更改内容

该 xmlns:junos 属性包括完整的软件版本字符串（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）— xmlns:junos XML RPC 回复中的命名空间字符串包括完整的软件版本版本号，该版本号与命令发出的 show version 版本相同。在早期版本中，该 xmlns:junos 字符串仅包含部分软件版本信息。

对 show system yang package （get-system-yang-packages RPC） XML 输出的更改（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）— show system yang package 命令和 <get-system-yang-packages> RPC 包括对 XML 输出的以下更改：

• 根元素代替 yang-package-information yang-pkgs-info。

• 一个 yang-package 元素将每组包文件括起来。

• 标记将 yang-pkg-id 重命名为 package-id。

• 如果包不包含翻译脚本，则翻译脚本 （trans-scripts） 值为 none。

当用于operation="delete"删除不存在的配置对象（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）时<load-configuration>，NETCONF 服务器的<rpc-error>响应发生了变化 — 在早期版本中，当 or <load-configuration> 操作用于operation="delete"删除目标配置中不存在的配置元素时<edit-config>，我们更改了 NETCONF 服务器的<rpc-error>响应。我们已还原对响应的<load-configuration>更改。

对符合 RFC 的 NETCONF 会话（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）中操作的 <validate> RPC 响应的更改 — 在层次结构级别配置rfc-compliant[edit system services netconf]语句时，NETCONF 服务器仅发出 or <ok/> <rpc-error> 元素来响应<validate>操作。在早期版本中，RPC 回复还包括该<commit-results>元素。

通过 SSL 代理（SRX 系列和 vSRX 3.0）提供有限 ECDSA 证书支持 — 通过在 SRX 系列防火墙和 vSRX 虚拟防火墙上配置 SSL 代理：

• 任何根 CA 证书都无法访问具有 P-384/P-521 服务器证书的基于 ECDSA 的网站，因为安全设备仅限于支持 P-256 组。

• 配置基于 RSA 的 root-ca 和 P-384/P-521 ECDSA root-ca 证书后，由于 SSL 终结器是与 RSA 协商的，因此无法访问所有 ECDSA 网站，这就是安全设备在进行 SSL 握手时仅向目标 Web 服务器发送 RSA 密码和 sigalg 的原因。要确保可以访问基于 ECDSA 和基于 RSA 的网站以及 RSA 根证书，请配置 256 位 ECDSA 根证书。

• 在某些情况下，即使在 SSL 代理配置中使用了 256 位 ECDSA 根证书，如果服务器不支持 P-256 组，也无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。

• 在其他情况下，即使在 SSL 代理配置中使用了 256 位 ECDSA 根证书，如果服务器支持 P-256 以外的 sigalg，则无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。在签名验证失败的硬件卸载模式下会出现此问题。由于 Junos OS 22.1R1 版中引入了 ECDSA 证书的硬件卸载，因此如果使用 22.1R1 之前发布的 Junos OS，则不会出现此问题。此外，如果在软件中处理 ECDSA 证书的 SSL 代理，则看不到此问题。

弃用与证书注册 （Junos） 相关的选项 — 从 Junos OS 版本 23.2R1 开始，我们将弃用与公钥基础架构 （PKI） 相关的早期 CLI 选项，以便通过简单证书注册协议 （SCEP） 注册和重新注册本地证书。下表显示了 Junos CLI 命令和配置语句，其中的选项已弃用。您可以在这些命令和语句中的选项下 scep 找到现在可用的相同 CLI 选项。

[请参阅 自动重新注册（安全）、 请求安全 PKI 本地证书注册 scep 和 请求安全 PKI 节点本地证书注册。]

用于捕获与通过 VPN 的流量丢失预防相关的提交警告消息的系统日志（SRX 系列、vSRX 和 NFX 系列）— 配置提交警告，例如 warning: Policy 'traditional' does not contain any dynamic-applications or url-categories but is placed below policies that use them. Please insert policy 'traditional' before your Unified policies 或 warning: Source address or address_set (made_up_address) not found. Please check if it is a SecProfiling Feed 导致 MGD 通知 IKED 或 KMD 进程有关导致 VPN 抖动和中断事件的信息 DAX_ITEM_DELETE_ALL 。这些警告消息由系统日志捕获，以防止通过 VPN 丢失流量。我们建议您解决这些系统日志警告消息，以防止重大中断。

命令的新 request system snapshot 选项（ACX 系列、EX 系列、MX 系列、QFX 系列和 SRX 系列）— 该 request system snapshot 命令包括用于非恢复快照的新选项。您可以包括 name 为快照指定用户定义名称的选项，也可以包括 configuration 用于在快照中包含或排除配置文件的或 no-configuration 选项。默认情况下，快照会保存配置文件，其中包括 /config 和 /var 目录以及某些 SSH 文件的内容。

[请参阅 请求系统快照 （Junos OS with UpgradeFreeBSD）。]

删除中间 CA 证书时本地证书身份验证输出的增强功能（SRX 系列防火墙、vSRX 虚拟防火墙和 cSRX）— 对于运行 PKID 进程的设备，我们更改了删除中间 CA 证书时的输出 request security pki local-certificate verify 。输出现在显示 local certificate hub_cert1 verification failed. Cannot build cert chain.。

[ 请参阅 请求安全 PKI 本地证书验证（安全）。]

对“显示安全性 pki 本地证书”命令输出中的备用使用者名称的增强功能（SRX 系列防火墙，vSRX 3.0）— 具有多个 FQDN 的证书现在可在字段中显示所有相关域、IPv4 或 IPv6 地址和电子邮件地址 Alternate subject 。这些增强功能可在命令输出 show security pki local-certificate 中看到。早些时候，命令输出仅显示最后一个 FQDN 详细信息。

[ 请参阅 显示安全 PKI 本地证书（查看）。]