使用证书配置基于策略的 IPsec VPN
此示例说明如何配置 PKI 和对其进行故障排除。本主题包含以下部分:
要求
此示例使用以下硬件和软件组件:
Junos OS 9.4 或更高版本
瞻博网络安全设备
准备工作:
确保 SRX 系列防火墙的内部 LAN 接口在区域信任中为 ge-0/0/0,并且具有专用 IP 子网。
确保设备的互联网接口在区域不信任中为 ge-0/0/3,并且具有公共 IP。
确保允许本地和远程 LAN 之间的所有流量,并且可以从任一端启动流量。
确保 SSG5 已正确预配置并加载了即用型本地证书、CA 证书和 CRL。
确保将 SSG5 设备配置为使用 ssg5.example.net 的 FQDN (IKE ID)。
确保具有 1024 位密钥的 PKI 证书用于双方的 IKE 协商。
确保 CA 是两个 VPN 对等方的域 example.com 上的独立 CA。
概述
图 1 显示了此示例用于配置基于策略的 IPsec VPN 的网络拓扑,以允许在公司办公室和远程办公室之间安全地传输数据。
对于基于策略的 VPN 和基于路由的 VPN,PKI 管理是相同的。
在此示例中,VPN 流量在接口 ge-0/0/0.0 上传入,下一跃点为 10.1.1.1。因此,流量在接口 ge-0/0/3.0 上传出。任何隧道策略都必须考虑传入和传出接口。
或者,您可以使用动态路由协议,例如 OSPF(本文档中未介绍)。处理新会话的第一个数据包时,运行 Junos OS 的设备会首先执行路由查找。静态路由(也是默认路由)指示传出 VPN 流量的区域。
许多 CA 使用主机名(例如 FQDN)来指定 PKI 的各种元素。由于 CDP 通常是使用包含 FQDN 的 URL 指定的,因此您必须在运行 Junos OS 的设备上配置 DNS 解析程序。
证书请求可以通过以下方法生成:
创建 CA 配置文件以指定 CA 设置
生成 PKCS10 证书请求
PKCS10 证书请求过程涉及生成公钥或私钥对,然后使用该密钥对生成证书请求本身。
记下有关 CA 配置文件的以下信息:
CA 配置文件定义证书颁发机构的属性。
每个 CA 配置文件都与一个 CA 证书相关联。如果需要加载新的或续订的 CA 证书而不删除旧的 CA 证书,则必须创建新的配置文件。此配置文件还可用于联机获取 CRL。
为不同用户创建的系统中可以存在多个此类配置文件。
如果指定要将证书请求发送到的 CA 管理员电子邮件地址,则系统会从证书请求文件撰写电子邮件并将其转发到指定的电子邮件地址。电子邮件状态通知将发送给管理员。
证书请求可以通过带外方法发送到 CA。
以下选项可用于生成 PKCS10 证书请求:
certificate-id— 本地数字证书和公钥/私钥对的名称。这可确保将正确的密钥对用于证书请求,并最终用于本地证书。从 Junos OS 19.1R1 版开始,将添加提交检查,以防止用户
.在生成本地或远程证书或密钥对时在证书标识符中添加 、/和%空格。subject— 包含公用名、部门、公司名称、州和国家/地区的可分辨名称格式:CN — 通用名称
OU — 部门
O — 公司名称
L — 地点
ST — 州
C — 国家
CN — 电话
DC — 域组件
您不需要输入所有使用者名称组件。另请注意,您可以输入每种类型的多个值。
domain-name— FQDN。FQDN 为 IKE 协商提供证书所有者的标识,并提供使用者名称的替代方法。filename (path | terminal)— (可选)应放置证书请求的位置或登录终端。ip-address— (可选)设备的 IP 地址。email— (可选)CA 管理员的电子邮件地址。您必须使用域名、IP 地址或电子邮件地址。
生成的证书请求存储在指定的文件位置。证书请求的本地副本保存在本地证书存储中。如果管理员重新发出此命令,则会再次生成证书请求。
PKCS10 证书请求存储在指定的文件和位置,您可以从中下载它并将其发送到 CA 进行注册。如果尚未指定文件名或位置,则可以使用 CLI 中的命令获取 show security pki certificate-request certificate-id <id-name> PKCS10 证书请求详细信息。可以复制命令输出并将其粘贴到 CA 服务器的 Web 前端或电子邮件中。
将生成 PKCS10 证书请求,并将其作为挂起的证书或证书请求存储在系统上。将向 CA 管理员发送电子邮件通知(在此示例中为 certadmin@example.com)。
称为证书 ID 的唯一标识用于命名生成的密钥对。此 ID 还用于证书注册和请求命令,以获取正确的密钥对。生成的密钥对保存在证书存储中与证书 ID 同名的文件中。文件大小可以是 1024 位或 2048 位。
如果设备中未预安装中间 CA,则可以创建默认(回退)配置文件。在没有专门配置的 CA 配置文件的情况下,将使用默认配置文件值。
对于 CDP,遵循以下顺序:
每个 CA 配置文件
嵌入在 CA 证书中的 CDP
默认 CA 配置文件
我们建议使用特定的 CA 配置文件,而不是默认配置文件。
管理员向 CA 提交证书请求。CA 管理员验证证书请求并为设备生成新证书。瞻博网络设备的管理员将检索该设备以及 CA 证书和 CRL。
从 CA 检索 CA 证书、设备的新本地证书和 CRL 的过程取决于所使用的 CA 配置和软件供应商。
Junos OS 支持以下 CA 供应商:
委托
威瑞信
Microsoft
尽管其他 CA 软件服务(如 OpenSSL)可用于生成证书,但这些证书未经 Junos OS 验证。
配置
PKI 基本配置
分步过程
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置 PKI,请执行以下操作:
在千兆以太网接口上配置 IP 地址和协议家族。
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@host# set ge-0/0/3 unit 0 family inet address 10.1.1.2/30
配置到互联网下一跃点的默认路由。
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
设置系统时间和日期。
[edit] user@host# set system time-zone PST8PDT
提交配置后,使用命令验证
show system uptime时钟设置。user@host> show system uptime Current time: 2007-11-01 17:57:09 PDT System booted: 2007-11-01 14:36:38 PDT (03:20:31 ago) Protocols started: 2007-11-01 14:37:30 PDT (03:19:39 ago) Last configured: 2007-11-01 17:52:32 PDT (00:04:37 ago) by root 5:57PM up 3:21, 4 users, load averages: 0.00, 0.00, 0.00
设置 NTP 服务器地址。
user@host> set date ntp 130.126.24.24 1 Nov 17:52:52 ntpdate[5204]: step time server 172.16.24.24 offset -0.220645 sec
设置 DNS 配置。
[edit] user@host# set system name-server 172.31.2.1 user@host# set system name-server 172.31.2.2
配置 CA 配置文件
分步过程
-
创建受信任的 CA 配置文件。
[edit] user@host# set security pki ca-profile ms-ca ca-identity example.com
-
创建吊销检查以指定检查证书吊销的方法。
设置刷新间隔(以小时为单位)以指定更新 CRL 的频率。默认值为 CRL 中的下一次更新时间,如果未指定下一次更新时间,则为 1 周。
[edit] user@host# set security pki ca-profile ms-ca revocation-check crl refresh-interval 48
在配置语句中
revocation-check,可以使用选项禁用吊销检查,也可以选择disablecrl配置 CRL 属性的选项。您可以选择在disable on-download-failureCA 配置文件的 CRL 下载失败时允许与 CA 配置文件匹配的会话的选项。仅当同一 CA 配置文件中不存在旧 CRL 时,才允许会话。 -
指定检索 CRL(HTTP 或 LDAP)的位置 (URL)。默认情况下,URL 为空,并使用嵌入在 CA 证书中的 CDP 信息。
[edit] user@host# set security pki ca-profile ms-ca revocation-check crl url http://srv1.example.com/CertEnroll/EXAMPLE.crl
目前只能配置一个 URL。不支持备份 URL 配置。
-
指定用于将证书请求直接发送给 CA 管理员的电子邮件地址。
user@host# set security pki ca-profile ms-ca administrator email-address certadmin@example.com
-
提交配置:
user@host# commit and-quit
commit completeExiting configuration mode
生成公钥-私钥对
分步过程
配置 CA 配置文件后,下一步是在瞻博网络设备上生成密钥对。要生成私钥和公钥对,请执行以下操作:
创建证书密钥对。
user@host> request security pki generate-key-pair certificate-id ms-cert size 1024
结果
生成公钥-私钥对后,瞻博网络设备将显示以下内容:
Generated key pair ms-cert, key size 1024 bits
注册本地证书
分步过程
-
生成 PKCS-10 格式的本地数字证书请求。请参阅 请求安全性 PKI 生成证书请求。
user@host> request security pki generate-certificate-request certificate-id ms-cert subject "CN=john doe,CN=10.1.1.2,OU=sales,O=example, L=Sunnyvale,ST=CA,C=US" email user@example.net filename ms-cert-req Generated certificate request -----BEGIN CERTIFICATE REQUEST----- MIIB3DCCAUUCAQAwbDERMA8GA1UEAxMIam9obiBkb2UxDjAMBgNVBAsTBXNhbGVz MRkwFwYDVQQKExBKdW5pcGVyIE5ldHdvcmtzMRIwEAYDVQQHEwlTdW5ueXZhbGUx CzAJBgNVBAgTAkNBMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw gYkCgYEA5EG6sgG/CTFzX6KC/hz6Czal0BxakUxfGxF7UWYWHaWFFYLqo6vXNO8r OS5Yak7rWANAsMob3E2X/1adlQIRi4QFTjkBqGI+MTEDGnqFsJBqrB6oyqGtdcSU u0qUivMvgKQVCx8hpx99J3EBTurfWL1pCNlBmZggNogb6MbwES0CAwEAAaAwMC4G CSqGSIb3DQEJDjEhMB8wHQYDVR0RBBYwFIESInVzZXJAanVuaXBlci5uZXQiMA0G CSqGSIb3DQEBBQUAA4GBAI6GhBaCsXk6/1lE2e5AakFFDhY7oqzHhgd1yMjiSUMV djmf9JbDz2gM2UKpI+yKgtUjyCK/lV2ui57hpZMvnhAW4AmgwkOJg6mpR5rsxdLr 4/HHSHuEGOF17RHO6x0YwJ+KE1rYDRWj3Dtz447ynaLxcDF7buwd4IrMcRJJI9ws -----END CERTIFICATE REQUEST----- Fingerprint: 47:b0:e1:4c:be:52:f7:90:c1:56:13:4e:35:52:d8:8a:50:06:e6:c8 (sha1) a9:a1:cd:f3:0d:06:21:f5:31:b0:6b:a8:65:1b:a9:87 (md5)
在 PKCS10 证书的示例中,请求以“开始证书请求”行开头并包含该行,并以“结束证书请求”行结束并包含该行。可以将此部分复制并粘贴到您的 CA 以进行注册。或者,您也可以卸载 ms-cert-req 文件并将其发送到您的 CA。
-
将证书请求提交给 CA,然后检索证书。
加载 CA 和本地证书
分步过程
加载本地证书、CA 证书和 CRL。
user@host> file copy ftp://192.168.10.10/certnew.cer certnew.cer /var/tmp//...transferring.file.........crYdEC/100% of 1459 B 5864 kBps user@host> file copy ftp:// 192.168.10.10/CA-certnew.cer CA-certnew.cer /var/tmp//...transferring.file.........UKXUWu/100% of 1049 B 3607 kBps user@host> file copy ftp:// 192.168.10.10/certcrl.crl certcrl.crl /var/tmp//...transferring.file.........wpqnpA/100% of 401 B 1611 kBps
您可以使用命令
file list验证是否已上载所有文件。将证书从指定的外部文件加载到本地存储中。
您还必须指定证书 ID 以保持与私钥或公钥对的正确链接。此步骤将证书加载到 PKI 模块的 RAM 缓存存储中,检查关联的私钥,并验证签名操作。
user@host> request security pki local-certificate load certificate-id ms-cert filename certnew.cer Local certificate loaded successfully
从指定的外部文件加载 CA 证书。
您必须指定 CA 配置文件才能将 CA 证书关联到配置的配置文件。
user@host> request security pki ca-certificate load ca-profile ms-ca filename CA-certnew.cer Fingerprint: 1b:02:cc:cb:0f:d3:14:39:51:aa:0f:ff:52:d3:38:94:b7:11:86:30 (sha1) 90:60:53:c0:74:99:f5:da:53:d0:a0:f3:b0:23:ca:a3 (md5) Do you want to load this CA certificate ? [yes,no] (no) yes CA certificate for profile ms-ca loaded successfully
将 CRL 加载到本地存储中。
CRL 的最大大小为 5 MB。您必须在命令中指定关联的 CA 配置文件。
user@host> request security pki crl load ca-profile ms-ca filename certcrl.crl CRL for CA profile ms-ca loaded successfully
结果
验证是否已加载所有本地证书。
user@host> show security pki local-certificate certificate-id ms-cert detail Certificate identifier: ms-cert Certificate version: 3 Serial number: 3a01c5a0000000000011 Issuer: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: LAB Subject: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: john doe Alternate subject: "user@example.net", fqdn empty, ip empty Validity: Not before: 11- 2-2007 22:54 Not after: 11- 2-2008 23:04 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:e4:41:ba:b2:01:bf:09:31:73:5f:a2:82:fe 1c:fa:0b:36:a5:d0:1c:5a:91:4c:5f:1b:11:7b:51:66:16:1d:a5:85 15:82:ea:a3:ab:d7:34:ef:2b:39:2e:58:6a:4e:eb:58:03:40:b0:ca 1b:dc:4d:97:ff:56:9d:95:02:11:8b:84:05:4e:39:01:a8:62:3e:31 31:03:1a:7a:85:b0:90:6a:ac:1e:a8:ca:a1:ad:75:c4:94:bb:4a:94 8a:f3:2f:80:a4:15:0b:1f:21:a7:1f:7d:27:71:01:4e:ea:df:58:bd 69:08:d9:41:99:98:20:36:88:1b:e8:c6:f0:11:2d:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: ldap:///CN=LAB,CN=LABSRV1,CN=CDP,CN=Public%20Key%20Services,CN=Services, CN=Configuration,DC=domain,DC=com?certificateRevocationList?base? objectclass=cRLDistributionPoint http://labsrv1.domain.com/CertEnroll/LAB.crl Fingerprint: c9:6d:3d:3e:c9:3f:57:3c:92:e0:c4:31:fc:1c:93:61:b4:b1:2d:58 (sha1) 50:5d:16:89:c9:d3:ab:5a:f2:04:8b:94:5d:5f:65:bd (md5)
您可以通过在命令行中指定证书 ID 来显示各个证书的详细信息。
验证所有 CA 证书或单个 CA 配置文件的 CA 证书(指定)。
user@host> show security pki ca-certificate ca-profile ms-ca detail Certificate identifier: ms-ca Certificate version: 3 Serial number: 44b033d1e5e158b44597d143bbfa8a13 Issuer: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: example Subject: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: example Validity: Not before: 09-25-2007 20:32 Not after: 09-25-2012 20:41 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d1:9e:6f:f4:49:c8:13:74:c3:0b:49:a0:56 11:90:df:3c:af:56:29:58:94:40:74:2b:f8:3c:61:09:4e:1a:33:d0 8d:53:34:a4:ec:5b:e6:81:f5:a5:1d:69:cd:ea:32:1e:b3:f7:41:8e 7b:ab:9c:ee:19:9f:d2:46:42:b4:87:27:49:85:45:d9:72:f4:ae:72 27:b7:b3:be:f2:a7:4c:af:7a:8d:3e:f7:5b:35:cf:72:a5:e7:96:8e 30:e1:ba:03:4e:a2:1a:f2:1f:8c:ec:e0:14:77:4e:6a:e1:3b:d9:03 ad:de:db:55:6f:b8:6a:0e:36:81:e3:e9:3b:e5:c9:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: ldap:///CN=LAB,CN=LABSRV1,CN=CDP,CN=Public%20Key%20Services,CN=Services, CN=Configuration,DC=domain,DC=com?certificateRevocationList?base? objectclass=cRLDistributionPoint http://srv1.domain.com/CertEnroll/LAB.crl Use for key: CRL signing, Certificate signing, Non repudiation Fingerprint: 1b:02:cc:cb:0f:d3:14:39:51:aa:0f:ff:52:d3:38:94:b7:11:86:30 (sha1) 90:60:53:c0:74:99:f5:da:53:d0:a0:f3:b0:23:ca:a3 (md5)
验证所有加载的 CRL 或指定单个 CA 配置文件的 CRL。
user@host> show security pki crl ca-profile ms-ca detail CA profile: ms-ca CRL version: V00000001 CRL issuer: emailAddress = certadmin@example.net, C = US, ST = CA, L = Sunnyvale, O = Example, OU = example, CN = example Effective date: 10-30-2007 20:32 Next update: 11- 7-2007 08:52
验证本地证书和 CA 证书的证书路径。
user@host> request security pki local-certificate verify certificate-id ms-cert Local certificate ms-cert verification success user@host> request security pki ca-certificate verify ca-profile ms-ca CA certificate ms-ca verified successfully
使用证书配置 IPsec VPN
分步过程
要使用证书配置 IPsec VPN,请参阅中所示的网络图 图 1
配置安全区域并将接口分配给区域。
在此示例中,数据包在 上
ge-0/0/0传入,入口区域是信任区域。[edit security zones security-zone] user@host# set trust interfaces ge-0/0/0.0 user@host# set untrust interfaces ge-0/0/3.0
为每个区域配置主机入站服务。
主机入站服务适用于发往瞻博网络设备的流量。这些设置包括但不限于 FTP、HTTP、HTTPS、IKE、ping、rlogin、RSH、SNMP、SSH、Telnet、TFTP 和 traceroute。
[edit security zones security-zone] user@host# set trust host-inbound-traffic system-services all user@host# set untrust host-inbound-traffic system-services ike
为每个区域配置通讯簿条目。
[edit security zones security-zone] user@host# set trust address-book address local-net 192.168.10.0/24 user@host# set untrust address-book address remote-net 192.168.168.0/24
将 IKE(第 1 阶段)提议配置为使用 RSA 加密。
[edit security ike proposal rsa-prop1] user@host# set authentication-method rsa-signatures user@host# set encryption-algorithm 3des-cbc user@host# set authentication-algorithm sha1 user@host# set dh-group group2
配置 IKE 策略。
第 1 阶段交换可以在主模式或积极模式下进行。
[edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals rsa-prop1 user@host# set certificate local-certificate ms-cert user@host# set certificate peer-certificate-type x509- signature user@host# set certificate trusted-ca use-all
配置 IKE 网关。
在此示例中,对等方由 FQDN(主机名)标识。因此,网关 IKE ID 应为远程对等域名。您必须指定正确的外部接口或对等方 ID,以便在第 1 阶段设置期间正确标识 IKE 网关。
[edit security ike gateway ike-gate] user@host# set external-interface ge-0/0/3.0 user@host# set ike-policy ike-policy1 user@host# set dynamic hostname ssg5.example.net
配置 IPsec 策略。
此示例使用标准提议集,其中包括
esp-group2-3des-sha1和建议esp-group2- aes128-sha1。但是,可以创建唯一的提议,然后根据需要在 IPsec 策略中指定。[edit security ipsec policy vpn-policy1] user@host# set proposal-set standard user@host# set perfect-forward-secrecy keys group2
使用 IKE 网关和 IPsec 策略配置 IPsec VPN。
在此示例中,必须在隧道策略中引用 ike-vpn VPN 名称才能创建安全关联。此外,如果需要,如果空闲时间和代理 ID 与隧道策略地址不同,则可以指定它们。
[edit security ipsec vpn ike-vpn ike] user@host# set gateway ike-gate user@host# set ipsec-policy vpn-policy1
为 VPN 流量配置双向隧道策略。
在此示例中,从主机 LAN 到远程办公室 LAN 的流量需要从区域信任到区域不信任隧道策略。但是,如果需要将会话从远程 LAN 发起到主机 LAN,则还需要从区域不信任到区域信任相反方向的隧道策略。当您以与配对策略相反的方向指定策略时,VPN 将变为双向。请注意,除了允许操作之外,还需要指定要使用的 IPsec 配置文件。请注意,对于隧道策略,操作始终是允许的。事实上,如果使用拒绝操作配置策略,则不会看到用于指定隧道的选项。
[edit security policies from-zone trust to-zone untrust] user@host# set policy tunnel-policy-out match source-address local-net user@host# set policy tunnel-policy-out match destination-address remote-net user@host# set policy tunnel-policy-out match application any user@host# set policy tunnel-policy-out then permit tunnel ipsec-vpn ike-vpn pair-policy tunnel-policy-in user@host# top edit security policies from-zone untrust to-zone trust user@host# set policy tunnel-policy-in match source-address remote-net user@host# set policy tunnel-policy-in match destination-address local-net user@host# set policy tunnel-policy-in match application any user@host# set policy tunnel-policy-in then permit tunnel ipsec-vpn ike-vpn pair-policy tunnel-policy-out
为互联网流量配置源 NAT 规则和安全策略。
设备使用指定的 source-nat 接口,并使用出口接口的 IP 地址作为源 IP 地址,将随机更高的端口作为源端口,将源 IP 地址和端口转换为传出流量。如果需要,可以创建更精细的策略来允许或拒绝某些流量。
[edit security nat source rule-set nat-out] user@host#set from zone trust user@host#set to zone untrust user@host#set rule interface-nat match source-address 192.168.10.0/24 user@host#set rule interface-nat match destination-address 0.0.0.0/0 user@host#set rule interface-nat then source-nat interface
[edit security policies from-zone trust to-zone untrust] user@host# set policy any-permit match source-address any user@host# set policy any-permit match destination-address any user@host# set policy any-permit match application any user@host# set policy any-permit then permit
将隧道策略移到任意许可策略上方。
[edit security policies from-zone trust to-zone untrust] user@host# insert policy tunnel-policy-out before policy any-permit
安全策略应位于层次结构中的隧道策略之下,因为策略列表是从上到下读取的。如果此策略高于隧道策略,则流量将始终与此策略匹配,并且不会继续到下一个策略。因此,不会加密任何用户流量。
为通过隧道的 TCP 流量配置 tcp-mss 设置。
TCP-MSS 作为 TCP 3 向握手的一部分进行协商。它限制 TCP 段的最大大小以适应网络上的 MTU 限制。这对于 VPN 流量非常重要,因为 IPsec 封装开销以及 IP 和帧开销可能导致生成的 ESP 数据包超过物理接口的 MTU,从而导致分段。因为碎片会增加带宽和设备资源的使用量,因此通常应避免使用碎片。
对于 MTU 为 1500 或更高的大多数基于以太网的网络,建议用于 tcp-mss 的值为 1350。如果路径中任何设备的 MTU 值较低,或者有任何增加的开销(如 PPP、帧中继等),则可能需要更改此值。作为一般规则,您可能需要试验不同的 tcp-mss 值以获得最佳性能。
user@host# set security flow tcp-mss ipsec-vpn mss mss-value Example: [edit] user@host# set security flow tcp-mss ipsec-vpn mss 1350 user@host# commit and-quit commit complete Exiting configuration mode
验证
确认配置工作正常。
- 确认 IKE 第 1 阶段状态
- 获取有关各个安全关联的详细信息
- 确认 IPsec 第 2 阶段状态
- 显示 IPsec 安全关联详细信息
- 检查 IPsec SA 统计信息
- 测试通过 VPN 的流量
- 确认连接
确认 IKE 第 1 阶段状态
目的
通过检查任何 IKE 第 1 阶段安全关联状态来确认 VPN 状态。
与 IPsec 隧道相关的 PKI 在第 1 阶段设置期间形成。第 1 阶段的完成表明 PKI 已成功。
操作
在操作模式下,输入 show security ike security-associations 命令。
user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 2010.2.2.2 UP af4f78bc135e4365 48a35f853ee95d21 Main
意义
输出指示:
远程对等方为 10.2.2.2,状态为 UP,表示第 1 阶段关联成功。
远程对等方 IKE ID、IKE 策略和外部接口均正确。
索引 20 是每个 IKE 安全关联的唯一值。可以使用此输出详细信息获取有关每个安全关联的更多详细信息。请参阅 获取有关各个安全关联的详细信息。
不正确的输出将指示:
远程对等方状态为“关闭”。
没有 IKE 安全关联 。
存在 IKE 策略参数,例如错误的模式类型(Aggr 或 Main)、PKI 问题或第 1 阶段提议(所有参数都必须在两个对等方上匹配)。有关更多详细信息,请参阅IKE、PKI 和 IPsec 问题疑难解答。
外部接口无法接收 IKE 数据包。检查 PKI 相关问题的配置,检查密钥管理守护程序 (kmd) 日志中是否有任何其他错误,或运行跟踪选项以查找不匹配项。有关更多详细信息,请参阅IKE、PKI 和 IPsec 问题疑难解答。
获取有关各个安全关联的详细信息
目的
获取有关单个 IKE 的详细信息。
操作
在操作模式下,输入 show security ike security-associations index 20 detail 命令。
user@host> show security ike security-associations index 20 detail IKE peer 10.2.2.2, Index 20, Role: Responder, State: UP Initiator cookie: af4f78bc135e4365, Responder cookie: 48a35f853ee95d21 Exchange type: Main, Authentication method: RSA-signatures Local: 10.1.1.2:500, Remote: 10.2.2.2:500 Lifetime: Expires in 23282 seconds Algorithms: Authentication : sha1 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Traffic statistics: Input bytes : 10249 Output bytes : 4249 Input packets: 10 Output packets: 9 Flags: Caller notification sent IPsec security associations: 2 created, 1 deleted Phase 2 negotiations in progress: 0
意义
输出显示各个 IKE SA 的详细信息,例如角色(发起方或响应方)、状态、交换类型、身份验证方法、加密算法、流量统计信息、第 2 阶段协商状态等。
您可以使用输出数据执行以下操作:
了解 IKE SA 的作用。当对等方具有响应方角色时,故障排除会更容易。
获取流量统计信息以验证两个方向的流量。
获取已创建或正在进行的 IPsec 安全关联数。
获取任何已完成的第 2 阶段协商的状态。
确认 IPsec 第 2 阶段状态
目的
查看 IPsec(第 2 阶段)安全关联。
确认 IKE 第 1 阶段后,查看 IPsec(第 2 阶段)安全关联。
操作
在操作模式下,输入 show security ipsec security-associations 命令。
user@host> show security ipsec security-associations total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <2 10.2.2.2 500 ESP:3des/sha1 bce1c6e0 1676/ unlim - 0 >2 10.2.2.2 500 ESP:3des/sha1 1a24eab9 1676/ unlim - 0
意义
输出指示:
有一个已配置的 IPsec SA 对可用。端口号 500 表示使用的是标准 IKE 端口。否则,它是网络地址转换遍历 (NAT-T)、4500 或随机高端口。
安全参数索引 (SPI) 用于两个方向。SA 的生存期或使用限制以秒或千字节表示。在输出中,1676/unlim 表示第 2 阶段生存期设置为在 1676 秒后过期,并且没有指定的生存期大小。
ID 号显示每个 IPsec SA 的唯一索引值。
Mon 列中的连字符 (
-) 表示未为此 SA 启用 VPN 监控。虚拟系统 (vsys) 为零,这是默认值。
第 2 阶段生存期可以不同于第 1 阶段生存期,因为在 VPN 启动后,第 2 阶段不依赖于第 1 阶段。
显示 IPsec 安全关联详细信息
目的
显示由索引号标识的各个 IPsec SA 详细信息。
操作
在操作模式下,输入 show security ipsec security-associations index 2 detail 命令。
user@host> show security ipsec security-associations index 2 detail Virtual-system: Root Local Gateway: 10.1.1.2, Remote Gateway: 10.2.2.2 Local Identity: ipv4_subnet(any:0,[0..7]=192.168.10.0/24) Remote Identity: ipv4_subnet(any:0,[0..7]=192.168.168.0/24) DF-bit: clear Policy-name: tunnel-policy-out Direction: inbound, SPI: bce1c6e0, AUX-SPI: 0 Hard lifetime: Expires in 1667 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1093 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: enabled, Replay window size: 32 Direction: outbound, SPI: 1a24eab9, AUX-SPI: 0 Hard lifetime: Expires in 1667 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1093 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: enabled, Replay window size: 32
意义
输出显示本地身份和远程身份。
请注意,代理 ID 不匹配可能会导致第 2 阶段完成失败。代理 ID 派生自隧道策略(对于基于策略的 VPN)。本地地址和远程地址派生自通讯簿条目,服务派生自为策略配置的应用程序。
如果第 2 阶段由于代理 ID 不匹配而失败,请验证策略中配置了哪些通讯簿条目,并确保发送了正确的地址。还要确保端口匹配。仔细检查服务以确保远程和本地服务器的端口匹配。
如果在隧道策略中为源地址、目标地址或应用程序配置了多个对象,则该参数生成的代理 ID 将更改为零。
例如,假设隧道策略出现以下场景:
本地地址 192.168.10.0/24 和 10.10.20.0/24
远程地址 192.168.168.0/24
应用程序作为 junos-http
生成的代理 ID 为本地 0.0.0.0/0、远程 192.168.168.0/24、服务 80。
如果未为第二个子网配置远程对等方,则生成的代理 ID 可能会影响互操作性。此外,如果您使用的是第三方供应商的应用程序,则可能必须手动输入代理 ID 进行匹配。
如果 IPsec 无法完成,请检查 kmd 日志或使用 set traceoptions 命令。有关更多详细信息,请参阅IKE、PKI 和 IPsec 问题疑难解答。
检查 IPsec SA 统计信息
目的
检查 IPsec SA 的统计信息和错误。
要进行故障排除,请检查封装安全有效负载/身份验证标头 (ESP/AH) 计数器中是否存在特定 IPsec SA 的任何错误。
操作
在操作模式下,输入 show security ipsec statistics index 2 命令。
user@host> show security ipsec statistics index 2 ESP Statistics: Encrypted bytes: 674784 Decrypted bytes: 309276 Encrypted packets: 7029 Decrypted packets: 7029 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
意义
输出中的错误值为零表示正常情况。
我们建议多次运行此命令,以观察 VPN 中的任何数据包丢失问题。此命令的输出还显示加密和解密数据包计数器、错误计数器等的统计信息。
您必须启用安全流跟踪选项来调查哪些 ESP 数据包遇到错误及其原因。有关更多详细信息,请参阅IKE、PKI 和 IPsec 问题疑难解答。
测试通过 VPN 的流量
目的
在第 1 阶段和第 2 阶段成功完成后,测试通过 VPN 的流量。您可以使用命令 ping 测试流量。您可以从本地主机 ping 到远程主机。您也可以从瞻博网络设备本身发起 ping。
此示例说明如何向远程主机发起从瞻博网络设备发出的 ping 请求。请注意,从瞻博网络设备启动 ping 时,必须指定源接口,以确保进行正确的路由查找,并在策略查找中引用相应的区域。
在此示例中,ge-0/0/0.0 接口与本地主机位于同一安全区域中,必须在 ping 请求中指定,以便策略查找可以从区域信任到区域不信任。
操作
在操作模式下,输入 ping 192.168.168.10 interface ge-0/0/0 count 5 命令。
user@host> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
确认连接
目的
确认远程主机与本地主机之间的连接。
操作
在操作模式下,输入 ping 192.168.10.10 from ethernet0/6 命令。
ssg5-> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
意义
您可以使用从远程主机到本地主机的命令来 ping 确认端到端连接。在此示例中,命令是从 SSG5 设备启动的。
端到端连接失败可能表示路由、策略、终端主机或 ESP 数据包的加密/解密存在问题。要验证失败的确切原因,请执行以下操作:
检查 IPsec 统计信息,了解有关错误的详细信息,如中所述 检查 IPsec SA 统计信息。
使用与终端主机位于同一子网上的主机的命令确认
ping终端主机连接。如果其他主机可以访问最终主机,则可以假定问题不与终端主机有关。启用安全流跟踪选项,以排查路由相关和策略相关问题。
IKE、PKI 和 IPsec 问题疑难解答
对 IKE、PKI 和 IPsec 问题进行故障排除。
- 基本故障排除步骤
- 检查设备上的可用磁盘空间
- 检查日志文件以验证不同的方案并将日志文件上传到 FTP
- 启用 IKE 跟踪选项以查看 IKE 上的消息
- 启用 PKI 跟踪选项以查看 IPsec 上的邮件
- 设置 IKE 和 PKI 跟踪选项以解决证书的 IKE 设置问题
- 分析第 1 阶段成功消息
- 分析第 1 阶段失败消息(提议不匹配)
- 分析第 1 阶段失败消息(身份验证失败)
- 分析第 1 阶段故障消息(超时错误)
- 分析第 2 阶段故障消息
- 分析第 2 阶段故障消息
- 排查与 IKE 和 PKI 相关的常见问题
基本故障排除步骤
问题
基本的故障排除步骤如下:
识别和隔离问题。
调试问题。
开始故障排除的常用方法是从 OSI 层的最低层开始,然后沿着 OSI 堆栈向上工作,以确认发生故障的层。
解决方案
排除 IKE、PKI 和 IPsec 故障的基本步骤如下:
在物理和数据链路级别确认互联网链路的物理连接。
确认瞻博网络设备已连接到互联网下一跃点,并已连接到远程 IKE 对等方。
确认 IKE 第 1 阶段完成。
如果 IKE 第 1 阶段成功完成,请确认 IKE 第 2 阶段完成。
确认通过 VPN 的流量(如果 VPN 已启动并处于活动状态)。
Junos OS 包含跟踪选项功能。使用此功能,您可以启用跟踪选项标志,以将跟踪选项中的数据写入日志文件,日志文件可以预先确定或手动配置并存储在闪存中。即使在系统重新启动后,这些跟踪日志也可以保留。在实施跟踪选项之前,请检查可用的闪存。
您可以在配置模式下启用跟踪选项功能,并提交配置以使用跟踪选项功能。同样,要禁用跟踪选项,您必须在配置模式下停用跟踪选项并提交配置。
检查设备上的可用磁盘空间
问题
检查设备文件系统中可用磁盘空间的统计信息。
解决方案
在操作模式下,输入 show system storage 命令。
user@host> show system storage Filesystem Size Used Avail Capacity Mounted on /dev/ad0s1a 213M 74M 137M 35% / devfs 1.0K 1.0K 0B 100% /dev devfs 1.0K 1.0K 0B 100% /dev/ /dev/md0 180M 180M 0B 100% /junos /cf 213M 74M 137M 35% /junos/cf devfs 1.0K 1.0K 0B 100% /junos/dev/ procfs 4.0K 4.0K 0B 100% /proc /dev/bo0s1e 24M 13K 24M 0% /config /dev/md1 168M 7.6M 147M 5% /mfs /cf/var/jail 213M 74M 137M 35% /jail/var
代表 /dev/ad0s1a 板载闪存,当前容量为 35%。
检查日志文件以验证不同的方案并将日志文件上传到 FTP
问题
查看日志文件以检查安全 IKE 调试消息、安全流程调试以及记录到 syslog 的状态。
解决方案
在操作模式下,输入 show log kmd、 show log pkid、 show log security-trace和 show log messages 命令。
user@host> show log kmd user@host> show log pkid user@host> show log security-trace user@host> show log messages
您可以使用命令 show log 查看 /var/log 目录中所有日志的列表。
也可以使用 file copy 命令将日志文件上载到 FTP 服务器。
(operational mode): user@host> file copy path/filename dest-path/filename Example:
user@host> file copy /var/log/kmd ftp://192.168.10.10/kmd.log
ftp://192.168.10.10/kmd.log 100% of 35 kB 12 MBps
启用 IKE 跟踪选项以查看 IKE 上的消息
问题
要查看 IKE 或 IPsec 的成功或失败消息,可以使用命令查看 show log kmd kmd 日志。由于 kmd 日志显示一些常规消息,因此通过启用 IKE 和 PKI 跟踪选项来获取其他详细信息会很有用。
通常,最佳做法是对具有响应方角色的对等方进行故障排除。您必须从发起方和响应方获取跟踪输出,以了解故障原因。
配置 IKE 跟踪选项。
解决方案
user@host> configure Entering configuration mode [edit] user@host# edit security ike traceoptions [edit security ike traceoptions]
user@host# set file ? Possible completions: <filename> Name of file in which to write trace information files Maximum number of trace files (2..1000) match Regular expression for lines to be logged no-world-readable Don't allow any user to read the log file size Maximum trace file size (10240..1073741824) world-readable Allow any user to read the log file
[edit security ike traceoptions]
user@host# set flag ? Possible completions: all Trace everything certificates Trace certificate events database Trace security associations database events general Trace general events ike Trace IKE module processing parse Trace configuration processing policy-manager Trace policy manager processing routing-socket Trace routing socket messages timer Trace internal timer events
如果未为 <文件名> 字段指定文件名,则所有 IKE 追踪选项都将写入 kmd 日志。
必须至少指定一个标志选项才能将跟踪数据写入日志。例如:
file size— 每个跟踪文件的最大大小,以字节为单位。例如,100 万 (1,000,000 ) 可以生成的最大文件大小为 1 MB。files— 要生成和存储在闪存设备中的跟踪文件的最大数量。
必须提交配置才能启动跟踪。
启用 PKI 跟踪选项以查看 IPsec 上的邮件
问题
启用 PKI 跟踪选项以确定 IKE 故障是与证书有关还是与非 PKI 问题有关。
解决方案
[edit security pki traceoptions]
user@host# set file ? Possible completions: <filename> Name of file in which to write trace information files Maximum number of trace files (2..1000) match Regular expression for lines to be logged no-world-readable Don't allow any user to read the log file size Maximum trace file size (10240..1073741824) world-readable Allow any user to read the log file
[edit security pki traceoptions]
user@host# set flag ? Possible completions: all Trace with all flags enabled certificate-verification PKI certificate verification tracing online-crl-check PKI online crl tracing
设置 IKE 和 PKI 跟踪选项以解决证书的 IKE 设置问题
问题
配置 IKE 和 PKI 跟踪选项的建议设置。
IKE 和 PKI 跟踪选项使用相同的参数,但所有与 PKI 相关的跟踪的默认文件名都可以在 pkid 日志中找到。
解决方案
user@host> configure Entering configuration mode [edit security ike traceoptions] user@host# set file size 1m user@host# set flag ike user@host# set flag policy-manager user@host# set flag routing-socket user@host# set flag certificates [edit security pki traceoptions] user@host# set file size 1m user@host# set flag all user@host# commit and-quit commit complete Exiting configuration mode
分析第 1 阶段成功消息
问题
了解 IKE 第 1 阶段和第 2 阶段条件成功时的命令输出 show log kmd 。
解决方案
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]= 10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net) Nov 7 11:52:14 Phase-2 [responder] done for p1_local=ipv4(udp:500,[0..3]=10.1.1.2) p1_remote=fqdn(udp:500,[0..15]=ssg5.example.net) p2_local=ipv4_subnet(any:0,[0..7]=192.168.10.0/24) p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
示例输出指示:
10.1.1.2- 本地地址。ssg5.example.net- 远程对等方(带有 FQDN 的主机名)。udp: 500—NAT-T 没有协商。Phase 1 [responder] done- 第 1 阶段状态以及角色(发起方或响应方)。Phase 2 [responder] done- 第 1 阶段状态以及代理 ID 信息。您还可以使用中 确认 IKE 第 1 阶段状态提到的验证命令确认 IPsec SA 状态。
分析第 1 阶段失败消息(提议不匹配)
问题
了解 IKE 第 1 阶段条件出现故障的命令输出 show log kmd 有助于确定 VPN 未建立第 1 阶段的原因。
解决方案
Nov 7 11:52:14 Phase-1 [responder] failed with error(No proposal chosen) for
local=unknown(any:0,[0..0]=) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { 011359c9 ddef501d - 2216ed2a bfc50f5f [-
1] / 0x00000000 } IP; Error = No proposal chosen (14)示例输出指示:
10.1.1.2- 本地地址。ssg5.example.net- 远程对等方(带有 FQDN 的主机名)。udp: 500—NAT-T 没有协商。Phase-1 [responder] failed with error (No proposal chosen)- 由于提议不匹配而导致第 1 阶段失败。
要解决此问题,请确保响应方和发起方上的 IKE 网关第 1 阶段建议的参数匹配。还要确认 VPN 存在隧道策略。
分析第 1 阶段失败消息(身份验证失败)
问题
了解 IKE 第 1 阶段条件失败时的命令输出 show log kmd 。这有助于确定 VPN 未建立第 1 阶段的原因。
解决方案
Nov 7 12:06:36 Unable to find phase-1 policy as remote peer:10.2.2.2 is not recognized.
Nov 7 12:06:36 Phase-1 [responder] failed with error(Authentication failed) for
local=ipv4(udp:500,[0..3]=10.1.1.2) remote=ipv4(any:0,[0..3]=10.2.2.2)
Nov 7 12:06:36 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { f725ca38 dad47583 - dab1ba4c ae26674b [-
1] / 0x00000000 } IP; Error = Authentication failed (24)
示例输出指示:
10.1.1.2- 本地地址。10.2.2.2—远程对等Phase 1 [responder] failed with error (Authentication failed)— 第 1 阶段失败,因为响应方无法识别来自有效网关对等方的传入请求。对于具有 PKI 证书的 IKE,此故障通常表示指定或输入了不正确的 IKE ID 类型。
要解决此问题,请根据以下内容确认在本地对等方上指定了正确的对等方 IKE ID 类型:
远程对等方证书的生成方式
收到的远程对等方证书中的使用者备用名称或 DN 信息
分析第 1 阶段故障消息(超时错误)
问题
了解 IKE 第 1 阶段条件失败时的命令输出 show log kmd 。
解决方案
Nov 7 13:52:39 Phase-1 [responder] failed with error(Timeout) for local=unknown(any:0,[0..0]=) remote=ipv4(any:0,[0..3]=10.2.2.2)
示例输出指示:
10.1.1.2—L本地地址。10.2.2.2—远程对等方。Phase 1 [responder] failed with error(Timeout)- 第 1 阶段故障。此错误表示 IKE 数据包在前往远程对等方的途中丢失,或者远程对等方出现延迟或无响应。
由于此超时错误是等待来自 PKI 守护程序的响应的结果,因此您必须查看 PKI 跟踪选项输出以查看 PKI 是否存在问题。
分析第 2 阶段故障消息
问题
了解 IKE 第 2 阶段条件失败时的命令输出 show log kmd 。
解决方案
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]=
10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 Failed to match the peer proxy ids
p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
p2_local=ipv4_subnet(any:0,[0..7]=10.10.20.0/24) for the remote peer:ipv4(udp:500,[0..3]=10.2.2.2)
Nov 7 11:52:14 KMD_PM_P2_POLICY_LOOKUP_FAILURE: Policy lookup for Phase-2 [responder] failed for
p1_local=ipv4(udp:500,[0..3]=10.1.1.2) p1_remote=ipv4(udp:500,[0..3]=10.2.2.2)
p2_local=ipv4_subnet(any:0,[0..7]=10.10.20.0/24)
p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { 41f638eb cc22bbfe - 43fd0e85 b4f619d5 [0]
/ 0xc77fafcf } QM; Error = No proposal chosen (14)
示例输出指示:
10.1.1.2- 本地地址。ssg5.example.net- 远程对等方(IKE ID 类型主机名,带有 FQDN)。Phase 1 [responder] done- 第 1 阶段成功。Failed to match the peer proxy ids— 收到的代理 ID 不正确。在前面的示例中,收到的两个代理 ID 是 192.168.168.0/24(远程)和 10.10.20.0/24(本地)(对于 service=any)。根据此示例中给出的配置,预期的本地地址为 192.168.10.0/24。这说明本地对等方配置不匹配,导致代理 ID 匹配失败。若要解决此问题,请更正通讯簿条目或在任一对等方上配置代理 ID,使其与另一个对等方匹配。
输出还指示失败的原因为
No proposal chosen。但是,在这种情况下,您还会看到消息Failed to match the peer proxy ids。
分析第 2 阶段故障消息
问题
了解 IKE 第 2 阶段条件失败时的命令输出 show log kmd 。
解决方案
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]=
10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { cd9dff36 4888d398 - 6b0d3933 f0bc8e26 [0]
/ 0x1747248b } QM; Error = No proposal chosen (14)
示例输出指示:
10.1.1.2- 本地地址。fqdn(udp:500,[0..15]=ssg5.example.net—远程对等方。Phase 1 [responder] done- 第 1 阶段成功。Error = No proposal chosen—第 2 阶段未选择任何提案。此问题是由于两个对等方之间的提议不匹配造成的。若要解决此问题,请确认第 2 阶段建议在两个对等方上匹配。
排查与 IKE 和 PKI 相关的常见问题
问题
排查与 IKE 和 PKI 相关的常见问题。
启用跟踪选项功能可帮助您收集有关调试问题的更多信息,而不是从普通日志条目中获取的信息。可以使用跟踪选项日志来了解 IKE 或 PKI 失败的原因。
解决方案
对 IKE 和 PKI 相关问题进行故障排除的方法:
确保时钟、日期、时区和夏令时设置正确。使用 NTP 保持时钟准确。
确保在 DN 的“C=”(国家/地区)字段中使用两个字母的国家/地区代码。
例如:使用“美国”,而不是“美国”或“美国”。某些 CA 要求填充 DN 的国家/地区字段,允许您仅使用两个字母的值输入国家/地区代码值。
确保如果对等证书使用多个 OU=或 CN= 字段,则使用可分辨名称与容器方法(必须维护序列并区分大小写)。
如果证书尚未生效,请检查系统时钟,如果需要,请调整系统时区,或者只在时钟中添加一天以进行快速测试。
确保配置了匹配的 IKE ID 类型和值。
PKI 可能由于吊销检查失败而失败。要确认这一点,请暂时禁用吊销检查,并查看 IKE 阶段 1 是否能够完成。
要禁用吊销检查,请在配置模式下使用以下命令:
set security pki ca-profile <ca-profile> revocation-check disable