Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ACME 协议

了解 ACME 协议

自动证书管理环境 (ACME) 协议是多个 PKI 服务器(如 Let's Encrypt)使用的新 PKI 注册标准。Let's Encrypt证书允许在 SRX 系列防火墙中免费使用 Web 服务器证书,这可以在瞻博网络安全连接和 J-Web 中使用。Junos OS 每 25 天自动重新注册一次 Let's Encrypt 证书。

ACME 协议允许从 Let's Encrypt 服务器或启用 ACME 的服务器注册证书。SRX 系列防火墙从 Let's Encrypt 服务器注册证书,瞻博网络安全连接验证证书,而不复制和下载任何 CA 证书。

使用“让我们加密”时,请确保“Let's Encrypt”服务器能够将域名解析为 SRX 系列防火墙接口的 IP 地址,如 所示 图 1。它必须能够访问 TCP 端口 80 上的 SRX 系列防火墙接口。在证书注册期间,SRX 系列防火墙将暂时自动允许此传入请求。如果 SRX 系列防火墙、中间防火墙或路由器阻止 TCP 端口 80,证书注册将失败。

图 1: Let's Encrypt 的名称解析Let's Encrypt 的名称解析

局限性

  • ACME 规范 - 不支持 dns-01 和外部帐户绑定。

  • 当 J-Web 侦听端口 80 时无法使用 ACME

  • 不支持通配符证书,例如 *.mydomain.com,而是可以注册多个 DNS 名称。

使用 Let's Encrypt 服务器注册本地证书

此示例演示如何使用“让我们加密”注册本地证书。

  1. 指定 CA 配置文件。

  2. 提交配置。

  3. 加载 CA 证书。

  4. 创建 ACME 密钥 ID。

  5. 准备注册本地证书。

  6. 使用一个域名注册证书。

    注册具有多个域名的证书。

  7. 注册完成后,颁发的证书将加载到证书 ID 服务-mydomian 中。

手动重新注册本地证书

要联机重新注册本地证书,请执行以下操作:

  1. 发起重新注册请求。

  2. 重新注册完成后,颁发的证书将加载到证书 ID 服务-mydomian 中。

删除 ACME 帐户

要删除 ACME 帐户,请执行以下操作:

  1. 删除 ACME 帐户。

    仅当注册激活或创建了 ACME 时,才能删除 ACME 帐户密钥。