将数字证书用于 IPsec

网络管理员扩展 IPsec 网络的一种常用方法是使用数字证书而不是预共享密钥。要在网络中启用数字证书，您需要结合使用操作模式命令和配置语句。通过以下任务，您可以在 M 系列和 T 系列路由器中安装的 AS 和多服务 PIC 上实施数字证书：

• 配置 CA 配置文件

• 配置证书吊销列表

• 请求 CA 数字证书

• 生成私钥/公钥对

• 生成和注册本地数字证书

• 将本地数字证书应用于 IPsec 配置

• 配置数字证书的自动重新注册

• 监控数字证书

• 清除数字证书

CA 配置文件包含 CA 或 RA 的名称和 URL，以及一些重试计时器设置。Entrust、VeriSign 和 Microsoft 颁发的 CA 证书都与 M 系列和 T 系列路由器兼容。要配置 CA 或 RA 的域名，请在层次结构级别包含 ca-identity 语句 [edit security pki ca-profile ca-profile-name] 。要配置 CA 的 URL，请在层次结构级别包含 url 语句 [edit security pki ca-profile ca-profile-name enrollment] 。要配置路由器应执行的注册尝试次数，请在层次结构级别包含 retry 语句 [edit security pki ca-profile ca-profile-name enrollment] 。要配置路由器在两次注册尝试之间应等待的时间量，请在层次结构级别包含 retry-interval 语句 [edit security pki ca-profile ca-profile-name enrollment] 。

注意：

删除整个公钥基础架构 （PKI） 配置时，设备中的所有 CA 证书都不会按预期删除。再次创建 CA 配置文件后，可以访问这些 CA 证书。

证书吊销列表 （CRL） 包含在到期日期之前已取消的数字证书的列表。当参与的对等方使用数字证书时，它会检查证书的签名和有效性。它还获取最近颁发的 CRL，并检查证书序列号是否不在该 CRL 上。默认情况下，在 Junos OS 8.1 或更高版本上运行的任何 CA 配置文件上启用 CRL 验证。要禁用 CRL 验证，请在 [编辑安全 pki ca-配置文件ca-profile-name吊销-检查] 层次结构级别包含该disable语句。

要为 CA 存储其当前 CRL 的轻型目录访问协议 （LDAP） 服务器指定 URL，请在 [编辑安全 PKI CA-配置文件ca-profile-name吊销-检查 crl] 层次结构级别包含该url语句。如果 LDAP 服务器需要密码才能访问 CRL，请在 [编辑安全 PKI CA-配置文件ca-profile-name吊销-检查 crl URL] 层次结构级别包含该password语句。

注意：

如果证书包含证书分发点 （CDP），则无需为 LDAP 服务器指定 URL。CDP 是证书中的一个字段，其中包含有关如何检索证书的 CRL 的信息。路由器使用此信息自动下载 CRL。您配置的任何 LDAP URL 都优先于证书中包含的 CDP。

如果手动下载了 CRL，则必须在路由器上手动安装它。若要手动安装 CRL，请发出 request security pki crl load ca-profile ca-profile-name filename path/filename 命令。

要配置 CRL 更新之间的时间间隔，请在 [编辑安全 CA-配置文件ca-profile-name吊销-检查 crl] 层次结构级别包含该refresh-interval语句。

要覆盖默认行为并允许 IPsec 对等身份验证在 CRL 下载失败时继续，请在 [编辑安全 CA-配置文件ca-profile-name吊销-检查 crl] 层次结构级别包含该disable on-download-failure语句。