Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:SCEP を使用したローカル証明書のオンライン登録

 

次の例は、SCEP (Simple Certificate Enrollment Protocol) を使用してローカル証明書をオンラインで登録する方法を示しています。

要件

開始する前に:

概要

この例では、ジュニパーネットワークスデバイスを構成してローカルの証明書をオンラインで取得し、SCEP を使用して指定された証明書 ID のオンライン登録を開始します。CA プロファイル名ca-profile-ipsecで CA サーバーへの URL パスを指定します。

このrequest security pki local-certificate enroll scepコマンドを使用して、指定した証明書 ID のオンライン登録を開始します。(Junos OS Release 15.1 X49-D40 と Junos OS リリース 17.3 R1 では、このscepキーワードがサポートされており、必須になっています。) CA プロファイル名 ( ca-profile-ipsecなど)、以前に生成されたキーペアに対応する証明書 ID (などqqq) を指定する必要があります。これには、以下の情報を入力します。

  • CA 管理者が証明書の登録および reenrollment に提供するチャレンジパスワード。

  • 以下の値の少なくとも1つです。

    • IKE ネゴシエーション—で証明書の所有者を識別するドメイン名。 qqq.example.netたとえば、のようになります。

    • 電子メールステートメント—による IKE ネゴシエーションのための証明書所有者のアイデンティティqqq@example.net(など)。

    • デバイスが静的 IP アドレス—用に構成されている場合は、IP 10.10.10.10アドレスを使用します。

識別名形式では、ドメインコンポーネント (DC)、共通名 (CN)、シリアル番号 (SN)、組織ユニット名 (OU)、組織名 (O)、近傍性 (L)、state (ST)、国 (C) などの区別のためにサブジェクト名を指定します。

デバイス証明書が取得され、証明書 ID のオンライン登録が開始します。このコマンドは非同期で処理されます。

構成

ステップごとの手順

ローカル証明書をオンラインで登録するには、次のようにします。

  1. CA プロファイルを指定します。
  2. デバイスの設定が完了したら、構成をコミットします。
  3. オペレーションモードコマンドを実行して、登録プロセスを開始します。

    シリアル番号を指定せずに subject フィールドで SN を定義すると、シリアル番号はデバイスから直接読み取られ、証明書署名要求 (CSR) に追加されるようになります。

Junos OS リリース 19.4 R2 から起動すると、ECDSA ECDSA Keypair not supported with SCEP for cert_id <certificate id>がサポートされていないので、ecdh キーを使用して、単純な証明書登録プロトコル (SCEP) で楕円曲線のデジタル署名アルゴリズム (ECDSA) キーを使ってローカルの証明書を登録しようとしたときに、警告メッセージが表示されます。

検証

構成が正常に機能していることをshow security pki確認するには、コマンドを入力します。

Release History Table
リリース
説明
Junos OS リリース 19.4 R2 から起動すると、ECDSA ECDSA Keypair not supported with SCEP for cert_id <certificate id>がサポートされていないので、ecdh キーを使用して、単純な証明書登録プロトコル (SCEP) で楕円曲線のデジタル署名アルゴリズム (ECDSA) キーを使ってローカルの証明書を登録しようとしたときに、警告メッセージが表示されます。
Junos OS Release 15.1 X49-D40 と Junos OS リリース 17.3 R1 では、このscepキーワードがサポートされており、必須になっています。