Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

证书颁发机构

证书颁发机构 (CA) 配置文件定义与特定证书关联的每个参数,以便在两个端点之间建立安全连接。配置文件指定要使用的证书、如何验证证书吊销状态以及该状态如何限制访问。

配置受信任的 CA 组

本节介绍为 CA 配置文件列表创建可信 CA 组和删除可信 CA 组的过程。

为 CA 配置文件列表创建受信任的 CA 组

您可以配置和分配受信任的 CA 组以授权实体。当对等方尝试与客户端建立连接时,仅验证该实体的特定受信任 CA 颁发的证书。设备验证证书的颁发者和提供证书的颁发者是否属于同一客户端网络。如果颁发者和演示者属于同一客户端网络,则建立连接。否则,将不会建立连接。

在开始之前,您必须具有要添加到受信任组的所有 CA 配置文件的列表。

在此示例中,我们将创建三个名为 orgA-ca-profileorgB-ca-profileorgC-ca-profile CA 配置文件,并为各自的配置文件关联以下 CA 标识符 ca-profile1ca-profile2ca-profile3 。您可以将所有三个 CA 配置文件分组为属于一个受信任的 CA 组 orgABC-trusted-ca-group

您最多可以为受信任的 CA 组配置 20 个 CA 配置文件。

  1. 创建 CA 配置文件并将 CA 标识符关联到配置文件。
  2. 将 CA 配置文件分组到受信任的 CA 组下。
  3. 完成 CA 配置文件和受信任 CA 组的配置后,提交配置。

要查看设备上配置的 CA 配置文件和受信任的 CA 组,请运行 show security pki 命令。

show security pki 命令将显示分组在 下 orgABC_trusted-ca-group的所有 CA 配置文件。

从受信任的 CA 组中删除 CA 配置文件

您可以删除受信任 CA 组中的特定 CA 配置文件,也可以删除受信任的 CA 组本身。

例如,如果要删除从受信任 CA 组 orgABC-trusted-ca-group中命名的 orgC-ca-profile CA 配置文件,如主题中配置受信任的 CA 组所示在设备上配置,请执行以下步骤:

  1. 从受信任的 CA 组中删除 CA 配置文件。
  2. 如果已完成从受信任的 CA 组中删除 CA 配置文件,请提交配置。

要查看正在从 orgABC-trusted-ca-group 中删除的 orgC-ca-profile ,请运行show security pki命令。

输出不会显示 orgC-ca-profile 配置文件,因为它已从受信任的 CA 组中删除。

删除受信任的 CA 组

一个实体可以支持许多受信任的 CA 组,您可以删除一个实体的任何受信任的 CA 组。

例如,如果要删除设备上名为 的受 orgABC-trusted-ca-group信任 CA 组,如主题中 配置受信任的 CA 组 所示配置,请执行以下步骤:

  1. 删除受信任的 CA 组。
  2. 如果已完成从受信任的 CA 组中删除 CA 配置文件,请提交配置。

要查看要从实体中删除的内容 orgABC-trusted-ca-group ,请运行 show security pki 命令。

输出不会显示, orgABC-trusted-ca-group 因为它已从实体中删除。

了解证书颁发机构配置文件

证书颁发机构 (CA) 配置文件配置包含特定于 CA 的信息。您可以在 SRX 系列防火墙上拥有多个 CA 配置文件。例如,您可能有一个用于组织 A 的配置文件和一个用于组织 B 的配置文件。每个配置文件都与一个 CA 证书相关联。如果要加载新的 CA 证书而不删除旧证书,请创建新的 CA 配置文件(例如,Microsoft-2008)。

从 Junos OS 18.1R1 版开始,CA 服务器可以是 IPv6 CA 服务器。

PKI 模块支持 IPv6 地址格式,以便在仅使用 IPv6 协议的网络中使用 SRX 系列防火墙。

CA 颁发数字证书,这有助于通过证书验证在两个端点之间建立安全连接。对于给定拓扑,您可以将多个 CA 配置文件分组到一个受信任的 CA 组中。这些证书用于在两个终结点之间建立连接。要建立 IKE 或 IPsec,两个端点必须信任同一个 CA。如果任一端点无法使用其各自的受信任 CA (ca-profile) 或受信任 CA 组验证证书,则不会建立连接。创建受信任的 CA 组必须至少有一个 CA 配置文件,一个受信任的 CA 组中最多允许 20 个 CA。特定组中的任何 CA 都可以验证该特定终结点的证书。

从 Junos OS 18.1R1 版开始,可以使用指定的 CA 服务器或 CA 服务器组验证已配置的 IKE 对等方。可以使用 [edit security pki] 层次结构级别的配置语句创建trusted-ca-group一组受信任的 CA 服务器;可以指定一个或多个 CA 配置文件。受信任的 CA 服务器绑定到 [edit security ike policy policy certificate] 层次结构级别的对等方的 IKE 策略配置。

如果在 CA 配置文件中配置了代理配置文件,则在证书注册、验证或吊销时,设备将连接到代理主机而不是 CA 服务器。代理主机使用来自设备的请求与 CA 服务器通信,然后将响应中继到设备。

CA 代理配置文件支持 SCEP、CMPv2 和 OCSP 协议。

CA 代理配置文件仅在 HTTP 上受支持,在 HTTPS 协议上不受支持。

示例:配置 CA 配置文件

此示例说明如何配置 CA 配置文件。

要求

配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

在此示例中,您将创建一个名为 CA 标识 microsoft-2008 的 ca-profile-ipsec CA 配置文件。然后,创建到 CA 配置文件的代理配置文件。该配置指定每 48 小时刷新一次 CRL,检索 CRL 的位置为 http://www.my-ca.com。在此示例中,您将注册重试值设置为 20。(默认重试值为 10。

自动证书轮询设置为每 30 分钟一次。如果仅配置重试而不配置重试间隔,则默认重试间隔为 900 秒(或 15 分钟)。如果未配置重试或重试间隔,则不会进行轮询。

配置

程序

分步过程

要配置 CA 配置文件:

  1. 创建 CA 配置文件。

  2. (可选)将代理配置文件配置为 CA 配置文件。

    公钥基础结构 (PKI) 使用在系统级别配置的代理配置文件。必须在层次结构中 [edit services proxy] 配置CA 配置文件中使用的代理配置文件。层次结构下 [edit services proxy] 可以配置多个代理配置文件。每个 CA 配置文件都引用最多一个此类代理配置文件。您可以在层次结构中 [edit system services proxy] 配置代理配置文件的主机和端口。

  3. 创建吊销检查以指定检查证书吊销的方法。

  4. 设置刷新间隔(以小时为单位)以指定更新 CRL 的频率。默认值为 CRL 中的下一次更新时间,如果未指定下一次更新时间,则为 1 周。

  5. 指定注册重试值。

  6. 指定尝试自动联机注册 CA 证书之间的时间间隔(以秒为单位)。

  7. 如果完成设备配置,请提交配置。

验证

要验证配置是否正常工作,请输入 show security pki 命令。

示例:将 IPv6 地址配置为 CA 配置文件的源地址

此示例说明如何将 IPv6 地址配置为 CA 配置文件的源地址。

配置此功能之前,不需要除设备初始化之外的特殊配置。

在此示例中,创建一个名为“具有 CA 身份”的 orgA-ca-profile CA 配置文件,并将该 CA 配置文件的源地址设置为 IPv6 地址,例如 2001:db8:0:f101::1v6-ca 您可以将注册 URL 配置为接受 IPv6 地址 http://[2002:db8:0:f101::1]:/.../

  1. 创建 CA 配置文件。
  2. 将 CA 配置文件的源地址配置为 IPv6 地址。
  3. 指定 CA 的注册参数。
  4. 如果完成设备配置,请提交配置。

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
18.1R1
从 Junos OS 18.1R1 版开始,CA 服务器可以是 IPv6 CA 服务器。
18.1R1
从 Junos OS 18.1R1 版开始,可以使用指定的 CA 服务器或 CA 服务器组验证已配置的 IKE 对等方。