Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

使用 OCSP 配置 IPsec VPN 以执行证书撤销状态

此示例演示如何通过使用联机证书状态协议(OCSP)配置两个对等方来检查 IPsec VPN 通道的阶段1协商中所用证书的吊销状态,从而提高安全性。

要求

每个设备上:

  • 获取并注册本地证书。这可通过手动或使用简单证书注册协议(SCEP)来完成。

  • (可选)启用本地证书的自动续订。

  • 配置安全策略以允许进出对等设备的流量。

概述

在两个对等方上,使用以下选项配置证书颁发机构(CA)配置文件的 OCSP 根:

  • CA 名称为 OCSP ROOT。

  • 注册 URL http://10.1.1.1:8080/scep/OCSP-ROOT/。这是发送对 CA 的 SCEP 请求的 URL。

  • OCSP 服务器的 URL 为 http://10.157.88.56:8210/OCSP-ROOT/。

  • 首先使用 OCSP 检查证书吊销状态。如果 OCSP 服务器没有响应,则使用证书吊销列表(CRL)检查状态。CRL URL http://10.1.1.1:8080/crl-as-der/currentcrl-45.crlid=45。

  • OCSP 响应中收到的 CA 证书未检查证书吊销。OCSP 响应中收到的证书通常具有较短的生存期,不需要进行吊销检查。

表 1显示了本示例中使用的阶段1选项。

表 1: OCSP 配置示例的阶段1选项

选项

对等方

对等方 B

IKE 建议

ike_prop

ike_prop

身份验证方法

RSA 签名

RSA 签名

DH 组

group2

group2

身份验证算法

SHA 1

SHA 1

加密算法

3DES CBC

3DES CBC

IKE 策略

ike_policy

ike_policy

状态

积极

积极

ike_prop

ike_prop

真品

本地证书 localcert1

本地证书 localcert1

IKE 网关

jsr_gateway

jsr_gateway

策略

ike_policy

ike_policy

网关地址

198.51.100.50

192.0.2.50

远程身份

localcert11.example.net

-

本地身份

-

localcert11.example.net

外部接口

reth1

ge-0/0/2.0

版本

v2

v2

表 2显示了本示例中使用的阶段2选项。

表 2: 第2阶段用于 OCSP 配置的选项示例

选项

对等方

对等方 B

IPsec 建议

ipsec_prop

ipsec_prop

Protocol

ESP

ESP

身份验证算法

HMAC SHA1-96

HMAC SHA1-96

加密算法

3DES CBC

3DES CBC

生存期秒数

1200

1200

生存期 kb

150,000

150,000

IPsec 策略

ipsec_policy

ipsec_policy

PFC 键

group2

group2

ipsec_prop

ipsec_prop

VPN

test_vpn

test_vpn

绑定接口

st0.1

st0.1

IKE 网关

jsr_gateway

jsr_gateway

策略

ipsec_policy

ipsec_policy

建立隧道

-

上面

拓扑

图 1显示了在此示例中配置的对等设备。

图 1: OCSP 配置示例OCSP 配置示例

配置

配置对等方

CLI 快速配置

要快速配置 VPN 对等方 A 以使用 OCSP,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 [ ] 层次结构级别的 CLI 中,然后从配置模式进入 。 editcommit

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 Junos OS CLI指南 中的 在配置模式下使用 CLI编辑器

要将 VPN 对等机 A 配置为使用 OCSP:

  1. 配置接口。

  2. 配置 CA 配置文件。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

成果

从配置模式, show interfaces输入、 show security pki ca-profile OCSP-ROOTshow security ike、和show security ipsec命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果您完成了设备配置,请从commit配置模式进入。

配置对等方 B

CLI 快速配置

要快速配置 VPN 对等方 B 以使用 OCSP,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 [ ] 层次结构级别的 CLI 中,然后从配置模式进入 。 editcommit

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 Junos OS CLI指南 中的 在配置模式下使用 CLI编辑器

要将 VPN 对等方 B 配置为使用 OCSP:

  1. 配置接口。

  2. 配置 CA 配置文件。

  3. 配置阶段1选项。

  4. 配置第2阶段选项。

成果

从配置模式, show interfaces输入、 show security pki ca-profile OCSP-ROOTshow security ike、和show security ipsec命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置是否正常工作。

验证 CA 证书

用途

验证每个对等设备上的 CA 证书的有效性。

行动

在操作模式下,输入show security pki ca-certificate ca-profile OCSP-ROOTshow security pki ca-certificate ca-profile OCSP-ROOT detail命令。

在此示例中,IP 地址用于 CA 配置文件配置的 Url 中。如果 IP 地址未与证书颁发机构证书或证书证书颁发机构一起使用,则必须在设备配置中配置 DNS。DNS 必须能够解析在 CA 配置文件配置中的分发 CRL 和 CA URL 中的主机。此外,您必须具有与相同主机的网络可访问性,才能接收吊销检查。

含义

该输出显示了每个对等方的 CA 证书的详细信息和有效性,如下所示:

  • C—国家/地区。

  • O—组织。

  • CN—常用名称。

  • Not before— 有效日期开始。

  • Not after—有效期。

验证本地证书

用途

验证每个对等设备上的本地证书的有效性。

行动

在操作模式下,输入show security pki local-certificate certificate-id localcert1 detail命令。

含义

输出显示了每个对等方上的本地证书的详细信息和有效性,如下所示:

  • DC—域组件。

  • CN—常用名称。

  • OU—组织部门。

  • O—组织。

  • L— 本地

  • ST—状态。

  • C—国家/地区。

  • Not before— 有效日期开始。

  • Not after—有效期。

验证 IKE 阶段1状态

用途

验证每个对等设备上 IKE 阶段1状态。

行动

在操作模式下,输入show security ike security-associations命令。

在操作模式下,输入show security ike security-associations detail命令。

含义

输出flags中的字段显示,IKE 安全关联创建。

验证 IPsec 阶段2状态

用途

验证每个对等设备上的 IPsec 阶段2状态。

行动

在操作模式下,输入show security ipsec security-associations命令。

在操作模式下,输入show security ipsec security-associations detail命令。

含义

输出显示 ipsec 安全关联详细信息。