Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

验证适用于 VMware 的 vSRX 虚拟防火墙 .ova 文件

vSRX 虚拟防火墙开放虚拟应用程序 (OVA) 映像已安全签名。如有必要,您可以验证 OVA 映像,但可以安装或升级 vSRX 虚拟防火墙,而无需验证 OVA 映像。

在验证 OVA 映像之前,请确保执行验证的 Linux/UNIX PC 或 Windows PC 使用以下实用程序可用:tar、openssl 和 ovftool。有关 VMware 开放式虚拟化格式 (OVF) 工具的详细信息,请参阅 OVF 工具文档 ,包括软件下载链接。

要验证 Linux 机器上的 OVA 映像:

  1. 从 vSRX 虚拟防火墙瞻博网络软件下载页面下载 vSRX 虚拟防火墙 OVA 映像和瞻博网络根证书文件 (JuniperRootRSACA.pem)。
    注意:

    您只需下载一次瞻博网络根证书文件;您可以使用同一文件验证面向未来 vSRX 虚拟防火墙版本的 OVA 映像。

  2. (可选)如果将 OVA 映像和证书文件下载到运行 Windows 的 PC 上,请将这两个文件复制到运行 Linux 或UNIX 的 PC 上的临时目录。您还可以将 OVA 映像和证书文件复制到 vSRX 虚拟防火墙节点上的临时目录(/var/tmp/tmp)。

    确保在验证过程中未修改 OVA 映像文件和瞻博网络根证书文件。您可以通过仅向执行验证过程的用户提供对这些文件的写访问来做到这一点。如果您使用可访问的临时目录(如 /tmp/var/tmp),这一点尤为重要,因为多个用户访问此类目录。采取预防措施,确保文件不会在验证过程中被其他用户修改。

  3. 导航至包含 OVA 图像的目录。

    -bash-4.1$ ls

  4. 通过运行以下命令来解包 OVA 映像: tar xf ova-filename

    其中 ova-filename 是之前下载的 OVA 映像的文件名

    -bash-4.1$ mkdir tmp

    -bash-4.1$ cd tmp

    -bash-4.1$ tar xf ../junos-vsrx-15.1X49-DXX.4-domestic.ova

  5. 验证未打包的 OVA 映像是否包含证书链文件 (certchain.pem) 和签名文件(vsrx.cert)。

    -bash-4.1$ ls

  6. 通过运行以下命令来验证未打包的 OVF 文件(扩展名为 .ovf): ovftool ovf-filename

    其中 ovf-filename 是之前下载的 OVA 映像中包含的未打包的 OVF 文件的文件名。

    -bash-4.1$ /usr/lib/vmware-ovftool/ovftool junos-vsrx-15.1X49-DXX.4-domestic.ovf

  7. 运行以下命令,使用瞻博网络根 CA 文件验证签名证书:

    openssl verify -CAfile JuniperRootRSACA.pem -untrusted Certificate-Chain-File Signature-file

    其中 JuniperRootRSACA.pem 是瞻博网络根 CA 文件, Certificate-Chain-File 是未打包的证书链文件(扩展名 .pem)的文件名,也是 Signature-file 未打包的签名文件(扩展名 .cert)的文件名。

    -bash-4.1$ openssl verify -CAfile ../JuniperRootCA.pem -untrusted certchain.pem junos-vsrx-15.1X49-DXX.4-domestic.cert

  8. (可选)如果 OVA 映像遇到验证问题:

    1. 确定 OVA 映像的内容是否已修改。如果修改了内容,请从 vSRX 虚拟防火墙下载页面下载 OVA 映像。

    2. 确定瞻博网络根 CA 文件已损坏或修改。如果证书文件已损坏或修改,请从 vSRX 虚拟防火墙下载页面下载证书文件。

    3. 使用一个或两个新文件重试上述验证步骤。