Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

证书注册

证书颁发机构(CA)颁发数字证书,有助于通过证书验证在两个端点之间建立安全连接。以下主题介绍如何使用简单证书注册协议(SCEP)在线或本地配置 CA 证书:

联机注册数字证书:配置概述

您可以使用证书管理协议版本2(CMPv2)或简单证书注册协议(SCEP)来注册数字证书。要联机注册证书:

  1. 在设备上生成密钥对。请参阅 自签名数字证书

  2. 创建包含 CA 特定信息的 CA 配置文件或配置文件。请参阅示例:配置 CA 配置文件

  3. 仅对于 SCEP,注册 CA 证书。请参阅使用 SCEP 联机注册 CA 证书

  4. 从先前已加载其 CA 证书的 CA 注册本地证书。请参阅示例:使用 SCEP联机注册本地证书。

  5. 配置自动 reenrollment。请参阅示例:使用 SCEP 自动续订本地证书

了解在线 CA 证书注册

借助简单证书注册协议(SCEP),您可以将瞻博网络设备配置为联机获取证书颁发机构(CA)证书,并启动指定证书 ID 的联机注册。CA 公钥验证来自远程对等方的证书。

了解本地证书申请

创建本地证书申请时,设备将从先前使用相同证书 ID 生成的密钥对中的 PKCS #10 格式生成 CA 证书。

主题名称以通用名称(CN)、组织单位(OU)、组织(O)、地点(L)、状态(ST)、国家(C)和域组件(DC)的形式与本地证书申请相关联。此外,使用者可选名称在以下形式中相关联:

  • IP 地址

  • 电子邮件地址

  • 完全合格的域名称(FQDN)

    用引号等可分辨名称格式指定主题名称,包括域组件(DC)、通用名称(CN)、序列号(SN)、组织单位名称(OU)、组织名称(O)、位置(L)、状态(ST)和国家(C)。

    某些 Ca 不支持电子邮件地址作为证书中的域名。如果在本地证书申请中不包括电子邮件地址,则在将设备配置为动态对等方时,不能使用电子邮件地址作为本地 IKE ID。相反,您可以使用完全限定域名(如果它在本地证书中),也可以将本地 ID 字段保留为空。如果没有为动态对等方指定本地 ID,请在对等方 ID 字段 IPsec 隧道另一端设备上输入该对等方的hostname.domain-name。

使用 SCEP 联机注册 CA 证书

开始之前:

  1. 生成公钥和私钥对。请参阅 自签名数字证书

  2. 创建 CA 配置文件。请参阅示例:配置 CA 配置文件

要联机注册 CA 证书:

  1. 使用 SCEP 联机检索 CA 证书。(从定义的 CA 配置文件中获取到达 CA 服务器所需的属性。)

    该命令将同步处理,以提供收到的 CA 证书的指纹。

  2. 确认是否加载了正确的证书。只有在证书颁发机构提示时才能 yes 加载此证书CLI证书。

    有关证书的详细信息(如密钥对的位长),请使用命令show security pki ca-certificate

示例:使用 SCEP 联机注册本地证书

此示例演示如何使用简单证书注册协议(SCEP)联机注册本地证书。

要求

开始之前:

概述

在此示例中,您将瞻博网络设备配置为联机获取本地证书,并使用 SCEP 启动指定证书 ID 的联机注册。您可以在 CA 配置文件名称ca-profile-ipsec中指定 ca 服务器的 URL 路径。

您可以使用 命令 request security pki local-certificate enroll scep 启动指定证书 ID 的联机注册。(从 Junos OS 版15.1X49-D40和Junos OS版本17.3R1, scep 将支持该关键字并需要该关键字。)您必须指定证书颁发机构名称(例如)、对应于之前生成的密钥对的证书 ID(例如),以及 ca-profile-ipsecqqq 以下信息:

  • CA 管理员为证书注册和 reenrollment 提供的质询密码。

  • 至少以下值之一:

    • 要标识证书所有者的域名,IKE例如 qqq.example.net

    • 与电子邮件语句协商时IKE所有者的身份,例如 qqq@example.net

    • 如果设备配置为静态 IP 地址,则 IP 地址 。 10.10.10.10

用引号等可分辨名称格式指定主题名称,包括域组件(DC)、通用名称(CN)、序列号(SN)、组织单位名称(OU)、组织名称(O)、位置(L)、状态(ST)和国家(C)。

获得设备证书并开始联机注册以获取证书 ID。该命令以异步方式处理。

配置

操作

分步过程

要联机注册本地证书:

  1. 指定 CA 配置文件。

  2. 如果您完成了设备配置,请提交配置。

  3. 运行操作模式命令以启动注册过程。

    如果您在 subject 字段中定义 SN 而不使用序列号,则直接从设备读取序列号并添加到证书签名请求(CSR)中。

从 Junos OS Release 19.4 r 开始,当您尝试ECDSA Keypair not supported with SCEP for cert_id <certificate id>使用椭圆曲线数字签名算法(ECDSA)密钥(具有简单证书注册协议(SCEP))注册本地证书时,将显示警告消息,而 SCEP 不支持 ECDSA 密钥。

针对

要验证配置是否正常运行,请输入show security pki命令。

示例:使用 SCEP 自动续订本地证书

您可以使用证书管理协议版本2(CMPv2)或简单证书注册协议(SCEP)来注册数字证书。此示例演示如何使用 SCEP 自动续订本地证书。

要求

开始之前:

概述

您可以使设备自动续订联机注册获取或手动加载的证书。自动证书续订让您不必记住在设备到期之前续订其证书,并且始终可以随时保持有效证书。

自动证书续订默认情况下是禁用的。您可以启用自动证书续订,并配置设备在过期前自动发出重新注册证书的请求。您可以指定何时发送证书再安装请求;重新验证的触发器是证书在到期前保持的生存期百分比。例如,如果是在证书的剩余生命周期为 10% 时发送续订请求,则配置 10 用于重新安装触发器。

要使此功能正常工作,设备必须能够到达 CA 服务器,并且在续订过程中,证书必须存在于设备上。此外,您还必须确保颁发证书的 CA 可以返回相同的 DN。CA 不得在新证书中修改使用者名称或备用使用者名称扩展。

您可以为所有 SCEP 证书或基于每个证书启用和禁用自动 SCEP 证书续订。您可以使用set security pki auto-re-enrollment scep命令来启用和配置证书 reenrollment。在这种情况下,您可将 证书颁发机构 的证书 ID 指定为 ,并证书颁发机构的配置文件 ca-ipsec 名称设置为 ca-profile-ipsec 。将 CA 证书的质询密码设置为 CA 管理员提供的质询密码;此密码必须与 CA 以前配置的相同。您还可以将 reenrollment 触发器的百分比设置为10。在自动 reenrollment 期间,默认情况下瞻博网络设备使用现有密钥对。更好的安全实践是为 reenrollment 重新生成新的密钥对。要生成新密钥对,请使用re-generate-keypair命令。

配置

操作

分步过程

要启用和配置本地证书 reenrollment:

  1. 启用和配置证书 reenrollment。

    从 Junos OS Release 15.1 X 49-D40 和 Junos OS 版本 17.3 R1 开始,支持scep并需要关键字。

  2. 如果您完成了设备配置,请提交配置。

针对

要验证配置是否正常运行,请输入show security pki local-certificate detail操作模式命令。

了解 CMPv2 和 SCEP 证书注册

根据您的部署环境,您可以使用证书管理协议版本2(CMPv2)或简单证书注册协议(SCEP)进行在线证书注册。本主题介绍了这两种协议之间的一些基本差异。

表 1介绍了 CMPv2 和 SCEP 证书注册协议之间的差异。

表 1: CMPv2 和 SCEP 证书注册的比较

属性

CMPv2

SCEP

支持的证书类型:

DSA、ECDSA 和 RSA

仅适用于 RSA

支持的标准

Rfc 4210 和4211

互联网工程任务组草稿

CMPv2 和 SCEP 之间的证书注册和 reenrollment 请求和响应不同。借助 CMPv2,无需单独的命令来注册 CA 证书。借助 SCEP,您可以使用request security pki ca-certificate enroll命令注册 ca 证书并指定 ca 配置文件。必须使用 CMPv2 或 SCEP 配置 CA 配置文件。

使用 CMPv2 了解证书注册

request security pki local-certificate enroll cmpv2命令使用 CMPv2 联机注册本地数字证书。此命令基于 CA 服务器配置加载终端实体和 CA 证书。CA 配置文件必须在 CA 证书注册之前创建,因为注册 URL 是从 CA 配置文件中提取的。

本主题介绍使用 CMPv2 协议的证书注册。

证书注册和 Reenrollment 消息

CMPv2 协议主要涉及证书注册和 reenrollment 操作。证书注册过程包括初始化请求和初始化响应消息,而证书 reenrollment 包含密钥更新请求和密钥更新响应消息。

如果初始化响应消息需要通过 CA 证书的认证,则 CA 证书必须在任何终端实体证书注册之前注册。

初始化响应或密钥更新响应消息可以包含颁发者 CA 证书或 CA 证书链。如果受信任的 CA 存储中没有,则响应中收到的 CA 证书被视为受信任的 CA 证书并存储在接收设备中。这些 CA 证书随后用于最终实体证书验证。

不支持 CA 证书 reenrollment。

CA 可能会在当前 CA 证书到期之前颁发新 CA 证书。如果新 CA 证书在使用新公钥的证书 reenrollment 期间到达,则新的 CA 证书不会保存在设备中。

具有 Issuer CA 证书的最终实体证书

在简单的情景中,初始化响应消息可能只包含终端实体证书,在这种情况下,将单独提供 CA 信息。证书存储在最终实体证书存储区中。

初始化响应消息可包含终端实体证书以及自签名颁发者 CA 证书。最终实体证书首先存储在证书存储区中,然后检查 CA 证书。如果找到 CA 证书,并且初始化响应消息中的 CA 证书的主题可分辨名称(DN)与最终实体证书的颁发者 DN 相匹配,则表示 ca 证书存储在 CA 配置文件名称的 CA 证书存储中CMPv2 证书注册命令中指定的。如果 ca 证书已存在于 CA 证书存储中,则不会执行任何操作。

具有 CA 证书链的终端实体证书

在许多部署中,最终实体证书由证书链中的中间 CA 颁发。在这种情况下,初始化响应消息可包含最终实体证书以及链中的 CA 证书列表。中间 CA 证书和自签名根 CA 证书都是验证最终实体证书所必需的。还可能需要 CA 链来验证从具有类似层次结构的对等设备接收的证书。下一节介绍 CA 链中的证书的存储方式。

图 1中,初始化响应消息包括证书链中的最终实体证书和三个 CA 证书。

图 1: 具有 CA 证书链的终端实体证书具有 CA 证书链的终端实体证书

最终实体证书存储在最终实体证书存储中。每个 CA 证书都需要一个 CA 配置文件。带有主题 DN Sub11-CA 的 CA 证书是链中的第一个 CA,是最终实体证书的颁发者。它存储在使用 CMPv2 证书注册命令指定的 CA 配置文件中。

将检查链中其余每个 CA 证书是否存在于 CA 存储中。如果 ca 存储中不存在 CA 证书,则将其保存,并为其创建 CA 配置文件。新 CA 配置文件名称使用 CA 证书序列号的最少有效16位创建。如果序列号的长度超过16位,则超过16位数的最高有效位数将被截断。如果序列号短于16位数,则其余最高有效数字用0s 填充。例如,如果序列号为11111000100010001000,则 CA 配置文件名称为1000100010001000。如果序列号为10001000,则 CA 配置文件名称为0000000010001000

多个证书序列号可能具有相同的最小有效16位数。在这种情况-00下,附加到配置文件名称以创建唯一 CA 配置文件名称;附加的 CA 配置文件名称是通过递增附加编号-01来创建的。 -99 例如,CA 配置文件名称可以是10001000100010001000100010001000-001000100010001000-01

示例:手动生成本地证书的 CSR 并将其发送至 CA 服务器

此示例演示如何手动生成证书签名请求。

要求

生成公钥和私钥。请参阅 自签名数字证书

概述

在此示例中,您将使用之前生成的(ca-ipsec)的公钥-私钥对的证书 ID 生成证书请求。然后指定域名称(example.net)和关联通用名称(abc)。证书申请以 PEM 格式显示。

您复制生成的证书申请,并将其粘贴到 CA 网站的相应字段中,以获取本地证书。(请参阅 CA 服务器文档,以确定将证书申请粘贴到何处。)当显示 PKCS #10 内容时,也会显示 PKCS #10 文件的 MD5 哈希和 SHA-1 哈希。

配置

操作

分步过程

要手动生成本地证书:

  • 指定证书 ID、域名和公用名。

针对

要查看证书签名请求,请输入show security pki certificate-request detail命令。

示例:手动加载 CA 和本地证书

此示例显示如何手动加载 CA 和本地证书。

要求

开始之前:

概述

在此示例中,下载本地 cert 和 ca 证书,并将其保存到设备上的/var/tmp/目录中。

从 CA 下载证书之后,可以将其传输至设备(例如使用 FTP),然后将其加载。

您可以将以下证书文件加载到运行 Junos OS 的设备上:

  • 用于识别本地设备的本地或终端实体(EE)证书。此证书是您的公钥。

  • 包含证书颁发机构公钥的 证书颁发机构证书。

  • 列出由 CA 吊销的所有证书的 CRL。

    您可以将多个 EE 证书加载到设备上。

配置

操作

分步过程

要将证书文件加载到设备上:

  1. 加载本地证书。

  2. 加载 CA 证书。

  3. 检查 CA 证书的指纹(如果对于此 CA 证书是正确的)选择是接受。

针对

要验证正确加载的证书,请在show security pki local-certificate操作show security pki ca-certificate模式下输入和命令。

删除证书(CLI 过程)

您可以删除自动或手动生成的本地或受信任的 CA 证书。

使用以下命令删除本地证书:

指定证书 ID 以删除具有特定 ID 的本地证书、使用all删除所有本地证书,或者指定system-generated删除自动生成的自签名证书。

当您删除自动生成的自签名证书时,设备将生成一个新的。

要删除 CA 证书:

指定 CA 配置文件以删除特定 CA 证书,或使用all删除永久存储中存在的所有 CA 证书。

您需要确认才能删除 CA 证书。

发布历史记录表
版本
说明
19.4R2
从 Junos OS Release 19.4 r 开始,当您尝试ECDSA Keypair not supported with SCEP for cert_id <certificate id>使用椭圆曲线数字签名算法(ECDSA)密钥(具有简单证书注册协议(SCEP))注册本地证书时,将显示警告消息,而 SCEP 不支持 ECDSA 密钥。
15.1X49-D40
从 Junos OS Release 15.1 X 49-D40 和 Junos OS 版本 17.3 R1 开始,支持scep并需要关键字。
15.1X49-D40
从 Junos OS Release 15.1 X 49-D40 和 Junos OS 版本 17.3 R1 开始,支持scep并需要关键字。