Validieren der .ova-Datei der Virtuelle Firewall vSRX für VMware

Das Image der offenen virtuellen Anwendung (OVA) der Virtuelle Firewall vSRX ist sicher signiert. Sie können das OVA-Image bei Bedarf validieren, aber Sie können die virtuelle Firewall vSRX installieren oder aktualisieren, ohne das OVA-Image zu validieren.

Bevor Sie das OVA-Image validieren, stellen Sie sicher, dass auf dem Linux/UNIX-PC oder Windows-PC, auf dem Sie die Validierung durchführen, die folgenden Dienstprogramme verfügbar sind: tar, openssl und ovftool.

So validieren Sie das OVA-Image auf einem Linux-Computer:

Laden Sie das OVA-Image der virtuellen Firewall vSRX und die Root-Zertifikatsdatei von Juniper Networks (JuniperRootRSACA.pem) von der Virtuelle Firewall vSRX Juniper Networks Software-Download-Seite herunter.

Anmerkung:
Sie müssen die Juniper Networks Root-Zertifikatsdatei nur einmal herunterladen. Sie können dieselbe Datei verwenden, um OVA-Images für zukünftige Versionen der Virtuelle Firewall vSRX zu validieren.
(Optional) Wenn Sie das OVA-Image und die Zertifikatsdatei auf einen PC unter Windows heruntergeladen haben, kopieren Sie die beiden Dateien in ein temporäres Verzeichnis auf einem PC unter Linux oder UNIX. Sie können das OVA-Image und die Zertifikatsdatei auch in ein temporäres Verzeichnis (/var/tmp oder /tmp) auf einem Knoten der virtuellen Firewall vSRX kopieren.

Stellen Sie sicher, dass die OVA-Image-Datei und die Juniper Networks-Root-Zertifikatsdatei während des Validierungsvorgangs nicht geändert werden. Sie können dies tun, indem Sie Schreibzugriff auf diese Dateien nur dem Benutzer gewähren, der das Validierungsverfahren ausführt. Dies ist besonders wichtig, wenn Sie ein zugängliches temporäres Verzeichnis wie /tmp oder /var/tmp verwenden, da auf solche Verzeichnisse mehrere Benutzer zugreifen können. Treffen Sie Vorsichtsmaßnahmen, um sicherzustellen, dass die Dateien während des Validierungsvorgangs nicht von anderen Benutzern geändert werden.
Navigieren Sie zu dem Verzeichnis, das das OVA-Image enthält.
-bash-4.1$ ls
Entpacken Sie das OVA-Image, indem Sie den folgenden Befehl ausführen: tar xf ova-filename

wobei ova-filename der Dateiname des zuvor heruntergeladenen OVA-Bildes ist.

-bash-4.1$ mkdir tmp

-bash-4.1$ cd tmp

-bash-4.1$ tar xf ../junos-vsrx-15.1X49-DXX.4-domestic.ova

Stellen Sie sicher, dass das entpackte OVA-Image eine Zertifikatkettendatei (certchain.pem) und eine Signaturdatei (vsrx.cert) enthält.

-bash-4.1$ ls

Überprüfen Sie die entpackte OVF-Datei (Erweiterung .ovf), indem Sie den folgenden Befehl ausführen: ovftool ovf-filename

wobei ovf-filename der Dateiname der entpackten OVF-Datei ist, die im zuvor heruntergeladenen OVA-Image enthalten ist.

-bash-4.1$ /usr/lib/vmware-ovftool/ovftool junos-vsrx-15.1X49-DXX.4-domestic.ovf

Überprüfen Sie das Signaturzertifikat mit der Juniper Networks Root CA-Datei, indem Sie den folgenden Befehl ausführen:
openssl verify -CAfile JuniperRootRSACA.pem -untrusted Certificate-Chain-File Signature-file

Dabei ist JuniperRootRSACA.pem die Stammzertifizierungsstellendatei von Juniper Networks, Certificate-Chain-File der Dateiname der entpackten Zertifikatkettendatei (Erweiterung .pem) und Signature-file der Dateiname der entpackten Signaturdatei (Erweiterung .cert).

-bash-4.1$ openssl verify -CAfile ../JuniperRootCA.pem -untrusted certchain.pem junos-vsrx-15.1X49-DXX.4-domestic.cert
(Optional) Wenn Validierungsprobleme mit dem OVA-Image auftreten:
1. Stellen Sie fest, ob der Inhalt des OVA-Bildes geändert wurde. Wenn der Inhalt geändert wurde, laden Sie das OVA-Image von der Download-Seite für die virtuelle Firewall vSRX herunter.
2. Stellen Sie fest, ob die Datei der Juniper Networks Stammzertifizierungsstelle beschädigt oder geändert ist. Wenn es beschädigt oder geändert wurde, laden Sie die Zertifikatsdatei von der Download-Seite der Virtuelle Firewall vSRX herunter.
3. Wiederholen Sie die vorherigen Validierungsschritte mit einer oder beiden neuen Dateien.