Acerca de los certificados de Algoritmo de Firma Digital de Curva Elíptica (ECDSA)
En Fireware v12.3 U1 o superior, el Firebox admite los certificados del Algoritmo de Firma Digital de Curva Elíptica (ECDSA). En comparación con los de RSA, los certificados de ECDSA tienen una seguridad equivalente, llaves más pequeñas y una mayor eficiencia. En algunos países, los gobiernos exigen certificados de ECDSA para el cumplimiento de la reglamentación.
En Fireware v12.6.2 o ulterior, el Firebox admite la creación de una Solicitud de Firmas y autoridades de Certificación (CSR) con ECDSA. En Fireware inferior a v12.6.2, debe importar certificados EC. El Firebox no genera solicitudes de firma de certificación para los certificados de EC. Para importar un certificado, consulte Administrar Certificados del Dispositivo (Web UI) o Administrar Certificados del Dispositivo (WSM).
En el Fireware v12.4.1 o inferior, el Firebox no admite los certificados EC para BOVPN, las interfaces virtuales BOVPN o Mobile VPN with IKEv2.
Certificados de EC para las Interfaces Virtuales BOVPN o BOVPN
En Fireware v12.5 o superior, se puede especificar un certificado ECDSA para una interfaz virtual BOVPN o BOVPN. Los certificados de ECDSA también se conocen como certificados de EC. Si un par de BOVPN usa un certificado de EC, el otro par debe usar un certificado de EC. Los pares de BOVPN pueden tener certificados de EC con diferentes curvas elípticas.
Túneles IKEv1
Para los túneles BOVPN con IKEv1, el par que inicia la conexión VPN determina el método de autenticación. El certificado de EC determina el algoritmo Hash. Por ejemplo, si selecciona SHA256-AES256-DH14 como la transformación de la Fase 1 y se especifica un certificado ECDSA-384, el algoritmo Hash es SHA384 en lugar de SHA256.
Túneles IKEv2
En el caso de los túneles BOVPN con IKEv2, cada par determina su propio método de autenticación basado en el certificado de EC, lo que significa que los pares pueden utilizar diferentes métodos de autenticación.
El Firebox solo admite estas curvas elípticas para las interfaces virtuales BOVPN y BOVPN:
- Prime256v1
- Secp384r1
- Secp521r1
Para especificar un certificado de EC para una interfaz virtual BOVPN o BOVPN, consulte Certificados para Autenticación de Túnel VPN de Sucursal (BOVPN).
Certificados de EC para Mobile VPN with IKEv2
En el Fireware v12.5 o superior, el Firebox admite certificados EC para Mobile VPN with IKEv2. Su cliente IKEv2 también debe admitir certificados EC. La compatibilidad varía en función del sistema operativo:
- Windows 10 — Compatibilidad parcial (solo ECDSA-256 y ECDSA-384)
- Android — Compatibilidad con strongSwan, que es un cliente de código abierto
- macOS e iOS — Sin compatibilidad
El Firebox solo admite estas curvas elípticas para Mobile VPN with IKEv2:
- Prime256v1
- Secp384r1
- Secp521r1
Para especificar un certificado de EC en la configuración Mobile VPN with IKEv2 de Firebox, consulte Editar la Configuración de Mobile VPN with IKEv2.