Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

撤销证书

了解如何撤销各种 PKI 证书。

数字证书有有效期;但是,在过期之前,由于多种原因,证书可能不再有效。您可以通过引用 CA CRL 来本地管理证书吊销和验证证书颁发机构。

示例:手动将 CRL 加载到设备上

此示例说明如何手动将 CRL 加载到设备上。

要求

开始之前:

  1. 生成公钥-私钥对。请参阅 自签名数字证书

  2. 生成证书请求。请参阅 示例:配置证书颁发机构配置文件

  3. 配置 证书颁发机构配置文件。请参阅 示例:配置证书颁发机构配置文件

  4. 将证书加载到设备上。请参阅 示例:手动加载证书颁发机构和本地证书

概述

您可以手动加载 CRL,也可以在验证证书有效性时让设备自动加载 CRL。要手动加载 CRL,请从 证书颁发机构 获取 CRL 并将其传输到设备(例如,使用 FTP)。

在此示例中,您将加载从设备上的 /var/tmp 目录调用的 CRL 证书 revoke.crl 。调用证书颁发机构配置文件 ca-profile-ipsec (最大文件大小为 5 MB。

如果已将CRL加载到ca-profile中,请先运行 clear security pki crl ca-profile ca-profile-ipsec 命令以清除旧的CRL。

配置

程序

分步程序

要手动加载 CRL 证书:

  1. 加载 CRL 证书。

    Junos OS 支持加载 X509、PKCS #7、DER 或 PEM 格式的证书颁发机构证书。

验证

要验证配置是否工作正常,请输入 show security pki crl 作模式命令。

动态 CRL 下载并验证

数字证书的颁发期限设定。数字证书在指定的有效期后将失效。证书颁发机构可以通过在 CRL 中列出已颁发的证书来撤销该证书。在对等方证书验证期间,通过将 CRL 从 CA 服务器下载到本地设备来检查对等证书颁发机构的撤销状态。

为了在未配置 CA 配置文件时便于对证书证书颁发机构进行 CRL 检查,将创建动态 证书颁发机构配置文件。动态证书颁发机构配置文件将自动在本地设备上创建,格式为 dynamic-nnn

动态证书颁发机构配置文件:

  • 允许本地设备根据对等方的本地证书颁发机构下载动态 CA 和动态 CRL(用于相应的证书颁发机构)
  • 检查对等方证书的撤销状态

VPN 设备检查对等方的 EE 证书的撤销状态。VPN 设备使用从对等方收到的证书执行以下作:

  • 提取 URL 以动态下载证书颁发机构的 CRL
  • 检查对等方 EE 证书的撤销状态

图 1 中,Host-A 可以使用从 Host-B 接收到的 Sales-证书颁发机构和 EE 证书,动态下载 Sales-证书颁发机构的 CRL,并检查 Host-B 证书的撤销状态。

图 1:基于证书的身份验证 Multilevel Hierarchy for Certificate-Based Authentication的多级层次结构

对于单层次结构证书颁发机构服务器或证书颁发机构证书链,本地 EE 证书和收到的对等 EE 证书将从同一证书颁发机构服务器颁发。

以下是基于不同配置的 SRX 系列防火墙的一些行为:

  • 如果已将 SRX 系列防火墙配置为可信 CA 或可信 CA 组,则设备不会验证或信任任何其他 CA。
  • 如果定义了具有 CA 链的 证书颁发机构配置文件,其中 SRX 系列防火墙仅信任根证书颁发机构,并且对等方具有由子 CA 对此根证书颁发机构签名的证书,则动态 证书颁发机构和 CRL 将添加到设备中。

表 1 提供了未创建动态证书颁发机构或 CRL 的几个示例方案:

表 1:示例方案

场景

条件

示例方案 1

在证书颁发机构配置文件中,您为 ca-profile-name 定义了可信证书颁发机构,并且您从设备接收连接,该设备的证书由证书颁发机构配置文件中未定义为可信证书颁发机构证书颁发机构签名的其他。

示例场景 2

您定义了一个具有 CA 链的证书颁发机构配置文件,其中SRX 系列防火墙仅信任某个子证书颁发机构,并且对等方具有由此子证书颁发机构之上级别签名的证书。

要启用动态证书颁发机构配置文件,必须在 [edit security pki ca-profile profile-name] 层次结构级别的根 证书颁发机构配置文件上配置该revocation-check crl选项。

对于动态 CA 证书颁发机构档案,将继承根 证书颁发机构配置文件的吊销检查属性。在 图 1 中,主机 A 上用于根证书颁发机构的 CA 证书颁发机构配置文件配置启用了动态 CA 证书颁发机构配置文件,如以下输出所示:

在主机 A 上为销售证书颁发机构创建动态证书颁发机构配置文件。从 Root-证书颁发机构 继承 Sales-证书颁发机构 动态证书颁发机构配置文件的撤销检查。

如果在根证书颁发机构配置文件中配置了 revocation-check disable 该语句,则不会创建动态证书颁发机构配置文件,并且不会执行动态 CRL 下载和检查。

从动态证书颁发机构配置文件下载的 CRL 数据与配置的 证书颁发机构 配置文件下载的 CRL 使用命令显示 show security pki crl 的方式相同。动态证书颁发机构配置文件的 CRL 会定期更新,设备中配置的 证书颁发机构 配置文件的 CRL 也会定期更新。对从 CA 证书颁发机构服务器下载的 CRL 进行签名验证也需要对等证书颁发机构证书。

需要 证书颁发机构 证书来验证从 证书颁发机构 服务器接收的 CRL;因此,从对等方收到的证书颁发机构证书存储在本地设备上。从对等方收到的证书颁发机构证书用于验证 CRL 及其颁发的证书。由于收到的证书颁发机构证书未由管理员注册,因此在验证到根 CA 的整个证书链之前,成功验证证书证书颁发机构的结果不是决定性的。根证书颁发机构的证书必须由管理员注册。

示例:使用 CRL 位置配置 证书颁发机构配置文件

此示例说明如何使用 CRL 位置配置 证书颁发机构配置文件。

要求

开始之前:

  1. 在设备中生成密钥对。请参阅 数字证书

  2. 创建包含特定于 CA 的证书颁发机构信息的一个或多个证书颁发机构配置文件。请参阅 示例:配置证书颁发机构配置文件

  3. 从 CA 获得个人证书颁发机构。请参阅 示例:手动为本地证书生成 CSR 并将其发送到 证书颁发机构服务器

  4. 将证书加载到设备上。请参阅 示例:手动加载证书颁发机构和本地证书

  5. 配置自动重新注册。请参阅 示例:配置 SecurID 用户身份验证

  6. 如有必要,在设备上加载证书的 CRL。请参阅 示例:手动将 CRL 加载到设备上

概述

在此示例中,您指示设备检查名为 my_profile的证书颁发机构配置文件的有效性。此外,如果 CRL 未附带证书颁发机构证书,并且未加载到设备上,则指示设备从 URL http://abc/abc-crl.crl 检索 CRL。

配置

程序

分步程序

要使用 CRL 配置证书:

  1. 指定 证书颁发机构配置文件和 URL。

  2. 如果完成设备配置,请提交配置。

验证

要验证配置是否工作正常,请输入 show security pki 作模式命令。

示例:验证证书有效性

此示例说明如何验证证书的有效性。

要求

配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

在此示例中,您手动验证证书,以确定证书是否已被吊销,或者用于创建本地证书的 证书颁发机构证书是否不再存在于设备上。

手动验证证书时,设备将使用 证书颁发机构证书 (ca-cert) 来验证本地证书 (local.cert)。如果本地证书有效,并且 revocation-check 在证书颁发机构配置文件中启用了,设备将验证 CRL 是否已加载且有效。如果 CRL 未加载且有效,设备将下载新的 CRL。

对于 证书颁发机构颁发的证书或 CA 证书颁发机构证书,必须在设备的配置中配置 DNS。DNS 必须能够解析分发 CRL 和 CA 配置文件配置中的证书颁发机构 CRL URL 中的主机。此外,您必须能够通过网络访问同一主机才能接收检查。

配置

程序

分步程序

要手动验证证书的有效性:

  1. 验证本地证书的有效性。

  2. 验证 证书颁发机构证书的有效性。

    关联的私钥和签名也会得到验证。

验证

要验证配置是否工作正常,请输入 show security pki ca-profile 命令。

如果返回错误而不是肯定验证,则失败将记录在 pkid 中。

删除加载的 CRL

如果不再需要使用已加载的 CRL 来管理证书吊销和验证,则可以选择删除它。

使用以下命令删除加载的 CRL。

指定 证书颁发机构档案以删除与该证书颁发机构标识的 CA 关联的 CRL,或用于 all 删除所有 CRL。