导入 Junos XML 协议支持的 SSL 证书
对于 FIPS 模式,数字安全证书必须符合美国国家标准与技术研究院 (NIST) SP 800-131A 标准。
Junos XML 协议客户端应用程序可以使用四种协议之一连接到路由器或交换机上的 Junos XML 协议服务器:明文(一种特定于 Junos XML 协议的协议,用于通过 TCP 连接发送未加密文本)、SSH、SSL 或 Telnet。要使客户端使用 SSL 协议,您必须将 X.509 身份验证证书复制到路由器或交换机上,如本主题中所述。还必须在[edit system services]层次结构级别包含xnm-ssl语句。
该 xnm-ssl 语句不适用于标准 IPsec 服务。
获取 X.509 身份验证证书和私钥后,通过在层次结构级别包含local[edit security certificates]语句,将其复制到路由器或交换机:
[edit security certificates] local certificate-name { load-key-file (filename | url); }
certificate-name 是选择用于唯一标识证书的名称(例如, Junos XML protocol-ssl-client-hostname其中 hostname 是运行客户端应用程序的计算机)。
filename 是本地磁盘上包含配对证书和私钥的文件的路径名(假设您已使用其他方法将它们复制到路由器或交换机的本地磁盘)。
url 是包含配对证书和私钥的文件的 URL(例如,在运行 Junos XML 协议客户端应用程序的计算机上)。
CLI 要求文件中的私钥 URL-or-path 未加密。如果密钥已加密,CLI 会提示您输入与其关联的密码、对其进行解密并存储未加密的版本。
该 load-key-file 语句充当将证书文件的内容复制到配置中的指令。查看配置时,CLI 将显示构成私钥和证书的字符串,并将其 SECRET-DATA标记为 。关键字不会记录在 load-key-file 配置中。