Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configure vários tipos de certificados para estabelecer o IKE e o IPsec SA

Este exemplo mostra como configurar vários tipos de certificados para estabelecer IKE e IPsec SA.

A partir do Junos OS Release 22.4R1, você pode estabelecer túneis independentemente do tipo de certificado usado no iniciador e responder se o método de autenticação estiver configurado como certificates na proposta de IKE usando o set security ike proposal ike_proposal_name authentication-method certificates comando.

Você pode visualizar o certificado inscrito usando show security pki local-certificate certificate-id certificate-name detail o comando.

Você pode verificar o certificado inscrito usando o request security pki local-certificate verify certificate-id certificate-name comando.

Requisitos

Antes de começar:

  • Certifique-se de ter certificados inscritos em seus dispositivos, veja Inscrição de certificados.

    Você pode verificar os certificados inscritos em seus dispositivos usando o request security pki local-certificate certificate-id certificate-name detail comando.

  • Certifique-se de ter o pacote IKE instalado para verificar se o pacote IKE instalado usa o show version | match ike comando operacional.

    Se você não tiver o pacote IKE instalado no dispositivo, você pode instalar o pacote IKE usando o comando request system software add optional://junos-ike.tgzoperacional, para obter mais informações, ver Ativar o conjunto de recursos vpn IPsec.

Visão geral

Este exemplo configura vários tipos de certificados para estabelecer IKE e IPsec SA entre SRX_A e SRX_B.

Nota:

Neste exemplo, inscrevemos o certificado RSA em SRX_A e o certificado ECDSA em dispositivos SRX_B. Para obter mais informações sobre como instalar os certificados, consulte a inscrição de certificados.

Tabela 1: Configuração de topologia para dispositivos de SRX_A e SRX_B
Nome do dispositivo Interface usada Endereço de gateway IKE Endereço IP local do Gateway IKE
SRX_A ge-0/0/0 192.168.1.2 192.168.1.1
SRX_B ge-0/0/0 192.168.1.1 192.168.1.2

Topologia

A Figura 1 topologia descreve para vários tipos de configuração de suporte de certificados.

Figura 1: Exemplo de configuração de suporte a vários tipos de certificadosExemplo de configuração de suporte a vários tipos de certificados

Configuração

Configuração de SRX_A

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Overvie do modo de configuração CLI no Guia do usuário da CLI.

Para configurar vários tipos de certificados para estabelecer IKE e IPsec SA:

  1. Veja os certificados inscritos em seus dispositivos usando o show security pki local-certificate certificate-id certificate-name detail comando.

    Instale o certificado em seu dispositivo se o seu dispositivo não tiver os certificados inscritos. Para obter mais informações, veja Inscrição de certificados.

  2. Configure interfaces.

  3. Configure zonas de segurança e a política de segurança.

  4. Configure a proposta IKE.

  5. Configure a política de IKE.

  6. Configure o gateway IKE.

  7. Configure a proposta IPsec.

  8. Configure a política de IPsec.

  9. Configure a VPN IPsec.

Resultados

A partir do modo de configuração, confirme sua configuração entrando nos show interfacesshow security ike comandos eshow security ipsec. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de SRX_B

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja a visão geral do modo de configuração CLI no Guia do usuário da CLI.

Para configurar vários tipos de certificados para estabelecer IKE e IPsec SA:

  1. Veja os certificados inscritos em seus dispositivos usando o request security pki local-certificate certificate-id certificate-name detail comando.

    Instale o certificado em seu dispositivo se o seu dispositivo não tiver os certificados inscritos. Para obter mais informações, veja Inscrição de certificados.

  2. Configure interfaces.

  3. Configure zonas de segurança e a política de segurança.

  4. Configure a proposta IKE.

  5. Configure a política de IKE.

  6. Configure o gateway IKE.

  7. Configure a proposta IPsec.

  8. Configure a política de IPsec.

  9. Configure a VPN IPsec.

Resultados

A partir do modo de configuração, confirme sua configuração entrando nos show interfacesshow security ike comandos eshow security ipsec. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificar SRX_A

As saídas de amostra mostradas estão no SRX-A.

Propósito

Verifique o status da Fase 2 do IPsec.

Ação

A partir do modo operacional, entre no show security ike security-associations comando.

A partir do modo operacional, entre no show security ipsec security-associations comando.

A partir do modo operacional, entre no show security ike security-associations detail comando.

A partir do modo operacional, entre no show security ipsec security-associations detail comando.

A partir do modo operacional, entre no show security pki local-certificate certificate-id r0_rsa_cr detail comando.

A partir do modo operacional, entre no show security pki ca-certificate ca-profile Root-CA detail comando.

Verificar SRX_B

As saídas de amostra mostradas estão no SRX-B.

Propósito

Verifique o status da Fase 2 do IPsec.

Ação

A partir do modo operacional, entre no show security ike security-associations comando.

A partir do modo operacional, entre no show security ipsec security-associations comando.

A partir do modo operacional, entre no show security ike security-associations detail comando.

A partir do modo operacional, entre no show security ipsec security-associations detail comando.

A partir do modo operacional, entre no show security pki local-certificate certificate-id r1_crt_ecdsa384 detail comando.

s

A partir do modo operacional, entre no show security pki ca-certificate ca-profile Root-CA detail comando.