AUF DIESER SEITE
Beispiel: Verbessern der Validierung digitaler Zertifikate durch Konfigurieren von Richtlinien-OIDs auf einem Gerät der MX-Serie
In einigen Situationen kann es wünschenswert sein, nur Zertifikate mit bekannten Richtlinienobjektbezeichnern (OIDs) von Peers zu akzeptieren. Diese optionale Konfiguration ermöglicht eine erfolgreiche Zertifikatüberprüfung nur, wenn die vom Peer empfangene Zertifikatskette mindestens eine Richtlinien-OID enthält, die auf dem Gerät der MX-Serie konfiguriert ist. In diesem Beispiel wird gezeigt, wie Richtlinien-OIDs in der IKE-Richtlinie auf einem Gerät der MX-Serie konfiguriert werden.
Sie müssen sicherstellen, dass mindestens eine der auf dem Gerät der MX-Serie konfigurierten Richtlinien-OIDs im Zertifikat oder in der Zertifikatskette eines Peers enthalten ist. Beachten Sie, dass das Feld policy-oids im Zertifikat eines Peers optional ist. Wenn Sie Richtlinien-OIDs in einer IKE-Richtlinie konfigurieren und die Zertifikatskette des Peers keine Richtlinien-OIDs enthält, schlägt die Zertifikatüberprüfung für den Peer fehl.
Anforderungen
Bevor Sie beginnen:
Stellen Sie sicher, dass Sie Junos OS Version 16.1 oder höher für Geräte der MX-Serie verwenden.
Konfigurieren Sie einen IPsec-VPN-Tunnel.
Übersicht
Dieses Beispiel zeigt eine IKE-Richtlinienkonfiguration, in der die Richtlinien-OIDs 2.16.840.1.101.3.1.48.2 und 5.16.40.1.101.3.1.55.2 angegeben sind. Die IKE-Richtlinie verweist ike_cert_pol auf den IKE-Vorschlag ike_cert_prop, der nicht angezeigt wird. Das lokale Zertifikat auf dem Gerät der MX-Serie lautet lc-igloo-root.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set services ipsec-vpn ike policy ike_cert_pol mode main set services ipsec-vpn ike policy ike_cert_pol proposals ike_cert_prop set services ipsec-vpn ike policy ike_cert_pol certificate local-certificate lc-igloo-root set services ipsec-vpn ike policy ike_cert_pol certificate policy-oids 2.16.840.1.101.3.1.48.2 set services ipsec-vpn ike policy ike_cert_pol certificate policy-oids 5.16.40.1.101.3.1.55.2
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Richtlinien-OIDs für die Zertifikatsvalidierung:
Konfigurieren Sie die IKE-Richtlinie:
[edit services ipsec-vpn ike policy ike_cert_pol] user@host# set mode main user@host# set proposals ike_cert_prop user@host# set certificate local-certificate lc-igloo-root user@host# set certificate policy-oids 2.16.840.1.101.3.1.48.2 user@host# set certificate policy-oids 5.16.40.1.101.3.1.55.2
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show services ipsec-vpn ike policy ike_cert_pol Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show services ipsec-vpn ike policy ike_cert_pol
mode main;
proposals ike_cert_prop;
certificate {
local-certificate lc-igloo-root;
policy-oids [ 2.16.840.1.101.3.1.48.2 5.16.40.1.101.3.1.55.2 ];
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Verifizieren des CA-Zertifikats
Zweck
Zeigen Sie das auf dem Gerät konfigurierte CA-Zertifikat an.
Aktion
Geben Sie im Betriebsmodus den show security pki ca-certificate ca-profile ca-tmp Befehl ein.
user@host> show security pki ca-certificate ca-profile ca-tmp detail
Certificate identifier: ca-tmp
Certificate version: 3
Serial number: 00000047
Issuer:
Organization: U.S. Government,
Organizational unit: DoD, Organizational unit: Testing, Country: US,
Common name: Trust Anchor
Subject:
Organization: U.S. Government,
Organizational unit: Dod, Organizational unit: Testing, Country: US,
Common name: CA1-PP.01.03
Subject string:
C=US, O=U.S. Government, OU=Dod, OU=Testing, CN=CA1-PP.01.03
Validity:
Not before: 07- 3-2015 10:54 UTC
Not after: 07- 1-2020 10:54 UTC
?Public key algorithm: rsaEncryption(1024 bits)
30:81:89:02:81:81:00:cb:fd:78:0c:be:87:ac:cd:c0:33:66:a3:18
9e:fd:40:b7:9b:bc:dc:66:ff:08:45:f7:7e:fe:8e:d6:32:f8:5b:75
db:76:f0:4d:21:9a:6e:4f:04:21:4c:7e:08:a1:f9:3d:ac:8b:90:76
44:7b:c4:e9:9b:93:80:2a:64:83:6e:6a:cd:d8:d4:23:dd:ce:cb:3b
b5:ea:da:2b:40:8d:ad:a9:4d:97:58:cf:60:af:82:94:30:47:b7:7d
88:c3:76:c0:97:b4:6a:59:7e:f7:86:5d:d8:1f:af:fb:72:f1:b8:5c
2a:35:1e:a7:9e:14:51:d4:19:ae:c7:5c:65:ea:f5:02:03:01:00:01
Signature algorithm: sha1WithRSAEncryption
Certificate Policy:
Policy Identifier = 2.16.840.1.101.3.1.48.2
Use for key: CRL signing, Certificate signing
Fingerprint:
e0:b3:2f:2e:a1:c5:ee:ad:af:dd:96:85:f6:78:24:c5:89:ed:39:40 (sha1)
f3:47:6e:55:bc:9d:80:39:5a:40:70:8b:10:0e:93:c5 (md5)
Überprüfen der Richtlinien-OID-Validierung
Zweck
Wenn das Zertifikat des Peers erfolgreich validiert wurde, werden IKE- und IPsec-Sicherheitszuordnungen eingerichtet. Wenn die Überprüfung des Peerzertifikats fehlschlägt, wird keine IKE-Sicherheitszuordnung eingerichtet.
Aktion
Geben Sie im Betriebsmodus die show services ipsec-vpn ike security-associations Befehle und show services ipsec-vpn ipsec security-associations ein.
user@host> show services ipsec-vpn ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 821765168 UP 88875c981252c1d8 b744ac9c21bde57e IKEv2 192.0.2.1 1106977837 UP 1a09e32d1e6f20f1 e008278091060acb IKEv2 198.51.100.0
user@host> show services ipsec-vpn ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <213909506 ESP:aes-cbc-192/sha256 8cb9e40a 1295/ unlim - root 500 192.0.2.1 >213909506 ESP:aes-cbc-192/sha256 8271d2b2 1295/ unlim - root 500 192.0.2.1 <218365954 ESP:aes-cbc-192/sha256 d0153bc0 1726/ unlim - root 1495 198.51.100.0 >218365954 ESP:aes-cbc-192/sha256 97611813 1726/ unlim - root 1495 198.51.100.0
Bedeutung
Der show services ipsec-vpn ike security-associations Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Prüfen Sie in diesem Fall in den Systemprotokollen, ob die Meldung PKID_CERT_POLICY_CHECK_FAIL ist. Diese Meldung weist darauf hin, dass die Zertifikatskette des Peers keine Richtlinien-OID enthält, die auf dem Gerät der MX-Serie konfiguriert ist. Überprüfen Sie die policy-oids-Werte in der Zertifikatskette des Peers mit den Werten, die auf dem Gerät der MX-Serie konfiguriert sind.
Es kann auch sein, dass die Zertifikatskette des Peers keine Richtlinien-oids-Felder enthält, bei denen es sich um optionale Felder handelt. Wenn dies der Fall ist, schlägt die Zertifikatsüberprüfung fehl, wenn auf dem Gerät der MX-Serie Richtlinien-OIDs konfiguriert sind.