Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

证书颁发机构

了解证书颁发机构 (CA) 并了解如何管理 CA。

证书颁发机构 (CA) 配置文件定义与特定证书关联的每个参数,以便在两个端点之间建立安全连接。配置文件指定要使用的证书、如何验证证书吊销状态以及该状态如何限制访问。

配置受信任的 CA 组

本节介绍为 CA 配置文件列表创建可信 CA 组并删除可信 CA 组的过程。

为 CA 配置文件列表创建受信任的 CA 组

您可以配置和分配受信任的 CA 组来授权实体。当对等方尝试与客户端建立连接时,仅验证该实体的特定可信 CA 颁发的证书。设备验证证书的颁发者和证书的颁发者是否属于同一客户端网络。如果颁发者和演示者属于同一客户端网络,则将建立连接。否则,将不会建立连接。

开始之前,必须列出要添加到受信任组的所有 CA 配置文件。

在此示例中,我们将创建三个名为 orgA-ca-profileorgB-ca-profileorgC-ca-profile 的 CA 配置文件,并为各自的配置文件关联以下 CA 标识符 ca-profile1ca-profile2ca-profile3 。您可以将所有三个 CA 配置文件分组为属于受信任的 CA 组 orgABC-trusted-ca-group

您最多可以为受信任的 CA 组配置 20 个 CA 配置文件。

  1. 创建 CA 配置文件并将 CA 标识符与配置文件相关联。
  2. 将 CA 配置文件分组到受信任的 CA 组下。
  3. 配置完 CA 配置文件和受信任的 CA 组后,提交配置。

要查看设备上配置的 CA 配置文件和受信任的 CA 组,请运行 show security pki 命令。

命令 show security pki 将显示分组在 orgABC_trusted-ca-group下的所有 CA 配置文件。

从受信任的 CA 组中删除 CA 配置文件

您可以删除受信任的 CA 组中的特定 CA 配置文件,也可以删除受信任的 CA 组本身。

例如,如果要删除设备上配置的受信任 CA 组orgABC-trusted-ca-group中配置的名为orgC-ca-profile的 CA 配置文件,如配置受信任的 CA 组主题中所示,请执行以下步骤:

  1. 从受信任的 CA 组中删除 CA 配置文件。
  2. 如果已从受信任的 CA 组中删除 CA 配置文件,请提交配置。

要查看正在从中删除orgABC-trusted-ca-group 的内容orgC-ca-profile,请运行命令show security pki

输出不会显示配置文件, orgC-ca-profile 因为它已从受信任的 CA 组中删除。

删除受信任的 CA 组

一个实体可以支持许多受信任的 CA 组,并且您可以删除实体的任何受信任 CA 组。

例如,如果要删除设备上配置的名为 orgABC-trusted-ca-group的受信任 CA 组,如 配置受信任的 CA 组 主题中所示,请执行以下步骤:

  1. 删除受信任的 CA 组。
  2. 如果已从受信任的 CA 组中删除 CA 配置文件,请提交配置。

要查看从实体中删除的内容 orgABC-trusted-ca-group ,请运行命令 show security pki

输出不会显示, orgABC-trusted-ca-group 因为它已从实体中删除。

证书颁发机构配置文件

证书颁发机构 (CA) 配置文件配置包含特定于 CA 的信息。一个 SRX 系列防火墙上可以有多个 CA 配置文件。例如,您可能有一个用于 orgA 的配置文件和一个用于 orgB 的配置文件。每个配置文件都与一个 CA 证书相关联。如果要加载新的 CA 证书而不删除旧的证书,请创建新的 CA 配置文件(例如,Microsoft-2008)。

从 Junos OS 18.1R1 版开始,CA 服务器可以是 IPv6 CA 服务器。

PKI 模块支持 IPv6 地址格式,以便在仅使用 IPv6 协议的网络中使用 SRX 系列防火墙。

CA 颁发数字证书,这有助于通过证书验证在两个端点之间建立安全连接。对于给定的拓扑,您可以将多个 CA 配置文件分组到一个受信任的 CA 组中。这些证书用于在两个终结点之间建立连接。要建立 IKE 或 IPsec,两个端点必须信任同一个 CA。如果任一端点无法使用各自的受信任 CA (ca-profile) 或受信任 CA 组验证证书,则不会建立连接。创建受信任的 CA 组必须至少有一个 CA 配置文件,一个受信任的 CA 组中最多允许有 20 个 CA。特定组中的任何 CA 都可以验证该特定端点的证书。

从 Junos OS 18.1R1 版开始,可以使用指定的 CA 服务器或 CA 服务器组来验证配置的 IKE 对等方。可以使用 [edit security pki] 层次结构级别的配置语句创建trusted-ca-group一组受信任的 CA 服务器;可以指定一个或多个 CA 配置文件。受信任的 CA 服务器绑定到 [edit security ike policy policy certificate] 层级对等方的 IKE 策略配置。

如果在 CA 配置文件中配置了代理配置文件,则在进行证书注册、验证或吊销时,设备将连接到代理主机而不是 CA 服务器。代理主机通过设备的请求与 CA 服务器通信,然后将响应中继到设备。

CA 代理配置文件支持 SCEP、CMPv2 和 OCSP 协议。

CA 代理配置文件仅在 HTTP 上受支持,在 HTTPS 协议上不受支持。

示例:配置 CA 配置文件

此示例说明如何配置 CA 配置文件。

要求

配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

在此示例中,您将创建一个名为 ca-profile-ipsec CA 标识为 microsoft-2008 的 CA 配置文件。然后,创建 CA 配置文件的代理配置文件。配置指定每 48 小时刷新一次 CRL,检索 CRL 的位置为 http://www.my-ca.com。在此示例中,将注册重试值设置为 20。(默认重试值为 10。

自动证书轮询设置为每 30 分钟一次。如果仅配置重试而不配置重试间隔,则默认重试间隔为 900 秒(或 15 分钟)。如果未配置重试或重试间隔,则不会进行轮询。

配置

程序

分步过程

要配置 CA 配置文件,请执行以下作:

  1. 创建 CA 配置文件。

  2. (可选)将代理配置文件配置为 CA 配置文件。

    公钥基础架构 (PKI) 使用在系统级别配置的代理配置文件。CA 配置文件中使用的代理配置文件必须在层次结构中 [edit services proxy] 配置。可以在层次结构下 [edit services proxy] 配置多个代理配置文件。每个 CA 配置文件都引用到最多一个这样的代理配置文件。您可以在层次结构中 [edit system services proxy] 配置代理配置文件的主机和端口。

  3. 创建吊销检查以指定检查证书吊销的方法。

  4. 设置刷新间隔(以小时为单位),以指定更新 CRL 的频率。默认值为 CRL 中的下一次更新时间,如果未指定下一次更新时间,则为 1 周。

  5. 指定注册重试值。

  6. 指定尝试自动联机注册 CA 证书之间的时间间隔(以秒为单位)。

  7. 如果完成设备配置,请提交配置。

验证

要验证配置是否工作正常,请输入 show security pki 命令。

示例:将 IPv6 地址配置为 CA 配置文件的源地址

此示例说明如何将 IPv6 地址配置为 CA 配置文件的源地址。

配置此功能之前,不需要除设备初始化之外的特殊配置。

在此示例中,创建使用 CA 身份v6-ca调用orgA-ca-profile的 CA 配置文件,并将 CA 配置文件的源地址设置为 IPv6 地址,例如 2001:db8:0:f101::1。您可以将注册 URL 配置为接受 IPv6 地址http://[2002:db8:0:f101::1]:/.../

  1. 创建 CA 配置文件。
  2. 将 CA 配置文件的源地址配置为 IPv6 地址。
  3. 指定 CA 的注册参数。
  4. 如果完成设备配置,请提交配置。