新变化

VPN

• 解决生成具有较大密钥大小的 RSA 密钥对时出错的增强功能（SRX 系列）–在早期的 Junos OS 版本中，当您生成大小为 4096 或更大的 RSA 密钥对时，当 PKID 需要更多时间进行响应时，命令 request security pki generate-key-pair certificate-id name type rsa size 4096会显示错误消息 error: timeout communicating with pki-service daemon 。从 Junos OS 23.4R1 版开始，命令将成功运行，而不会出现此错误消息。

• 对 show security ipsec security-associations detail 命令输出的增强功能（SRX 系列和 vSRX 3.0）–我们增强了在[edit security ipsec vpn vpn-name]层次结构级别启用vpn-monitor时，防火墙使用新的 iked 进程运行 IPsec VPN 服务时的show security ipsec security-associations detail输出。命令输出中显示threshold和interval值。从 Junos OS 23.4R1 版开始，您会注意到这些更改。

  [请参阅 显示安全 IPsec 安全关联。]

• 解决 RG0 故障切换后证书验证失败的增强功能（SRX 系列）–在机箱群集中进行 RG0 故障切换后，您可能会注意到，在故障切换之前，由于辅助节点上的 CRL 下载失败，命令 show services advanced-anti-malware status 输出会显示 Requesting server certificate validation 状态。我们已针对该问题进行了增强功能，您会看到以下更改：

  • 如果即使在多次重试后仍重复无法下载 CRL，您将注意到错误消息 PKID_CRL_DOWNLOAD_RETRY_FAILED: CRL download for the CA failed even after multiple retry attempts, Check CRL server connection ，直到 CRL 下载成功。

  • 当群集执行从辅助节点到主节点的故障切换时，PKI 会在新的主节点上触发新的 CRL 下载，从而成功验证证书。