Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

动态更新受信任的 CA 证书

阅读本主题可了解如何在 Junos OS 设备上动态更新默认可信 CA 证书。

动态更新受信任的 CA 证书

Junos OS 设备与 SRX 系列防火墙一样,提供默认可信 CA(证书颁发机构)证书列表。这些证书由 Junos OS 设备动态管理。您还可以创建受信任 CA 证书的自定义列表,并将其加载到设备中。但自定义的可信 CA 证书需要手动管理。本节重点介绍默认可信 CA 证书的动态管理。

通过动态更新默认可信 CA 捆绑包 -

  • 在发生入侵时,会自动处理删除 CA。

  • 可立即将新 CA 添加到默认可信 CA 捆绑包中,无需等待新的 Junos OS 版本。

动态更新可信 CA 捆绑包所涉及的任务

在动态更新默认可信 CA 捆绑包的过程中执行以下任务:

  • 瞻博网络 CDN 服务器 (http://signatures.juniper.net/cacert) 托管默认的受信任 CA 证书。

  • 服务器托管目标文件和清单文件的签名副本以及 EE 证书,以验证这些文件的签名副本。目标文件包含默认受信任的 CA 证书列表 (default-trusted-ca-certs)。清单文件包括默认可信 CA 捆绑包的修订号和修改日期。

  • 默认情况下,Junos OS 设备中会自动下载可信 CA 包。您可以使用默认或非默认路由实例连接到 Internet,以便下载和更新默认的受信任 CA 证书。

  • 使用 PKID 的公钥管理 (PKI) 进程将默认可信 CA 捆绑包 (default-trusted-ca-certs) 从 CDN 服务器安全地下载到设备中。

    受信任的 CA 证书的动态更新不会管理对以前加载 ca-profile-group的、手动添加的 CA 证书和属于其他受信任组的证书的任何更改。

    请参阅 配置受信任 CA 证书的动态更新

  • ca-profile-group load发出命令后,PKI 进程会在后台加载默认的可信 CA 证书,取消阻止 CLI,允许您继续执行其他任务。

  • ca-profile-group如果没有与 default-trusted-ca-certs关联,则每次定期轮询时,PKI 仍会将可信 CA 捆绑包的最新副本下载到设备。

  • 如果从默认受信任的 CA 列表中删除 CA 证书,PKI 过程将确保删除对 CA 证书的所有引用。如果 中 trusted-ca-group存在任何引用,则仅保存对 ca-profile 已删除实际 CA 证书的名称的引用。请参阅 配置受信任 CA 证书的动态更新

  • PKI 进程会定期(默认每 24 小时一次)轮询 CDN 服务器以查找最新的默认可信 CA 捆绑包,并更新捆绑包中可信 CA 的任何更改列表。如果有任何更改,PKI 进程会在后台加载它们。您可以选择性地更改轮询持续时间,也可以禁用此自动更新过程。请参阅 配置受信任 CA 证书的动态更新

配置受信任 CA 证书的动态更新

先决条件

在配置动态更新默认可信 CA 证书之前,请确保满足以下先决条件:

  • Junos OS 设备的基本配置已完成。

  • 瞻博网络 CDN 服务器可以访问您的 Junos OS 设备。您也可以使用非默认路由实例连接到 Internet 以下载默认的受信任 CA 证书。确保在配置受信任 CA 证书的动态更新之前配置非默认路由实例。请联系瞻博网络销售人员,了解瞻博网络 CDN 服务器的详细信息。

  • 对于自定义 CDN 服务器,请确保具有最新的 CA 证书和 URL。自定义 CDN 服务器的配置超出了本主题的讨论范围。

根据您的要求,导航到以下任务以配置默认可信 CA 捆绑包的动态更新。

检查与 CDN 服务器的连接

概述

使用以下 CLI 检查与 CDN 服务器的连接,以下载默认的可信 CA 证书。此命令下载清单文件并显示 CDN 服务器中可用的 trusted-ca-bundle 版本。

有关命令的详细信息,请参阅 请求安全性 PKI ca-certificate ca-profile-group default-trusted-ca-certs

配置

  1. 要检查从 Junos OS 设备的作模式与 CDN 服务器的连接 -

启用默认可信 CA 证书的自动下载

概述

瞻博网络会定期更新瞻博网络 CDN 服务器上的默认可信 CA 证书,并在 Junos OS 设备上提供下载。默认情况下,Junos OS 设备会自动下载默认的可信 CA 证书。您可以自定义配置,并按指定的时间间隔加载最新的默认可信 CA 证书。未指定值时,默认周期为 24 小时。使用默认的瞻博网络 CDN 服务器 (http://signatures.juniper.net/cacert) 时,无需单独配置。

此示例说明如何使用默认配置设置在 Junos OS 设备上启用默认可信 CA 证书的自动下载。有关配置语句的详细信息,请参阅 default-trusted-ca-certs(安全)。 使用语句 request security pki ca-certificate ca-profile-group load 命令,在后台自动加载下载的默认可信 CA 证书。无需显式运行此命令即可加载证书。

配置

由于默认情况下会自动下载默认的可信 CA 证书,因此不需要单独配置。

提供自定义配置以自动下载默认可信 CA 证书

概述

在此示例中,您将提供以下自定义配置,同时启用自定义 CA 证书的自动下载:

  • 将 Junos OS 设备配置为每 48 小时下载并安装一次默认的可信 CA 证书。

  • 指定可通过 URL signatures.example.net 访问的自定义 CDN 服务器。

  • 指定要到达 CDN 服务器的非默认路由实例。

有关配置语句的详细信息,请参阅 default-trusted-ca-certs(安全)。

配置

配置

  1. 将下载和加载作的周期设置为 48 小时。此 CLI 会自动将证书加载到 Junos OS 设备中。

  2. 指定自定义 URL。

  3. 指定路由实例。

  4. 提交配置。

显式下载默认的可信 CA 证书

概述

使用以下 CLI 从 CDN 服务器手动将默认可信 CA 证书下载到 Junos OS 设备。除了此命令之外,还会定期自动下载默认的受信任 CA 证书。

有关命令的详细信息,请参阅 请求安全性 PKI CA 证书 ca-profile-group default-trusted-ca-certs

配置

配置

  1. 要从 Junos OS 设备的作模式显式下载默认可信 CA 证书 -

检查默认可信 CA 证书的下载状态

概述

使用以下 CLI 从 CDN 服务器检查 Junos OS 设备上默认可信 CA 证书的下载状态。此命令显示版本号和版本日期。您可以使用此命令检查以前下载的版本和日期。

有关命令的详细信息,请参阅 请求安全性 PKI CA 证书 ca-profile-group default-trusted-ca-certs

配置

配置

  1. 要检查 Junos OS 设备上可用的版本号和版本日期,请执行以下步骤:

  2. 要加载默认的受信任 CA 证书 -

停用受信任 CA 证书的自动下载

概述

默认情况下,自动下载处于启用状态。此示例说明如何停用默认受信任 CA 证书的自动下载,但我们不建议这样做。

有关配置语句的详细信息,请参阅 default-trusted-ca-certs(安全)。

配置

配置

  1. 要停用默认可信 CA 证书的自动下载 -

  2. 提交配置。