サービスの改善にご協力お願いします。

お客様のご意見をお聞かせください。

アンケートの所要時間はおよそ 2 分です。

close
keyboard_arrow_left
list Table of Contents

この機械翻訳はお役に立ちましたでしょうか?

starstarstarstarstar
Go to English page
免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

例:ピア証明書チェーン検証用のデバイスの設定

date_range 16-Jun-23

この例では、IKEネゴシエーション中にピアデバイスを検証するために使用される証明書チェーンにデバイスを設定する方法を示します。

要件

開始する前に、ローカル証明書の要求を送信する際に、認証機関(CA)のアドレスと必要な情報(チャレンジ パスワードなど)を取得します。

概要

この例では、証明書チェーンにローカルデバイスを設定し、CAとローカル証明書を登録し、登録された証明書の有効性を確認し、ピアデバイスの失効ステータスを確認する方法を示しています。

トポロジ

この例では、 図 1 に示すように、Host-A の設定および運用コマンドを示しています。Host-A で動的 CA プロファイルが自動的に作成され、Host-A が Sales-CA から CRL をダウンロードし、Host-B の証明書の失効ステータスを確認できます。

図 1:証明書チェーンの例 Certificate Chain Example
メモ:

この例では、ホスト-Aのフェーズ1およびフェーズ2ネゴシエーションのIPsec VPN設定を示しています。フェーズ1とフェーズ2のオプションが正常にネゴシエートされ、SA(セキュリティアソシエーション)が確立されるように、ピアデバイス(ホスト-B)を適切に設定する必要があります。

構成

証明書チェーンにデバイスを設定するには、次の手順に従います。

CA プロファイルの設定

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

content_copy zoom_out_map
set security pki ca-profile Root-CA ca-identity CA-Root
set security pki ca-profile Root-CA enrollment url http://10.157.88.230:8080/scep/Root/
set security pki ca-profile Root-CA revocation-check use-crl
set security pki ca-profile Eng-CA ca-identity Eng-CA
set security pki ca-profile Eng-CA enrollment url http://10.157.88.230:8080/scep/Eng/
set security pki ca-profile Eng-CA revocation-check use-crl
set security pki ca-profile Dev-CA ca-identity Dev-CA
set security pki ca-profile Dev-CA enrollment url http://10.157.88.230:8080/scep/Dev/
set security pki ca-profile Dev-CA revocation-check use-crl

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

CAプロファイルを設定するには:

  1. ルート CA の CA プロファイルを作成します。

    content_copy zoom_out_map
    [edit security pki]
    user@host# set ca-profile Root-CA ca-identity CA-Root
    user@host# set ca-profile Root-CA enrollment url http://10.157.88.230:8080/scep/Root/
    user@host# set ca-profile Root-CA revocation-check use-crl
    
  2. Eng-CA の CA プロファイルを作成します。

    content_copy zoom_out_map
    [edit security pki]
    user@host# set ca-profile Eng-CA ca-identity Eng-CA
    user@host# set ca-profile Eng-CA enrollment url http://10.157.88.230:8080/scep/Eng/
    user@host# set ca-profile Eng-CA revocation-check use-crl
    
  3. Dev-CA の CA プロファイルを作成します。

    content_copy zoom_out_map
    [edit security pki]
    user@host# set ca-profile Dev-CA ca-identity Dev-CA
    user@host# set ca-profile Dev-CA enrollment url http://10.157.88.230:8080/scep/Dev/
    user@host# set ca-profile Dev-CA revocation-check use-crl
    

結果

設定モードから、 コマンドを入力して設定を show security pki 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

content_copy zoom_out_map
[edit]
user@host# show security pki
ca-profile Root-CA {
    ca-identity Root-CA;
    enrollment {
        url "http:/;/10.157.88.230:8080/scep/Root/";
    }
    revocation-check {
        use-crl;
    }
}
ca-profile Eng-CA {
    ca-identity Eng-CA;
    enrollment {
        url "http:/;/10.157.88.230:8080/scep/Eng/";
    }
    revocation-check {
        use-crl;
    }
}
ca-profile Dev-CA {
    ca-identity Dev-CA;
    enrollment {
        url "http:/;/10.157.88.230:8080/scep/Dev/";
    }
    revocation-check {
        use-crl;
    }
}

デバイスの設定が完了したら、設定モードから を入力します commit

認定書の登録

手順

認定書を登録するには、

  1. CA 証明書を登録します。

    content_copy zoom_out_map
    user@host> request security pki ca-certificate enroll ca-profile Root-CA
    
    content_copy zoom_out_map
    user@host> request security pki ca-certificate enroll ca-profile Eng-CA
    
    content_copy zoom_out_map
    user@host> request security pki ca-certificate enroll ca-profile Dev-CA
    

    プロンプトで を入力 yes して CA 証明書を読み込みます。

  2. CA 証明書がデバイスに登録されていることを確認します。

    content_copy zoom_out_map
    user@host> show security pki ca-certificate ca-profile Root-CA
    Certificate identifier: Root-CA
            Issued to: Root-CA, Issued by: C = us, O = juniper, CN = Root-CA
            Validity:
              Not before: 07- 3-2015 10:54 UTC
              Not after: 07- 1-2020 10:54 UTC
            Public key algorithm: rsaEncryption(2048 bits)
    
    content_copy zoom_out_map
    user@host> show security pki ca-certificate ca-profile Eng-CA
    Certificate identifier: Eng-CA
            Issued to: Eng-CA, Issued by: C = us, O = juniper, CN = Root-CA
            Validity:
              Not before: 07- 3-2015 10:54 UTC
              Not after: 07- 1-2020 10:54 UTC
            Public key algorithm: rsaEncryption(2048 bits)
    
    content_copy zoom_out_map
    user@host> show security pki ca-certificate ca-profile Dev-CA
            Certificate identifier: Dev-CA
            Issued to: Dev-CA, Issued by: C = us, O = juniper, CN = Eng-CA
            Validity:
              Not before: 07- 3-2015 10:54 UTC
              Not after: 07- 1-2020 10:54 UTC
            Public key algorithm: rsaEncryption(2048 bits)
    
  3. 登録された CA 証明書の有効性を検証します。

    content_copy zoom_out_map
    user@host> request security pki ca-certificate verify ca-profile Root-CA
    CA certificate Root-CA verified successfully
    content_copy zoom_out_map
    user@host> request security pki ca-certificate verify ca-profile Eng-CA
    CA certificate Eng-CA verified successfully
    
    content_copy zoom_out_map
    user@host> request security pki ca-certificate verify ca-profile Dev-CA
    CA certificate Dev-CA verified successfully
    
  4. ローカル証明書を登録します。

    content_copy zoom_out_map
    user@host> request security pki local-certificate enroll certificate-id        Host-A ca-profile Dev-CA challenge-password juniper domain-name host-a.company.net email host-a@company.net subject DC=juniper,CN=Host-A,       OU=DEV,O=PKI,L=Sunnyvale,ST=CA,C=US
    
  5. ローカル証明書がデバイスに登録されていることを確認します。

    content_copy zoom_out_map
    user@host> show security pki local-certificate
    Issued to: Host-A, Issued by: C = us, O = juniper, CN = Dev-CA
            Validity:
              Not before: 07- 3-2015 10:54 UTC
              Not after: 07- 1-2020 10:54 UTC
            Public key algorithm: rsaEncryption(1024 bits)
  6. 登録されたローカル証明書の有効性を確認します。

    content_copy zoom_out_map
    user@host> request security pki local-certificate verify certificate-id Host-A
    Local certificate Host-A verification success
    
  7. 構成済みの CA プロファイルの CRL ダウンロードを確認します。

    content_copy zoom_out_map
    user@host> show security pki crl
         CA profile: Root-CA
            CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Root-CA
            Effective date: 09- 9-2015 13:08
            Next update: 09-21-2015 02:55
    
          CA profile: Eng-CA
            CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Eng-CA
            Effective date: 08-22-2015 17:46
            Next update: 10-24-2015 03:33
    
          CA profile: Dev-CA
            CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Dev-CA
            Effective date: 09-14-2015 21:15
            Next update: 09-26-2012 11:02
    

IPsec VPN オプションの設定

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

content_copy zoom_out_map
set services ipsec-vpn ike proposal ike_cert_prop_01 authentication-method rsa-signatures
set services ipsec-vpn ike proposal ike_cert_prop_01 dh-group group5
set services ipsec-vpn ike proposal ike_cert_prop_01 authentication-algorithm sha1
set services ipsec-vpn ike proposal ike_cert_prop_01 encryption-algorithm aes-256-cbc 
set services ipsec-vpn ike policy ike_cert_pol_01 mode main
set services ipsec-vpn ike policy ike_cert_pol_01 proposals ike_cert_prop_01
set services ipsec-vpn ike policy ike_cert_pol_01 certificate local-certificate Host-A
set services ipsec-vpn ipsec proposal ipsec_prop_01 protocol esp
set services ipsec-vpn ipsec proposal ipsec_prop_01 authentication-algorithm hmac-sha1-96
set services ipsec-vpn ipsec proposal ipsec_prop_01 encryption-algorithm 3des-cbc
set services ipsec-vpn ipsec proposal ipsec_prop_01 lifetime-seconds 300 
set services ipsec-vpn ipsec policy ipsec_pol_01 proposals ipsec_prop_01 
set services ipsec-vpn ipsec vpn ipsec_cert_vpn_01 ike ipsec-policy ipsec_pol_01

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

IPsec VPN オプションを設定するには:

  1. フェーズ1のオプションを設定します。

    content_copy zoom_out_map
    [edit services ipsec-vpn ike proposal ike_cert_prop_01]
    user@host# set authentication-method rsa-signatures
    user@host# set dh-group group5
    user@host# set authentication-algorithm sha1
    user@host# set encryption-algorithm aes-256-cbc
    [edit services ipsec-vpn ike policy ike_cert_pol_01]
    user@host# set mode main
    user@host# set proposals ike_cert_prop_01
    user@host# set certificate local-certificate Host-A
    
  2. フェーズ2オプションを設定します。

    content_copy zoom_out_map
    [edit services ipsec-vpn ipsec proposal ipsec_prop_01]
    user@host# set protocol esp
    user@host# set authentication-algorithm hmac-sha1-96
    user@host# set encryption-algorithm 3des-cbc
    user@host# set lifetime-seconds 300
    [edit services ipsec-vpn ipsec policy ipsec_pol_01]
    user@host# set proposals ipsec_prop_01
    [edit services ipsec-vpn ipsec vpn ipsec_cert_vpn_01]
    user@host# set ike ipsec-policy ipsec_pol_01
    

結果

設定モードから、 および show security ipsec コマンドを入力して設定をshow security ike確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

content_copy zoom_out_map
[edit]
user@host# show services ipsec-vpn ike
proposal ike_cert_prop_01 {
    authentication-method rsa-signatures;
    dh-group group5;
    authentication-algorithm sha1;
    encryption-algorithm aes-256-cbc;
}
    policy ike_cert_pol_01 {
        mode main;
        proposals ike_cert_prop_01;
        certificate {
            local-certificate Host-A;
        }
    }
[edit]
user@host# show services ipsec-vpn ipsec
proposal ipsec_prop_01 {
    protocol esp;
    authentication-algorithm hmac-sha1-96;
    encryption-algorithm 3des-cbc;
    lifetime-seconds 300;
}
    policy ipsec_pol_01 {
        proposals ipsec_prop_01;
    }

デバイスの設定が完了したら、設定モードから を入力します commit

検証

ピアデバイス間のIKEネゴシエーション中に証明書の検証が成功した場合、IKEとIPsecセキュリティアソシエーション(SA)の両方が確立されます。

IKEフェーズ1ステータスの確認

目的

IKEフェーズ1のステータスを確認します。

アクション

動作モードから コマンドを show services ipsec-vpn ike security-associations 入力します。

content_copy zoom_out_map
user@host> show services ipsec-vpn ike security-associations

Remote Address  State         Initiator cookie  Responder cookie  Exchange type
192.0.2.0        Matured       63b3445edda507fb  2715ee5895ed244d  Main   

IPsecフェーズ2のステータスの確認

目的

IPsecフェーズ2のステータスを確認します。

アクション

動作モードから コマンドを show services ipsec-vpn ipsec security-associations 入力します。

content_copy zoom_out_map
user@host> show services ipsec-vpn ipsec security-associations

Service set: ips_ss1, IKE Routing-instance: default

  Rule: vpn_rule_ms_2_2_01, Term: term11, Tunnel index: 1
  Local gateway: 10.0.1.2, Remote gateway: 172.16.0.0
  IPSec inside interface: ms-2/2/0.1, Tunnel MTU: 1500
  UDP encapsulate: Disabled, UDP Destination port: 0
    Direction SPI         AUX-SPI     Mode       Type     Protocol
    inbound   2151932129  0           tunnel     dynamic  ESP       
    outbound  4169263669  0           tunnel     dynamic  ESP             

取り消された証明書のIKEおよびIPsec SAの失敗

取り消された証明書のチェック

問題

ピアデバイス間のIKEネゴシエーション中に証明書の検証が失敗した場合は、ピアの証明書が取り消されていないことを確認してください。動的 CA プロファイルにより、ローカル デバイスはピアの CA から CRL をダウンロードし、ピアの証明書の失効ステータスを確認できます。動的CAプロファイルを有効にするには、 revocation-check crl 親CAプロファイルで オプションを設定する必要があります。

ソリューション

ピアの証明書の失効ステータスを確認するには、以下の手順にしたがっています。

  1. 運用モードから コマンドを入力して、ピア デバイスの CRL を表示する動的 CA プロファイルを show security pki crl 識別します。

    content_copy zoom_out_map
    user@host> show security pki crl
         CA profile: Root-CA
            CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Root-CA
            Effective date: 09- 9-2012 13:08
            Next update: 09-21-2012 02:55
    
          CA profile: Eng-CA
            CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Eng-CA
            Effective date: 08-22-2012 17:46
            Next update: 10-24-2015 03:33
    
          CA profile: Dev-CA
            CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Dev-CA
            Effective date: 09-14-2012 21:15
            Next update: 09-26-2012 11:02
    
          CA profile: dynamic-001
            CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Sales-CA
            Effective date: 09-14-2012 21:15
            Next update: 09-26-2012 11:02

    CA プロファイル dynamic-001 は Host-A で自動的に作成されるため、Host-A は Host-B の CA(Sales-CA)から CRL をダウンロードし、ピアの証明書の失効ステータスを確認できます。

  2. 動作モードから コマンドを入力して、動的 CA プロファイルの CRL 情報を show security pki crl ca-profile dynamic-001 detail 表示します。

    入力

    content_copy zoom_out_map
    user@host> show security pki crl ca-profile dynamic-001 detail
        CA profile: dynamic-001
          CRL version: V00000001
            CRL issuer: C = us, O = juniper, CN = Sub11
            Effective date: 09-19-2012 17:29
            Next update: 09-20-2012 01:49
            Revocation List: 
              Serial number              Revocation date
              10647C84                   09-19-2012 17:29 UTC
    

    ホスト B の証明書(シリアル番号10647084)が取り消されました。

external-footer-nav