Ajude-nos a melhorar a sua experiência.

Conte-nos a sua opinião.

Tem dois minutos para uma pesquisa?

Announcement: Our new, consolidated Junos CLI Reference is now available.

close
external-header-nav
keyboard_arrow_up
close
keyboard_arrow_left
list Table of Contents

Esta tradução automática foi útil?

starstarstarstarstar
Go to English page
ISENÇÃO DE RESPONSABILIDADE:

Esta página será traduzida com software de tradução por máquina de terceiros. Embora esforços razoáveis tenham sido feitos para fornecer uma tradução de qualidade, a Juniper Networks não pode garantir sua exatidão. Se houver dúvidas sobre a exatidão das informações contidas nesta tradução, consulte a versão em inglês. O PDF para download está disponível apenas em inglês.

Exemplo: configurar um dispositivo para validação da cadeia de certificados peer

date_range 16-Jun-23

Este exemplo mostra como configurar um dispositivo para cadeias de certificados usadas para validar dispositivos peer durante a negociação do IKE.

Requisitos

Antes de começar, obtenha o endereço da autoridade de certificados (CA) e as informações necessárias (como a senha do desafio) quando você enviar solicitações de certificados locais.

Visão geral

Este exemplo mostra como configurar um dispositivo local para cadeias de certificados, inscrever CA e certificados locais, verificar a validade dos certificados inscritos e verificar o status de revogação do dispositivo peer.

Topologia

Este exemplo mostra a configuração e os comandos operacionais no Host-A, como mostrado na Figura 1. Um perfil ca dinâmico é criado automaticamente no Host-A para permitir que o Host-A baixe o CRL da Sales-CA e verifique o status de revogação do certificado do Host-B.

Figura 1: Exemplo da cadeia de certificados Certificate Chain Example
Nota:

A configuração de VPN IPsec para negociação de Fase 1 e Fase 2 é mostrada para Host-A neste exemplo. O dispositivo peer (Host-B) deve ser configurado corretamente para que as opções de Fase 1 e Fase 2 sejam negociadas com sucesso e as associações de segurança (SAs) sejam estabelecidas.

Configuração

Para configurar um dispositivo para cadeias de certificados:

Configure perfis de CA

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

content_copy zoom_out_map
set security pki ca-profile Root-CA ca-identity CA-Root
set security pki ca-profile Root-CA enrollment url http://10.157.88.230:8080/scep/Root/
set security pki ca-profile Root-CA revocation-check use-crl
set security pki ca-profile Eng-CA ca-identity Eng-CA
set security pki ca-profile Eng-CA enrollment url http://10.157.88.230:8080/scep/Eng/
set security pki ca-profile Eng-CA revocation-check use-crl
set security pki ca-profile Dev-CA ca-identity Dev-CA
set security pki ca-profile Dev-CA enrollment url http://10.157.88.230:8080/scep/Dev/
set security pki ca-profile Dev-CA revocation-check use-crl

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.

Para configurar perfis de CA:

  1. Crie o perfil ca para Root-CA.

    content_copy zoom_out_map
    [edit security pki]
    user@host# set ca-profile Root-CA ca-identity CA-Root
    user@host# set ca-profile Root-CA enrollment url http://10.157.88.230:8080/scep/Root/
    user@host# set ca-profile Root-CA revocation-check use-crl
    
  2. Crie o perfil ca para Eng-CA.

    content_copy zoom_out_map
    [edit security pki]
    user@host# set ca-profile Eng-CA ca-identity Eng-CA
    user@host# set ca-profile Eng-CA enrollment url http://10.157.88.230:8080/scep/Eng/
    user@host# set ca-profile Eng-CA revocation-check use-crl
    
  3. Crie o perfil ca para Dev-CA.

    content_copy zoom_out_map
    [edit security pki]
    user@host# set ca-profile Dev-CA ca-identity Dev-CA
    user@host# set ca-profile Dev-CA enrollment url http://10.157.88.230:8080/scep/Dev/
    user@host# set ca-profile Dev-CA revocation-check use-crl
    

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security pki comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

content_copy zoom_out_map
[edit]
user@host# show security pki
ca-profile Root-CA {
    ca-identity Root-CA;
    enrollment {
        url "http:/;/10.157.88.230:8080/scep/Root/";
    }
    revocation-check {
        use-crl;
    }
}
ca-profile Eng-CA {
    ca-identity Eng-CA;
    enrollment {
        url "http:/;/10.157.88.230:8080/scep/Eng/";
    }
    revocation-check {
        use-crl;
    }
}
ca-profile Dev-CA {
    ca-identity Dev-CA;
    enrollment {
        url "http:/;/10.157.88.230:8080/scep/Dev/";
    }
    revocation-check {
        use-crl;
    }
}

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Inscrever certificados

Procedimento passo a passo

Para inscrever certificados:

  1. Inscreva-se nos certificados de CA.

    content_copy zoom_out_map
    user@host> request security pki ca-certificate enroll ca-profile Root-CA
    
    content_copy zoom_out_map
    user@host> request security pki ca-certificate enroll ca-profile Eng-CA
    
    content_copy zoom_out_map
    user@host> request security pki ca-certificate enroll ca-profile Dev-CA
    

    Digite yes as solicitações para carregar o certificado ca.

  2. Verifique se os certificados de CA estão inscritos no dispositivo.

    content_copy zoom_out_map
    user@host> show security pki ca-certificate ca-profile Root-CA
    Certificate identifier: Root-CA
            Issued to: Root-CA, Issued by: C = us, O = juniper, CN = Root-CA
            Validity:
              Not before: 07- 3-2015 10:54 UTC
              Not after: 07- 1-2020 10:54 UTC
            Public key algorithm: rsaEncryption(2048 bits)
    
    content_copy zoom_out_map
    user@host> show security pki ca-certificate ca-profile Eng-CA
    Certificate identifier: Eng-CA
            Issued to: Eng-CA, Issued by: C = us, O = juniper, CN = Root-CA
            Validity:
              Not before: 07- 3-2015 10:54 UTC
              Not after: 07- 1-2020 10:54 UTC
            Public key algorithm: rsaEncryption(2048 bits)
    
    content_copy zoom_out_map
    user@host> show security pki ca-certificate ca-profile Dev-CA
            Certificate identifier: Dev-CA
            Issued to: Dev-CA, Issued by: C = us, O = juniper, CN = Eng-CA
            Validity:
              Not before: 07- 3-2015 10:54 UTC
              Not after: 07- 1-2020 10:54 UTC
            Public key algorithm: rsaEncryption(2048 bits)
    
  3. Verifique a validade dos certificados de CA inscritos.

    content_copy zoom_out_map
    user@host> request security pki ca-certificate verify ca-profile Root-CA
    CA certificate Root-CA verified successfully
    content_copy zoom_out_map
    user@host> request security pki ca-certificate verify ca-profile Eng-CA
    CA certificate Eng-CA verified successfully
    
    content_copy zoom_out_map
    user@host> request security pki ca-certificate verify ca-profile Dev-CA
    CA certificate Dev-CA verified successfully
    
  4. Inscreva-se no certificado local.

    content_copy zoom_out_map
    user@host> request security pki local-certificate enroll certificate-id        Host-A ca-profile Dev-CA challenge-password juniper domain-name host-a.company.net email host-a@company.net subject DC=juniper,CN=Host-A,       OU=DEV,O=PKI,L=Sunnyvale,ST=CA,C=US
    
  5. Verifique se o certificado local está inscrito no dispositivo.

    content_copy zoom_out_map
    user@host> show security pki local-certificate
    Issued to: Host-A, Issued by: C = us, O = juniper, CN = Dev-CA
            Validity:
              Not before: 07- 3-2015 10:54 UTC
              Not after: 07- 1-2020 10:54 UTC
            Public key algorithm: rsaEncryption(1024 bits)
  6. Verifique a validade do certificado local inscrito.

    content_copy zoom_out_map
    user@host> request security pki local-certificate verify certificate-id Host-A
    Local certificate Host-A verification success
    
  7. Verifique o download de CRL para perfis de CA configurados.

    content_copy zoom_out_map
    user@host> show security pki crl
         CA profile: Root-CA
            CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Root-CA
            Effective date: 09- 9-2015 13:08
            Next update: 09-21-2015 02:55
    
          CA profile: Eng-CA
            CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Eng-CA
            Effective date: 08-22-2015 17:46
            Next update: 10-24-2015 03:33
    
          CA profile: Dev-CA
            CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Dev-CA
            Effective date: 09-14-2015 21:15
            Next update: 09-26-2012 11:02
    

Configure opções de VPN IPsec

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

content_copy zoom_out_map
set services ipsec-vpn ike proposal ike_cert_prop_01 authentication-method rsa-signatures
set services ipsec-vpn ike proposal ike_cert_prop_01 dh-group group5
set services ipsec-vpn ike proposal ike_cert_prop_01 authentication-algorithm sha1
set services ipsec-vpn ike proposal ike_cert_prop_01 encryption-algorithm aes-256-cbc 
set services ipsec-vpn ike policy ike_cert_pol_01 mode main
set services ipsec-vpn ike policy ike_cert_pol_01 proposals ike_cert_prop_01
set services ipsec-vpn ike policy ike_cert_pol_01 certificate local-certificate Host-A
set services ipsec-vpn ipsec proposal ipsec_prop_01 protocol esp
set services ipsec-vpn ipsec proposal ipsec_prop_01 authentication-algorithm hmac-sha1-96
set services ipsec-vpn ipsec proposal ipsec_prop_01 encryption-algorithm 3des-cbc
set services ipsec-vpn ipsec proposal ipsec_prop_01 lifetime-seconds 300 
set services ipsec-vpn ipsec policy ipsec_pol_01 proposals ipsec_prop_01 
set services ipsec-vpn ipsec vpn ipsec_cert_vpn_01 ike ipsec-policy ipsec_pol_01

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.

Para configurar opções de VPN IPsec:

  1. Configure opções de Fase 1.

    content_copy zoom_out_map
    [edit services ipsec-vpn ike proposal ike_cert_prop_01]
    user@host# set authentication-method rsa-signatures
    user@host# set dh-group group5
    user@host# set authentication-algorithm sha1
    user@host# set encryption-algorithm aes-256-cbc
    [edit services ipsec-vpn ike policy ike_cert_pol_01]
    user@host# set mode main
    user@host# set proposals ike_cert_prop_01
    user@host# set certificate local-certificate Host-A
    
  2. Configure opções de Fase 2.

    content_copy zoom_out_map
    [edit services ipsec-vpn ipsec proposal ipsec_prop_01]
    user@host# set protocol esp
    user@host# set authentication-algorithm hmac-sha1-96
    user@host# set encryption-algorithm 3des-cbc
    user@host# set lifetime-seconds 300
    [edit services ipsec-vpn ipsec policy ipsec_pol_01]
    user@host# set proposals ipsec_prop_01
    [edit services ipsec-vpn ipsec vpn ipsec_cert_vpn_01]
    user@host# set ike ipsec-policy ipsec_pol_01
    

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security ike comandos e show security ipsec os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

content_copy zoom_out_map
[edit]
user@host# show services ipsec-vpn ike
proposal ike_cert_prop_01 {
    authentication-method rsa-signatures;
    dh-group group5;
    authentication-algorithm sha1;
    encryption-algorithm aes-256-cbc;
}
    policy ike_cert_pol_01 {
        mode main;
        proposals ike_cert_prop_01;
        certificate {
            local-certificate Host-A;
        }
    }
[edit]
user@host# show services ipsec-vpn ipsec
proposal ipsec_prop_01 {
    protocol esp;
    authentication-algorithm hmac-sha1-96;
    encryption-algorithm 3des-cbc;
    lifetime-seconds 300;
}
    policy ipsec_pol_01 {
        proposals ipsec_prop_01;
    }

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Se a validação do certificado for bem-sucedida durante a negociação do IKE entre dispositivos peer, ambas as associações de segurança IKE e IPsec (SAs) serão estabelecidas.

Verificando o status da Fase 1 do IKE

Propósito

Verifique o status da Fase 1 do IKE.

Ação

Insira o comando do show services ipsec-vpn ike security-associations modo operacional.

content_copy zoom_out_map
user@host> show services ipsec-vpn ike security-associations

Remote Address  State         Initiator cookie  Responder cookie  Exchange type
192.0.2.0        Matured       63b3445edda507fb  2715ee5895ed244d  Main   

Verificando o status da Fase 2 do IPsec

Propósito

Verifique o status da Fase 2 do IPsec.

Ação

Insira o comando do show services ipsec-vpn ipsec security-associations modo operacional.

content_copy zoom_out_map
user@host> show services ipsec-vpn ipsec security-associations

Service set: ips_ss1, IKE Routing-instance: default

  Rule: vpn_rule_ms_2_2_01, Term: term11, Tunnel index: 1
  Local gateway: 10.0.1.2, Remote gateway: 172.16.0.0
  IPSec inside interface: ms-2/2/0.1, Tunnel MTU: 1500
  UDP encapsulate: Disabled, UDP Destination port: 0
    Direction SPI         AUX-SPI     Mode       Type     Protocol
    inbound   2151932129  0           tunnel     dynamic  ESP       
    outbound  4169263669  0           tunnel     dynamic  ESP             

Falha de IKE e IPsec SA para um certificado revogado

Verificação de certificados revogados

Problema

Se a validação do certificado falhar durante a negociação do IKE entre dispositivos peer, verifique se o certificado do peer não foi revogado. Um perfil ca dinâmico permite que o dispositivo local baixe o CRL do CA do peer e verifique o status de revogação do certificado do peer. Para habilitar perfis dinâmicos de CA, a opção revocation-check crl deve ser configurada em um perfil de CA dos pais.

Solução

Para verificar o status de revogação do certificado de um peer:

  1. Identifique o perfil ca dinâmico que mostrará o CRL para o dispositivo peer entrando no comando a show security pki crl partir do modo operacional.

    content_copy zoom_out_map
    user@host> show security pki crl
         CA profile: Root-CA
            CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Root-CA
            Effective date: 09- 9-2012 13:08
            Next update: 09-21-2012 02:55
    
          CA profile: Eng-CA
            CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Eng-CA
            Effective date: 08-22-2012 17:46
            Next update: 10-24-2015 03:33
    
          CA profile: Dev-CA
            CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Dev-CA
            Effective date: 09-14-2012 21:15
            Next update: 09-26-2012 11:02
    
          CA profile: dynamic-001
            CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Sales-CA
            Effective date: 09-14-2012 21:15
            Next update: 09-26-2012 11:02

    O perfil dynamic-001 ca é criado automaticamente no Host-A para que o Host-A possa baixar o CRL do CA do Host-B (Sales-CA) e verificar o status de revogação do certificado do peer.

  2. Exibir informações de CRL para o perfil dinâmico de CA entrando no comando a show security pki crl ca-profile dynamic-001 detail partir do modo operacional.

    Entrar

    content_copy zoom_out_map
    user@host> show security pki crl ca-profile dynamic-001 detail
        CA profile: dynamic-001
          CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Sub11
            Effective date: 09-19-2012 17:29
            Next update: 09-20-2012 01:49
            Revocation List: 
              Serial number              Revocation date
              10647C84                   09-19-2012 17:29 UTC
    

    O certificado de host-B (número de série 10647084) foi revogado.

external-footer-nav