在此页面上
将数字证书用于 IPsec
将数字证书用于 IPsec
网络管理员扩展 IPsec 网络的一种常用方法是使用数字证书而不是预共享密钥。要在网络中启用数字证书,您需要结合使用操作模式命令和配置语句。通过以下任务,您可以在 M 系列和 T 系列路由器中安装的 AS 和多服务 PIC 上实施数字证书:
参见
配置 CA 配置文件
CA 配置文件包含 CA 或 RA 的名称和 URL,以及一些重试计时器设置。Entrust、VeriSign 和 Microsoft 颁发的 CA 证书都与 M 系列和 T 系列路由器兼容。要配置 CA 或 RA 的域名,请在层次结构级别包含 ca-identity
语句 [edit security pki ca-profile ca-profile-name]
。要配置 CA 的 URL,请在层次结构级别包含 url
语句 [edit security pki ca-profile ca-profile-name enrollment]
。要配置路由器应执行的注册尝试次数,请在层次结构级别包含 retry
语句 [edit security pki ca-profile ca-profile-name enrollment]
。要配置路由器在两次注册尝试之间应等待的时间量,请在层次结构级别包含 retry-interval
语句 [edit security pki ca-profile ca-profile-name enrollment]
。
[edit security pki] ca-profile ca-profile-name { ca-identity ca-identity; enrollment { url url-name; retry number-of-enrollment-attempts; # The range is 0 though 100 attempts. retry-interval seconds; # The range is 0 though 3600 seconds. } }
删除整个公钥基础架构 (PKI) 配置时,设备中的所有 CA 证书都不会按预期删除。再次创建 CA 配置文件后,可以访问这些 CA 证书。
配置证书吊销列表
证书吊销列表 (CRL) 包含在到期日期之前已取消的数字证书的列表。当参与的对等方使用数字证书时,它会检查证书的签名和有效性。它还获取最近颁发的 CRL,并检查证书序列号是否不在该 CRL 上。默认情况下,在 Junos OS 8.1 或更高版本上运行的任何 CA 配置文件上启用 CRL 验证。要禁用 CRL 验证,请在 [编辑安全 pki ca-配置文件ca-profile-name吊销-检查] 层次结构级别包含该disable
语句。
要为 CA 存储其当前 CRL 的轻型目录访问协议 (LDAP) 服务器指定 URL,请在 [编辑安全 PKI CA-配置文件ca-profile-name吊销-检查 crl] 层次结构级别包含该url
语句。如果 LDAP 服务器需要密码才能访问 CRL,请在 [编辑安全 PKI CA-配置文件ca-profile-name吊销-检查 crl URL] 层次结构级别包含该password
语句。
如果证书包含证书分发点 (CDP),则无需为 LDAP 服务器指定 URL。CDP 是证书中的一个字段,其中包含有关如何检索证书的 CRL 的信息。路由器使用此信息自动下载 CRL。您配置的任何 LDAP URL 都优先于证书中包含的 CDP。
如果手动下载了 CRL,则必须在路由器上手动安装它。若要手动安装 CRL,请发出 request security pki crl load ca-profile ca-profile-name filename path/filename
命令。
要配置 CRL 更新之间的时间间隔,请在 [编辑安全 CA-配置文件ca-profile-name吊销-检查 crl] 层次结构级别包含该refresh-interval
语句。
要覆盖默认行为并允许 IPsec 对等身份验证在 CRL 下载失败时继续,请在 [编辑安全 CA-配置文件ca-profile-name吊销-检查 crl] 层次结构级别包含该disable on-download-failure
语句。
[edit security pki ca-profile ca-profile-name] revocation-check { disable; crl { disable on-download-failure; refresh-interval number-of-hours { # The range is 0 through 8784 hours. url { url-name; password; } } } }