CA デジタル証明書の要求

CA デジタル証明書は、オンラインまたは手動で要求できます。SCEP を使用してオンラインで CA または RA にデジタル証明書を要求するには、 request security pki ca-certificate enroll ca-profile ca-profile-name コマンドを発行します。

電子メールまたはその他の帯域外メカニズムを使用して CA デジタル証明書を手動で取得した場合は、手動でロードする必要があります。ルーターに証明書を手動でインストールするには、 request security pki ca-certificate load ca-profile profile_name filename /path/filename.cert コマンドを発行します。

キー ペアは、デジタル証明書の実装の重要な要素です。公開鍵はローカル・デジタル証明書に含まれ、秘密鍵はピアから受信したデータの暗号化解除に使用されます。秘密鍵と公開鍵のペアを生成するには、 request security pki generate-key-pair certificate-id certificate-id-name コマンドを発行します。

ローカル・デジタル証明書は、オンラインまたは手動で生成して登録できます。SCEP を使用してローカル証明書をオンラインで生成して登録するには、 request security pki local-certificate enroll コマンドを発行します。ローカル証明書要求を PKCS-10 形式で手動で生成するには、 request security pki generate-certificate-request コマンドを発行します。

ローカル証明書要求を手動で作成する場合は、証明書も手動で読み込む必要があります。ルーターに証明書を手動でインストールするには、 request security pki local-certificate load コマンドを発行します。

ローカル デジタル証明書をアクティブにするには、事前共有キーではなくデジタル証明書を使用するように IKE プロポーザルを設定し、IKE ポリシーでローカル証明書を参照し、サービス セット内の CA または RA を特定します。デジタル証明書のIKEプロポーザルを有効にするには、[edit services ipsec-vpn ike proposal proposal-name authentication-method]階層レベルで rsa-signaturesステートメントを含めます。IKEポリシーでローカル証明書を参照するには、[edit services ipsec-vpn ike policy policy-name]階層レベルでlocal-certificateステートメントを含めます。サービス セット内の CA または RA を識別するには、[edit services service-set service-set-name ipsec-vpn-options]階層レベルで trusted-ca ステートメントを含めます。

デジタル証明書の自動再登録を設定できます。この機能は、デフォルトでは有効になっていません。デジタル証明書の自動再登録を構成するには、[edit security pki] 階層レベルで auto-re-enrollment ステートメントを含めます。