导入 SSL 证书以支持 Junos XML 协议
对于 FIPS 模式,数字安全证书必须符合国家标准与技术研究院 (NIST) SP 800-131A 标准。
Junos XML 协议客户端应用可以使用四种协议之一连接到路由器或交换机上的 Junos XML 协议服务器:明文(通过 TCP 连接发送未加密文本的特定于 Junos XML 协议的协议)、 SSH、 SSL 或 Telnet。要使客户端使用 SSL 协议,您必须将 X.509 身份验证证书复制到路由器或交换机上,如本主题所述。还必须在 xnm-ssl 层次结构级别包含语句 [edit system services] 。
该 xnm-ssl 语句不适用于标准 IPsec 服务。
在获取 X.509 身份验证证书和私有密钥后,通过在层次结构级别包括语句local[edit security certificates],将其复制到路由器或交换机:
[edit security certificates] local certificate-name { load-key-file (filename | url); }
certificate-name是您选择唯一标识证书的名称(例如,Junos XML protocol-ssl-client-hostnamehostname运行客户端应用程序的计算机在哪里)。
filename 是本地磁盘上文件的路径名称,其中包含配对的证书和私有密钥(假设您已经使用另一种方法将其复制到路由器或交换机的本地磁盘)。
url 是包含配对证书和私有密钥的文件的 URL(例如,运行 Junos XML 协议客户端应用程序的计算机上)。
CLI 希望文件中的 URL-or-path 私有密钥未加密。如果密钥已加密,CLI 会提示您输入与之关联的密码,对其进行解密,并存储未加密的版本。
该 load-key-file 语句用作指令,将证书文件的内容复制到配置中。查看配置时,CLI 将显示构成私钥和证书的字符串,并将其 SECRET-DATA标记为。关键字 load-key-file 不会记录在配置中。