IKE 身份验证(基于证书的身份验证)
用于证书认证的多级层次结构
基于证书的身份验证是 IKE 协商期间 SRX 系列防火墙支持的一种身份验证方法。在大型网络中,多个证书颁发机构 (A) 可以为其各自的终端设备颁发最终实体 (EE) 证书。对于单个位置、部门或组织,通常具有单独的 SA。
如果采用基于证书的身份验证的单一层级层次结构,则网络中的所有 EE 证书都必须由同一 CA 签名。所有防火墙设备都必须具有为对等证书验证注册的相同 CA 证书。IKE 协商期间发送的证书有效负载仅包含 EE 证书。
或者,在 IKE 协商期间发送的证书有效负载可以包含一系列 EE 和 CA 证书。 证书链 是验证对等方 EE 证书所需的证书列表。证书链包括 EE 证书和本地对等方中不存在的任何 CA 证书。
网络管理员需要确保所有参与 IKE 协商的对等方在其各自的证书链中至少有一个可信公共 CA。公共可信 CA 不一定是根 CA。链中的证书数量(包括用于 E 的证书和链中最上部的 CA)不能超过 10。
从 Junos OS 18.1R1 版开始,可使用指定的 CA 服务器或 CA 服务器组对已配置的 IKE 对等方进行验证。使用证书链,根 CA 必须与在 IKE 策略中配置的可信 CA 组或 CA 服务器匹配
在 图 1 所示的示例 CA 层次结构中,Root-CA 是网络中所有设备的通用可信 CA。Root-CA 将 CA 证书颁发给分别标识为 Eng-CA 和 Sales-CA 的工程和销售 CA。Eng-CA 向分别标识为 Dev-CA 和 Qa-CA 的开发和质量保证 CA 颁发 CA 证书。主机 A 从 Dev-CA 接收 EE 证书,而 Host-B 从 Sales-CA 接收其 EE 证书。
的多级别层次结构
每个终端设备都需要在其层次结构中加载 CA 证书。Host-A 必须具有 Root-CA、Eng-CA 和 Dev-CA 证书;不需要销售 CA 和 Qa-CA 证书。Host-B 必须具有 Root-CA 和 Sales-CA 证书。证书可以在设备中手动加载,或使用简单证书注册流程 (SCEP) 进行注册。
必须为证书链中每个 CA 配置一个 CA 配置文件来配置每个终端设备。以下输出显示了在 Host-A 上配置的 CA 配置文件:
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url “www.example.net/scep/Eng/”;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url “www.example.net/scep/Dev/”;
}
}
}
以下输出显示了在 Host-B 上配置的 CA 配置文件:
admin@host-B# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Sales-CA {
ca-identity Sales-CA;
enrollment {
url “www.example.net/scep/Sales/”;
}
}
}