多证书和域配置(CLI 过程)
概述
在此配置中,您可以在 SRX 系列防火墙上创建具有多个域名的多个证书。
开始之前,作为管理员
-
完成 SRX 系列防火墙的基本设置。
-
确定要与瞻博网络安全连接关联的域名。这些 URL 均映射到瞻博网络安全连接配置文件,即 FQDN 或 FQDN/RealmName 格式的 URL。有关在此配置中使用的示例域名和证书,请参阅 表 1。
-
如果您需要将多个域名映射到单个证书,请确保外部生成证书。如果有 Let's Encrypt 证书,请确保它使用 Let's Encrypt 服务器生成。请参阅 ACME 协议。
| 域名 |
证书 |
|---|---|
| srx.example.com |
internal |
| gateway.example.com | external |
| gateway1.example.com | letsencrypt |
| gateway2.example.com | letsencrypt |
使用配置语句为 SRX 系列防火墙上的 URL 中提到的域名配置网关证书。
配置多个证书和域
要使用命令行界面配置多个证书和多个域,请执行以下操作:
-
使用命令行界面 (CLI) 登录 SRX 系列防火墙。
-
如果您需要自签名证书,请为 SRX 系列防火墙中的本地数字证书生成公钥基础架构 (PKI) 公钥/私有密钥对。
user@host> request security pki generate-key-pair size 2048 type rsa certificate-id internal user@host> request security pki generate-key-pair size 2048 type rsa certificate-id external
-
手动生成和加载自签名证书。您还可以加载外部生成的 CA 签名证书。
user@host> request security pki local-certificate generate-self-signed certificate-id internal subject DC=example.com CN=srx domain-name srx.example.com user@host> request security pki local-certificate generate-self-signed certificate-id external subject DC=example.com CN=gateway domain-name gateway.example.com
-
进入配置模式。
-
使用
virtual-domainoption 配置多个域,并将其与相应的证书相关联。确保外部生成证书。如果有“让我们加密”证书,请参阅 ACME 协议。user@host# set system services web-management https virtual-domain srx.example.com pki-local-certificate internal user@host# set system services web-management https virtual-domain gateway.example.com pki-local-certificate external
-
配置具有多个域名的证书。确保您单独生成这些证书。请参阅 ACME 协议。
user@host# set system services web-management https virtual-domain gateway1.example.com pki-local-certificate letsencrypt user@host# set system services web-management https virtual-domain gateway2.example.com pki-local-certificate letsencrypt
-
完成设备上功能配置后,在配置模式下输入提交。
您的最终用户现在可以使用相应的证书来发起连接。这可以确保当瞻博网络安全连接应用程序启动连接时,如果在瞻博网络安全连接客户端中加载相应的证书,则服务器端证书得到验证和信任。