Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Vpn

  • IKEv2 上支持多种证书类型(USF 模式下的 MX240、MX480 和 MX960,运行 IKED 进程的 SRX1500、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800 和 vSRX3.0)— 从 Junos OS 22.4R1 版开始,无论发起方和响应方上使用何种类型的证书,您都可以建立 IKEv2 和 IPsec SA 隧道。

    若要支持多种证书类型,请使用层次结构中的[security ike proposal proposal-name authentication-method]选项将certificates身份验证方法配置为证书。

    [见提案(安全 IKE)。

  • ACME 协议(SRX 系列和 vSRX)— 从 Junos OS 版本 22.4R1 开始,我们支持自动证书管理环境 (ACME) 协议。ACME 协议允许从 Let's Encrypt 服务器或 PKI 服务器注册证书。

    SRX 系列设备允许使用 Let's Encrypt 服务器或 PKI 服务器通过 ACME 颁发的证书。

    [请参阅 了解使用 CMPv2 注册证书、 注册 CA 证书、 使用 EAP-TLS 身份验证进行基于证书的验证ACME 协议

  • 后量子预共享密钥(SRX1500、SRX4200、SRX4600、SRX5400、SRX5600 和 vSRX 3.0)— 从 Junos OS 22.4R1 版开始,我们支持 RFC 8784 中定义的后量子预共享密钥 (PPK)。

    RFC 8784 在互联网密钥交换协议第 2 版 (IKEv2) 中定义了混合预共享密钥,通过 junos-ike 包 在 IKED 流程中提供后量子安全支持,以协商量子安全 IKE 和 IPsec SA。

    引入 Junos 密钥管理器 (JKM) 是为了管理客户端应用程序的不同类型的量子密钥或 PPK,从而保护各自的基础架构量子。IKED 进程使用 JKM 为量子安全 SA 提供支持。

    支持两种带外密钥检索机制来获取 PPK:

    • 预共享密钥:您可以在相关网关上配置静态密钥,不需要通过互联网共享静态密钥。

    • 量子密钥分发:一种基于量子密钥分发 (QKD) 的安全密钥分发方法,用于生成和分发量子安全的密钥。这些密钥是动态的。

    [请参阅 IPsec VPN 概述。]