Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为自适应服务接口配置数字证书

数字证书实现使用公钥基础结构 (PKI),这要求您生成由公钥和私钥组成的密钥对。密钥是使用随机数生成器创建的,用于加密和解密数据。在不使用数字证书的网络中,支持 IPsec 的设备使用私钥加密数据,IPsec 对等方使用公钥解密数据。

使用数字证书时,密钥共享过程需要额外的复杂性。首先,您和您的 IPsec 对等方请求证书颁发机构 (CA) 向您发送包含 CA 公钥的 CA 证书。接下来,请求 CA 为您分配包含公钥和一些附加信息的本地数字证书。当 CA 处理您的请求时,它会使用 CA 的私钥对您的本地证书进行签名。然后在路由器中安装 CA 证书和本地证书,并将 CA 加载到远程设备中,然后才能与对等方建立 IPsec 隧道。

注意:

对于数字证书,Junos OS 支持 VeriSign、Entrust、Cisco Systems 以及自适应服务 (AS) 和多服务 PIC 的 Microsoft Windows CA。

要为 M 系列和 T 系列路由器上安装的 J 系列多服务路由器以及 AS 和多服务 PIC 定义数字证书配置,请在层次结构级别包含以下语句 [edit security pki]

通过以下任务,您可以在 M 系列和 T 系列路由器上安装的 J 系列服务路由器以及 AS 和多服务 PIC 上实施数字证书:

配置证书颁发机构属性

CA 是受信任的第三方组织,负责创建、注册、验证和吊销数字证书。

要为 AS 和多服务 PIC 配置证书颁发机构及其属性,请在层次结构级别包含以下语句 [edit security pki]

配置证书颁发机构属性的任务如下:

指定 CA 配置文件名称

CA 配置文件包含 CA 或 RA 的名称和 URL,以及一些重试计时器设置。Entrust、VeriSign、Cisco Systems 和 Microsoft 颁发的 CA 证书与 M 系列和 T 系列路由器中安装的 J 系列服务路由器以及 AS 和多服务 PIC 兼容。

要指定 CA 配置文件名称,请在安全级别包含:ca-profile statement [edit security pki]

您还需要指定证书请求中使用的 CA 身份的名称。此名称通常是域名。要指定 CA 身份的名称,请在以下[edit security pki ca-profile ca-profile-name]级别包含ca-identity语句:

指定注册 URL

指定路由器应发送基于 SCEP 的证书注册请求的 CA 位置。要通过命名 CA URL 来指定 CA 位置,请在层次结构级别包含 url 语句 [edit security pki enrollment]

url-name 是 CA 位置。格式为 http://CA_name,其中 CA_name 是 CA 主机 DNS 名称或 IP 地址。

指定注册属性

您可以指定路由器重新发送证书请求的次数以及路由器在两次注册尝试之间应等待的时间(以秒为单位)。

默认情况下,注册重试次数设置为 0,即无限次重试。要指定路由器重新发送证书请求的次数,请在层次结构级别包含 retry number-of-attempts 语句 [edit security pki ca-profile ca-profile-name enrollment]

的范围 number-of-attempts 是从 0 到 100。

要指定路由器在两次注册尝试之间应等待的时间(以秒为单位),请在层次结构级别包含 retry-interval seconds 以下语句 [edit security pki ca-profile ca-profile-name enrollment]

的范围 seconds 是从 0 到 3600。

配置证书吊销列表

配置证书吊销列表的任务包括:

指定 LDAP URL

您可以指定 CA 存储其当前 CRL 的轻型目录访问协议 (LDAP) 服务器的 URL。如果 CA 在数字证书中包含证书分发点 (CDP),则无需为 LDAP 服务器指定 URL。CDP 是证书中的一个字段,其中包含有关如何检索证书的 CRL 的信息。路由器使用此信息自动下载 CRL。

如果要使用与证书中指定的 CDP 不同的 CDP,请配置 LDAP URL。您配置的任何 LDAP URL 都优先于证书中包含的 CDP。

您最多可以为每个 CA 配置文件配置三个 URL。

如果 LDAP 服务器需要密码才能访问 CRL,则需要包含该 password 语句。

要将路由器配置为从 LDAP 服务器检索 CRL,请包含 url 该语句并在层次结构级别指定 [edit security pki ca-profile ca-profile-name revocation-check crl] URL 名称:

url-name 是证书颁发机构 LDAP 服务器名称。格式为 ldap://server-name,其中 server-name CA 主机 DNS 名称或 IP 地址。

若要指定使用密码访问 CRL,请在层次结构级别包含password[edit security pki ca-profile ca-profile-name revocation-check crl url]语句:

password 是 LDAP 服务器访问所需的秘密密码。

配置 CRL 更新之间的间隔

默认情况下,CRL 更新之间的时间间隔为 24 小时。若要配置 CRL 更新之间的时间量,请在层次结构级别包含refresh-interval[edit security pki ca-profile ca-profile-name revocation-check crl]语句:

小时数的范围是从 0 到 8784。

在 CRL 下载失败时覆盖证书验证

默认情况下,如果路由器无法访问 LDAP URL 或检索有效的证书吊销列表,则证书验证将失败,并且不会建立 IPsec 隧道。若要覆盖此行为并允许在未下载 CRL 时对等方进行身份验证,请在层次结构级别包含 disable on-download-failure 语句 [edit security pki ca-profile ca-profile-name revocation-check crl]

管理数字证书

配置 CA 配置文件后,您可以从受信任的 CA 请求 CA 证书。接下来,您必须生成公钥/私钥对。当密钥对可用时,您可以联机或手动生成本地证书。

管理数字证书的任务包括:

为 M 系列和 T 系列路由器上安装的 AS 和多服务 PIC 请求 CA 数字证书

对于 M 系列和 T 系列路由器上安装的 J 系列多服务路由器以及 AS 和多服务 PIC,请发出以下命令以从 CA 获取数字证书。 指定配置为 ca-profile-name 从受信任的 CA 请求 CA 证书。

有关如何配置 CA 配置文件的信息,请参阅 配置证书颁发机构属性

在此示例中,证书联机注册并自动安装到路由器中。

注意:

如果直接从 CA 获取 CA 证书(例如,作为电子邮件附件或网站下载),则可以使用命令安装 request security pki ca-certificate load 它。有关更多信息,请参阅 CLI 资源管理器

生成公钥/私钥对

获取 AS PIC 或多服务 PIC 的证书后,必须先生成公钥-私钥,然后才能生成本地证书。公钥包含在本地数字证书中,私钥用于解密从对等方接收的数据。要生成公钥-私钥对,请发出 request security pki generate-key-pair certificate-id certificate-id-name 命令。

以下示例说明如何为 AS PIC 或多服务 PIC 生成公钥-私钥:

生成和注册本地数字证书

您可以联机或手动生成和注册本地数字证书。要使用 AS PIC 或多服务 PIC 的简单证书注册协议 (SCEP) 联机生成和注册本地证书,请发出 request security pki local-certificate enroll 命令。要以 PKCS-10 格式手动生成本地证书请求,请发出 request security pki generate-certificate-request 命令。

如果手动创建本地证书请求,则还必须手动加载证书。要在路由器中手动安装证书,请发出 request security pki local-certificate load 命令。

以下示例演示如何手动生成本地证书请求并将其发送到 CA 进行处理:

受信任的 CA 对本地证书进行数字签名并将其返回给您。将证书文件复制到路由器并加载证书:

注意:

CA 发送给您的文件名可能与证书标识符的名称不匹配。但是,该 certificate-id 名称必须始终与您为路由器生成的密钥对的名称匹配。

加载本地证书和 CA 证书后,可以在 IPsec 配置中引用它们。使用 AS 和多服务 PIC 中的默认值,您无需配置 IPsec 提议或 IPsec 策略。但是,您必须配置指定使用数字证书的 IKE 提议,引用 IKE 提议并在 IKE 策略中找到证书,并将 CA 配置文件应用于服务集。

配置路由器证书的自动重新注册

使用该 auto-re-enrollment 语句配置在现有到期日期之前自动重新注册指定的现有路由器证书。此函数会自动重新注册路由器证书。重新注册过程会请求证书颁发机构 (CA) 颁发具有新到期日期的新路由器证书。自动重新注册的日期由以下参数确定:

  • re-enroll-trigger-time—路由器证书开始日期/时间(生成证书的时间)与有效期之间的差异百分比;用于指定在过期前应启动多长时间的自动重新注册。

  • validity-period— 颁发后路由器证书将过期的天数(生成证书时设置)。

注意:

默认情况下,除非显式配置,否则不会启用此功能。这意味着未配置自动重新注册的证书将在其正常到期日期过期。

ca-profile 语句指定将联系哪个 CA 以重新注册即将过期的证书。这是颁发原始路由器证书的 CA。

challenge-password 语句为颁发证书的 CA 提供路由器证书的密码,该密码由管理员设置,通常从 CA 的 SCEP 注册网页获取。密码长度为 16 个字符。

(可选)可以使用语句 re-generate-keypair 重新生成路由器证书密钥对。

要配置自动重新注册属性,请在层次结构级别包含以下语句 [edit security pki]

percentage 是重新注册触发时间的百分比。范围可以从 1% 到 99%。

days 是有效期的天数。范围可以是 1 到 4095。

配置证书自动重新注册的任务包括:

指定证书 ID

使用该 certificate-id 语句指定要为自动重新注册配置的路由器证书的名称。要指定证书 ID,请在层次结构级别包含语句 [edit security pki auto-re-enrollment]

指定 CA 配置文件

使用该 ca-profile 语句从先前由证书 ID 指定的路由器证书中指定 CA 配置文件的名称。要指定 CA 配置文件,请在层次结构级别包含语句 [edit security pki auto-re-enrollment certificate-id certificate-name]

注意:

引用 ca-profile 的必须在层次结构级别配置 [edit security pki ca-profile ca-profile-name enrollment url] 注册 URL。

指定质询密码

质询密码由 PKI 证书 ID 指定的 CA 用于重新注册和吊销。要指定质询密码,请在层次结构级别包含以下语句 [edit security pki auto-re-enrollment certificate-id certificate-name]

指定重新注册触发时间

使用该 re-enroll-trigger-time 语句可以设置到期前发生重新注册的有效期的百分比。要指定重新注册触发时间,请在层次结构级别包含以下语句 [edit security pki auto-re-enrollment certificate-id certificate-name]

percentage 是重新注册触发时间的百分比。范围可以从 1% 到 99%。

指定重新生成密钥对

配置重新生成的密钥对时,将在重新注册期间生成新的密钥对。成功重新注册后,新密钥对和新证书将替换旧证书和密钥对。要生成新的密钥对,请在层次结构级别包含以下语句 [edit security pki auto-re-enrollment certificate-id certificate-name]

指定有效期

validity-period 语句指定指定路由器证书保持有效的路由器证书有效期(以天数为单位)。要指定有效期,请在层次结构级别包含语句 [edit security pki auto-re-enrollment certificate-id certificate-name]

days 是有效期的天数。范围可以是 1 到 4095。