Validez le fichier .ova du pare-feu virtuel vSRX pour VMware

L’image de l’application virtuelle ouverte (OVA) du pare-feu virtuel vSRX est signée en toute sécurité. Vous pouvez valider l’image OVA, si nécessaire, mais vous pouvez installer ou mettre à niveau le pare-feu virtuel vSRX sans valider l’image OVA.

Avant de valider l’image OVA, assurez-vous que le PC Linux/UNIX ou le PC Windows sur lequel vous effectuez la validation dispose des utilitaires suivants : tar, openssl et ovftool.

Pour valider l’image OVA sur une machine Linux :

Téléchargez l’image OVA du pare-feu virtuel vSRX et le fichier de certificat racine Juniper Networks (JuniperRootRSACA.pem) à partir de la page de téléchargement du logiciel Juniper Networks du pare-feu virtuel vSRX.

Note:
Vous ne devez télécharger le fichier de certificat racine Juniper Networks qu’une seule fois. vous pouvez utiliser le même fichier pour valider les images OVA pour les futures versions du pare-feu virtuel vSRX.
(Facultatif) Si vous avez téléchargé l’image OVA et le fichier de certificat sur un PC exécutant Windows, copiez les deux fichiers dans un répertoire temporaire sur un PC exécutant Linux ou UNIX. Vous pouvez également copier l’image OVA et le fichier de certificat dans un répertoire temporaire (/var/tmp ou /tmp) sur un nœud de pare-feu virtuel vSRX.

Assurez-vous que le fichier image OVA et le fichier de certificat racine Juniper Networks ne sont pas modifiés pendant la procédure de validation. Pour ce faire, vous pouvez accorder un accès en écriture à ces fichiers uniquement à l’utilisateur effectuant la procédure de validation. Ceci est particulièrement important si vous utilisez un répertoire temporaire accessible, tel que /tmp ou /var/tmp, car ces répertoires sont accessibles à plusieurs utilisateurs. Prenez des précautions pour vous assurer que les fichiers ne sont pas modifiés par d’autres utilisateurs pendant la procédure de validation.

Accédez au répertoire contenant l’image OVA.

-bash-4.1$ ls

Décompressez l’image OVA en exécutant la commande suivante : tar xf ova-filename

où ova-filename est le nom de fichier de l’image OVA précédemment téléchargée.

-bash-4.1$ mkdir tmp

-bash-4.1$ cd tmp

-bash-4.1$ tar xf ../junos-vsrx-15.1X49-DXX.4-domestic.ova

Vérifiez que l’image OVA décompressée contient un fichier de chaîne de certificats (certchain.pem) et un fichier de signatures (vsrx.cert).

-bash-4.1$ ls

Validez le fichier OVF décompressé (extension .ovf) en exécutant la commande suivante : ovftool ovf-filename

où ovf-filename est le nom de fichier du fichier OVF décompressé contenu dans l’image OVA précédemment téléchargée.

-bash-4.1$ /usr/lib/vmware-ovftool/ovftool junos-vsrx-15.1X49-DXX.4-domestic.ovf

Validez le certificat de signature avec le fichier de l’autorité de certification racine Juniper Networks en exécutant la commande suivante :
openssl verify -CAfile JuniperRootRSACA.pem -untrusted Certificate-Chain-File Signature-file

où JuniperRootRSACA.pem est le fichier de l’autorité de certification racine de Juniper Networks, Certificate-Chain-File est le nom de fichier du fichier de chaîne de certificats décompressé (extension .pem) et Signature-file est le nom de fichier du fichier de signature décompressé (extension .cert).

-bash-4.1$ openssl verify -CAfile ../JuniperRootCA.pem -untrusted certchain.pem junos-vsrx-15.1X49-DXX.4-domestic.cert
(Facultatif) Si vous rencontrez des problèmes de validation avec l’image OVA :
1. Déterminez si le contenu de l’image OVA a été modifié. Si le contenu a été modifié, téléchargez l’image OVA à partir de la page de téléchargement du pare-feu virtuel vSRX.
2. Déterminez si le fichier de l’autorité de certification racine de Juniper Networks est corrompu ou modifié. S’il a été endommagé ou modifié, téléchargez le fichier de certificat à partir de la page de téléchargements du pare-feu virtuel vSRX.
3. Réessayez les étapes de validation précédentes à l’aide d’un ou des deux nouveaux fichiers.