ACME 协议
了解 ACME 协议
自动证书管理环境 (ACME) 协议是多个 PKI 服务器(如 Let's Encrypt)使用的新 PKI 注册标准。Let's Encrypt证书允许在 SRX 系列防火墙中免费使用 Web 服务器证书,这可以在瞻博网络安全连接和 J-Web 中使用。Junos OS 每 25 天自动重新注册一次 Let's Encrypt 证书。
ACME 协议允许从 Let's Encrypt 服务器或启用 ACME 的服务器注册证书。SRX 系列防火墙从 Let's Encrypt 服务器注册证书,瞻博网络安全连接验证证书,而不复制和下载任何 CA 证书。
使用“让我们加密”时,请确保“Let's Encrypt”服务器能够将域名解析为 SRX 系列防火墙接口的 IP 地址,如 所示 图 1。它必须能够访问 TCP 端口 80 上的 SRX 系列防火墙接口。在证书注册期间,SRX 系列防火墙将暂时自动允许此传入请求。如果 SRX 系列防火墙、中间防火墙或路由器阻止 TCP 端口 80,证书注册将失败。
局限性
-
ACME 规范 - 不支持 dns-01 和外部帐户绑定。
-
当 J-Web 侦听端口 80 时无法使用 ACME
-
不支持通配符证书,例如
*.mydomain.com
,而是可以注册多个 DNS 名称。
使用 Let's Encrypt 服务器注册本地证书
此示例演示如何使用“让我们加密”注册本地证书。
-
指定 CA 配置文件。
[edit] user@host# set security pki ca-profile ISRG_Root_X1 ca-identity ISRG_Root_X1 user@host# set security pki ca-profile ISRG_Root_X1 revocation-check disable user@host# set security pki ca-profile Lets_Encrypt ca-identity Lets_Encrypt user@host# set security pki ca-profile Lets_Encrypt enrollment url https://acme-v02.api.letsencrypt.org/directory
-
提交配置。
[edit] user@host# commit
-
加载 CA 证书。
[edit] user@host> request security pki ca-certificate load ca-profile ISRG_Root_X1 filename ISRG_Root_X1.pem
-
创建 ACME 密钥 ID。
[edit] user@host> request security pki generate-key-pair size 2048 type rsa acme-key-id mydomain
-
准备注册本地证书。
[edit] user@host> request security pki generate-key-pair size 2048 type rsa certificate-id service-mydomain
-
使用一个域名注册证书。
[edit] user@host> request security pki local-certificate enroll acme acme-key-id mydoamin certificate-id service-mydomain ca-profile Lets_Encrypt domain-name jweb.mydomain.com email jweb@acmejnpr.net letsencrypt-enrollment yes terms-of-service agree
注册具有多个域名的证书。
[edit] user@host> request security pki local-certificate enroll acme acme-key-id mydomain certificate-id service-mydomain ca-profile Lets_Encrypt domain-name jweb.mydomain.com,remote-acess.mydomain.com email jweb@acmejnpr.net letsencrypt-enrollment yes terms-of-service agree
-
注册完成后,颁发的证书将加载到证书 ID 服务-mydomian 中。
手动重新注册本地证书
要联机重新注册本地证书,请执行以下操作:
-
发起重新注册请求。
[edit] user@host> request security pki local-certificate re-enroll acme acme-key-id mydomain certificate-id serice-mydomain ca-profile Lets_Encrypt re-generate-keypair
-
重新注册完成后,颁发的证书将加载到证书 ID 服务-mydomian 中。
删除 ACME 帐户
要删除 ACME 帐户,请执行以下操作:
-
删除 ACME 帐户。
[edit] user@host> clear security pki acme account acme-key-id mydomain ca-profile Lets_Encrypt
仅当注册激活或创建了 ACME 时,才能删除 ACME 帐户密钥。