使用 OCSP 配置 IPsec VPN 以实现证书吊销状态

要求

在每台设备上：

获取并注册本地证书。这可以手动完成，也可以使用简单证书注册协议（SCEP）完成。
（可选）启用本地证书的自动续订。
配置安全策略以允许进出对等设备的流量。

概述

在两个对等方上，证书颁发机构（CA）配置文件 OCSP-ROOT 配置了以下选项：

CA 名称为 OCSP-ROOT。
注册 URL 已 http://10.1.1.1:8080/scep/OCSP-ROOT/。这是向 CA 发送 SCEP 请求的 URL。
OCSP 服务器的 URL 已 http://10.157.88.56:8210/OCSP-ROOT/。
首先使用 OCSP 检查证书吊销状态。如果 OCSP 服务器没有响应，则使用证书吊销列表（CRL）检查状态。CRL 网址 http://10.1.1.1:8080/crl-as-der/currentcrl-45.crlid=45。
不会检查在 OCSP 响应中收到的 CA 证书是否有证书吊销。在 OCSP 响应中收到的证书通常具有较短的生存期，并且不需要吊销检查。

表 1 显示了此示例中使用的第 1 阶段选项。

表 1： OCSP 的第 1 阶段选项配置示例
选项	对等方 A	对等方 B
IKE 提案	ike_prop	ike_prop
身份验证方法	RSA 签名	RSA 签名
DH集团	group2	组 2
身份验证算法	SHA 1	SHA 1
加密算法	3DES 全血细胞计数	3DES 全血细胞计数
IKE 策略	ike_policy	ike_policy
模式	积极	积极
提议	ike_prop	ike_prop
证书	local-certificate localcert1	local-certificate localcert1
IKE 网关	jsr_gateway	jsr_gateway
策略	ike_policy	ike_policy
网关地址	198.51.100.50	192.0.2.50
远程身份	localcert11.example.net	-
本地标识	-	localcert11.example.net
外部接口	RETH1	ge-0/0/2.0
版本	v2	v2

表 2 显示了此示例中使用的第 2 阶段选项。

表 2： OCSP 的第 2 阶段选项配置示例
选项	对等方 A	对等方 B
IPsec 提议	ipsec_prop	ipsec_prop
协议	ESP	ESP
身份验证算法	HMAC SHA1-96	HMAC SHA1-96
加密算法	3DES 全血细胞计数	3DES 全血细胞计数
生命周期秒数	1200	1200
生命周期千字节	150,000	150,000
IPsec 策略	ipsec_policy	ipsec_policy
PFC 按键	组 2	组 2
提议	ipsec_prop	ipsec_prop
VPN	test_vpn	test_vpn
绑定接口	st0.1	st0.1
IKE 网关	jsr_gateway	jsr_gateway
策略	ipsec_policy	ipsec_policy
建立隧道	-	立即

拓扑

图 1 显示了此示例中配置的对等设备。

图 1： OCSP 配置示例

配置对等方 A

CLI 快速配置
分步过程
成果

CLI 快速配置

要快速配置 VPN 对等方 A 以使用 OCSP，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改任何必要的详细信息以匹配您的网络配置，将命令复制并粘贴到 [] 层次结构级别的 CLI 中，然后从配置模式进入。editcommit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明，请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器。在配置模式下使用 CLI 编辑器 https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

要将 VPN 对等方 A 配置为使用 OCSP，请执行以下操作：

配置接口。

配置 CA 配置文件。

配置第 1 阶段选项。

配置第 2 阶段选项。

成果

在配置模式下，输入 show interfaces 、show security pki ca-profile OCSP-ROOT、show security ike 和 show security ipsec 命令，以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明，以便进行更正。

如果完成设备配置，请从配置模式输入 commit。

配置对等方 B

CLI 快速配置
分步过程
成果

CLI 快速配置

要快速配置 VPN 对等方 B 以使用 OCSP，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改任何必要的详细信息以匹配您的网络配置，将命令复制并粘贴到 [] 层次结构级别的 CLI 中，然后从配置模式进入。editcommit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明，请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器。在配置模式下使用 CLI 编辑器 https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

要将 VPN 对等方 B 配置为使用 OCSP，请执行以下操作：

配置接口。

配置 CA 配置文件。

配置第 1 阶段选项。

配置第 2 阶段选项。

成果

在配置模式下，输入 show interfaces 、show security pki ca-profile OCSP-ROOT、show security ike 和 show security ipsec 命令，以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明，以便进行更正。

如果完成设备配置，请从配置模式输入 commit。

验证

确认配置工作正常。

验证 CA 证书
验证本地证书
验证 IKE 第 1 阶段状态
验证 IPsec 第 2 阶段状态

验证 CA 证书

目的
操作
意义

目的

验证每个对等设备上 CA 证书的有效性。

操作

在操作模式下，输入或命令。show security pki ca-certificate ca-profile OCSP-ROOTshow security pki ca-certificate ca-profile OCSP-ROOT detail

在此示例中，IP 地址用于 CA 配置文件配置中的 URL。如果 IP 地址未与 CA 颁发的证书或 CA 证书一起使用，则必须在设备的配置中配置 DNS。DNS 必须能够在分发 CRL 和 CA 配置文件配置中的 CA URL 中解析主机。此外，您必须具有对同一主机的网络可访问性才能接收吊销检查。

意义

输出显示每个对等方上 CA 证书的详细信息和有效性，如下所示：

C—国家。
O——组织。
CN- 通用名。
Not before- 生效的开始日期。
Not after- 有效期结束日期。

验证本地证书

目的
操作
意义

目的

验证每个对等设备上本地证书的有效性。

操作

在操作模式下，输入 show security pki local-certificate certificate-id localcert1 detail 命令。

意义

输出显示每个对等方上本地证书的详细信息和有效性，如下所示：

DC- 域组件。
CN- 通用名。
OU- 组织单位。
O——组织。
L- 产地
ST—状态。
C—国家。
Not before- 生效的开始日期。
Not after- 有效期结束日期。

验证 IKE 第 1 阶段状态

目的
操作
意义

目的

验证每个对等设备上的 IKE 第 1 阶段状态。

操作

在操作模式下，输入 show security ike security-associations 命令。

在操作模式下，输入 show security ike security-associations detail 命令。

意义

输出中的字段显示已创建 IKE 安全关联。flags

验证 IPsec 第 2 阶段状态

目的
操作
意义

目的

验证每个对等设备上的 IPsec 第 2 阶段状态。

操作

在操作模式下，输入 show security ipsec security-associations 命令。

在操作模式下，输入 show security ipsec security-associations detail 命令。

意义

输出显示 ipsec 安全关联详细信息。

在本页

要求

概述

拓扑

配置

配置对等方 A

CLI 快速配置

分步过程

成果

配置对等方 B

CLI 快速配置

分步过程

成果

验证

验证 CA 证书

目的

操作

意义

验证本地证书

目的

操作

意义

验证 IKE 第 1 阶段状态

目的

操作

意义

验证 IPsec 第 2 阶段状态

目的

操作

意义

相关主题