このページの目次
IPsec でのデジタル証明書の使用
IPsec でのデジタル証明書の使用
ネットワーク管理者が IPsec ネットワークを拡張する一般的な方法は、事前共有キーの代わりにデジタル証明書を使用することです。ネットワークでデジタル証明書を有効にするには、動作モードのコマンドと設定ステートメントを組み合わせて使用する必要があります。次のタスクでは、M SeriesおよびT SeriesルーターにインストールされているASおよびマルチサービスPICにデジタル証明書を実装できます。
関連項目
CA プロファイルの設定
CA プロファイルには、CA または RA の名前と URL、およびいくつかの再試行タイマー設定が含まれています。Entrust、VeriSign、Microsoftが発行するCA証明書は、すべてMシリーズおよびTシリーズルーターに対応しています。CA または RA のドメイン名を設定するには、[edit security pki ca-profile ca-profile-name]
階層レベルで ca-identity
ステートメントを含めます。CA の URL を設定するには、[edit security pki ca-profile ca-profile-name enrollment]
階層レベルで url
ステートメントを含めます。ルーターが実行する登録試行回数を設定するには、[edit security pki ca-profile ca-profile-name enrollment]
階層レベルで retry
ステートメントを含めます。ルーターが登録の試行の間に待機する時間を設定するには、[edit security pki ca-profile ca-profile-name enrollment]
階層レベルに retry-interval
ステートメントを含めます。
[edit security pki] ca-profile ca-profile-name { ca-identity ca-identity; enrollment { url url-name; retry number-of-enrollment-attempts; # The range is 0 though 100 attempts. retry-interval seconds; # The range is 0 though 3600 seconds. } }
公開キー基盤(PKI)設定全体を削除しても、デバイス内のすべての CA 証明書が期待どおりに削除されません。これらの CA 証明書は、CA プロファイルを再度作成した後にアクセスできるようになります。
証明書失効リストの設定
証明書失効リスト (CRL) には、有効期限前に取り消されたデジタル証明書のリストが含まれています。参加ピアがデジタル証明書を使用すると、証明書の署名と有効性がチェックされます。また、最後に発行された CRL を取得し、証明書のシリアル番号がその CRL にないことを確認します。デフォルトでは、CRL 検証は、Junos OS リリース 8.1 以降で実行されているすべての CA プロファイルで有効になっています。CRL 検証を無効にするには、[セキュリティ PKI CA プロファイルの編集ca-profile-name失効チェック] 階層レベルで disable
ステートメントを含めます。
CA が現在の CRL を格納するライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバーの URL を指定するには、[セキュリティ PKI CA プロファイルca-profile-name失効チェック crl の編集] 階層レベルで url
ステートメントを含めます。LDAP サーバーが CRL にアクセスするためにパスワードを必要とする場合は、[セキュリティ PKI CA プロファイルca-profile-name失効チェック crl url の編集] 階層レベルに password
ステートメントを含めます。
証明書に証明書配布ポイント (CDP) が含まれている場合は、LDAP サーバーの URL を指定する必要はありません。CDP は、証明書の CRL を取得する方法に関する情報を含む証明書内のフィールドです。ルーターはこの情報を使用して、CRL を自動的にダウンロードします。設定した LDAP URL は、証明書に含まれる CDP よりも優先されます。
CRL を手動でダウンロードした場合は、ルーターに手動でインストールする必要があります。CRL を手動でインストールするには、 request security pki crl load ca-profile ca-profile-name filename path/filename
コマンドを発行します。
CRL 更新間の時間間隔を設定するには、[セキュリティ CA プロファイルの編集ca-profile-name失効チェック crl] 階層レベルで refresh-interval
ステートメントを含めます。
デフォルトの動作を上書きし、CRL のダウンロードに失敗したときに IPsec ピア認証の続行を許可するには、[edit security ca-profile ca-profile-name revocation-check crl] 階層レベルに disable on-download-failure
ステートメントを含めます。
[edit security pki ca-profile ca-profile-name] revocation-check { disable; crl { disable on-download-failure; refresh-interval number-of-hours { # The range is 0 through 8784 hours. url { url-name; password; } } } }