変更点

VPN

• より大きな鍵サイズのRSA鍵ペアを生成する際のエラーに対処するための機能拡張(SRXシリーズ)- 以前のJunos OSリリースでは、サイズが4096以上のRSA鍵ペアを生成すると、コマンド request security pki generate-key-pair certificate-id name type rsa size 4096で、PKIDの応答に時間がかかる場合にエラーメッセージ error: timeout communicating with pki-service daemon が表示されることがあります。Junos OSリリース23.4R1以降、このエラーメッセージが表示されずにコマンドは正常に実行されます。

• show security ipsec security-associations detailコマンドの出力の機能強化(SRXシリーズおよびvSRX 3.0)- [edit security ipsec vpn vpn-name]階層レベルでvpn-monitorを有効にした場合、ファイアウォールが新しいikedプロセスでIPsec VPNサービスを実行する場合、show security ipsec security-associations detailの出力を強化しました。出力では、コマンド出力のthreshold値とinterval値が表示されます。Junos OSリリース23.4R1以降、これらの変更が見られます。

  [ show security ipsec security-associationsを参照してください。

• RG0フェイルオーバー後の証明書検証失敗に対処するための機能強化(SRXシリーズ):シャーシクラスタでのRG0フェイルオーバー後、コマンド show services advanced-anti-malware status の出力に、フェイルオーバー前のセカンダリノードでのCRLダウンロード失敗による Requesting server certificate validation ステータスが表示される場合があります。この問題に対処するために機能強化を行い、次の変更が表示されます。

  • 複数回再試行しても CRL のダウンロードに繰り返し失敗する場合は、CRL が正常にダウンロードされるまで PKID_CRL_DOWNLOAD_RETRY_FAILED: CRL download for the CA failed even after multiple retry attempts, Check CRL server connection エラー メッセージが表示されます。

  • クラスターがセカンダリ ノードからプライマリ ノードへのフェールオーバーを実行すると、PKI は新しいプライマリ ノードで新しい CRL ダウンロードをトリガーし、証明書の検証に成功します。