更改内容

VPN

• 修复使用 DSA 和 ECDSA 生成的密钥对的摘要选项功能的增强功能（SRX 系列和 vSRX 3.0）– 在早期版本中，当您使用 sha-256 摘要和 DSA 或 ECDSA 加密request security pki generate-key-pair certificate-id certificate-id-name size size type (dsa | ecdsa)request security pki local-certificate generate-self-signed certificate-id certificate-id-name digest sha-256 domain-name domain-name subject subject-distinguished-name使用 and 命令生成本地自签名证书时，生成的签名始终使用 sha1 摘要。从此版本开始，指定的摘要 sha-256 将用于签名摘要。您可以使用以下方式进行验证show security pki local-certificate certificate-id certificate-id-name detail

• 增强清除和重新生成密钥对命令 （vSRX 3.0） 的输出 – 当您清除并重新生成同一密钥对以使用硬件安全模块 （HSM） 管理安全数据时，我们修改了以下命令的输出。

  从 Junos OS 23.4R1 版本开始，命令：

  • clear security pki key-pair certificate-id certificate-id-name 显示消息 Key pair deleted successfully from the device. Key pair will be purged from the keyvault based on it's own preferences，而不是在先前版本中显示的消息 Key pair deleted successfully 。
  • request security pki generate-key-pair certificate-id certificate-id-name 显示消息 error:Failed to generate key pair. If the keypair was created and deleted before, please ensure that the keypair has been purged from the keyvault ，而不是先前版本中显示的消息 error: Failed to generate key pair 。

  我们进行了这些更改，以符合云提供商对密钥对删除的限制（如果有）。

• VPN 监控选项（SRX 系列和 vSRX 3.0）的阈值和间隔选项的帮助字符串描述的增强 – 我们增强了配置语句[set security ipsec vpn-monitor-options]中 和thresholdinterval可用选项的帮助字符串描述，以包含默认值。你将看到以下带有默认值的说明：

  [请参阅 ipsec （安全）。]

• 对显示安全性 ipsec 安全关联详细信息命令（SRX 系列和 vSRX 3.0）输出的增强 – 我们增强了在层次结构级别启用vpn-monitor[edit security ipsec vpn vpn-name]防火墙使用新的 iked 进程运行 IPsec VPN 服务时的输出show security ipsec security-associations detail。输出在命令输出中显示threshold和interval值。从 Junos OS 23.4R1 版开始，您会注意到这些变化。

  [请参阅 显示安全 IPsec 安全关联。]

• 使用 PPK 的 IPsec VPN（SRX 系列和 vSRX 3.0）的重新身份验证频率建议 — 对于采用量子后预共享密钥 （PPK） 加密的 IPsec VPN，包括自动发现 VPN （ADVPN），当 IKE 安全关联与量子密钥协商时，IKED 进程会在 4 秒后执行密钥更新以保护通道。如果将重新身份验证频率设置为 1，则不会在 4 秒后进行重新生成密钥。因此，我们建议您将重新验证频率设置为大于 1，因为 PPK 默认重新生成密钥使用第一个重新验证计数。

  [请参阅 量子安全 IPsec VPN。