请求 CA 数字证书
请求 CA 数字证书
您可以在线或手动申请 CA 数字证书。若要使用 SCEP 联机从 CA 或 RA 请求数字证书,请发出 request security pki ca-certificate enroll ca-profile ca-profile-name 命令。
如果通过电子邮件或其他带外机制手动获取 CA 数字证书,则必须手动加载它。要在路由器中手动安装证书,请发出 request security pki ca-certificate load ca-profile profile_name filename /path/filename.cert 命令。
生成私钥/公钥对
密钥对是数字证书实现的关键元素。公钥包含在本地数字证书中,私钥用于解密从对等方接收的数据。要生成私钥/公钥对,请发出 request security pki generate-key-pair certificate-id certificate-id-name 命令。
生成和注册本地数字证书
您可以联机或手动生成和注册本地数字证书。若要使用 SCEP 联机生成和注册本地证书,请发出 request security pki local-certificate enroll 命令。要以 PKCS-10 格式手动生成本地证书请求,请发出 request security pki generate-certificate-request 命令。
如果手动创建本地证书请求,则还必须手动加载证书。要在路由器中手动安装证书,请发出 request security pki local-certificate load 命令。
将本地数字证书应用于 IPsec 配置
要激活本地数字证书,请将 IKE 提议配置为使用数字证书而不是预共享密钥,在 IKE 策略中引用本地证书,并在服务集中标识 CA 或 RA。要为数字证书启用 IKE 建议,请在层次结构级别包含 rsa-signatures 该语句 [edit services ipsec-vpn ike proposal proposal-name authentication-method] 。要在 IKE 策略中引用本地证书,请在层次结构级别包含 local-certificate 该语句 [edit services ipsec-vpn ike policy policy-name] 。要标识服务集中的 CA 或 RA,请在层次结构级别包含 trusted-ca 语句 [edit services service-set service-set-name ipsec-vpn-options] 。
[edit services] service-set service-set-name { ..... ipsec-vpn-options { trusted-ca ca-profile-name; } } ipsec-vpn { ike { proposal proposal-name { ..... authentication-method [pre-shared-keys | rsa-signatures]; } policy policy-name { .... local-certificate certificate-id-name; } } }
配置数字证书的自动重新注册
您可以为数字证书配置自动重新注册。默认情况下不启用此功能。要配置数字证书的自动重新注册,请在 [编辑安全 pki] 层次结构级别包含以下auto-re-enrollment语句:
[edit]
security {
pki {
auto-re-enrollment {
certificate-id certificate-name {
ca-profile ca-profile-name;
challenge-password password;
re-enroll-trigger-time-percentage percentage; # Percentage of validity-period
# (specified in certificate) when automatic
# reenrollment should be initiated.
re-generate-keypair;
validity-period number-of-days;
}
}
}
}