ES PIC 上数字证书的 IKE 策略
为 ES PIC 的数字证书配置 IKE 策略
数字证书的 IKE 策略定义了要在 IKE 协商期间使用的安全参数(IKE 建议)的组合。它定义对等地址以及该连接所需的建议。在 IKE 协商期间,IKE 会查找在两个对等方上相同的 IKE 策略。启动协商的对等方将其所有策略发送给远程对等方,远程对等方尝试查找匹配项。
要为 ES PIC 的数字证书配置 IKE 策略,请在层次结构级别包含以下语句 [edit security ike policy ike-peer-address] :
[edit security ike] policy ike-peer-address{ encoding (binary | pem); identity identity-name; local-certificate certificate-filename; local-key-pair private-public-key-file; }
为数字证书配置 IKE 策略的任务包括:
配置 CA 支持的编码类型
默认情况下,编码设置为二进制。编码指定用于和local-key-pair语句的local-certificate文件格式。默认情况下,启用二进制(可分辨编码规则)格式。PEM 是一种 ASCII base 64 编码格式。请咨询您的 CA 以确定它支持哪些文件格式。
要配置 CA 支持的文件格式,请包含 encoding 语句并在层次结构级别指定 [edit security ike policy ike-peer-address] 二进制或 PEM 格式:
[edit security ike policy ike-peer-address ] encoding (binary | pem);
配置身份以定义远程证书名称
要定义远程证书名称,请在层次结构级别包含 identity 语句 [edit security ike policy ike-peer-address] :
[edit security ike policy ike-peer-address] identity identity-name;
identity-name 定义无法通过 IKE(ID 有效负载或 IP 地址)获知远程证书名称时的身份。
指定证书文件名
要配置要从中读取本地证书的证书文件名,请在层次结构级别包含 local-certificate 该语句 [edit security ike policy ike-peer-address] :
[edit security ike policy ike-peer-address] local-certificate certificate-filename;
certificate-filename 指定要从中读取本地证书的文件。
指定私钥和公钥文件
要指定从中读取公钥和私钥的文件名,请在层次结构级别包含 local key-pair 语句 [edit security ike policy ike-peer-address] :
[edit security ike policy ike-peer-address ] local-key-pair private-public-key-file;
private-public-key-file 指定要从中读取配对密钥的文件。
参见
从 CA 获取 ES PIC 的签名证书
要从 CA 获取签名证书,请发出以下命令:
user@host> request security certificate enroll filename filename subject c=us,o=x alternative-subject certificate-ip-address certification-authority certificate-authority key-file key-file-name domain-name domain-name
结果保存在指定的文件中到 /var/etc/ikecert 目录。
以下示例说明如何通过引用配置 certification-authority 的语句 local 来获取 CA 签名证书。命令引用 request security certificate enroll filename filename subject subject alternative-subject alternative-subject certification-authority certification-authority 此语句。
[edit]
security {
certificates {
certification-authority local {
ca-name xyz.company.com;
file l;
enrollment-url "http://www.xyzcompany.com";
}
}
}
要从 CA 获取签名证书,请发出以下命令:
user@host> request security certificate enroll filename I subject c=uk,o=london alternative-subject 10.50.1.4 certification-authority verisign key-file host-1.prv domain-name host.xyzcompany.com CA name: xyz.company.com CA file: ca_verisign local pub/private key pair: host.prv subject: c=uk,o=london domain name: host.example.com alternative subject: 10.50.1.4 Encoding: binary Certificate enrollment has started. To see the certificate enrollment status, check the key management process (kmd) log file at /var/log/kmd. <--------------
有关如何使用操作模式命令获取签名证书的信息,请参阅 CLI 资源管理器。
从 CA 获取签名证书的另一种方法是通过以下 certification-authority 语句引用配置的语句,例如 URL、CA 名称和 CA 证书文件:
user@host> request security certificate enroll filename m subject c=us ,o=x alternative-subject 192.0.2.1 certification-authority local key-file y domain-name abc.company.com
参见
将配置的安全关联与逻辑接口关联
配置 ES PIC 会将配置的 SA 与逻辑接口相关联。此配置定义 隧道 本身(逻辑子单元、隧道地址、最大传输单元 [MTU]、可选接口地址以及要应用于流量的 SA 名称)。
配置为隧道源和目标的地址是隧道外部 IP 报头中的地址。
隧道源地址必须在路由器上本地配置,并且隧道目标地址必须是终止隧道的安全网关的有效地址。
M5、M10、M20 和 M40 路由器支持 ES PIC。
SA 必须是有效的隧道模式 SA。列出的接口地址和目标地址是可选的。目标地址允许用户配置静态路由来加密流量。如果静态路由使用该目标地址作为下一跃点,则流量将通过进行加密的隧道部分进行转发。
以下示例说明如何将 IPsec 隧道配置为 ES PIC 上的逻辑接口。逻辑接口指定加密流量通过的隧道。 ipsec-sa 语句将安全配置文件与接口相关联。
[edit interfaces]
es-0/0/0 {
unit 0 {
tunnel {
source tunnel 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
ipsec-sa ipsec-sa; # name of security association to apply to packet
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}