IKE 身份验证(基于证书的身份验证)
证书认证的多级层次结构
基于证书的身份验证是SRX 系列防火墙在IKE协商期间支持的一种身份验证方法。在大型网络中,多个证书颁发机构 (CA) 可以向各自的终端设备颁发最终实体 (EE) 证书。通常,对于各个位置、部门或组织,拥有单独的 CA。
当采用单级层次结构进行基于证书的身份验证时,网络中的所有 EE 证书都必须由同一证书颁发机构签名。所有防火墙设备都必须注册相同的证书颁发机构证书,以便进行对等方证书验证。IKE 协商期间发送的证书有效负载仅包含 EE 证书。
或者,在 IKE 协商期间发送的证书有效负载可以包含 EE 和 证书颁发机构链。 证书链 是验证对等方的 EE 证书所需的证书列表。证书链包括 EE 证书和本地对等方中不存在的任何 证书颁发机构证书。
网络管理员需要确保参与 IKE 协商的所有对等方在其各自的证书链中至少有一个通用的受信任证书颁发机构。通用受信任证书颁发机构不必是根证书颁发机构。链中的证书数量(包括 EE 的证书和链中最顶层的证书颁发机构)不能超过 10 个。
可以使用指定的 证书颁发机构 服务器或一组 证书颁发机构 服务器来验证配置的IKE对等方。使用证书链时,根证书颁发机构必须与IKE策略中配置的可信证书颁发机构组或证书颁发机构服务器匹配。
在 图 1 所示的证书颁发机构层次结构示例中,Root-证书颁发机构 是网络中所有设备的通用可信证书颁发机构。根证书颁发机构问题证书颁发机构证书发送给工程和销售 CA,这些证书分别标识为 Eng-证书颁发机构 和 Sales-证书颁发机构。Eng-证书颁发机构 向开发和质量保证 CA 颁发证书颁发机构证书,这些证书分别标识为 Dev-证书颁发机构 和 Qa-证书颁发机构。主机 A 从 Dev-CA 接收其 EE 证书颁发机构,而主机 B 从 Sales-CA 接收其证书颁发机构的 EE 证书。
的多级层次结构
每个终端设备都需要在其层次结构中加载 证书颁发机构证书。Host-A 必须具有 Root-证书颁发机构、Eng-证书颁发机构和 Dev-证书颁发机构证书;不需要销售证书颁发机构和 Qa-证书颁发机构证书。主机 B 必须具有根证书颁发机构和销售证书颁发机构证书。证书可以手动加载到设备中,也可以使用简单证书注册流程 (SCEP) 进行注册。
必须为证书链中的每个证书颁发机构为每个终端设备配置一个证书颁发机构配置文件。以下输出显示了在主机 A 上配置的证书颁发机构配置文件:
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url “www.example.net/scep/Eng/”;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url “www.example.net/scep/Dev/”;
}
}
}
以下输出显示了在 Host-B 上配置的证书颁发机构配置文件:
admin@host-B# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Sales-CA {
ca-identity Sales-CA;
enrollment {
url “www.example.net/scep/Sales/”;
}
}
}
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。