispositivo de Juniper Networks muestra lo siguiente:
generated key pair ca-ipsec, key size 1024 bits
Ejemplo: Generación manual de certificados autofirmados
En este ejemplo se muestra cómo generar certificados autofirmados manualmente.
Requisitos
Antes de comenzar, genere un par de claves privadas públicas. Consulte Certificados digitales.
Descripción general
Para un certificado autofirmado generado manualmente, especifique el nombre distintivo (DN) al crearlo. Para un certificado autofirmado generado automáticamente, el sistema proporciona el DN, identificándose como el creador.
En este ejemplo, se genera un certificado autofirmado con la dirección de correo electrónico como mholmes@example.net
. Especifique un identificador de certificado de self-cert para que la administración web haga referencia a él.
Configuración
Procedimiento
Procedimiento paso a paso
Para generar el certificado autofirmado manualmente, escriba el siguiente comando en modo operativo:
user@host> request security pki local-certificate generate-self-signed certificate-id self-cert subject CN=abc domain-name example.net ip-address 1.2.3.4 email mholmes@example.net
Para especificar el certificado autofirmado generado manualmente para los servicios HTTPS de administración web, escriba el siguiente comando en el modo de configuración:
[edit] user@host# set system services web-management https local-certificate self-cert
Verificación
Para comprobar que el certificado se genera y carga correctamente, escriba el siguiente comando en modo operativo:
user@host> show security pki local-certificate
Observe la información de Certificate identifier
Issued to
, validity
, algorithm
y keypair location
los detalles en la salida mostrada.
Para comprobar el certificado asociado a la administración web, escriba el siguiente comando en el modo de configuración:
user@host# show system services web-management https local-certificate
Uso de certificados autofirmados generados automáticamente (procedimiento de la CLI)
Una vez inicializado el dispositivo, comprueba la presencia de un certificado autofirmado. Si no hay un certificado autofirmado, el dispositivo genera uno automáticamente. Si se reinicia el dispositivo, se genera automáticamente un certificado autofirmado en el momento del arranque.
Para comprobar el certificado generado por el sistema, ejecute el siguiente comando en modo operativo:
user@host> show security pki local-certificate system-generated
Observe los Certificate identifier
detalles en el resultado. Muestra los siguientes detalles de nombre distinguido (DN) para el certificado generado automáticamente:
-
CN = device serial number
-
CN = system generated
-
CN = self-signed
Use el siguiente comando en el modo de configuración para especificar el certificado autofirmado generado automáticamente que se usará para los servicios HTTPS de administración web:
[edit] user@host# set system services web-management https system-generated-certificate
Utilice el siguiente comando operativo para eliminar el certificado autofirmado generado automáticamente:
user@host# exit user@host> clear security pki local-certificate system-generated
Después de eliminar el certificado autofirmado generado por el sistema, el dispositivo genera automáticamente uno nuevo y lo guarda en el sistema de archivos.