证书撤销

OCSP 用于检查 X509 证书的撤销状态。OCSP 实时提供证书的撤销状态，在时间敏感的情况下（如银行交易和股票交易）非常有用。

通过向位于 SRX 系列设备外部的 OCSP 服务器发送请求，检查证书的撤销状态。根据服务器的响应，允许或拒绝 VPN 连接。OCSP 响应不会缓存在 SRX 系列设备上。

OCSP 服务器可以是颁发证书的 证书颁发机构 （CA）， 也可以是指定的授权响应者。OCSP 服务器的位置可以手动配置，也可以从正在验证的证书中提取。请求首先发送到在 CA 配置文件中手动配置的 OCSP 服务器位置，这些位置将 ocsp url 语句位于 [edit security pki ca-profile profile-name revocation-check] 层次结构级别;每个 CA 配置文件最多可以配置两个位置。如果无法访问第一个配置的 OCSP 服务器，则请求将发送到第二个 OCSP 服务器。如果无法访问第二个 OCSP 服务器，则请求将发送到证书的“授权机构”扩展字段中的位置。use-ocsp此外，还必须配置选项，因为证书撤销列表 （CRL） 是默认检查方法。

SRX 系列设备仅接受 CA 或授权响应方签名的 OCSP 响应。收到的响应将使用可信证书进行验证。响应将按如下进行验证：

1. 为配置的 CA 配置文件注册的 CA 证书用于验证响应。

2. OCSP 响应可能包含用于验证 OCSP 响应的证书。收到的证书必须由在 SRX 系列设备中注册的 CA 证书进行签名。接收的证书通过 CA 证书验证后，用于验证 OCSP 响应。

来自 OCSP 服务器的响应可由不同的 SA 签名。支持以下方案：

• 为设备颁发最终实体证书的 CA 服务器也会对 OCSP 撤销状态响应进行签名。SRX 系列设备使用在 SRX 系列设备中注册的 CA 证书验证 OCSP 响应签名。验证 OCSP 响应后，检查证书撤销状态。

• 授权响应者在 OCSP 撤销状态响应上签字。授权响应机构的证书和要验证的最终实体证书必须由同一 CA 颁发。首先使用 SRX 系列设备中注册的 CA 证书验证授权响应者。OCSP 响应使用响应者的 CA 证书进行验证。然后，SRX 系列设备使用 OCSP 响应检查最终实体证书的撤销状态。

• 对于要验证的最终实体证书和 OCSP 响应，有不同的 CA 签名者。OCSP 响应由证书链中的 CA 对要验证的最终实体证书进行签名。（参与 IKE 协商的所有对等方都需要在其各自的证书链中至少有一个公共可信 CA。）使用证书链中的 CA 验证 OCSP 响应者的 CA。验证响应者 CA 证书后，将使用响应者的 CA 证书验证 OCSP 响应。

为了防止重播攻击，可以在 OCSP 请求中发送 一个非连接 有效负载。默认情况下，将发送 Nonce 有效负载，除非它被显式禁用。如果启用，SRX 系列设备期望 OCSP 响应包含一个非连续有效负载，否则撤销检查会失败。如果 OCSP 响应方无法使用 nonce 有效负载进行响应，则必须在 SRX 系列设备上禁用 nonce 有效负载。

在正常业务过程中，证书会因各种原因被撤销。如果您怀疑证书被入侵，或者证书持有人离开公司时，您可能希望撤销该证书。

您可以通过两种方式管理证书撤销和验证：

• 本地 — 这是一个有限的解决方案。

• 通过引用证书颁发机构 （CA） 证书撤销列表 （CRL） — 您可以按照您指定的间隔或 CA 设置的默认间隔自动在线访问 CRL。

在第 1 阶段协商中，SRX 系列设备会验证在 IKE 交换期间从对等方收到的 EE 证书，并使用 CRL 确保 EE 证书不会被其 CA 撤销。

如果设备上未加载 CRL，并且对等证书颁发者是可信的 CA：

1. 如果 CRL 是在 CA 配置文件中定义的，Junos OS 将通过配置的 LDAP 或 HTTP CRL 位置（即 CRL 分布点 （CDP））来检索 CRL。
2. 如果未在 CA 配置文件中配置 CRL 接入点，则设备会使用 CA 颁发的证书中的 CDP 扩展（如果存在）。CA 颁发的证书可以是管理员注册的或在第 1 阶段协商期间收到的证书。

如果 EE 证书不是由根 CA 颁发的，则每个中间 CA 的证书都会进行相同的验证和撤销检查。根 CA 的 CRL 用于检查根 CA 颁发的证书是否被撤销。如果未在根 CA 配置文件中配置 CDP，则设备在 CA 颁发的证书中使用 CDP 扩展（如果存在）。

可以将 X509 证书中的 CRL 接入点扩展 （.cdp） 添加到 HTTP URL 或 LDAP URL 中。

如果证书不包含证书接入点扩展，并且无法通过轻量级目录访问协议 （LDAP） 或超文本传输协议 （HTTP） 自动检索 CRL，则可以手动检索 CRL 并在设备中加载该 CRL。

即使禁用了 CRL 检查，也会使用证书撤销列表 （CRL） 对本地证书进行验证。可通过通过公钥基础架构 （PKI） 配置禁用 CRL 检查来阻止这一操作。禁用 CRL 检查后，PKI 不会针对 CRL 验证本地证书。

此示例说明如何手动将 CRL 加载到设备上。

为了在未配置 CA 配置文件时对证书进行 CRL 检查，将创建动态 CA 配置文件。将在本地设备上以该格式 dynamic-nnn自动创建动态 CA 配置文件。

动态 CA 配置文件：

• 允许本地设备根据对等方本地证书颁发者下载动态 CA 和动态 CRL（适用于相应 CA）
• 检查对等方证书的撤销状态

VPN 设备会检查对等方 EE 证书的撤销状态。VPN 设备使用从对等方 接收的证书来请执行以下操作：

• 提取 URL 以动态下载 CA 的 CRL
• 检查对等方 EE 证书的撤销状态

在 图 1中，Host-A 可以使用从 Host-B 收到的销售 CA 和 EE 证书动态下载适用于 Sales-CA 的 CRL 并检查 Host-B 证书的撤销状态。

如果是单一层次结构 CA 服务器或 CA 证书链，则本地 EE 证书和收到的对等 EE 证书将从同一 CA 服务器颁发。

以下是基于不同配置的一些 SRX 系列设备行为：

• 如果为 SRX 系列设备配置了可信-ca 或可信-ca-组，则设备不会验证或信任任何其他 CA。
• 如果您定义的 CA 配置文件包含一个 CA 链，其中 SRX 系列设备仅信任根 CA，而对等方有一个由子 CA 将此根签名的证书，则动态 CA 和 CRL 将被添加到设备中。

表 1 提供了几个未创建动态 CA 或 CRL 的示例场景：

表 1： 示例场景

场景	情况
示例场景 1	在 CA 配置文件中，您为 CA 配置文件名称定义了可信 CA，并且从具有由其他 CA 签名且未在 CA 配置文件中定义为可信 CA 的证书的设备接收连接。
示例场景 2	您定义的 CA 配置文件包含一系列 CA，其中 SRX 系列设备仅信任子 CA，而对等方有此子 CA 之上的级别签名的证书。

要启用动态 CA 配置文件，必须在 revocation-check crl [edit security pki ca-profile profile-name] 层次结构级别配置根 CA 配置文件上的选项。

动态 CA 配置文件继承了根 CA 配置文件的撤销检查属性。在 图 1中，Host-A 上的 Root-CA 的 CA 配置文件配置可启用动态 CA 配置文件，如以下输出所示：

在适用于 Sales-CA 的 Host-A 上创建动态 CA 配置文件。销售 CA 动态 CA 配置文件继承了 Root-CA 的撤销检查。

revocation-check disable如果在 Root-CA 配置文件中配置了语句，则不会创建动态 CA 配置文件，并且不会执行动态 CRL 下载和检查。

从动态 CA 配置文件下载的 CCL 数据使用 show security pki crl 命令显示的方式与配置 CA 配置文件下载的 CCL 相同。动态 CA 配置文件中的 CRL 会像设备中配置的 CA 配置文件一样定期更新。从 CA 服务器下载的 CRL 的签名验证也需要对等 CA 证书。

需要有 CA 证书来验证从 CA 服务器收到的 CRL;因此，从对等方收到的 CA 证书存储在本地设备上。从对等方接收的 CA 证书用于验证 CRL 及其颁发的证书。由于收到的 CA 证书不是由管理员注册的，因此在验证到根 CA 的整个证书链之前，成功证书验证的结果才最终得以实现。根 CA 的证书必须由管理员注册。

此示例说明如何使用 CRL 位置配置证书颁发机构配置文件。

此示例说明如何验证证书的有效性。