Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Certificados digitales autofirmados

Un certificado autofirmado es un certificado firmado por la misma entidad que lo creó en lugar de por una entidad de certificación (CA). Junos OS proporciona dos métodos para generar un certificado autofirmado: generación automática y generación manual.

Descripción de los certificados autofirmados

Un certificado autofirmado es un certificado firmado por su creador en lugar de por una autoridad de certificación (CA).

Los certificados autofirmados permiten el uso de servicios basados en SSL (Secure Sockets Layer) sin necesidad de que el usuario o el administrador emprendan la considerable tarea de obtener un certificado de identidad firmado por una CA.

Los certificados autofirmados no proporcionan seguridad adicional al igual que los generados por las CA. Esto se debe a que un cliente no puede comprobar que el servidor al que está conectado es el que se anuncia en el certificado.

Junos OS proporciona dos métodos para generar un certificado autofirmado:

  • Generación automática

    En este caso, el creador del certificado es el dispositivo de Juniper Networks. Un certificado autofirmado generado automáticamente se configura en el dispositivo de forma predeterminada.

    Una vez inicializado el dispositivo, comprueba la presencia de un certificado autofirmado generado automáticamente. Si no encuentra uno, el dispositivo genera uno y lo guarda en el sistema de archivos.

  • Generación manual

    En este caso, debe crear el certificado autofirmado para el dispositivo.

    En cualquier momento, puede usar la CLI para generar un certificado autofirmado. Estos certificados también se utilizan para obtener acceso a los servicios SSL.

Los certificados autofirmados son válidos durante cinco años desde el momento en que se generaron.

Un certificado autofirmado generado automáticamente permite el uso de servicios basados en SSL sin necesidad de que el administrador obtenga un certificado de identidad firmado por una CA.

Un certificado autofirmado generado automáticamente por el dispositivo es similar a una clave de host de Secure Shell (SSH). Se almacena en el sistema de archivos, no como parte de la configuración. Persiste cuando se reinicia el dispositivo y se conserva cuando se emite un request system snapshot comando.

Un certificado autofirmado que se genera manualmente permite el uso de servicios basados en SSL sin necesidad de obtener un certificado de identidad firmado por una CA. Un certificado autofirmado generado manualmente es un ejemplo de un certificado local de infraestructura de clave pública (PKI). Como ocurre con todos los certificados locales PKI, los certificados autofirmados generados manualmente se almacenan en el sistema de archivos.

Ejemplo: Generación de un par de claves público-privada

En este ejemplo se muestra cómo generar un par de claves pública-privada.

Requisitos

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Descripción general

En este ejemplo, se genera un par de claves pública-privada denominado self-cert.

Configuración

Procedimiento

Procedimiento paso a paso

Para generar un par de claves pública-privada:

  • Cree un par de claves de certificado.

Verificación

Después de generar el par de claves pública-privada, el dispositivo de Juniper Networks muestra lo siguiente:

Ejemplo: Generación manual de certificados autofirmados

En este ejemplo se muestra cómo generar certificados autofirmados manualmente.

Requisitos

Antes de comenzar, genere un par de claves privadas públicas. Consulte Certificados digitales.

Descripción general

Para un certificado autofirmado generado manualmente, especifique el nombre distintivo (DN) al crearlo. Para un certificado autofirmado generado automáticamente, el sistema proporciona el DN, identificándose como el creador.

En este ejemplo, se genera un certificado autofirmado con la dirección de correo electrónico como mholmes@example.net. Especifique un identificador de certificado de self-cert para que la administración web haga referencia a él.

Configuración

Procedimiento

Procedimiento paso a paso

Para generar el certificado autofirmado manualmente, escriba el siguiente comando en modo operativo:

Para especificar el certificado autofirmado generado manualmente para los servicios HTTPS de administración web, escriba el siguiente comando en el modo de configuración:

Verificación

Para comprobar que el certificado se genera y carga correctamente, escriba el siguiente comando en modo operativo:

Observe la información de Certificate identifierIssued to, validity, algorithmy keypair location los detalles en la salida mostrada.

Para comprobar el certificado asociado a la administración web, escriba el siguiente comando en el modo de configuración:

Uso de certificados autofirmados generados automáticamente (procedimiento de la CLI)

Una vez inicializado el dispositivo, comprueba la presencia de un certificado autofirmado. Si no hay un certificado autofirmado, el dispositivo genera uno automáticamente. Si se reinicia el dispositivo, se genera automáticamente un certificado autofirmado en el momento del arranque.

Para comprobar el certificado generado por el sistema, ejecute el siguiente comando en modo operativo:

Observe los Certificate identifier detalles en el resultado. Muestra los siguientes detalles de nombre distinguido (DN) para el certificado generado automáticamente:

  • CN = device serial number

  • CN = system generated

  • CN = self-signed

Use el siguiente comando en el modo de configuración para especificar el certificado autofirmado generado automáticamente que se usará para los servicios HTTPS de administración web:

Utilice el siguiente comando operativo para eliminar el certificado autofirmado generado automáticamente:

Después de eliminar el certificado autofirmado generado por el sistema, el dispositivo genera automáticamente uno nuevo y lo guarda en el sistema de archivos.