Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

验证适用于 VMware 的 vSRX 虚拟防火墙 .ova 文件

vSRX 虚拟防火墙开放式虚拟应用 (OVA) 映像已安全签名。如有必要,您可以验证 OVA 映像,但可以在不验证 OVA 映像的情况下安装或升级 vSRX 虚拟防火墙。

在验证 OVA 映像之前,请确保执行验证的 Linux/UNIX PC 或 Windows PC 具有以下可用实用程序:tar、openssl 和 ovftool。

要在 Linux 计算机上验证 OVA 映像,请执行以下作:

  1. 从 vSRX 虚拟防火墙瞻博网络软件下载页面下载 vSRX 虚拟防火墙 OVA 映像和瞻博网络根证书文件 (JuniperRootRSACA.pem)。
    注意:

    您只需下载一次瞻博网络根证书文件;您可以使用同一文件验证 vSRX 虚拟防火墙未来版本的 OVA 映像。

  2. (可选)如果已将 OVA 映像和证书文件下载到运行 Windows 的 PC,请将这两个文件复制到运行 Linux 或 UNIX 的 PC 上的临时目录中。您还可以将 OVA 映像和证书文件复制到 vSRX 虚拟防火墙节点上的临时目录(/var/tmp/tmp)。

    确保在验证过程中未修改 OVA 映像文件和瞻博网络根证书文件。为此,仅向执行验证过程的用户提供对这些文件的写入访问权限。如果使用可访问的临时目录(如 /tmp/var/tmp),这一点尤其重要,因为此类目录可以由多个用户访问。采取预防措施,确保在验证过程中不会由其他用户修改文件。

  3. 导航到包含 OVA 映像的目录。

    -bash-4.1$ ls

  4. 通过运行以下命令解压缩 OVA 映像: tar xf ova-filename

    其中 ova-filename 是以前下载的 OVA 映像的文件名。

    -bash-4.1$ mkdir tmp

    -bash-4.1$ cd tmp

    -bash-4.1$ tar xf ../junos-vsrx-15.1X49-DXX.4-domestic.ova

  5. 验证解压缩的 OVA 映像是否包含证书链文件 (certchain.pem) 和签名文件 (vsrx.cert)。

    -bash-4.1$ ls

  6. 通过运行以下命令验证解压缩的 OVF 文件(扩展名 .ovf): ovftool ovf-filename

    其中 ovf-filename 是先前下载的 OVA 映像中包含的解压缩 OVF 文件的文件名。

    -bash-4.1$ /usr/lib/vmware-ovftool/ovftool junos-vsrx-15.1X49-DXX.4-domestic.ovf

  7. 运行以下命令,使用瞻博网络根 CA 文件验证签名证书:

    openssl verify -CAfile JuniperRootRSACA.pem -untrusted Certificate-Chain-File Signature-file

    其中 JuniperRootRSACA.pem 是瞻博网络根 CA 文件,Certificate-Chain-File和解压缩证书链文件的文件名(扩展名 .pem),Signature-file和解压缩签名文件的文件名(扩展名 .cert)。

    -bash-4.1$ openssl verify -CAfile ../JuniperRootCA.pem -untrusted certchain.pem junos-vsrx-15.1X49-DXX.4-domestic.cert

  8. (可选)如果遇到 OVA 映像的验证问题:

    1. 确定 OVA 映像的内容是否已被修改。如果内容已修改,请从 vSRX 虚拟防火墙下载页面下载 OVA 映像。

    2. 确定瞻博网络根 CA 文件是否已损坏或被修改。如果证书文件已损坏或被修改,请从 vSRX 虚拟防火墙下载页面下载证书文件。

    3. 使用一个或两个新文件重试上述验证步骤。