配置数字证书
数字证书概述
数字证书提供了一种通过称为证书授权机构 (CA) 的可信第三方对用户进行身份验证的方法。CA 验证证书持有者的身份,并“签署”证书以证明证书尚未伪造或更改。
证书包括以下信息:
所有者的杰出名称 (DN)。DN 是唯一标识符,由完全合格的名称组成,包括所有者的通用名称 (CN)、所有者的组织和其他区分信息。
所有者的公钥。
证书颁发日期。
证书到期日期。
发出 CA 的著名名称。
发出 CA 的数字签名。
证书中的附加信息允许接收者决定是否接受证书。接收方可以根据到期日期确定证书是否仍然有效。接收方可以根据发出的 CA 检查该站点是否信任 CA。
使用证书时,CA 会拿主人的公钥,用自己的私钥标出公钥,然后以证书的身份将公钥退回给所有者。接收方可以使用所有者的公钥提取证书(包含 CA 的签名)。通过使用 CA 的公钥和所提取证书上的 CA 签名,接收方可以验证 CA 的签名和证书的所有者。
使用数字证书时,应请求发送第一个从 CA 获取证书。然后配置数字证书和数字证书 IKE 策略。最后,您将从 CA 获取数字签名证书。
没有替代主题名称的证书不适合 IPsec 服务。
从 ES PIC 的证书授权机构获取证书
证书颁发机构 (CA) 管理证书请求,并将证书颁发给参与的 IPsec 网络设备。创建证书请求时,您需要提供有关证书所有者的信息。证书颁发机构提供所需的信息及其格式各不相同。
证书使用 X.500 格式的名称,这是一种可同时提供读取和更新访问的目录访问协议。整个名称称为 DN(知名名称)。它由一组组件组成,通常包括一个 CN(通用名称)、一个组织 (O)、一个组织单位 (OU)、一个国家 (C)、一个地区 (L) 等。
对于数字证书的动态注册,Junos OS 仅支持简单证书注册协议 (SCEP)。
另请参阅
请求 M 系列或 T 系列路由器上的 ES PIC 的 CA 数字证书
对于 M 系列或 T 系列路由器上的 加密 接口,发出以下命令从 CA 获取公钥证书。结果保存在 /var/等/ikecert 目录中的指定文件中。CA 公钥可验证远程对等方的证书。
user@host> request security certificate enroll filename filename ca-name ca-name parameters parameters
另请参阅
示例:请求 CA 数字证书
为 SEP 服务器指定 URL 以及您需要证书的认证机构的名称: mycompany.com。 文件名 1 是存储结果的文件名称。输出为“收到的 CA 证书”,提供证书的签名,允许您验证(脱机)证书是否为正版。
user@host> request security certificate enroll filename ca_verisign ca-file verisign ca-name xyzcompany url http://hostname/path/filename URL: http://hostname/path/filename name: example.com CA file: verisign Encoding: binary Certificate enrollment has started. To see the certificate enrollment status, check the key management process (kmd) log file at /var/log/kmd. <--------------
每个路由器最初都由证书授权机构手动注册。
另请参阅
为 ES PIC 生成数字证书的私有密钥对和公钥对
要生成私有密钥和公 钥,请发出以下命令:
user@host> request security key-pair name size key-size type ( rsa | dsa )
name
指定了存放公钥和私有密钥的文件名。
key-size
可以是 512、1024、1596 或 2048 字节默认密钥大小为 1024 字节。
type
可以是 rsa
或 dsa
。默认是 RSA。
使用 SCEP 时,Junos OS 仅支持 RSA。
以下示例说明如何生成私有密钥和公钥对:
user@host> request security key-pair batt Generated key pair, key size 1024, file batt Algorithm RSA