Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ca-profile (Security PKI)

语法

层次结构级别

描述

配置证书颁发机构 (CA) 配置文件。CA 配置文件包含 CA 或 RA 的名称和 URL,以及重试计时器设置。

选项

ca-profile-name

受信任 CA 的名称。

administrator email-address

指定证书申请发送到的管理员电子邮件地址。默认情况下,没有预设的电子邮件地址。

ca-identity

指定在请求数字证书时使用的证书颁发机构 (CA) 身份。此名称通常是 CA 的域名。

enrollment

指定证书颁发机构 (CA) 的注册参数。

retry number

在注册响应挂起的情况下重试联机注册的自动尝试次数。

  • 范围: 0 到 1080

  • 默认值: 10

retry-interval seconds

重试注册之间的时间间隔。

  • 范围: 0 到 3600

  • 默认值: 900 秒

url url-name

简单证书注册协议 (SCEP) 或 CMPv2 请求发送到此配置文件中配置的证书颁发机构 (CA) 的注册 URL。使用 SCEP,您可以使用命令注册 request security pki ca-certificate enroll CA 证书并指定 CA 配置文件。没有单独的命令用于向 CMPv2 注册 CA 证书。注册 URL 中的 IP 地址可以是 IPv4 或 IPv6 地址。

proxy-profile

使用指定的代理服务器。如果在 CA 配置文件中配置了代理配置文件,则在证书注册、验证或吊销时,设备将连接到代理主机而不是 CA 服务器。代理主机使用来自设备的请求与 CA 服务器通信,然后将响应中继到设备。

公钥基础结构 (PKI) 使用在系统级别配置的代理配置文件。必须在层次结构中 [edit services proxy] 配置CA 配置文件中使用的代理配置文件。层次结构下 [edit services proxy] 可以配置多个代理配置文件。每个 CA 配置文件都引用最多一个此类代理配置文件。您可以在层次结构中 [edit system services proxy] 配置代理配置文件的主机和端口。

revocation-check

指定设备用于验证数字证书吊销状态的方法。

routing-instance

指定要使用的路由实例。

source-address

指定要使用的源 IPv4 或 IPv6 地址,而不是出口接口的 IP 地址,以便与外部服务器进行通信。外部服务器用于使用简单证书注册协议 (SCEP) 或证书管理协议版本 2 (CMPv2) 进行证书注册和重新注册,使用 HTTP 或 LDAP 下载证书吊销列表 (CRL),或者使用联机证书状态协议 (OCSP) 检查证书吊销状态。如果未指定此选项,则出口接口的 IP 地址将用作源地址。

所需权限级别

安全性 - 在配置中查看此语句。

安全控制 — 将此语句添加到配置中。

发布信息

在 Junos OS 8.5 版中修改的语句。Junos OS 11.1 版中添加了对 ca-identity 选项的支持。Junos OS 12.1X46-D20 版中增加了对 ocsp Junos OS 的支持和 use-ocsp 选项。

Junos OS 18.2R1 版中添加了对 proxy-profile 选项的支持。

Junos OS 15.1X49-D60 版中引入了对 的支持 source-address