VPN

複数の証明書タイプを IKEv2 でサポート(USF モードの MX240、MX480、MX960、SRX1500、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800、IKED プロセスを実行する vSRX3.0)—Junos OS リリース 22.4R1 以降、イニシエーターとレスポンダーで使用される証明書の種類に関係なく、IKEv2 および IPsec SA トンネルを確立できます。

複数の証明書タイプをサポートするには、[security ike proposal proposal-name authentication-method]階層で [certificates] オプションを使用して、認証方法を証明書として構成します。

[ プロポーザル(セキュリティ IKE)を参照してください。]

ACMEプロトコル(SRXシリーズおよびvSRX):Junos OSリリース22.4R1以降、自動証明書管理環境(ACME)プロトコルがサポートされています。ACME プロトコルを使用すると、Let's Encrypt サーバーまたは PKI サーバーからの証明書の登録が許可されます。

SRXシリーズのデバイスでは、ACMEを使用して、Let's EncryptサーバーまたはPKIサーバーが発行する証明書を使用できます。

[ CMPv2 での証明書登録について、 CA 証明書の登録、 EAP-TLS 認証を使用した証明書ベースの検証、および ACME プロトコルを参照してください。

ポスト量子事前共有キー(SRX1500、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800、vSRX 3.0):Junos OSリリース22.4R1以降、RFC 8784で定義されているポスト量子事前共有キー(PPK)がサポートされています。

RFC 8784 では、量子セキュリティで保護された IKE および IPsec SA をネゴシエートするための junos-ike パッケージ を介した IKED プロセスでのポスト量子セキュリティ サポートのためのインターネット鍵交換プロトコル バージョン 2(IKEv2)での事前共有キーの混在を定義しています。

Junos Key Manager(JKM)は、クライアントアプリケーションのさまざまなタイプの量子キーまたはPPKを管理し、それぞれのインフラストラクチャを量子セキュリティで保護するために導入されました。IKED プロセスでは、JKM を使用して、量子セキュリティで保護された SA のサポートを提供します。

PPK を取得するために、次の 2 つの帯域外キー取得メカニズムがサポートされています。

• 事前共有キー:関連するゲートウェイで静的キーを設定でき、インターネット経由で静的キーを共有する必要はありません。

• 量子鍵配送: 量子鍵配送 (QKD) に基づくセキュアな鍵配布方法で、量子安全な鍵を生成および配布します。これらのキーは動的です。

[ IPsec VPN の概要を参照してください。]