Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:CRL の場所を使用して証明機関プロファイルを構成する

 

この例では、CRL の場所を使用して証明機関プロファイルを設定する方法を示します。

要件

開始する前に:

  1. デバイスに鍵ペアを生成します。例をご覧ください。Example: Generating a Public-Private Key Pairを生成します。

  2. CA に固有の情報を含む CA プロファイルを作成します。例をご覧ください。Example: Configuring a CA Profileを構成しています。

  3. CA から個人証明書を取得します。例をご覧ください。Example: Manually Generating a CSR for the Local Certificate and Sending It to the CA Serverに送信します。

  4. 証明書をデバイスに読み込みます。例をご覧ください。Example: Loading CA and Local Certificates Manually手動で読み込みます。

  5. 自動 reenrollment を構成します。例をご覧ください。Example: Configuring SecurID User Authenticationを構成します。

  6. 必要に応じて、デバイス上に証明書の CRL を読み込みます。例をご覧ください。Example: Manually Loading a CRL onto the Deviceに手動で CRL をロードします。

概要

フェーズ1ネゴシエーションでは、CRL リストをチェックして、IKE 交換中に受信した証明書が有効かどうかを確認します。CRL が CA 証明書に付属しておらず、デバイスにロードされていない場合、Junos OS は、CA 証明書自体に定義されている LDAP または HTTP CRL の場所を使用して CRL を取得しようとします。CA 証明書で URL アドレスが定義されていない場合、デバイスはその CA 証明書用に定義したサーバーの URL を使用します。特定の CA 証明書の CRL URL が定義されていない場合、デバイスは CA プロファイル構成の URL から CRL を取得します。

X509 証明書に含まれる CRL 配布ポイント拡張 (cdp) は、HTTP URL または LDAP URL に追加できます。

この例では、デバイスを使用して、呼び出されmy_profileた CA プロファイルを確認し、CRL が URL http://abc/abc-crl.crlから crl を取得するために、CA の証明書に含まれていない場合、デバイスにロードされていない場合には、それを検証します。

構成

ステップごとの手順

CRL を使用して証明書を設定するには

  1. CA プロファイルと URL を指定します。
  2. デバイスの設定が完了したら、構成をコミットします。

検証

構成が正常に機能していることをshow security pki確認するには、運用モードコマンドを入力します。