Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

certificate

语法

层次结构级别

说明

指定使用数字证书对虚拟专用网络 (VPN) 发起方和接收方进行身份验证。

选项

local-certificate certificate-id - 当本地设备具有多个加载的证书时,请指定特定证书。更新 local-certificate IKE 策略中的配置时,设备将删除现有 IKE 和 IPsec SA。从 Junos OS 19.1R1 版开始,会添加提交检查,以防止./%用户在生成本地或远程证书或密钥对时在证书标识符中添加 、 和空格。

peer-certificate-type- 指定首选证书类型(PKCS7 或 X509)。

  • pkcs7-公钥加密标准 #7。

  • x509-signature— X509 是用于公钥基础架构的 ITU-T 标准。这是默认值。

policy-oids oid-配置策略对象标识符 (OID)。此配置为可选配置。策略 OID 包含在对等方证书或证书链中。最多可配置五个策略 OID。每个 OID 最多可容纳 63 个字节长。必须确保在对等方的证书或证书链中包含至少一个配置的策略 OID。请注意, policy-oids 对等方证书中的字段是可选的。如果在 IKE 策略中配置策略 OID,而对等方证书链不包含任何策略 OID,则对等方证书验证将失败。

trusted-ca- 指定可信 CA 组的名称。创建可信 CA 组至少需要一个 CA 配置文件,一个可信 CA 组中最多允许 20 个 CA。来自特定组的任何 CA 都可以验证该特定实体的证书。指定从对等方请求证书时使用的首选证书颁发机构 (CA)。 您可以将 IKE 策略关联到单个可信 CA 配置文件或可信 CA 组。在证书验证期间,IKE 策略将自己限制为配置的 A 组,同时建立安全连接。除单个可信 CA 或可信 CA 组以外的任何证书均不会通过验证。

  • ca-profile ca-profile-name- 指定 CA 配置文件的名称。证书颁发机构 (CA) 是颁发数字证书的实体,有助于通过证书验证在对等方之间建立安全连接。

  • trusted-ca-group trusted-ca-group-name- 指定可信 CA 组的名称。创建可信 CA 组至少需要一个 CA 配置文件,一个可信 CA 组中最多允许 20 个 CA。来自特定组的任何 CA 都可以验证该特定拓扑的证书。

必需的权限级别

安全性 — 可在配置中查看此语句。

安全控制 — 将此语句添加到配置中。

发布信息

Junos OS 8.5 版中引入的语句。 policy-oids 选项在 Junos OS 12.3X48-D10 版中添加。trusted-ca支持在 Junos OS 18.1R1 版中添加选项。