数字证书和服务集
数字证书
对于小型网络,在 IPSec 配置中使用预共享密钥通常就足够了。但是,随着网络的发展,在本地路由器以及所有新的和现有的 IPSec 对等节点上添加新的预共享密钥可能会成为一项挑战。扩展 IPSec 网络的一种解决方案是使用数字证书。
数字证书实现使用公钥基础结构 (PKI),这要求您生成由公钥和私钥组成的密钥对。密钥是使用随机数生成器创建的,用于加密和解密数据。在不使用数字证书的网络中,支持 IPSec 的设备使用私钥加密数据,IPSec 对等方使用公钥解密数据。
使用数字证书时,密钥共享过程需要额外的复杂性。首先,您和您的 IPSec 对等方请求证书颁发机构 (CA) 向您发送包含 CA 公钥的 CA 证书。接下来,请求 CA 注册包含您的公钥和一些其他信息的本地数字证书。当 CA 处理您的请求时,它会使用 CA 的私钥对您的本地证书进行签名。然后,在本地路由器中安装 CA 证书和本地证书,并将 CA 证书加载到远程设备中,然后才能与对等方建立 IPSec 隧道。
当您请求与 IPSec 对等方建立对等关系时,对等方会收到本地证书的副本。由于对等方已加载 CA 证书,因此它可以使用 CA 证书中包含的 CA 公钥解密已由 CA 私钥签名的本地证书。因此,对等方现在拥有您的公钥的副本。对等方在将数据发送给您之前使用您的公钥对其进行加密。当您的本地路由器收到数据时,它会使用您的私钥解密数据。
在 Junos OS 中,必须执行以下步骤才能开始使用数字证书:
配置 CA 配置文件以请求 CA 和本地数字证书 - 配置文件包含 CA 或注册机构 (RA) 的名称和 URL,以及一些重试计时器设置。
配置证书吊销列表支持 - 证书吊销列表 (CRL) 包含在其到期日期之前取消的证书列表。当参与对等方使用 CRL 时,CA 将获取最近颁发的 CRL 并检查对等方数字证书的签名和有效性。您可以手动请求和加载 CRL,将 LDAP 服务器配置为自动处理 CRL 处理,或禁用默认情况下启用的 CRL 处理。
从 CA 请求数字证书 - 可以联机或手动请求。联机 CA 数字证书请求使用简单证书注册协议 (SCEP) 格式。如果手动请求 CA 证书,则还必须手动加载证书。
生成私有/公钥对 - 公钥包含在本地数字证书中,私钥用于解密从对等方接收的数据。
生成并注册本地数字证书 - 可以使用 SCEP 联机处理本地证书,也可以以公钥加密标准 #10 (PKCS-10) 格式手动生成。如果手动创建本地证书请求,则还必须手动加载证书。
将数字证书应用于 IPSec 配置 — 要激活本地数字证书,请将 IKE 提议配置为使用数字证书而不是预共享密钥,在 IKE 策略中引用本地证书,并在服务集中标识 CA。
(可选)您可以执行以下操作:
将数字证书配置为自动重新注册 — 从 Junos OS 8.5 版开始,您可以为数字证书配置自动重新注册。
监控数字证书事件并删除证书和请求 - 您可以发出操作模式命令来监控使用数字证书建立的 IPSec 隧道,并删除证书或请求。
有关管理数字证书、在 IPSec 服务集中配置数字证书以及监控和清除数字证书的更多详细信息,请参阅 对 IPsec 使用数字证书 和 示例:AS PIC IKE 具有数字证书配置的动态 SA。
服务集
配置 IPSec 隧道时,自适应服务 PIC 支持两种类型的服务集。由于它们用于不同的目的,因此了解这些服务集类型之间的差异非常重要。
下一跳服务集 — 支持通过 IPSec 的组播和组播样式动态路由协议(如 OSPF)。下一跃点服务集允许您使用自适应服务 PIC 上的内部和外部逻辑接口与多个路由实例连接。它们还允许使用网络地址转换 (NAT) 和状态防火墙功能。但是,下一跃点服务集默认情况下不监控路由引擎流量,需要配置多个服务集以支持来自多个接口的信息流。
接口服务集 — 应用于物理接口,类似于无状态 防火墙过滤器。它们易于配置,可以支持来自多个接口的流量,并且可以在默认情况下监控路由引擎流量。但是,它们不能支持 IPSec 隧道上的动态路由协议或组播流量。
通常,我们建议您使用下一跃点服务集,因为它们支持路由协议和 IPSec 隧道组播,更易于理解,并且路由表无需管理干预即可做出转发决策。