证书颁发机构
了解如何管理证书颁发机构。
证书颁发机构配置文件定义与特定证书关联的每个参数,以便在两个端点之间建立安全连接。这些配置文件指定要使用的证书、验证证书撤销状态的方式以及该状态如何限制访问。
证书颁发机构配置文件
证书颁发机构配置文件配置包含特定于 CA 的证书颁发机构信息。一个 SRX 系列防火墙可以有多个 证书颁发机构配置文件。例如,您可能有一个用于 orgA 的配置文件,一个用于 orgB 的配置文件。每个配置文件都与一个 证书颁发机构证书相关联。如果要加载新的证书颁发机构证书而不删除旧证书,请创建新的证书颁发机构配置文件(例如 Microsoft-2008)。
从 Junos OS 18.1R1 版开始,CA 证书颁发机构服务器可以是 IPv6 证书颁发机构服务器。
PKI 模块支持 IPv6 地址格式,以便在仅使用 IPv6 协议的网络中使用SRX 系列防火墙。
证书颁发机构颁发数字证书,这有助于通过证书验证在两个端点之间建立安全连接。对于给定的拓扑,您可以将多个证书颁发机构配置文件分组到一个受信任的证书颁发机构组中。这些证书用于在两个端点之间建立连接。要建立 IKE 或 IPsec,两个端点都必须信任同一个证书颁发机构。如果任一端点无法使用各自的可信证书颁发机构 (ca-profile) 或可信证书颁发机构组验证证书,则不会建立连接。创建受信任的证书颁发机构组必须至少有一个 CA 证书颁发机构配置文件,一个受信任的 CA 组中最多允许 20 个证书颁发机构。来自特定组的任何证书颁发机构都可以验证该特定端点的证书。
从 Junos OS 18.1R1 版开始,您可以使用指定的 证书颁发机构 服务器或一组 证书颁发机构 服务器来验证配置的IKE对等方。您可以在层次结构级别使用 configurationedit security pki 语句创建trusted-ca-group一组可信证书颁发机构服务器;您可以指定一个或多个证书颁发机构配置文件。可信证书颁发机构服务器绑定到 [edit security ike policy policy certificate] 层级对等方的 IKE 策略配置。
如果在 证书颁发机构配置文件中配置代理配置文件,则设备在证书注册、验证或吊销期间连接到代理主机,而不是 CA 证书颁发机构服务器。代理主机使用来自设备的请求与 证书颁发机构服务器进行通信,然后将响应中继到设备。
证书颁发机构代理配置文件支持 SCEP、CMPv2 和 OCSP 协议。
证书颁发机构代理配置文件仅在 HTTP 上受支持,而在 HTTPS 协议上不受支持。
配置证书颁发机构配置文件
证书颁发机构配置文件配置包含特定于 CA 的证书颁发机构信息。一个 SRX 系列防火墙可以有多个 证书颁发机构配置文件。例如,您可能有一个用于 orgA 的配置文件,一个用于 orgB 的配置文件。每个配置文件都与一个 证书颁发机构证书相关联。如果要加载新的 证书颁发机构证书而不删除旧证书,请创建 证书颁发机构配置文件 (例如 Microsoft-2008) 。对于给定的拓扑,您可以将多个证书颁发机构配置文件分组到一个受信任的证书颁发机构组中。
在以下示例中,将使用 证书颁发机构标识 microsoft-2008 创建名为 ca-profile-security 的证书颁发机构配置文件。然后,为证书颁发机构配置文件创建代理配置文件。
配置受信任的 CA 证书颁发机构组
本节介绍为证书颁发机构配置文件列表创建可信证书颁发机构组和删除可信证书颁发机构组的过程。
创建受信任的证书颁发机构组
可以配置和分配受信任的证书颁发机构组来授权实体。当对等方尝试与客户端建立连接时,只有该实体的特定受信任证书颁发机构颁发的证书才会得到验证。设备验证证书的颁发者和提供证书的颁发者是否属于同一个客户端网络。如果颁发者和主讲者属于同一客户端网络,则将建立连接。否则,将不会建立连接。
开始之前,必须列出要添加到受信任组的所有证书颁发机构档案。
在此示例中,我们将创建三个名为 orgA-ca-profile、 orgB-ca-profileorgC-ca-profile 和 的证书颁发机构配置文件,并为相应的配置文件关联以下证书颁发机构标识符 ca-profile1、 ca-profile2和 。ca-profile3您可以将所有三个证书颁发机构配置文件分组为属于受信任的 CA 证书颁发机构组orgABC-trusted-ca-group。
您最多可以为受信任的证书颁发机构组配置 20 个 CA 证书颁发机构配置文件。
若要查看设备上配置的 证书颁发机构配置文件和受信任的 证书颁发机构组,请运行 show security pki 命令。
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
ca-profile orgC-ca-profile {
ca-identity ca-profile3;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile orgC-ca-profile ];
}
该 show security pki 命令将显示分组在 下 orgABC_trusted-ca-group的所有证书颁发机构配置文件。
从受信任的证书颁发机构组中删除 CA 证书颁发机构配置文件
您可以删除受信任的证书颁发机构组中的特定 CA 证书颁发机构配置文件。
例如,如果要删除从设备上配置的可信证书颁发机构组orgABC-trusted-ca-group中命名orgC-ca-profile的证书颁发机构配置文件,如配置可信证书颁发机构组主题中所示:
要查看正在从 中orgABC-trusted-ca-group 删除的 ,orgC-ca-profile请运行命令show security pki。
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile ];
}
输出不会显示 orgC-ca-profile 配置文件,因为它已从受信任的 证书颁发机构组中删除。
删除受信任的 CA 证书颁发机构组
一个实体可以支持许多受信任的证书颁发机构组,您可以删除实体的任何受信任证书颁发机构组。
例如,如果要删除设备上配置的名为 orgABC-trusted-ca-group的受信任证书颁发机构组,如 配置受信任的证书颁发机构组主题 中所示,请执行以下步骤:
要查看从实体中删除的内容 orgABC-trusted-ca-group ,请运行 show security pki 命令。
user@host# show security pki
ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
ca-identity ca-profile2;
}
输出不会显示 , orgABC-trusted-ca-group 因为它已从实体中删除。
示例:配置 证书颁发机构配置文件
此示例说明如何配置证书颁发机构配置文件。
要求
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,将创建一个名为 ca-profile-ipsec 证书颁发机构标识 microsoft-2008 的 证书颁发机构配置文件。然后,为证书颁发机构配置文件创建代理配置文件。该配置指定每 48 小时刷新一次 CRL,检索 CRL 的位置为 http://www.my-ca.com。在此示例中,将注册重试值设置为 20。(默认重试值为 10。)
自动证书轮询设置为每 30 分钟一次。如果配置“仅重试”而不配置重试间隔,则默认重试间隔为 900 秒(或 15 分钟)。如果未配置重试或重试间隔,则不会进行轮询。
配置
过程
分步程序
要配置 证书颁发机构配置文件,请执行以下作:
创建 CA 证书颁发机构配置文件。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 user@host#
创建吊销检查以指定检查证书吊销的方法。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
设置刷新间隔(以小时为单位)以指定更新 CRL 的频率。默认值为 CRL 中的下一次更新时间,如果未指定下一次更新时间,则为 1 周。
[edit] user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl refresh-interval 48 url http://www.my-ca.com/my-crl.crl
指定注册重试值。
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry 20
指定自动联机注册 证书颁发机构证书的尝试之间的时间间隔(以秒为单位)。
[edit] user@host# set security pki ca-profile ca-profile-ipsec enrollment retry-interval 1800
如果完成设备配置,请提交配置。
[edit] user@host# commit
代理认证支持
在系统级别定义代理配置文件以管理经过身份验证的出站连接。您可以在层次结构下 [edit services proxy] 配置这些配置文件,其中可以创建多个代理配置文件。每个证书颁发机构配置文件最多只能引用一个代理配置文件。
-
定义代理服务器的主机和端口设置。
[edit] user@host# set services proxy profile px-profile protocol http host x.x.x.x port xxxx
-
在代理配置文件中配置代理身份验证。通过设置用户名和密码,您可以确保安全访问外部源和服务。
[edit] user@host# set services proxy profile px-profile protocol http username <username> user@host# set services proxy profile px-profile protocol http password <password>
-
将代理配置文件附加到 证书颁发机构配置文件。
[edit] user@host# set security pki ca-profile ca-profile-ipsec proxy-profile px-profile
验证
要验证配置是否工作正常,请输入 show security pki 命令。
示例:将 IPv6 地址配置为 证书颁发机构配置文件的源地址
此示例说明如何将 IPv6 地址配置为 证书颁发机构配置文件的源地址。
配置此功能之前,不需要除设备初始化之外的特殊配置。
在此示例中,创建使用证书颁发机构身份v6-ca名为orgA-ca-profile的证书颁发机构配置文件,并将证书颁发机构配置文件的源地址设置为 IPv6 地址,例如 2001:db8:0:f101::1。您可以将注册 URL 配置为接受 IPv6 地址http://[2002:db8:0:f101::1]:/.../。