CA-Profile (PKI de seguridad)
Sintaxis
ca-profile ca-profile-name {
e-mail-address e-mail-address;
}
ca-identity ca-identity ;
proxy-profile;
disable {
on-download-failure;
}
refresh-interval hours;
url url-name;
}
disable;
connection-failure (disable | fallback-crl);
disable-responder-revocation-check;
nonce-payload (enable | disable);
url ocsp-url;
}
use-crl;
use-ocsp;
}
routing-instance routing-instance-name ;
source-address ip-address;
}
Nivel de jerarquía
Release Information
Instrucción modificada en Junos OS versión 8,5. La opción ca-identity soporte para se agrega en Junos OS versión 11,1. Soporte para ocsp y use-ocsp opciones agregadas en Junos os versión 12.1 x46-D20.
La opción proxy-profile soporte para se añade Junos os en la versión 18.2 R1.
La compatibilidad source-address con se introduce en Junos os versión 15.1 X49-D60.
Descripción
Configurar el perfil de la entidad de certificación (CA).
Opciones
CA-Profile-Name—Nombre de una entidad de certificación de confianza.
identidad de CA—Especifique la identidad de la entidad de certificación (CA) para usarla en la solicitud de certificados digitales. Este nombre suele ser el nombre de dominio de la entidad emisora de certificados.
entrenamiento—Especifique los parámetros de inscripción para una entidad de certificación (CA).
proxy-Profile—Usar el servidor proxy especificado. Si el perfil de proxy se configura en el perfil de CA, el dispositivo se conecta al host proxy en lugar de al servidor de la CA, durante la inscripción, comprobación o revocación de certificados. El host proxy se comunica con el servidor de la entidad de certificación con las solicitudes del dispositivo y, a continuación, retransmite la respuesta al dispositivo.
La infraestructura de claves públicas (PKI) utiliza el perfil de proxy configurado en el nivel del sistema. El perfil de proxy que se utiliza en el perfil de CA debe configurarse en la [edit services proxy] jerarquía. Puede haber más de un perfil de proxy configurado en [edit services proxy] la jerarquía. A cada perfil de entidad emisora se le hace referencia el perfil de proxy más uno. Puede configurar el host y el puerto del perfil proxy en la [edit system services proxy] jerarquía.
comprobación de la revocación—Especifique el método que utiliza el dispositivo para comprobar el estado de revocación de los certificados digitales.
instancia de ruta—Especifique la instancia de enrutamiento que se va a utilizar.
Dirección de origen—Especifica una dirección IPv4 o IPv6 de origen que se utilizará en lugar de la dirección IP de la interfaz de salida para las comunicaciones con servidores externos. Los servidores externos se usan para la inscripción de certificados y la reinscripción usando el protocolo de inscripción de certificados simple (SCEP) o el protocolo de administración de certificados versión 2 (CMPv2), descargando listas de revocación de certificados (CRL) mediante HTTP o LDAP, o comprobando Estado de revocación de certificados con el protocolo de estado de certificados en línea (OCSP). Si no se especifica esta opción, se utilizará como dirección de origen la dirección IP de la interfaz de salida.
Las sentencias restantes se explican por separado. Consulte el Explorador de CLI.
Nivel de privilegio requerido
Security—para ver esta instrucción en la configuración.
seguridad: control—para agregar esta instrucción a la configuración.
