Vpn
-
IKEv2 上支持多种证书类型(USF 模式下的 MX240、MX480 和 MX960,运行 IKED 进程的 SRX1500、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800 和 vSRX3.0)— 从 Junos OS 22.4R1 版开始,无论发起方和响应方上使用何种类型的证书,您都可以建立 IKEv2 和 IPsec SA 隧道。
若要支持多种证书类型,请使用层次结构中的
[security ike proposal proposal-name authentication-method]
选项将certificates
身份验证方法配置为证书。 -
ACME 协议(SRX 系列和 vSRX)— 从 Junos OS 版本 22.4R1 开始,我们支持自动证书管理环境 (ACME) 协议。ACME 协议允许从 Let's Encrypt 服务器或 PKI 服务器注册证书。
SRX 系列设备允许使用 Let's Encrypt 服务器或 PKI 服务器通过 ACME 颁发的证书。
[请参阅 了解使用 CMPv2 注册证书、 注册 CA 证书、 使用 EAP-TLS 身份验证进行基于证书的验证和 ACME 协议。
-
后量子预共享密钥(SRX1500、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800 和 vSRX 3.0)— 从 Junos OS 22.4R1 版开始,我们支持 RFC 8784 中定义的后量子预共享密钥 (PPK)。
RFC 8784 在互联网密钥交换协议第 2 版 (IKEv2) 中定义了混合预共享密钥,通过 junos-ike 包 在 IKED 流程中提供后量子安全支持,以协商量子安全 IKE 和 IPsec SA。
引入 Junos 密钥管理器 (JKM) 是为了管理客户端应用程序的不同类型的量子密钥或 PPK,从而保护各自的基础架构量子。IKED 进程使用 JKM 为量子安全 SA 提供支持。
支持两种带外密钥检索机制来获取 PPK:
-
预共享密钥:您可以在相关网关上配置静态密钥,不需要通过互联网共享静态密钥。
-
量子密钥分发:一种基于量子密钥分发 (QKD) 的安全密钥分发方法,用于生成和分发量子安全的密钥。这些密钥是动态的。
[请参阅 IPsec VPN 概述。]
-