Junos XML プロトコルをサポートするための SSL 証明書のインポート
FIPS モードの場合、デジタル セキュリティ証明書は、米国国立標準技術研究所 (NIST) SP 800-131A 標準に準拠している必要があります。
Junos XML プロトコル クライアント アプリケーションは、ルーターまたはスイッチ上の Junos XML プロトコル サーバーに接続するために、クリア テキスト(暗号化されていないテキストを TCP 接続で送信するための Junos XML プロトコル固有のプロトコル)、SSH、SSL、Telnet の 4 つのプロトコルのいずれかを使用できます。クライアントが SSL プロトコルを使用するには、このトピックで説明するように、X.509 認証証明書をルーターまたはスイッチにコピーする必要があります。また、[edit system services]
階層レベルに xnm-ssl
ステートメントを含める必要があります。
xnm-ssl
ステートメントは、標準の IPsec サービスには適用されません。
X.509 認証証明書と秘密キーを取得したら、[edit security certificates]
階層レベルで local
ステートメントを含めて、ルーターまたはスイッチにコピーします。
[edit security certificates] local certificate-name { load-key-file (filename | url); }
certificate-name
は、証明書を一意に識別するために選択する名前です (たとえば、 Junos XML protocol-ssl-client-hostname
の場合、 hostname
はクライアント アプリケーションが実行されるコンピューターです)。
filename は、ペアになった証明書と秘密鍵を含むローカルディスク上のファイルのパス名です(ルーターまたはスイッチのローカルディスクにコピーする別の方法をすでに使用していることが前提です)。
url は、ペアになった証明書と秘密キーを含むファイルの URL です(たとえば、Junos XML プロトコル クライアント アプリケーションが動作するコンピューター上)。
CLI は、 URL-or-path
ファイル内の秘密キーが暗号化されていないことを想定しています。キーが暗号化されている場合、CLI はキーに関連付けられたパスフレーズの入力を求め、復号化して、暗号化されていないバージョンを保存します。
load-key-file
ステートメントは、証明書ファイルの内容を設定にコピーするディレクティブとして機能します。設定を表示すると、CLIに秘密キーと証明書を構成する文字列が表示され、SECRET-DATA
としてマークされます。load-key-file
キーワードは設定に記録されません。