Validieren der vSRX Virtual Firewall .ova-Datei für VMware

Das OVA-Image (Open Virtual Application) der virtuellen Firewall vSRX ist sicher signiert. Sie können das OVA-Image bei Bedarf validieren, aber Sie können die virtuelle vSRX-Firewall installieren oder aktualisieren, ohne das OVA-Image zu validieren.

Bevor Sie das OVA-Image validieren, stellen Sie sicher, dass der Linux/UNIX-PC oder Windows-PC, auf dem Sie die Validierung durchführen, über die folgenden Dienstprogramme verfügt: tar, openssl und ovftool. In der OVF-Tooldokumentation finden Sie Details zum VMware Open Virtualization Format (OVF)-Tool, einschließlich eines Software-Downloadlinks.

So validieren Sie das OVA-Image auf einem Linux-Computer:

Laden Sie das Bild für die virtuelle Firewall vSRX und die Juniper Networks Root-Zertifikatsdatei (JuniperRootRSACA.pem) von der Virtuellen Firewall vSRX Herunter.

Hinweis:
Sie müssen die Root-Zertifikatsdatei von Juniper Networks nur einmal herunterladen. können Sie dieselbe Datei verwenden, um OVA-Images für zukünftige Versionen der virtuellen Firewall vSRX zu validieren.
(Optional) Wenn Sie das OVA-Image und die Zertifikatsdatei auf einen PC mit Windows heruntergeladen haben, kopieren Sie die beiden Dateien in ein temporäres Verzeichnis auf einem PC unter Linux oder UNIX. Sie können das OVA-Bild und die Zertifikatsdatei auch in ein temporäres Verzeichnis (/var/tmp oder /tmp) auf einem virtuellen vSRX-Firewall-Knoten kopieren.

Stellen Sie sicher, dass die OVA-Bilddatei und die Root-Zertifikatsdatei von Juniper Networks während des Validierungsverfahrens nicht geändert werden. Sie können dies tun, indem Sie Schreibzugriff auf diese Dateien nur für den Benutzer bereitstellen, der das Validierungsverfahren ausführt. Dies ist besonders wichtig, wenn Sie ein zugängliches temporäres Verzeichnis wie /tmp oder /var/tmp verwenden, da auf diese Verzeichnisse mehrere Benutzer zugreifen können. Treffen Sie Vorkehrungen, um sicherzustellen, dass die Dateien während des Validierungsverfahrens nicht von anderen Benutzern geändert werden.
Navigieren Sie zu dem Verzeichnis, das das OVA-Bild enthält.
-bash-4.1$ ls
Entpacken Sie das OVA-Bild, indem Sie den folgenden Befehl ausführen: tar xf ova-filename

wobei ova-filename der Dateiname des zuvor heruntergeladenen OVA-Bildes ist.

-bash-4.1$ mkdir tmp

-bash-4.1$ cd tmp

-bash-4.1$ tar xf ../junos-vsrx-15.1X49-DXX.4-domestic.ova

Stellen Sie sicher, dass das unpackte OVA-Bild eine Zertifikatskettendatei (certchain.pem) und eine Signaturdatei (vsrx.cert) enthält.

-bash-4.1$ ls

Validieren Sie die unverpackte OVF-Datei (Erweiterung .ovf), indem Sie den folgenden Befehl ausführen: ovftool ovf-filename

wobei ovf-filename sich der Dateiname der unverpackten OVF-Datei befindet, die im zuvor heruntergeladenen OVA-Bild enthalten ist.

-bash-4.1$ /usr/lib/vmware-ovftool/ovftool junos-vsrx-15.1X49-DXX.4-domestic.ovf

Validieren Sie das Signaturzertifikat mit der Juniper Networks Root CA-Datei, indem Sie den folgenden Befehl ausführen:
openssl verify -CAfile JuniperRootRSACA.pem -untrusted Certificate-Chain-File Signature-file

Dabei ist JuniperRootRSACA.pem die Root CA-Datei von Juniper Networks, Certificate-Chain-File der Dateiname der unverpackten Zertifikatskettendatei (Erweiterung .pem) und Signature-file der Dateiname der entpackten Signaturdatei (Erweiterung .cert)..

-bash-4.1$ openssl verify -CAfile ../JuniperRootCA.pem -untrusted certchain.pem junos-vsrx-15.1X49-DXX.4-domestic.cert
(Optional) Wenn Validierungsprobleme mit dem OVA-Bild auftreten:
1. Bestimmen Sie, ob der Inhalt des OVA-Bildes geändert wurde. Wenn der Inhalt geändert wurde, laden Sie das OVA-Bild von der Downloadseite der virtuellen vSRX-Firewall herunter.
2. Stellen Sie fest, ob die Root CA-Datei von Juniper Networks beschädigt oder geändert wurde. Wenn sie beschädigt oder geändert wurde, laden Sie die Zertifikatsdatei von der Downloadseite der virtuellen vSRX-Firewall herunter.
3. Wiederholen Sie die vorhergehenden Validierungsschritte mit einer oder beiden neuen Dateien.