- play_arrow ポート セキュリティ
- play_arrow ポートセキュリティの概要
-
- play_arrow デジタル証明書
- play_arrow デジタル証明書の設定
- play_arrow SSHおよびSSLルーターアクセスの設定
-
- play_arrow Trusted Platform モジュール
- play_arrow MACsec
- play_arrow MACsecについて
- play_arrow MACsec の例
-
- play_arrow MAC 制限と移動制限
- play_arrow DHCP保護
- play_arrow DHCPv4 および DHCPv6
- play_arrow DHCP スヌーピング
- play_arrow DHCP オプション 82
- play_arrow Dynamic ARP Inspection(DAI)
-
- play_arrow IPソース ガード
- play_arrow IPソース ガードについて
- play_arrow IPソース ガードの例
- 例:音声VLANとインターフェイスを共有するデータVLANでのIPソースガードの設定
- 例:他のEXシリーズスイッチ機能を使用してIPソースガードを設定し、信頼できないアクセスインターフェイスに対するアドレススプーフィング攻撃を軽減
- 例:IP スプーフィングと ARP スプーフィングからスイッチを保護するための IP ソース ガードとダイナミック ARP インスペクションの設定
- 例:IPv6 アドレス スプーフィングからスイッチを保護するための IPv6 ソース ガードおよび近隣探索インスペクションの設定
- 元 IP アドレス スプーフィングと送信元 MAC アドレス スプーフィングの影響を軽減するための IP ソース ガードの設定
- 例:指定されたブリッジ ドメインで IP ソース ガードとダイナミック ARP インスペクションを設定して、攻撃からデバイスを保護する
- 例:IPv6 アドレス スプーフィングからスイッチを保護するための IPv6 ソース ガードおよび近隣探索インスペクションの設定
-
- play_arrow IPv6アクセスセキュリティ
- play_arrow 近隣探索プロトコル
- play_arrow SLAAC スヌーピング
- play_arrow ルーター アドバタイズメント ガード
-
- play_arrow コントロールプレーンの分散型サービス拒否(DDoS)攻撃防御およびフロー検知
- play_arrow コントロールプレーンDDoS防御
- play_arrow フロー検出と原因フロー
-
- play_arrow ユニキャスト転送
- play_arrow ユニキャスト リバース パス フォワーディング
- play_arrow 不明なユニキャスト転送
-
- play_arrow ストーム制御
- play_arrow ストーム制御の理解と使用
-
- play_arrow マルウェア防御
- play_arrow ジュニパーマルウェア削除ツール
-
- play_arrow 設定ステートメントと運用コマンド
このページの目次
IPsec でのデジタル証明書の使用
IPsec でのデジタル証明書の使用
ネットワーク管理者が IPsec ネットワークを拡張する一般的な方法は、事前共有キーの代わりにデジタル証明書を使用することです。ネットワークでデジタル証明書を有効にするには、動作モードのコマンドと設定ステートメントを組み合わせて使用する必要があります。次のタスクでは、M SeriesおよびT SeriesルーターにインストールされているASおよびマルチサービスPICにデジタル証明書を実装できます。
関連項目
CA プロファイルの設定
CA プロファイルには、CA または RA の名前と URL、およびいくつかの再試行タイマー設定が含まれています。Entrust、VeriSign、Microsoftが発行するCA証明書は、すべてMシリーズおよびTシリーズルーターに対応しています。CA または RA のドメイン名を設定するには、[edit security pki ca-profile ca-profile-name]
階層レベルで ca-identity
ステートメントを含めます。CA の URL を設定するには、[edit security pki ca-profile ca-profile-name enrollment]
階層レベルで url
ステートメントを含めます。ルーターが実行する登録試行回数を設定するには、[edit security pki ca-profile ca-profile-name enrollment]
階層レベルで retry
ステートメントを含めます。ルーターが登録の試行の間に待機する時間を設定するには、[edit security pki ca-profile ca-profile-name enrollment]
階層レベルに retry-interval
ステートメントを含めます。
[edit security pki] ca-profile ca-profile-name { ca-identity ca-identity; enrollment { url url-name; retry number-of-enrollment-attempts; # The range is 0 though 100 attempts. retry-interval seconds; # The range is 0 though 3600 seconds. } }
公開キー基盤(PKI)設定全体を削除しても、デバイス内のすべての CA 証明書が期待どおりに削除されません。これらの CA 証明書は、CA プロファイルを再度作成した後にアクセスできるようになります。
証明書失効リストの設定
証明書失効リスト (CRL) には、有効期限前に取り消されたデジタル証明書のリストが含まれています。参加ピアがデジタル証明書を使用すると、証明書の署名と有効性がチェックされます。また、最後に発行された CRL を取得し、証明書のシリアル番号がその CRL にないことを確認します。デフォルトでは、CRL 検証は、Junos OS リリース 8.1 以降で実行されているすべての CA プロファイルで有効になっています。CRL 検証を無効にするには、[セキュリティ PKI CA プロファイルの編集ca-profile-name失効チェック] 階層レベルで disable
ステートメントを含めます。
CA が現在の CRL を格納するライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバーの URL を指定するには、[セキュリティ PKI CA プロファイルca-profile-name失効チェック crl の編集] 階層レベルで url
ステートメントを含めます。LDAP サーバーが CRL にアクセスするためにパスワードを必要とする場合は、[セキュリティ PKI CA プロファイルca-profile-name失効チェック crl url の編集] 階層レベルに password
ステートメントを含めます。
証明書に証明書配布ポイント (CDP) が含まれている場合は、LDAP サーバーの URL を指定する必要はありません。CDP は、証明書の CRL を取得する方法に関する情報を含む証明書内のフィールドです。ルーターはこの情報を使用して、CRL を自動的にダウンロードします。設定した LDAP URL は、証明書に含まれる CDP よりも優先されます。
CRL を手動でダウンロードした場合は、ルーターに手動でインストールする必要があります。CRL を手動でインストールするには、 request security pki crl load ca-profile ca-profile-name filename path/filename
コマンドを発行します。
CRL 更新間の時間間隔を設定するには、[セキュリティ CA プロファイルの編集ca-profile-name失効チェック crl] 階層レベルで refresh-interval
ステートメントを含めます。
デフォルトの動作を上書きし、CRL のダウンロードに失敗したときに IPsec ピア認証の続行を許可するには、[edit security ca-profile ca-profile-name revocation-check crl] 階層レベルに disable on-download-failure
ステートメントを含めます。
[edit security pki ca-profile ca-profile-name] revocation-check { disable; crl { disable on-download-failure; refresh-interval number-of-hours { # The range is 0 through 8784 hours. url { url-name; password; } } } }