Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

使用 OCSP 配置 IPsec VPN 以实现证书吊销状态

此示例说明如何使用联机证书状态协议 (OCSP) 配置两个对等方,以检查 IPsec VPN 隧道第 1 阶段协商中使用的证书的吊销状态,从而提高安全性。

要求

在每台设备上:

  • 获取并注册本地证书。这可以手动完成,也可以使用简单证书注册协议 (SCEP) 完成。

  • (可选)启用本地证书的自动续订。

  • 配置安全策略以允许进出对等设备的流量。

概述

在两个对等方上,证书颁发机构 (CA) 配置文件 OCSP-ROOT 配置了以下选项:

  • CA 名称为 OCSP-ROOT。

  • 注册 URL 已 http://10.1.1.1:8080/scep/OCSP-ROOT/。这是向 CA 发送 SCEP 请求的 URL。

  • OCSP 服务器的 URL 已 http://10.157.88.56:8210/OCSP-ROOT/。

  • 首先使用 OCSP 检查证书吊销状态。如果 OCSP 服务器没有响应,则使用证书吊销列表 (CRL) 检查状态。CRL 网址 http://10.1.1.1:8080/crl-as-der/currentcrl-45.crlid=45。

  • 不会检查在 OCSP 响应中收到的 CA 证书是否有证书吊销。在 OCSP 响应中收到的证书通常具有较短的生存期,并且不需要吊销检查。

表 1 显示了此示例中使用的第 1 阶段选项。

表 1: OCSP 的第 1 阶段选项配置示例

选项

对等方 A

对等方 B

IKE 提案

ike_prop

ike_prop

身份验证方法

RSA 签名

RSA 签名

DH集团

group2

group2

身份验证算法

SHA 1

SHA 1

加密算法

3DES 全血细胞计数

3DES 全血细胞计数

IKE 策略

ike_policy

ike_policy

模式

积极

积极

提议

ike_prop

ike_prop

证书

local-certificate localcert1

local-certificate localcert1

IKE 网关

jsr_gateway

jsr_gateway

策略

ike_policy

ike_policy

网关地址

198.51.100.50

192.0.2.50

远程身份

localcert11.example.net

-

本地标识

-

localcert11.example.net

外部接口

RETH1

ge-0/0/2.0

版本

v2

v2

表 2 显示了此示例中使用的第 2 阶段选项。

表 2: OCSP 的第 2 阶段选项配置示例

选项

对等方 A

对等方 B

IPsec 提议

ipsec_prop

ipsec_prop

协议

ESP

ESP

身份验证算法

HMAC SHA1-96

HMAC SHA1-96

加密算法

3DES 全血细胞计数

3DES 全血细胞计数

生命周期秒数

1200

1200

生命周期千字节

150,000

150,000

IPsec 策略

ipsec_policy

ipsec_policy

PFC 按键

group2

group2

提议

ipsec_prop

ipsec_prop

VPN

test_vpn

test_vpn

绑定接口

st0.1

st0.1

IKE 网关

jsr_gateway

jsr_gateway

策略

ipsec_policy

ipsec_policy

建立隧道

-

马上

拓扑学

图 1 显示了此示例中配置的对等设备。

图 1: OCSP 配置示例OCSP 配置示例

配置

配置对等方 A

CLI 快速配置

要快速配置 VPN 对等方 A 以使用 OCSP,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器

要将 VPN 对等方 A 配置为使用 OCSP,请执行以下操作:

  1. 配置接口。

  2. 配置 CA 配置文件。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

结果

在配置模式下,输入 show interfacesshow security pki ca-profile OCSP-ROOTshow security ikeshow security ipsec 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

配置对等方 B

CLI 快速配置

要快速配置 VPN 对等方 B 以使用 OCSP,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器

要将 VPN 对等方 B 配置为使用 OCSP,请执行以下操作:

  1. 配置接口。

  2. 配置 CA 配置文件。

  3. 配置第 1 阶段选项。

  4. 配置第 2 阶段选项。

结果

在配置模式下,输入 show interfacesshow security pki ca-profile OCSP-ROOTshow security ikeshow security ipsec 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证 CA 证书

目的

验证每个对等设备上 CA 证书的有效性。

操作

在操作模式下,输入 show security pki ca-certificate ca-profile OCSP-ROOTshow security pki ca-certificate ca-profile OCSP-ROOT detail 命令。

在此示例中,IP 地址用于 CA 配置文件配置中的 URL。如果 IP 地址未与 CA 颁发的证书或 CA 证书一起使用,则必须在设备的配置中配置 DNS。DNS 必须能够在分发 CRL 和 CA 配置文件配置中的 CA URL 中解析主机。此外,您必须具有对同一主机的网络可访问性才能接收吊销检查。

意义

输出显示每个对等方上 CA 证书的详细信息和有效性,如下所示:

  • C—国家。

  • O——组织。

  • CN- 通用名。

  • Not before- 生效的开始日期。

  • Not after- 有效期结束日期。

验证本地证书

目的

验证每个对等设备上本地证书的有效性。

操作

在操作模式下,输入 show security pki local-certificate certificate-id localcert1 detail 命令。

意义

输出显示每个对等方上本地证书的详细信息和有效性,如下所示:

  • DC- 域组件。

  • CN- 通用名。

  • OU- 组织单位。

  • O——组织。

  • L- 产地

  • ST—状态。

  • C—国家。

  • Not before- 生效的开始日期。

  • Not after- 有效期结束日期。

验证 IKE 第 1 阶段状态

目的

验证每个对等设备上的 IKE 第 1 阶段状态。

操作

在操作模式下,输入 show security ike security-associations 命令。

在操作模式下,输入 show security ike security-associations detail 命令。

意义

flags输出中的字段显示已创建 IKE 安全关联。

验证 IPsec 第 2 阶段状态

目的

验证每个对等设备上的 IPsec 第 2 阶段状态。

操作

在操作模式下,输入 show security ipsec security-associations 命令。

在操作模式下,输入 show security ipsec security-associations detail 命令。

意义

输出显示 ipsec 安全关联详细信息。

相关主题