Exemplo: configurar um dispositivo para validação da cadeia de certificados peer
Este exemplo mostra como configurar um dispositivo para cadeias de certificados usadas para validar dispositivos peer durante a negociação do IKE.
Requisitos
Antes de começar, obtenha o endereço da autoridade de certificados (CA) e as informações necessárias (como a senha do desafio) quando você enviar solicitações de certificados locais.
Visão geral
Este exemplo mostra como configurar um dispositivo local para cadeias de certificados, inscrever CA e certificados locais, verificar a validade dos certificados inscritos e verificar o status de revogação do dispositivo peer.
Topologia
Este exemplo mostra a configuração e os comandos operacionais no Host-A, como mostrado na Figura 1. Um perfil ca dinâmico é criado automaticamente no Host-A para permitir que o Host-A baixe o CRL da Sales-CA e verifique o status de revogação do certificado do Host-B.
A configuração de VPN IPsec para negociação de Fase 1 e Fase 2 é mostrada para Host-A neste exemplo. O dispositivo peer (Host-B) deve ser configurado corretamente para que as opções de Fase 1 e Fase 2 sejam negociadas com sucesso e as associações de segurança (SAs) sejam estabelecidas.
Configuração
Para configurar um dispositivo para cadeias de certificados:
Configure perfis de CA
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security pki ca-profile Root-CA ca-identity CA-Root set security pki ca-profile Root-CA enrollment url http://10.157.88.230:8080/scep/Root/ set security pki ca-profile Root-CA revocation-check use-crl set security pki ca-profile Eng-CA ca-identity Eng-CA set security pki ca-profile Eng-CA enrollment url http://10.157.88.230:8080/scep/Eng/ set security pki ca-profile Eng-CA revocation-check use-crl set security pki ca-profile Dev-CA ca-identity Dev-CA set security pki ca-profile Dev-CA enrollment url http://10.157.88.230:8080/scep/Dev/ set security pki ca-profile Dev-CA revocation-check use-crl
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.
Para configurar perfis de CA:
Crie o perfil ca para Root-CA.
[edit security pki] user@host# set ca-profile Root-CA ca-identity CA-Root user@host# set ca-profile Root-CA enrollment url http://10.157.88.230:8080/scep/Root/ user@host# set ca-profile Root-CA revocation-check use-crl
Crie o perfil ca para Eng-CA.
[edit security pki] user@host# set ca-profile Eng-CA ca-identity Eng-CA user@host# set ca-profile Eng-CA enrollment url http://10.157.88.230:8080/scep/Eng/ user@host# set ca-profile Eng-CA revocation-check use-crl
Crie o perfil ca para Dev-CA.
[edit security pki] user@host# set ca-profile Dev-CA ca-identity Dev-CA user@host# set ca-profile Dev-CA enrollment url http://10.157.88.230:8080/scep/Dev/ user@host# set ca-profile Dev-CA revocation-check use-crl
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security pki
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security pki ca-profile Root-CA { ca-identity Root-CA; enrollment { url "http:/;/10.157.88.230:8080/scep/Root/"; } revocation-check { use-crl; } } ca-profile Eng-CA { ca-identity Eng-CA; enrollment { url "http:/;/10.157.88.230:8080/scep/Eng/"; } revocation-check { use-crl; } } ca-profile Dev-CA { ca-identity Dev-CA; enrollment { url "http:/;/10.157.88.230:8080/scep/Dev/"; } revocation-check { use-crl; } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Inscrever certificados
Procedimento passo a passo
Para inscrever certificados:
Inscreva-se nos certificados de CA.
user@host> request security pki ca-certificate enroll ca-profile Root-CA
user@host> request security pki ca-certificate enroll ca-profile Eng-CA
user@host> request security pki ca-certificate enroll ca-profile Dev-CA
Digite yes as solicitações para carregar o certificado ca.
Verifique se os certificados de CA estão inscritos no dispositivo.
user@host> show security pki ca-certificate ca-profile Root-CA Certificate identifier: Root-CA Issued to: Root-CA, Issued by: C = us, O = juniper, CN = Root-CA Validity: Not before: 07- 3-2015 10:54 UTC Not after: 07- 1-2020 10:54 UTC Public key algorithm: rsaEncryption(2048 bits)
user@host> show security pki ca-certificate ca-profile Eng-CA Certificate identifier: Eng-CA Issued to: Eng-CA, Issued by: C = us, O = juniper, CN = Root-CA Validity: Not before: 07- 3-2015 10:54 UTC Not after: 07- 1-2020 10:54 UTC Public key algorithm: rsaEncryption(2048 bits)
user@host> show security pki ca-certificate ca-profile Dev-CA Certificate identifier: Dev-CA Issued to: Dev-CA, Issued by: C = us, O = juniper, CN = Eng-CA Validity: Not before: 07- 3-2015 10:54 UTC Not after: 07- 1-2020 10:54 UTC Public key algorithm: rsaEncryption(2048 bits)
Verifique a validade dos certificados de CA inscritos.
user@host> request security pki ca-certificate verify ca-profile Root-CA CA certificate Root-CA verified successfully
user@host> request security pki ca-certificate verify ca-profile Eng-CA CA certificate Eng-CA verified successfully
user@host> request security pki ca-certificate verify ca-profile Dev-CA CA certificate Dev-CA verified successfully
Inscreva-se no certificado local.
user@host> request security pki local-certificate enroll certificate-id Host-A ca-profile Dev-CA challenge-password juniper domain-name host-a.company.net email host-a@company.net subject DC=juniper,CN=Host-A, OU=DEV,O=PKI,L=Sunnyvale,ST=CA,C=US
Verifique se o certificado local está inscrito no dispositivo.
user@host> show security pki local-certificate Issued to: Host-A, Issued by: C = us, O = juniper, CN = Dev-CA Validity: Not before: 07- 3-2015 10:54 UTC Not after: 07- 1-2020 10:54 UTC Public key algorithm: rsaEncryption(1024 bits)
Verifique a validade do certificado local inscrito.
user@host> request security pki local-certificate verify certificate-id Host-A Local certificate Host-A verification success
Verifique o download de CRL para perfis de CA configurados.
user@host> show security pki crl CA profile: Root-CA CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Root-CA Effective date: 09- 9-2015 13:08 Next update: 09-21-2015 02:55 CA profile: Eng-CA CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Eng-CA Effective date: 08-22-2015 17:46 Next update: 10-24-2015 03:33 CA profile: Dev-CA CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Dev-CA Effective date: 09-14-2015 21:15 Next update: 09-26-2012 11:02
Configure opções de VPN IPsec
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set services ipsec-vpn ike proposal ike_cert_prop_01 authentication-method rsa-signatures set services ipsec-vpn ike proposal ike_cert_prop_01 dh-group group5 set services ipsec-vpn ike proposal ike_cert_prop_01 authentication-algorithm sha1 set services ipsec-vpn ike proposal ike_cert_prop_01 encryption-algorithm aes-256-cbc set services ipsec-vpn ike policy ike_cert_pol_01 mode main set services ipsec-vpn ike policy ike_cert_pol_01 proposals ike_cert_prop_01 set services ipsec-vpn ike policy ike_cert_pol_01 certificate local-certificate Host-A set services ipsec-vpn ipsec proposal ipsec_prop_01 protocol esp set services ipsec-vpn ipsec proposal ipsec_prop_01 authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec_prop_01 encryption-algorithm 3des-cbc set services ipsec-vpn ipsec proposal ipsec_prop_01 lifetime-seconds 300 set services ipsec-vpn ipsec policy ipsec_pol_01 proposals ipsec_prop_01 set services ipsec-vpn ipsec vpn ipsec_cert_vpn_01 ike ipsec-policy ipsec_pol_01
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.
Para configurar opções de VPN IPsec:
Configure opções de Fase 1.
[edit services ipsec-vpn ike proposal ike_cert_prop_01] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit services ipsec-vpn ike policy ike_cert_pol_01] user@host# set mode main user@host# set proposals ike_cert_prop_01 user@host# set certificate local-certificate Host-A
Configure opções de Fase 2.
[edit services ipsec-vpn ipsec proposal ipsec_prop_01] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 300 [edit services ipsec-vpn ipsec policy ipsec_pol_01] user@host# set proposals ipsec_prop_01 [edit services ipsec-vpn ipsec vpn ipsec_cert_vpn_01] user@host# set ike ipsec-policy ipsec_pol_01
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security ike
comandos e show security ipsec
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show services ipsec-vpn ike proposal ike_cert_prop_01 { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy ike_cert_pol_01 { mode main; proposals ike_cert_prop_01; certificate { local-certificate Host-A; } } [edit] user@host# show services ipsec-vpn ipsec proposal ipsec_prop_01 { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 300; } policy ipsec_pol_01 { proposals ipsec_prop_01; }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Se a validação do certificado for bem-sucedida durante a negociação do IKE entre dispositivos peer, ambas as associações de segurança IKE e IPsec (SAs) serão estabelecidas.
Verificando o status da Fase 1 do IKE
Propósito
Verifique o status da Fase 1 do IKE.
Ação
Insira o comando do show services ipsec-vpn ike security-associations modo operacional.
user@host> show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 192.0.2.0 Matured 63b3445edda507fb 2715ee5895ed244d Main
Verificando o status da Fase 2 do IPsec
Propósito
Verifique o status da Fase 2 do IPsec.
Ação
Insira o comando do show services ipsec-vpn ipsec security-associations modo operacional.
user@host> show services ipsec-vpn ipsec security-associations Service set: ips_ss1, IKE Routing-instance: default Rule: vpn_rule_ms_2_2_01, Term: term11, Tunnel index: 1 Local gateway: 10.0.1.2, Remote gateway: 172.16.0.0 IPSec inside interface: ms-2/2/0.1, Tunnel MTU: 1500 UDP encapsulate: Disabled, UDP Destination port: 0 Direction SPI AUX-SPI Mode Type Protocol inbound 2151932129 0 tunnel dynamic ESP outbound 4169263669 0 tunnel dynamic ESP
Falha de IKE e IPsec SA para um certificado revogado
Verificação de certificados revogados
Problema
Se a validação do certificado falhar durante a negociação do IKE entre dispositivos peer, verifique se o certificado do peer não foi revogado. Um perfil ca dinâmico permite que o dispositivo local baixe o CRL do CA do peer e verifique o status de revogação do certificado do peer. Para habilitar perfis dinâmicos de CA, a opção revocation-check crl
deve ser configurada em um perfil de CA dos pais.
Solução
Para verificar o status de revogação do certificado de um peer:
Identifique o perfil ca dinâmico que mostrará o CRL para o dispositivo peer entrando no comando a show security pki crl partir do modo operacional.
user@host> show security pki crl CA profile: Root-CA CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Root-CA Effective date: 09- 9-2012 13:08 Next update: 09-21-2012 02:55 CA profile: Eng-CA CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Eng-CA Effective date: 08-22-2012 17:46 Next update: 10-24-2015 03:33 CA profile: Dev-CA CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Dev-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02 CA profile: dynamic-001 CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Sales-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02
O perfil
dynamic-001
ca é criado automaticamente no Host-A para que o Host-A possa baixar o CRL do CA do Host-B (Sales-CA) e verificar o status de revogação do certificado do peer.Exibir informações de CRL para o perfil dinâmico de CA entrando no comando a show security pki crl ca-profile dynamic-001 detail partir do modo operacional.
Entrar
user@host> show security pki crl ca-profile dynamic-001 detail CA profile: dynamic-001 CRL version: V00000001 CRL issuer: C = us, O = juniper, CN = Sub11 Effective date: 09-19-2012 17:29 Next update: 09-20-2012 01:49 Revocation List: Serial number Revocation date 10647C84 09-19-2012 17:29 UTC
O certificado de host-B (número de série 10647084) foi revogado.