Juniper Advanced Threat Prevention Cloudのトラブルシューティング:証明書の確認
show security pki local-certificate
CLI コマンドを使用して、ローカル証明書を確認します。証明書の有効期限内であることを確認してください。ssl-inspect-ca
証明書は SSL プロキシに使用されます。以下にいくつかの例を示します。これらは設定と場所に依存するため、出力が異なって見える場合があります。
show security pki local-certificate Certificate identifier: ssl-inspect-ca Issued to: www.juniper_self.net, Issued by: CN = www.juniper_self.net, OU = IT , O = Juniper Networks, L = xxxxx, ST = xxxxx, C = IN Validity: Not before: 11-24-2015 22:33 UTC Not after: 11-22-2020 22:33 UTC Public key algorithm: rsaEncryption(2048 bits) Certificate identifier: argon-srx-cert Issued to: xxxx-xxxx_xxx, Issued by: C = US, O = Juniper Ne tworks Inc, OU = SecIntel, CN = SecIntel (junipersecurity.net) subCA for SRX dev ices, emailAddress = xxx@juniper.net Validity: Not before: 10-30-2015 21:56 UTC Not after: 01-18-2038 15:00 UTC Public key algorithm: rsaEncryption(2048 bits)
show security pki ca-certificate
コマンドを使用して、CA 証明を確認します。argon-ca
証明書はクライアント証明書の CA であり、argon-secintel-ca
はサーバー証明書の CA です。証明書の有効期限内であることを確認してください。
root@host> show security pki ca-certificate Certificate identifier: argon-ca Issued to: SecIntel (junipersecurity.net) subCA for SRX devices, Issued by: C = US, O = Juniper Networks Inc, OU = SecIntel, CN = SecIntel (junipersecurity.ne t) CA, emailAddress = xxx@juniper.net Validity: Not before: 05-19-2015 22:12 UTC Not after: 05- 1-2045 15:00 UTC Public key algorithm: rsaEncryption(2048 bits) Certificate identifier: argon-secintel-ca Issued to: SecIntel (junipersecurity.net) CA, Issued by: C = US, O = Juniper N etworks Inc, OU = SecIntel, CN = SecIntel (junipersecurity.net) CA, emailAddress = xxx@juniper.net Validity: Not before: 05-19-2015 03:22 UTC Not after: 05-16-2045 03:22 UTC Public key algorithm: rsaEncryption(2048 bits)
SRXシリーズファイアウォールを登録すると、opsスクリプトによってクライアント用とサーバー用の2つのCA 証明がインストールされます。クライアント側の CA 証明は、シリアル番号に関連付けられています。 show security pki local-certificate detail
CLI コマンドを使用して、デバイスの証明書の詳細とシリアル番号を取得します。
show security pki local-certificate detail Certificate identifier: aamw-srx-cert Certificate version: 3 Serial number: xxxxxxxxxx Issuer: Organization: Juniper Networks Inc, Organizational unit: SecIntel, Country: US, Common name: SecIntel (junipersecurity.net) subCA for SRX devices Subject: Organization: xxxxxxxxxx, Organizational unit: SRX, Country: US, Common name: xxxxxxxxxx Subject string: C=US, O=xxxxxxxx, OU=SRX, CN=xxxxxxxx, emailAddress=secintel-ca@juniper.net Alternate subject: secintel-ca@juniper.net, fqdn empty, ip empty Validity: Not before: 11-23-2015 23:08 UTC Not after: 01-18-2038 15:00 UTC
次に、 show security pki crl detail
CLI コマンドを使用して、シリアル番号が証明書失効リスト (CRL) に含まれていないことを確認します。シリアル番号がCRLに記載されている場合、そのSRXシリーズファイアウォールはクラウドサーバーに接続できません。
show security pki crl detail CA profile: aamw-ca CRL version: V00000001 CRL issuer: C = US, O = Juniper Networks Inc, OU = SecIntel, CN = SecIntel (junipersecurity.net) subCA for SRX devices, emailAddress = secintel-ca@juniper.net Effective date: 11-23-2015 23:16 UTC Next update: 11-24-2015 23:16 UTC Revocation List: Serial number Revocation date xxxxxxxxxxxxxxxxx 10-26-2015 17:43 UTC xxxxxxxxxxxxxxxxx 11- 3-2015 19:07 UTC ...