Vpn

IKEv2 上支持多种证书类型（USF 模式下的 MX240、MX480 和 MX960，运行 IKED 进程的 SRX1500、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800 和 vSRX3.0）— 从 Junos OS 22.4R1 版开始，无论发起方和响应方上使用何种类型的证书，您都可以建立 IKEv2 和 IPsec SA 隧道。

若要支持多种证书类型，请使用层次结构中的[security ike proposal proposal-name authentication-method]选项将certificates身份验证方法配置为证书。

[见提案（安全 IKE）。

ACME 协议（SRX 系列和 vSRX）— 从 Junos OS 版本 22.4R1 开始，我们支持自动证书管理环境 （ACME） 协议。ACME 协议允许从 Let's Encrypt 服务器或 PKI 服务器注册证书。

SRX 系列设备允许使用 Let's Encrypt 服务器或 PKI 服务器通过 ACME 颁发的证书。

[请参阅 了解使用 CMPv2 注册证书、 注册 CA 证书、 使用 EAP-TLS 身份验证进行基于证书的验证和 ACME 协议。

后量子预共享密钥（SRX1500、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800 和 vSRX 3.0）— 从 Junos OS 22.4R1 版开始，我们支持 RFC 8784 中定义的后量子预共享密钥 （PPK）。

RFC 8784 在互联网密钥交换协议第 2 版 （IKEv2） 中定义了混合预共享密钥，通过 junos-ike 包 在 IKED 流程中提供后量子安全支持，以协商量子安全 IKE 和 IPsec SA。

引入 Junos 密钥管理器 （JKM） 是为了管理客户端应用程序的不同类型的量子密钥或 PPK，从而保护各自的基础架构量子。IKED 进程使用 JKM 为量子安全 SA 提供支持。

支持两种带外密钥检索机制来获取 PPK：

• 预共享密钥：您可以在相关网关上配置静态密钥，不需要通过互联网共享静态密钥。

• 量子密钥分发：一种基于量子密钥分发 （QKD） 的安全密钥分发方法，用于生成和分发量子安全的密钥。这些密钥是动态的。

[请参阅 IPsec VPN 概述。]