Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

更新证书

阅读本主题可了解如何在 Junos OS 设备上动态更新默认可信 CA 证书。

动态更新受信任的 CA 证书

Junos OS 设备提供默认可信 CA 证书列表。Junos OS 设备可动态管理这些证书。您还可以创建受信任 CA 证书的自定义列表,并将 CA 证书加载到设备中。但您必须手动管理自定义可信 CA 证书。本节重点介绍默认可信 CA 证书的动态管理。

通过动态更新默认可信 CA 捆绑包

  • 在发生破坏时,会自动处理删除 CA。

  • 可立即将新 CA 添加到默认可信 CA 捆绑包中,无需等待新的 Junos OS 版本。

动态更新可信 CA 捆绑包所涉及的流程

默认可信 CA 捆绑包的动态更新涉及以下过程:

  • 瞻博网络 CDN 服务器 (http://signatures.juniper.net/cacert) 托管默认的受信任 CA 证书。

  • 服务器托管目标文件和清单文件的签名副本以及 EE 证书,以验证这些文件的签名副本。目标文件包含默认受信任的 CA 证书列表 (default-trusted-ca-certs)。清单文件包含默认受信任 CA 捆绑包的修订号和日期。

  • 默认情况下,Junos OS 设备会自动下载受信任的 CA 包。您可以使用默认或非默认路由实例连接到 Internet,以下载和更新默认的可信 CA 证书。

  • 使用 PKID 的 PKI 进程将默认可信 CA 捆绑包 (default-trusted-ca-certs) 从 CDN 服务器安全地下载到设备中。

    受信任 CA 证书的动态更新不会对以前加载 ca-profile-group的、手动添加的 CA 证书以及属于其他受信任组的证书进行任何更改。

    请参阅 配置受信任 CA 证书的动态更新

  • 发出ca-profile-groupload命令后,PKI 进程会在后台加载默认的可信 CA 证书,从而取消阻止 CLI,使您能够继续执行其他任务。

  • ca-profile-group如果没有与 default-trusted-ca-certs关联,则每次定期轮询时,PKI 仍会将可信 CA 捆绑包的最新副本下载到设备。

  • 如果从默认受信任的 CA 列表中删除 CA 证书,PKI 过程将确保删除对 CA 证书的所有引用。如果 中 trusted-ca-group存在任何引用,则 PKI 进程仅保存对 ca-profile 已删除实际 CA 证书的名称的引用。请参阅 配置受信任 CA 证书的动态更新

  • 默认情况下,PKI 进程每 24 小时向 CDN 服务器轮询一次最新的默认可信 CA 捆绑包,并更新列表以查找捆绑包中可信 CA 的任何更改。如果有任何更改,PKI 进程会在后台加载这些更改。您可以选择性地更改轮询持续时间,也可以禁用此自动更新过程。请参阅 配置受信任 CA 证书的动态更新

配置受信任 CA 证书的动态更新

先决条件

在配置默认受信任 CA 证书的动态更新之前,请确保满足以下先决条件:

  • Junos OS 设备的基本配置已完成。

  • 瞻博网络 CDN 服务器可访问您的 Junos OS 设备。您也可以使用非默认路由实例连接到 Internet 以下载默认的受信任 CA 证书。在配置受信任 CA 证书的动态更新之前,请确保配置非默认路由实例。请联系瞻博网络销售人员,了解瞻博网络 CDN 服务器的详细信息。

  • 对于自定义 CDN 服务器,请确保您具有最新的 CA 证书和 URL。自定义 CDN 服务器的配置超出了本主题的范围。

根据您的要求,导航到以下任务以配置默认可信 CA 捆绑包的动态更新。

检查与 CDN 服务器的连接

概述

使用以下命令检查与 CDN 服务器的连接,以下载默认的可信 CA 证书。此命令下载清单文件并显示 CDN 服务器中可用的 trusted-ca-bundle 版本。

有关命令的详细信息,请参阅 请求安全性 PKI CA 证书 ca-profile-group default-trusted-ca-certs

配置

  1. 要从 Junos OS 设备的作模式检查与 CDN 服务器的连接,请发出以下命令。

启用默认可信 CA 证书的自动下载

概述

瞻博网络会定期更新瞻博网络 CDN 服务器上的默认可信 CA 证书,您可以在 Junos OS 设备上下载这些证书。默认情况下,Junos OS 设备上会自动下载默认的可信 CA 证书。您可以自定义配置,并按指定的时间间隔加载最新的默认可信 CA 证书。未指定值时,默认周期为 24 小时。使用默认的瞻博网络 CDN 服务器 (http://signatures.juniper.net/cacert) 时,无需单独配置。

此示例说明如何使用默认配置设置在 Junos OS 设备上启用默认可信 CA 证书的自动下载。有关配置语句的详细信息,请参阅 default-trusted-ca-certs(安全)。 下载的默认可信 CA 证书会使用语句 request security pki ca-certificate ca-profile-group load 命令在后台自动加载。无需显式运行此命令即可加载证书。

配置

由于默认情况下会自动下载默认的可信 CA 证书,因此不需要单独配置。

自动下载默认的可信 CA 证书

概述

在此示例中,您将提供以下自定义配置,同时启用自定义 CA 证书的自动下载:-

  • 将 Junos OS 设备配置为每 48 小时下载并安装一次默认的可信 CA 证书。

  • 指定可通过 URL signatures.example.net 访问的自定义 CDN 服务器。

  • 指定要到达 CDN 服务器的非默认路由实例。

有关配置语句的详细信息,请参阅 default-trusted-ca-certs(安全)。

配置

配置

  1. 将下载和加载作的周期设置为 48 小时。CLI 会自动将证书加载到 Junos OS 设备中。

  2. 指定自定义 URL。

  3. 指定路由实例。

  4. 提交配置。

手动下载默认的可信 CA 证书

概述

使用以下命令从 CDN 服务器手动将默认可信 CA 证书下载到 Junos OS 设备。除了此命令之外,还会定期自动下载默认的受信任 CA 证书。

有关命令的详细信息,请参阅 请求安全性 PKI CA 证书 ca-profile-group default-trusted-ca-certs

配置

配置

  1. 要从 Junos OS 设备的作模式显式下载默认可信 CA 证书,请发出以下命令。

检查默认可信 CA 证书的下载状态

概述

使用以下命令从 CDN 服务器检查 Junos OS 设备上默认可信 CA 证书的下载状态。这些命令显示版本号和版本日期。您可以使用它们来检查以前下载的版本和日期。

有关命令的详细信息,请参阅 请求安全性 PKI CA 证书 ca-profile-group default-trusted-ca-certs

配置

配置

  1. 要检查 Junos OS 设备上可用的版本号和版本日期,请发出以下命令。

  2. 使用以下命令加载默认的受信任 CA 证书:

停用受信任 CA 证书的自动下载

概述

默认情况下,自动下载处于启用状态。此示例说明如何停用默认受信任 CA 证书的自动下载,但我们不建议这样做。

有关配置语句的详细信息,请参阅 default-trusted-ca-certs(安全)。

配置

配置

  1. 要停用默认可信 CA 证书的自动下载,请使用以下命令。

  2. 提交配置。