Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Zertifizierungsstelle

Ein Profil der Zertifizierungsstelle (CA) definiert alle Parameter, die mit einem bestimmten Zertifikat verbunden sind, um eine sichere Verbindung zwischen zwei Endgeräten herzustellen. In den Profilen wird angegeben, welche Zertifikate verwendet werden müssen, wie der Status des Zertifikats zur Abnutzung geprüft werden soll und wie dieser Status den Zugriff einschränkt.

Konfigurieren einer vertrauenswürdigen CA Group

In diesem Abschnitt wird das Verfahren zum Erstellen einer vertrauenswürdigen Gruppe CA für eine Liste von vertrauenswürdigen Profilen CA beschrieben und eine vertrauenswürdige CA löschen.

Erstellen einer vertrauenswürdigen CA Gruppe für eine Liste von CA Profilen

Sie können eine vertrauenswürdige Netzwerkgruppe konfigurieren und CA zuweisen, um eine Einheit zu autorisieren. Wenn ein Peer versucht, eine Verbindung mit einem Client herzustellen, wird nur das von dieser bestimmten vertrauenswürdigen Einheit ausgestellte Zertifikat CA Zertifizierung geprüft. Das Gerät überprüft, ob der Gleichzeitige des Zertifikats und das Zertifikat demselben Client-Netzwerk gehört. Wenn Gleichzeitiger Und-Moderator zum selben Client-Netzwerk gehört, wird die Verbindung hergestellt. Wenn nicht, wird die Verbindung nicht hergestellt.

Bevor Sie beginnen, müssen Sie eine Liste mit allen vertrauenswürdigen Profilen CA haben, die Sie der vertrauenswürdigen Gruppe hinzufügen möchten.

In diesem Beispiel erstellen wir drei CA mit dem Namen , und verknüpfen die folgenden CA-Kennungen und für orgA-ca-profileorgB-ca-profile die entsprechenden orgC-ca-profileca-profile1ca-profile2ca-profile3 Profile. Sie können alle drei Profile CA, um zu einer vertrauenswürdigen Benutzergruppe CA orgABC-trusted-ca-group gehören.

Sie können maximal 20 Profile für CA vertrauenswürdige Benutzergruppen CA konfigurieren.

  1. Profil CA und Associate-CA mit dem Profil erstellen.
  2. Gruppen Sie CA Profil in einer vertrauenswürdigen CA Gruppe.
  3. Commit der Konfiguration nach der Konfiguration der Profildaten CA vertrauenswürdigen Benutzergruppen CA Benutzergruppen.

Führen Sie einen Befehl aus, um die CA Und CA die auf Dem Gerät konfigurierten vertrauenswürdigen Netzwerkgruppen und vertrauenswürdigen Benutzergruppen show security pki einsehen zu können.

Der show security pki Befehl zeigt alle Profilprofile CA, die unter der Gruppe orgABC_trusted-ca-group sind.

Löschen eines CA Profils aus einer vertrauenswürdigen CA Gruppe

Sie können ein bestimmtes Profil CA Daten in einer vertrauenswürdigen Gruppe CA oder die vertrauenswürdige Datei selbst CA löschen.

Wenn Sie beispielsweise ein Profil namens CA CA einer vertrauenswürdigen Netzwerkgruppe löschen möchten, führen Sie auf Ihrem Gerät die folgenden Schritte orgC-ca-profileorgABC-trusted-ca-groupKonfigurieren einer vertrauenswürdigen CA Group aus:

  1. Löschen Sie CA Profil aus der Trusted CA Group.
  2. Wenn Sie die Konfigurationseinstellungen des CA Profils aus der vertrauenswürdigen Netzwerkgruppe CA löschen, commiten Sie die Konfiguration.

Führen Sie den orgC-ca-profile Befehl aus, um den Auslauf orgABC-trusted-ca-group auf der Ansicht zu show security pki sehen.

Die Ausgabe wird nicht angezeigt, wenn sie aus der vertrauenswürdigen Benutzergruppe orgC-ca-profile CA wird.

Löschen einer vertrauenswürdigen CA Gruppe

Eine Einheit kann viele vertrauenswürdige CA Gruppen unterstützen und Sie können jede vertrauenswürdige CA gruppe für eine Einheit löschen.

Wenn Sie beispielsweise eine im Thema dargestellte vertrauenswürdige Netzwerkgruppe CA löschen möchten, die auf Ihrem Gerät konfiguriert ist, führen Sie orgABC-trusted-ca-groupKonfigurieren einer vertrauenswürdigen CA Group die folgenden Schritte aus:

  1. Eine vertrauenswürdige Gruppe CA löschen.
  2. Wenn Sie die Konfigurationseinstellungen des CA Profils aus der vertrauenswürdigen Netzwerkgruppe CA löschen, commiten Sie die Konfiguration.

Führen Sie den orgABC-trusted-ca-group Befehl aus, um die Aus der Einheit wieder show security pki auf anzeige zu können.

Die Ausgabe wird nicht angezeigt, orgABC-trusted-ca-group während sie von der Einheit gelöscht wird.

Profile für Zertifizierungsstelle verstehen

Eine Profilkonfiguration für eine CA Zertifizierungsstelle enthält spezifische Informationen für eine CA. Auf einem Gerät der SRX CA Serie können Sie mehrere Profile verwenden. Beispielsweise könnten Sie ein Profil für orgA und eines für orgB haben. Jedes Profil ist einem bestimmten Zertifikat CA zugeordnet. Wenn Sie ein neues zertifikatsbasiertes CA laden möchten, ohne das ältere zu entfernen, erstellen Sie dann ein neues CA-Profil (z. B. Microsoft-2008).

Beginnend mit Junos OS Release 18.1R1 kann der CA-Server ein IPv6-CA-Server sein.

Das PKI-Modul unterstützt das IPv6-Adressformat, um die Verwendung von Geräten der SRX-Serie in Netzwerken zu ermöglichen, in denen IPv6 das einzige verwendete Protokoll ist.

Eine CA Zertifikate aus, wodurch eine sichere Verbindung zwischen zwei Endpunkten mittels Zertifikatsvalidierung hergestellt wird. Sie können mehrere CA profile für eine bestimmte Topologie in einer vertrauenswürdigen CA Gruppe gruppen. Diese Zertifikate werden zum Herstellen einer Verbindung zwischen zwei Endpunkten verwendet. Zum Einrichten IKE IPsec müssen beide Endpunkte demselben Ziel CA. Wenn eines der Endgeräte das Zertifikat nicht anhand seiner jeweiligen Trusted CA (Ca-Profile) oder vertrauenswürdigen Netzwerkgruppe CA kann, wird die Verbindung nicht hergestellt. Für die Erstellung einer vertrauenswürdigen Gruppe CA Zertifizierungsprofil ist mindestens ein Profil CA Erforderlich. Maximal 20 Zertifizierungsanforderungen können in einer vertrauenswürdigen CA werden. Alle CA einer bestimmten Gruppe können das Zertifikat für diesen bestimmten Endpunkt validieren.

Die Validierung Junos OS konfigurierten IKE-Peers ab dem 18.1R1 Veröffentlichungs-18.1R1 kann mit einem bestimmten Server CA oder einer Gruppe von CA durchgeführt werden. Es kann eine Gruppe von vertrauenswürdigen CA-Servern mit der Konfigurationserklärung auf der [ ] Hierarchieebene erstellt werden; es können ein oder mehrere CA trusted-ca-groupedit security pki angegeben werden. Der vertrauenswürdige CA ist an die Richtlinienkonfiguration IKE Peers auf [ edit security ike policy policy certificate ] Hierarchieebene gebunden.

Wenn das Proxyprofil im Profil CA wird, stellt das Gerät die Verbindung zum Proxy-Host anstelle des CA-Servers während der Zertifikatsregistrierung, Überprüfung oder Abschreibung statt. Der Proxy-Host kommuniziert mit dem CA mit den Anforderungen vom Gerät und leitet die Antwort dann an das Gerät weiter.

CA Proxyprofil unterstützt SCEP-, CMPv2- und OCSP-Protokolle.

CA Proxyprofil wird nur auf HTTP unterstützt und im HTTPS-Protokoll nicht unterstützt.

Beispiel: Konfigurieren eines CA Profils

In diesem Beispiel wird die Konfiguration eines Profils CA gezeigt.

Anforderungen

Vor der Konfiguration dieser Funktion ist keine besondere Konfiguration über die Gerätein initialisierung hinaus erforderlich.

Überblick

In diesem Beispiel erstellen Sie ein Profil CA mit der CA ca-profile-ipsec Microsoft-2008-Identität. Erstellen Sie dann das Proxyprofil für das CA Proxyprofil. Die Konfiguration gibt an, dass das CRL alle 48 Stunden aktualisiert wird, und der Standort zum Abrufen von CRL http://www.my-ca.com ist. In diesem Beispiel wird der Wert für die Wiederholung der Anmeldung auf 20 festgelegt. (Der Standard-Wiederholungswert ist 10.)

Die automatische Zertifikatsumfrage wird alle 30 Minuten festgelegt. Wenn Sie Wiederholungen nur ohne Konfiguration eines Wiederholungsintervalls konfigurieren, beträgt das Standard-Wiederholungsintervall 900 Sekunden (oder 15 Minuten). Wenn Sie Wiederholungen oder Wiederholungsintervalle nicht konfigurieren, wird kein Abruf durchgeführt.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

So konfigurieren Sie ein CA Profil:

  1. Erstellen Sie ein CA Profil.

  2. Optionale Konfiguration des Proxyprofils für das CA Proxyprofil.

    Die Public Key Infrastructure (PKI) verwendet ein auf Systemebene konfiguriertes Proxyprofil. Das im Profil verwendete Proxyprofil muss in CA Hierarchie konfiguriert [edit services proxy] werden. Es kann in der Hierarchie mehrere Proxy-Profile [edit services proxy] konfiguriert werden. Jedes CA profil wird an das Proxyprofil mit den meisten Proxyprofilen verwiesen. Sie können den Host und Port des Proxyprofils in der Hierarchie [edit system services proxy] konfigurieren.

  3. Erstellen Sie eine Prüfung zur Abnschaffung des Zertifikats, um eine Methode zur Prüfung der Abschaffung des Zertifikats festzulegen.

  4. Legen Sie das Aktualisierungsintervall in Stunden fest, um die Häufigkeit für die Aktualisierung des CRL anzugeben. Die Standardwerte sind Die Zeit bis zum nächsten Update in CRL oder 1 Woche, wenn keine Zeit für die nächste Aktualisierung angegeben ist.

  5. Geben Sie einen Wiederholungswert für die Anmeldung an.

  6. Geben Sie das Zeitintervall in Sekunden zwischen den Versuchen an, sich automatisch für das CA registrieren.

  7. Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, commit die Konfiguration.

Überprüfung

Geben Sie den Befehl ein, um sicherzustellen, dass die Konfiguration ordnungsgemäß show security pki funktioniert.

Beispiel: Konfigurieren einer IPv6-Adresse als Quelladresse für ein CA Profil

In diesem Beispiel wird gezeigt, wie eine IPv6-Adresse als Quelladresse für ein CA-Profil konfiguriert wird.

Vor der Konfiguration dieser Funktion ist keine besondere Konfiguration über die Gerätein initialisierung hinaus erforderlich.

Erstellen Sie in diesem Beispiel ein CA-Profil, das mit CA-Identität bezeichnet wird, und legen Sie die Quelladresse des CA-Profils als orgA-ca-profilev6-ca eine IPv6-Adresse fest. 2001:db8:0:f101::1 Sie können die Registrierungs-URL so konfigurieren, dass sie eine IPv6-Adresse http://[2002:db8:0:f101::1]:/.../ akzeptiert.

  1. Erstellen Sie ein CA Profil.
  2. Konfigurieren Sie die Quelladresse des CA Profils als IPv6-Adresse.
  3. Geben Sie die Registrierungsparameter für den CA.
  4. Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, commit die Konfiguration.
Release-Verlaufstabelle
Release
Beschreibung
18.1R1
Beginnend mit Junos OS Release 18.1R1 kann der CA-Server ein IPv6-CA-Server sein.
18.1R1
Die Validierung Junos OS konfigurierten IKE-Peers ab dem 18.1R1 Veröffentlichungs-18.1R1 kann mit einem bestimmten Server CA oder einer Gruppe von CA durchgeführt werden.