新变化

该 xmlns:junos 属性包括完整的软件版本字符串（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）— xmlns:junos XML RPC 回复中的命名空间字符串包括完整的软件版本版本号，该版本号与命令发出 show version 的版本相同。在早期版本中，字符串 xmlns:junos 仅包含部分软件版本信息。

对 （get-system-yang-packagesRPC） XML 输出的show system yang package更改（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）—命令show system yang package和 <get-system-yang-packages> RPC 包括对 XML 输出的以下更改：

• 根元素不是 yang-package-information yang-pkgs-info。

• 元素 yang-package 包含每组包文件。

• yang-pkg-id标记将重命名为 package-id。

• 如果包不包含翻译脚本，则 Translation Script（s）trans-scripts （） 值为 none。

用于operation="delete"删除不存在的配置对象（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）时，NETCONF 服务器<rpc-error>的响应已<load-configuration>更改 - 在早期版本中，我们更改了 NETCONF 服务器在或作用于operation="delete"删除目标配置中不存在的配置元素时<edit-config><load-configuration>的<rpc-error>响应。我们已还原对<load-configuration>响应的更改。

对符合 RFC 的 NETCONF 会话（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）中的作的 RPC 响应<validate>所做的更改 — 在[edit system services netconf]层次结构级别配置rfc-compliant语句时，NETCONF 服务器仅<ok/>发出或 <rpc-error> 元素作为作的响应<validate>。在早期版本中，RPC 回复还包括该<commit-results>元素。

使用 SSL 代理支持有限 ECDSA 证书（SRX 系列和 vSRX 3.0）— 在 SRX 系列防火墙和 vSRX 虚拟防火墙上配置 SSL 代理时：

• 具有 P-384/P-521 服务器证书的基于 ECDSA 的网站无法使用任何 root-ca 证书访问，因为安全设备有限制，只能支持 P-256 组。

• 当配置了基于 RSA 的 root-ca 和 P-384/P-521 ECDSA root-ca 证书时，由于 SSL-Terminator 是与 RSA 协商的，因此将无法访问所有 ECDSA 网站，这就是为什么安全设备在执行 SSL 握手时仅向目标 Web 服务器发送 RSA 密码和 sigalg。为确保 ECDSA 和基于 RSA 的网站都可以与 RSA 根证书一起访问，请配置 256 位 ECDSA 根证书。

• 在某些情况下，即使 SSL 代理配置中使用了 256 位 ECDSA 根证书，如果服务器不支持 P-256 组，则无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。

• 在其他情况下，即使在 SSL 代理配置中使用了 256 位 ECDSA 根证书，如果服务器支持 P-256 以外的 sigalg，则无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。在硬件卸载模式下出现此问题，签名验证失败。由于 Junos OS 22.1R1 版中引入了 ECDSA 证书的硬件卸载，因此如果使用 22.1R1 之前发布的 Junos OS，则不会出现此问题。此外，如果在软件中处理 ECDSA 证书的 SSL 代理，则不会出现此问题。

弃用与证书注册相关的选项 （Junos） - 从 Junos OS 23.2R1 版开始，我们将弃用与公钥基础架构 （PKI） 相关的早期 CLI 选项，以通过简单证书注册协议 （SCEP） 注册和重新注册本地证书。下表显示了 Junos CLI 命令和配置语句以及即将弃用的选项。您可以在这些命令和语句的 option 下 scep 找到相同的 CLI 选项。

[请参阅 自动重新注册（安全）、 请求安全 PKI 本地证书注册 scep 和 请求安全 PKI 节点本地本地证书注册。]

用于捕获与 VPN 流量丢失防御相关的提交警告消息的系统日志（SRX 系列、vSRX 和 NFX 系列）— 配置提交警告，例如 warning: Policy 'traditional' does not contain any dynamic-applications or url-categories but is placed below policies that use them. Please insert policy 'traditional' before your Unified policies 或 warning: Source address or address_set (made_up_address) not found. Please check if it is a SecProfiling Feed 导致 MGD 通知 IKED 或 KMD 进程会导致 DAX_ITEM_DELETE_ALL VPN 抖动和中断事件。这些警告消息由系统日志捕获，以防止 VPN 上的流量丢失。我们建议您解决这些系统日志警告消息，以防止出现重大中断。

命令的新 request system snapshot 选项（ACX 系列、EX 系列、MX 系列、QFX 系列和 SRX 系列） — 命令 request system snapshot 包括用于非恢复快照的新选项。您可以包含 name 用于为快照指定用户定义名称的选项，也可以包含 configuration 或 no-configuration 选项用于在快照中包含或排除配置文件。默认情况下，快照会保存配置文件，其中包括 /config 和 /var 目录的内容以及某些 SSH 文件。

[请参阅 请求系统快照（具有升级版 FreeBSD 的 Junos OS）。

删除中间 CA 证书时本地证书 ID 验证输出的增强功能（SRX 系列防火墙、vSRX 虚拟防火墙和 cSRX）— 对于运行 PKID 进程的设备，我们更改了删除中间 CA 证书时的 request security pki local-certificate verify 输出。输出现在显示 local certificate hub_cert1 verification failed. Cannot build cert chain.。

[ 请参阅请求安全 PKI 本地证书验证（安全）。

show security pki local-certificate 命令（SRX 系列防火墙，vSRX 3.0）输出中备用使用者名称的增强功能 - 具有多个 FQDN 的证书现在在字段中 Alternate subject 显示所有相关域、IPv4 或 IPv6 地址和电子邮件地址。这些增强功能可以在命令的 show security pki local-certificate 输出中看到。早些时候，命令输出仅显示最后的 FQDN 详细信息。

[ 请参阅显示安全 PKI 本地证书（查看）。