サービスの改善にご協力お願いします。

お客様のご意見をお聞かせください。

アンケートの所要時間はおよそ 2 分です。

Announcement: Our new, consolidated Junos CLI Reference is now available.

close
external-header-nav
keyboard_arrow_up
close
keyboard_arrow_left
list Table of Contents

この機械翻訳はお役に立ちましたでしょうか?

starstarstarstarstar
Go to English page
免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

IPsec でのデジタル証明書の使用

date_range 24-Jun-24

IPsec でのデジタル証明書の使用

ネットワーク管理者が IPsec ネットワークを拡張する一般的な方法は、事前共有キーの代わりにデジタル証明書を使用することです。ネットワークでデジタル証明書を有効にするには、動作モードのコマンドと設定ステートメントを組み合わせて使用する必要があります。次のタスクでは、M SeriesおよびT SeriesルーターにインストールされているASおよびマルチサービスPICにデジタル証明書を実装できます。

CA プロファイルの設定

CA プロファイルには、CA または RA の名前と URL、およびいくつかの再試行タイマー設定が含まれています。Entrust、VeriSign、Microsoftが発行するCA証明書は、すべてMシリーズおよびTシリーズルーターに対応しています。CA または RA のドメイン名を設定するには、[edit security pki ca-profile ca-profile-name]階層レベルで ca-identity ステートメントを含めます。CA の URL を設定するには、[edit security pki ca-profile ca-profile-name enrollment]階層レベルで url ステートメントを含めます。ルーターが実行する登録試行回数を設定するには、[edit security pki ca-profile ca-profile-name enrollment]階層レベルで retry ステートメントを含めます。ルーターが登録の試行の間に待機する時間を設定するには、[edit security pki ca-profile ca-profile-name enrollment]階層レベルに retry-interval ステートメントを含めます。

content_copy zoom_out_map
[edit security pki]
ca-profile ca-profile-name {
    ca-identity ca-identity;
    enrollment {
        url url-name;
        retry number-of-enrollment-attempts; # The range is 0 though 100 attempts.
        retry-interval seconds; # The range is 0 though 3600 seconds.
    }
}
手記:

公開キー基盤(PKI)設定全体を削除しても、デバイス内のすべての CA 証明書が期待どおりに削除されません。これらの CA 証明書は、CA プロファイルを再度作成した後にアクセスできるようになります。

証明書失効リストの設定

証明書失効リスト (CRL) には、有効期限前に取り消されたデジタル証明書のリストが含まれています。参加ピアがデジタル証明書を使用すると、証明書の署名と有効性がチェックされます。また、最後に発行された CRL を取得し、証明書のシリアル番号がその CRL にないことを確認します。デフォルトでは、CRL 検証は、Junos OS リリース 8.1 以降で実行されているすべての CA プロファイルで有効になっています。CRL 検証を無効にするには、[セキュリティ PKI CA プロファイルの編集ca-profile-name失効チェック] 階層レベルで disable ステートメントを含めます。

CA が現在の CRL を格納するライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバーの URL を指定するには、[セキュリティ PKI CA プロファイルca-profile-name失効チェック crl の編集] 階層レベルで url ステートメントを含めます。LDAP サーバーが CRL にアクセスするためにパスワードを必要とする場合は、[セキュリティ PKI CA プロファイルca-profile-name失効チェック crl url の編集] 階層レベルに password ステートメントを含めます。

手記:

証明書に証明書配布ポイント (CDP) が含まれている場合は、LDAP サーバーの URL を指定する必要はありません。CDP は、証明書の CRL を取得する方法に関する情報を含む証明書内のフィールドです。ルーターはこの情報を使用して、CRL を自動的にダウンロードします。設定した LDAP URL は、証明書に含まれる CDP よりも優先されます。

CRL を手動でダウンロードした場合は、ルーターに手動でインストールする必要があります。CRL を手動でインストールするには、 request security pki crl load ca-profile ca-profile-name filename path/filename コマンドを発行します。

CRL 更新間の時間間隔を設定するには、[セキュリティ CA プロファイルの編集ca-profile-name失効チェック crl] 階層レベルで refresh-interval ステートメントを含めます。

デフォルトの動作を上書きし、CRL のダウンロードに失敗したときに IPsec ピア認証の続行を許可するには、[edit security ca-profile ca-profile-name revocation-check crl] 階層レベルに disable on-download-failure ステートメントを含めます。

content_copy zoom_out_map
[edit security pki ca-profile ca-profile-name]
revocation-check {
    disable;
    crl {
        disable on-download-failure; 
        refresh-interval number-of-hours { # The range is 0 through 8784 hours.
            url {
                 url-name;
                password;
            }
        }
    }
}
external-footer-nav