配置数字证书
数字证书概述
数字证书提供了一种通过称为证书颁发机构 (CA) 的受信任第三方对用户进行身份验证的方法。CA 验证证书持有者的身份并对证书进行“签名”,以证明证书未被伪造或更改。
证书包含以下信息:
所有者的可分辨名称 (DN)。DN 是唯一标识符,由完全限定的名称组成,其中包括所有者的公用名 (CN)、所有者的组织和其他区分信息。
所有者的公钥。
颁发证书的日期。
证书到期的日期。
颁发 CA 的可分辨名称。
颁发 CA 的数字签名。
证书中的附加信息允许收件人决定是否接受证书。收件人可以根据到期日期确定证书是否仍然有效。收件人可以根据颁发 CA 检查 CA 是否受站点信任。
使用证书,CA 获取所有者的公钥,使用自己的私钥对该公钥进行签名,并将其作为证书返回给所有者。收件人可以使用所有者的公钥提取证书(包含 CA 的签名)。通过使用 CA 的公钥和提取的证书上的 CA 签名,收件人可以验证 CA 的签名和证书所有者。
使用数字证书时,首先发送请求以从 CA 获取证书。然后,配置数字证书和数字证书 IKE 策略。最后,从 CA 获取数字签名证书。
没有备用使用者名称的证书不适用于 IPsec 服务。
从证书颁发机构获取 ES PIC 的证书
证书颁发机构 (CAs) 管理证书请求并向参与的 IPsec 网络设备颁发证书。创建证书请求时,需要提供有关证书所有者的信息。所需信息及其格式因证书颁发机构而异。
证书使用 X.500 格式的名称,这是一种提供读取和更新访问权限的目录访问协议。整个名称称为 DN(可分辨名称)。它由一组组件组成,这些组件通常包括 CN(通用名称)、组织 (O)、组织单位 (OU)、国家/地区 (C)、地点 (L) 等。
对于数字证书的动态注册,Junos OS 仅支持简单证书注册协议 (SCEP)。
参见
为 M 系列或 T 系列路由器上的 ES PIC 请求 CA 数字证书
对于 M 系列或 T 系列路由器上的 加密 接口,请发出以下命令以从 CA 获取公钥证书。结果保存在 /var/etc/ikecert 目录中的指定文件中。CA 公钥验证来自远程对等方的证书。
user@host> request security certificate enroll filename filename ca-name ca-name parameters parameters
参见
示例:请求 CA 数字证书
指定指向 SCEP 服务器的 URL 以及需要其证书的证书颁发机构的名称: mycompany.com。 文件名 1 是存储结果的文件的名称。输出“收到的 CA 证书:”提供证书的签名,允许您验证(脱机)证书是否真实。
user@host> request security certificate enroll filename ca_verisign ca-file verisign ca-name xyzcompany url http://hostname/path/filename URL: http://hostname/path/filename name: example.com CA file: verisign Encoding: binary Certificate enrollment has started. To see the certificate enrollment status, check the key management process (kmd) log file at /var/log/kmd. <--------------
每个路由器最初都是通过证书颁发机构手动注册的。
参见
为 ES PIC 的数字证书生成私钥和公钥对
要生成私钥和 公钥,请发出以下命令:
user@host> request security key-pair name size key-size type ( rsa | dsa )
name
指定用于存储公钥和私钥的文件名。
key-size
可以是 512、1024、1596 或 2048 字节。默认密钥大小为 1024 字节。
type
rsa
可以是 或 dsa
。默认值为 RSA。
使用 SCEP 时,Junos OS 仅支持 RSA。
以下示例演示如何生成私钥和公钥对:
user@host> request security key-pair batt Generated key pair, key size 1024, file batt Algorithm RSA