第 2 章 : 公開金鑰密碼編譯
手動建立自助簽名認證 當您首次開啟安全性裝置的電源時,裝置會自動產生一個自助簽名認證,以便支援 初始連線所使用的 SSL。不過,您可能想要產生與安全性裝置自動產生之認證不同 的自助簽名認證。下列是將自動產生之自助簽名認證更換成管理員定義之自助簽名 認證的一些可能的原因 :
注意 :
自動產生之自助簽名認證使用固定的金鑰大小 1024 位元。為配合您的需求, 您可能需要更大或更小的金鑰大小,您可在產生自己的自助簽名金鑰時控制金 鑰大小。
您可能想要使用主旨名稱與自動建立之認證不同的自助簽名認證。
您可能需要多個自助簽名認證。在支援虛擬系統的安全性裝置上,根系統可與 所有虛擬系統共享自動產生的自助簽名認證。不過,vsys 管理員可能比較希望 產生他們自己的自助簽名認證,進而需要他們的管理員檢查這些特定認證的主 旨名稱和指印,而非檢查共享認證的屬性。
vsys 管理員自行產生的自助簽名認證與自動產生的自助簽名認證不同,後者絕對 不會向建立之處所屬的裝置以外的地方傳遞,而手動產生的自助簽名認證會在 NSRP 叢集內的安全性裝置將 PKI 物件與叢集內其他成員加以同步化時,連同其 他認證一起同步化。 雖然您可組態自助簽名認證的各種組成元件 ( 例如辨別名稱 (Distinguished Name,DN) 欄位、主旨替代名稱和金鑰大小 ),下列公用名稱 (Common Name, CN) 元素卻一律會出現在 DN 的結尾 : "CN = dev_serial_num, CN = NetScreen self-signed" 雖然自助簽名認證的主要用途是為建立連至安全性裝置的安全通訊端階層 (Secure Sockets Layer,SSL) 連線提供立即的支援,但您實際上可以像使用任何其他 CA 簽 名認證一樣使用此認證。自助簽名認證包括下列用途 :
注意 :
建立安全通訊端階層 (Secure Sockets Layer,SSL) 連線以保護傳遞至安全性裝 置的管理式通訊流量
保護 NetScreen-Security Manager (NSM) 和安全性裝置之間通訊流量的安全
建立 VPN 通道時驗證 IKE 對等方
對於最新的 ScreenOS 版本,我們只支援自助簽名認證用於 SSL。
設定管理員定義的自助簽名認證 在下例中,定義下列組成自助簽名認證的元件,將其用於 SSL:
Distinguished Name/Subject Name:
Name: 4ssl
Organization: jnpr
FQDN: www.juniper.net 自助簽名認證
35