Importieren von SSL-Zertifikaten für die Unterstützung des Junos XML-Protokolls
Für den FIPS-Modus müssen die digitalen Sicherheitszertifikate dem Standard SP 800-131A des National Institute of Standards and Technology (NIST) entsprechen.
Eine Junos XML-Protokoll-Clientanwendung kann eines von vier Protokollen verwenden, um eine Verbindung mit dem Junos XML-Protokollserver auf einem Router oder Switch herzustellen: Klartext (ein Junos XML-Protokoll-spezifisches Protokoll zum Senden von unverschlüsseltem Text über eine TCP-Verbindung), SSH, SSL oder Telnet. Damit Clients das SSL-Protokoll verwenden können, müssen Sie, wie in diesem Thema beschrieben, ein X.509-Authentifizierungszertifikat auf den Router oder Switch kopieren. Sie müssen die xnm-ssl Anweisung auch auf der [edit system services] Hierarchieebene einschließen.
Die xnm-ssl Anweisung gilt nicht für standardmäßige IPsec-Dienste.
Nachdem Sie ein X.509-Authentifizierungszertifikat und einen privaten Schlüssel erhalten haben, kopieren Sie es auf den Router oder Switch, indem Sie die local Anweisung auf Hierarchieebene [edit security certificates] einfügen:
[edit security certificates] local certificate-name { load-key-file (filename | url); }
certificate-name ist ein Name, den Sie wählen, um das Zertifikat eindeutig zu identifizieren (z. B. Junos XML protocol-ssl-client-hostnamewo hostname ist der Computer, auf dem die Clientanwendung ausgeführt wird).
filename ist der Pfadname der Datei auf der lokalen Festplatte, die das gekoppelte Zertifikat und den privaten Schlüssel enthält (vorausgesetzt, Sie haben bereits eine andere Methode verwendet, um sie auf die lokale Festplatte des Routers oder Switches zu kopieren).
url ist die URL zu der Datei, die ein gekoppeltes Zertifikat und einen privaten Schlüssel enthält (z. B. auf dem Computer, auf dem die Junos XML-Protokoll-Clientanwendung ausgeführt wird).
Die CLI erwartet, dass der private Schlüssel in der URL-or-path Datei unverschlüsselt ist. Wenn der Schlüssel verschlüsselt ist, fordert die CLI Sie zur Eingabe der zugehörigen Passphrase auf, entschlüsselt sie und speichert die unverschlüsselte Version.
Die load-key-file Anweisung fungiert als Anweisung, die den Inhalt der Zertifikatsdatei in die Konfiguration kopiert. Wenn Sie die Konfiguration anzeigen, zeigt die CLI die Zeichenfolge an, aus der der private Schlüssel und das Zertifikat bestehen, und markiert sie als SECRET-DATA. Das load-key-file Schlüsselwort wird in der Konfiguration nicht aufgezeichnet.