IKEおよびIPsec SAを確立するための複数の証明書タイプの設定

要件

開始する前に、以下を実行します。

デバイスに証明書登録済みがあることを確認します。証明書の登録を参照してください。

デバイスに登録されている証明書は、 request security pki local-certificate certificate-id certificate-name detail コマンドを使用して確認できます。
IKEパッケージがインストールされていることを確認し、インストールされているIKEパッケージを確認するには、 show version | match ike 操作コマンドを使用します。

デバイスにIKEパッケージがインストールされていない場合は、操作コマンド request system software add optional://junos-ike.tgzを使用してIKEパッケージをインストールできます。詳細については、 IPsec VPN機能セットの有効化を参照してください。

概要

この例では、複数の証明書タイプを設定して、オンSRX_AとオンSRX_Bの間でIKEおよびIPsec SAを確立します。

注:

この例では、SRX_A の RSA 証明書とSRX_Bデバイスの ECDSA 証明書を登録しています。証明書をインストールする方法の詳細については、「証明書の登録」を参照してください。

表 1: SRX_AおよびSRX_Bデバイスのトポロジー設定
デバイス名	使用されるインターフェイス	IKE ゲートウェイアドレス	IKEゲートウェイのローカルIP アドレス
SRX_A	ge-0/0/0	192.168.1.2	192.168.1.1
SRX_B	ge-0/0/0	192.168.1.1	192.168.1.2

トポロジー

図 1では、複数の証明書の種類のサポート構成のトポロジについて説明します。

図 1: 複数の証明書の種類のサポートの設定例

SRX_Aの設定

CLIクイック構成
ステップバイステップ手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップ手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザーガイドのCLI設定モードオーバービを参照してください。

IKEおよびIPsec SAを確立するために複数の証明書タイプを構成するには、次の手順に従います。

show security pki local-certificate certificate-id certificate-name detail コマンドを使用して、デバイスに登録されている証明書を表示します。

デバイスに証明書が登録されていない場合は、デバイスに証明書をインストールします。詳細については、「証明書の登録」を参照してください。

インターフェイスを設定します。

セキュリティゾーンおよびセキュリティポリシーを設定します。

IKEプロポーザルを設定します。

IKEポリシーを構成します。

IKEゲートウェイを構成します。

IPsecプロポーザルを設定します。

IPsecポリシーを設定します。

IPsec VPNを構成します。

結果

設定モードから、 show interfaces、 show security ike 、および show security ipsec コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

SRX_Bの設定

CLIクイック構成
ステップバイステップ手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップ手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの CLI設定モードの概要を参照してください。

IKEおよびIPsec SAを確立するために複数の証明書タイプを構成するには、次の手順に従います。

request security pki local-certificate certificate-id certificate-name detail コマンドを使用して、デバイスに登録されている証明書を表示します。

デバイスに証明書が登録されていない場合は、デバイスに証明書をインストールします。詳細については、「証明書の登録」を参照してください。

インターフェイスを設定します。

セキュリティゾーンおよびセキュリティポリシーを設定します。

IKEプロポーザルを設定します。

IKEポリシーを構成します。

IKEゲートウェイを構成します。

IPsecプロポーザルを設定します。

IPsecポリシーを設定します。

IPsec VPNを構成します。

結果

設定モードから、 show interfaces、 show security ike 、および show security ipsec コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

SRX_Aの確認
SRX_Bの確認

SRX_Aの確認

ここに示されている出力例ではSRX-Aです。

目的
アクション

目的

IPsec フェーズ 2 のステータスを確認します。

アクション

動作モードからshow security ike security-associationsコマンドを入力します。

動作モードからshow security ipsec security-associationsコマンドを入力します。

動作モードからshow security ike security-associations detailコマンドを入力します。

動作モードからshow security ipsec security-associations detailコマンドを入力します。

動作モードからshow security pki local-certificate certificate-id r0_rsa_cr detailコマンドを入力します。

動作モードからshow security pki ca-certificate ca-profile Root-CA detailコマンドを入力します。

SRX_Bの確認

このサンプル出力はSRX-Bのものです。

目的
アクション

目的

IPsec フェーズ 2 のステータスを確認します。

アクション

動作モードからshow security ike security-associationsコマンドを入力します。

動作モードからshow security ipsec security-associationsコマンドを入力します。

動作モードからshow security ike security-associations detailコマンドを入力します。

動作モードからshow security ipsec security-associations detailコマンドを入力します。

動作モードからshow security pki local-certificate certificate-id r1_crt_ecdsa384 detailコマンドを入力します。

s

動作モードからshow security pki ca-certificate ca-profile Root-CA detailコマンドを入力します。

このページで

要件

概要

トポロジー

設定

SRX_Aの設定

CLIクイック構成

ステップバイステップ 手順

結果

SRX_Bの設定

CLIクイック構成

ステップバイステップ 手順

結果

検証

SRX_Aの確認

目的

アクション

SRX_Bの確認

目的

アクション

ステップバイステップ手順

ステップバイステップ手順