Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vSRX仮想ファイアウォール3.0へのMicrosoft Azureハードウェアセキュリティモジュールの導入

Microsoft Azure Key Vault ハードウェア セキュリティ モジュール統合の概要

Microsoft Azure Key Vault ハードウェア セキュリティ モジュール (HSM) は、セキュリティで保護されたシークレット ストアとして機能するクラウド サービスです。キー、パスワード、証明書、およびその他のシークレットを安全に保存できます。クラウドベンダーが提供するこのサービスは、暗号キーを安全に生成、保存、管理するのに役立ちます。vSRX仮想ファイアウォールアプリケーションは、これらの暗号キーを使用して、秘密鍵、パスワード、その他の機密データなどの保存データを保護します。Azure Key Vault HSM は、キー管理ソリューションとしても使用できます。Azure Key Vault を使用すると、データの暗号化に使用される暗号化キーを簡単に作成および制御できます。マスター暗号化パスワードを指定すると、そのパスワードを使用して機密データが暗号化され、暗号化されたデータ(AES256)がディスクに保存されます。マスター暗号化パスワードは、HSM で生成および保存された RSA キーペアを使用して保護されます。

vSRX 仮想ファイアウォール(mgd プロセス)が構成ハッシュを生成します。このハッシュ (およびその他の機密データ) は、AES-GCM 256 暗号化のキーとしてマスター暗号化パスワードを使用して保護されます。

マスターパスワードは、RADIUSパスワード、IKE事前共有キー、およびJunos OS管理プロセス(mgd)設定内の他の共有シークレットなどのシークレットを保護するために使用されます。マスターパスワードは、マスター暗号化パスワードを使用して保護されます。マスターパスワード自体は、設定の一部として保存されません。パスワードの品質は強度について評価され、脆弱なパスワードが使用された場合はデバイスがフィードバックを提供します。

vSRX仮想ファイアウォール3.0インスタンスにプレーンテキストで保存されているPKIプライベートキーや設定などの機密データを、HSMサービスを使用して保護できるようになりました。

vSRX仮想ファイアウォールでMicrosoft Azure Key Vault HSMを有効にすると、vSRX仮想ファイアウォールは2048サイズのRSAキーペアを作成して暗号化し、 それを使用して、/var/db/certs/common/key-pairsにあるPKIプライベートキーファイル、設定ハッシュ、マスターパスワード( /config/unrd-master-password.txtに保存されます)。

メモ:

HSM を有効にする前の既存のキーペアは暗号化されず、削除されます。

HSM を有効にすると、ソフトウェアレイヤーは、(クリアテキスト形式で保存するのではなく) 256 ビット AES 暗号化を使用して情報を保存することで、プライベートキー、システムマスターパスワードなどの機密情報を保護する基盤となる HSM サービスの使用を利用します。また、管理者が設定をコミットするたびに、デバイスは設定の新しい SHA256 ハッシュを生成します。このハッシュは、システムが起動するたびに検証されます。設定が改ざんされている場合、検証は失敗し、デバイスは起動を継続しません。暗号化されたデータと構成のハッシュの両方が、マスター暗号化パスワードを使用して HSM モジュールによって保護されます。

ハッシュ検証は、コミット操作中に、以前のコミットで保存されたハッシュに対して構成ファイルの検証チェックを実行することによって実行されます。シャーシ クラスタ システムでは、ハッシュはコミット プロセスの一環としてバックアップ システムで個別に生成されます。

ハッシュは現在の設定にのみ保存され、ロールバックの設定には保存されません。ハッシュは、デバイスの再起動またはシャットダウン中に生成されません。

vSRX仮想ファイアウォールはHSMを使用して以下のシークレットを暗号化します。

  • 設定の SHA256 ハッシュ

  • デバイスマスターパスワード

  • デバイス上のすべてのキーペア

各vSRX仮想ファイアウォール3.0インスタンスによって作成されたキーには、各VMのUUIDを使用してタグ付けや名前が付けられます。クラウド ポータルにログインしてキーにアクセスし、キーのプロパティまたは要求された操作を確認できます。

vSRX仮想ファイアウォール3.0でMicrosoft Azure Key Vault HSMを設定する

Azure スタック上のキー コンテナーは、すべての Azure アプリケーションに対してクラウド HSM サービスを提供します。Key Vault などのサービスを使用するには、すべてのアプリケーションを Azure Active Directory に登録する必要があります。

vSRX3.0をAzure上で実行する場合、Microsoft Azure Cloud HSMと統合されます。クラウドポータルにログインしてキーにアクセスし、そのプロパティまたは要求された操作を確認できます。

パブリッククラウドベンダーごとに、vSRX仮想ファイアウォールをクラウドHSMに統合するための固有の手順があります。このセクションでは、vSRX仮想ファイアウォール3.0をMicrosoft Azure Key Vault HSMに統合するために必要な手順について説明します。

vSRX仮想ファイアウォールをMicrosoft Azure Key Vault HSMと統合するには、以下の項目が必要になります。

  • vSRX仮想ファイアウォール3.0インスタンス

  • Microsoft Azure Key Vault

  • vSRX仮想ファイアウォール用のキーボールト認証を設定する

  • HSM を統合するための Microsoft Azure 固有の構成

Microsoft Azure Key Vault は、ユーザーがハードウェア セキュリティ モジュール (HSM) によって保護されているキーを使用してキーと小さなシークレットを暗号化できるようにする、クラウドでホストされる管理サービスです。

この手順では、Microsoft Azure Key Vault HSMをvSRX仮想ファイアウォール3.0に統合するための一般的な手順を説明します。

  1. Microsoft Azure環境でvSRX仮想ファイアウォール3.0インスタンスを起動します。

    vSRX仮想ファイアウォール3.0インスタンスの起動については、 Microsoft Azureクラウド向けvSRX導入ガイドを参照してください。

  2. キー コンテナーを作成します。図 1 に示すように、ダッシュボードから、 [+ リソースの作成]、[セキュリティ + ID]、[Key Vault] の順に選択します。
    図 1: キー コンテナー Create Key Vaultの作成

    vSRX仮想ファイアウォール3.0に必要な暗号化キー機能にアクセスするには、「プレミアム」キーボールトを作成する必要があります。キー コンテナーを作成した後、コンテナー内でキーとシークレットを作成および管理する方法の詳細については、「 ポータルを使用して Azure Stack でキー コンテナーを管理する」を参照してください。

  3. vSRX仮想ファイアウォール3.0のマネージドIDを有効にします。

    システム割り当てマネージド ID は、アプリケーションを Azure Active Directory に登録することで、vSRX 仮想ファイアウォールがコードに資格情報を保存することなく、他のサービス (Key Vault など) に対して認証するのに役立ちます。この ID を有効にすると、一意のオブジェクト ID が生成され、これを使用して他の vSRX 仮想ファイアウォール インスタンス間で参照できます。

    Microsoft AzureでvSRX仮想ファイアウォールのマネージドIDを有効にするには、 図2 および 図3に示すように、Azureポータルを使用してVM上のMicrosoft AzureリソースのマネージドIDを構成する必要があります。

    詳細については、「Azure ポータルを使用して VM 上の Azure リソースのマネージド ID を構成する」を参照してください

    図 2: VM Enable System Assigned Managed Identity During Creation of a VM の作成時にシステム割り当てマネージド ID を有効にする
    図 3: 既存の VM Enable System Assigned Managed Identity on an Existing VM でシステム割り当てマネージド ID を有効にする
  4. Microsoft Azure Key Vault にアクセス ポリシーを追加します。

    vSRX仮想ファイアウォール3.0 VMなどのアプリケーションがMicrosoft Azure Key Vaultにアクセスするには、アクセスポリシーを有効にする必要があります。新しいポリシーを追加する方法の詳細については、「 キー コンテナーへのアクセスのセキュリティ保護 」を参照してください。新しいポリシーを追加するには、このリンクを参照してください。

    Microsoft Azure Key Vault にアクセス ポリシーを追加する手順は次のとおりです。

    1. Microsoft Azure portal の Key Vault Resource ページに移動します。

    2. ページの左側にある [アクセス ポリシー] タブをクリックします。

    3. [ 新規追加 ] タブをクリックし、[ プリンシパルの選択] をクリックして、作成時に割り当てられた vSRX 仮想ファイアウォールのユーザー名を検索します。

    4. すべての キー権限 を選択し、[ 保存] をクリックします。

      メモ:

      承認済みアプリケーションは選択しないでください。

  5. fxp0(管理)インターフェイスのステータスを確認する

    vSRX3.0は、Microsoft Azure Key Vaultとの通信にfxp0を使用します。 show interface terse fxp0 コマンドを使用して、fxp0が設定されており、外部サーバーにpingできるかどうかを確認します。

    メモ:

    vSRX仮想ファイアウォール3.0は、管理インターフェイスを使用してクラウドHSMに接続します。管理インターフェイスが設定されていないか、接続されていない場合、クラウドHSM機能は使用できません。

  6. キー コンテナーとの通信を有効にして開始します。
    • キー コンテナーを有効にするには、次のコマンドを実行します request security hsm set azure-key-vault <name-of-azure-key-vault>

      メモ:

      Microsoft Azure Key Vaultへのアクセスに使用されるURLは、通常、https://<name-of-azure-key-vault>.vault.azure.net/keys の形式です。

    • キー コンテナーとの通信を確立するには、HSM で RSA キー ペアを作成し、構成ハッシュを生成して暗号化し、マスター パスワードと PKI キー ペア ファイルを暗号化するには、 request security hsm master-encryption-password set plain-text-password.

    • これらのパスワードが一致することを確認するために、マスター暗号化パスワードを2回入力するように求められます。マスター暗号化パスワードは、必要なパスワード強度について検証されます。マスター暗号化パスワードが設定されると、システムは、HSM によって所有および保護されている MEK によって暗号化されたマスター暗号化パスワードを使用して機密データを暗号化します。

    • マスターパスワードを設定するには、次のコマンドを実行します set system master-password plain-text-password 。そうしないと、特定の機密データが HSM によって保護されません。HSM が有効になっていない場合、マスターパスワードはプレーンテキスト形式で /config/unrd-master-password.txt ファイルに保存されます

    メモ:

    vSRX仮想ファイアウォール3.0でマスターパスワードがプレーンテキストとして保存されないようにするため、HSMを有効にせずにマスターパスワードを設定するのは安全ではないことを示すエラーがコンソールに表示され、コマンド操作が終了します。

マスター暗号化パスワードを変更する

マスター暗号化パスワードを変更する場合は、動作モードから次のコマンドを実行します request security hsm master-encryption-password set plain-text-password

メモ:

マスター暗号化パスワードの変更中は、設定を変更しないことをお勧めします。

マスター暗号化パスワードがすでに設定されているかどうかがチェックされます。マスター暗号化パスワードが設定されている場合は、現在のマスター暗号化パスワードを入力するよう求められます。

入力したマスター暗号化パスワードは、現在のマスター暗号化パスワードと照合され、これらのマスター暗号化パスワードが一致することを確認します。検証が成功すると、新しいマスター暗号化パスワードをプレーンテキストとして入力するように求められます。パスワードを検証するために、キーを2回入力するように求められます。

その後、システムは新しいマスター暗号化パスワードを使用して機密データを再暗号化します。マスター暗号化パスワードの変更を再試行する前に、この再暗号化プロセスが完了するのを待つ必要があります。

暗号化されたマスター暗号化パスワードファイルが紛失または破損している場合、システムは機密データを復号化できません。システムは、機密データをクリアテキストで再インポートし、再暗号化することによってのみ回復できます。

HSM のステータスを確認する

目的

HSM との接続を確認するには。

アクション

show security hsm statusコマンドを使用して、HSM のステータスを確認できます。次の情報が表示されます。

  • HSM が有効で、到達可能または無効になっている場合

  • HSMで作成されたマスターバインディングキー(RSAキーペア)ですか

  • マスター暗号化キーが設定されているか - マスター暗号化パスワードの状態 (設定済みまたは未設定)

  • クラウドベンダー情報

セキュリティHSMマスター暗号化パスワードを要求する

構文

リリース情報

Junos OSリリース19.4R1で導入されたコマンド。

説明

このコマンドを使用して、パスワードを(プレーンテキストで)設定または置換します。

オプション

plain-text-password

パスワードを(プレーンテキストで)設定または置換します。

必要な権限レベル

メンテナンス

出力フィールド

このコマンドを入力すると、リクエストステータスに関するフィードバックが提供されます。

サンプル出力

セキュリティの要求 HSMマスター暗号化パスワードセットプレーンテキストパスワード

セキュリティHSMステータスを表示

構文

リリース情報

Junos OSリリース19.4R1で導入されたコマンド。

説明

ハードウェア セキュリティ モジュール (HSM) の現在のステータスを表示します。この show security hsm status コマンドを使用して、HSM、マスターバインディングキー、マスター暗号化パスワード、およびクラウドベンダーの詳細のステータスを確認できます。

オプション

このコマンドにオプションはありません。

必要な権限レベル

セキュリティ

出力フィールド

表 1 に、このコマンドの出力フィールドshow security hsm statusを示します。

表 1: show security hsm status の出力フィールド

フィールド名

フィールドの説明

Enabled

HSM を有効にするか無効にするかを指定します。

Master Binding Key

HSM のマスター バインド キーの状態を、HSM で作成されているかどうかに関係なく表示します。HSM は暗号化キーを生成して暗号化し、HSM によってのみ復号できるようにします。このプロセスはバインディングと呼ばれます。各 HSM には、ストレージ ルート キーとも呼ばれるマスター バインド キーがあります。

Master Encryption Key

マスター暗号化の設定ステータスを表示します。暗号化されたデータと設定のハッシュは、Microsoft Key Vault(HSM)サービスを使用するvSRX仮想ファイアウォールによって保護されます。

Cloud vendor Details

クラウド ベンダーに固有の詳細を表示します。

サンプル出力

show security hsm status(vSRX仮想ファイアウォールが最初に起動するが、この機能が有効になっていない場合のHSM statusコマンド出力)

サンプル出力

show security hsm status(Key Vaultとの統合が成功した後のHSM statusコマンド出力)

Microsoft Azure Key Vault HSM Serviceを使用したVPN機能について

vSRX3.0にMicrosoft Azure Key Vault HSMサービスが統合されたことで、HSMサービスを使用して、必要なVPNキーペア操作を作成、保存、実行できるようになりました。キーペアの作成がHSMサービスで有効になりました。HSM を使用して生成されたキーペアを使用して、PKI ベースの VPN トンネルを確立できるようになりました。マスター暗号化キーを構成したら、HSM サービスを使用して VPN 機能を構成できます。生成できるのは、長さが 2048 ビットと 4096 ビットの RSA キーペアのみです。PKIDでのCSR作成時のプライベートキー署名、PKIDでCAサーバーから受信した証明書の検証時のプライベートキー署名、IKEDでのIKEネゴシエーション中のプライベートキー署名などの操作は、vSRX仮想ファイアウォールからオフロードされ、HSMサービスによって実行されるようになりました。

メモ:

HSM サービスを使用したキーペアの生成は、pkid および iked プロセス専用です。また、HSM サービスが有効になる前のファイルシステム内の既存のキーペアは暗号化されず、それらのキーペアは削除されます。

導入シナリオ

このセクションでは、純粋なIPsec接続を使用してデータセンターに接続する仮想ネットワークで、vSRX仮想ファイアウォール3.0インスタンスをゲートウェイとして起動する導入シナリオについて説明します。

図 4 に、展開シナリオを示します。

図4:IPsec接続を使用したvSRX仮想ファイアウォールの導入シナリオ Deployment Scenario of vSRX Virtual Firewall using an IPsec Connection

pkid プロセスに Microsoft Azure クラウド HSM サービスを使用してキー ペアを生成し、これらのキー ペアを使用して CA サーバーからローカル証明書を取得できます。クラウドHSMサービスに存在するキーペアを、IKEネゴシエーション中のプライベートキーの署名に使用します。

HSM サービスを使用して Microsoft Azure クラウド内で実行される VPN 機能は、 図 5 のようになります。

図 5: Microsoft Azure クラウド Components for VPN with HSM in Microsoft Azure Cloudの HSM を使用した VPN のコンポーネント

ここで関係するコンポーネントは次のとおりです。

  • Microsoft AzureクラウドでリリースされたvSRX仮想ファイアウォール3.0。

  • ピア—Azureクラウドで起動された2番目のvSRX仮想ファイアウォール3.0インスタンス。最初のvSRX仮想ファイアウォール3.0と とピアの間にトンネルが確立されます。

  • Key Vault—Azureクラウドで起動されたHSMサービス。vSRX仮想ファイアウォール3.0とHSMの間で対話を行うことができます。また、ピアはローカルでキーペアを作成して保存できます。

  • 認証局サーバー:vSRX仮想ファイアウォールインスタンスからアクセスできるCAサーバー。CA サーバーが Azure クラウド上で起動されます。

この手順では、クラウドHSMサービスでvSRX仮想ファイアウォールを認証することにより、vSRX仮想ファイアウォールからHSMへのアクセスを許可する手順を説明します。

  1. HSM サービスとのセッションを初期化する — HSM と対話する必要がある各プロセスは、独自の個別のセッションを初期化する必要があります。VPN 機能を使用するには、関連するデバイスごとに HSM サービスとのセッションを 2 つ確立する必要があります。1 つのセッションは pkid プロセスで確立され、もう 1 つのセッションは iked プロセスで確立されます。HSM サービスとのこれらのセッションは、デーモンの初期化プロセス中に一度だけ確立されます。デーモンが再起動されると、HSM サービスとの新しいセッションが確立されます。HSM サービスでセッションが正常に確立されると、有効なセッションコンテキストが返されます。マスター暗号化キー (MEK) が有効になっている場合にのみ、HSM サービスとのセッションが確立されます。各セッションは、vSRX仮想ファイアウォールとクラウドHSM間の安全なTLS接続になります。

  2. HSM でのキーペアの処理 — HSM でキーペアを作成して保存するには、 コマンドを使用します request security pki generate-key-pair certificate-id certificate-id-name <size> <type>

    メモ:

    certificate-id という用語は、生成されたキーペアに関連付けられた単なる識別子です。証明書の作成への接続はまだありません。型とサイズが記述されていない場合は、型のデフォルト値を RSA として、サイズ 2048 が考慮されます。

  3. HSM へのリダイレクト—HSM を有効にすると、同じ CLI コマンドが HSM にリダイレクトされます。指定されたパラメーターを持つ新しいキーペアが HSM で作成されます。各vSRX仮想ファイアウォールで作成されたキーには、各VMのUUIDを使用してタグ付けされます。クラウドポータルにログインし、キーにアクセスして、必要なプロパティ/操作を確認できます。各キーの UUID の形式は、<キー名>_<一意の VM インスタンス ID>です。キーの作成時にキー名を指定する必要があります。VM インスタンスは、HSM サービスでキー ID を一意にする要素です。そのため、 VM インスタンス ID は、稼働中の VM ごとに一意である必要があります。これが保証されているのがMicrosoft Azureです。HSM リダイレクトは時間指定呼び出しであり、数秒以内 x に応答が受信されない場合は、エラー メッセージが表示されます call to HSM failed

  4. 公開キー情報の取得 — HSM でキーペアを作成した後、キーペアの公開キーコンポーネントを取得します。HSM はモジュラスと指数を返します。これらのコンポーネントはEVP_PKEY OpenSSL APIを使用して構造に変換されます。公開キー構造は、キーのハッシュに新しいエントリとして格納されます。このようにして、必要に応じて公開キー コンポーネントをハッシュから取得できます。現在、HSM は重複するキーペアを検出しませんが、代わりにエラーキー ID を再度受信すると、HSM は既存のキーペアを上書きします。このキーペアの上書きを回避するために、公開キーはキー作成自体の時点でハッシュに保存されます。このようにして、重複するキーペアの作成は、HSM を呼び出すことなく、デバイスレベル自体で停止されます。

    以前のキーペアを削除した場合でも、同じ名前を使用して新しいキーペアを作成しようとすると、エラー error: Failed to generate key pair at HSM. Found a key with the same name at HSM. Use a different certificate id next time. Refer to PKID logs for more details が表示されます。

  5. キーペアの削除 — HSM は、HSM で作成されたキーペアを削除する API をサポートしていません。CLI で delete keypair コマンドを発行すると、公開鍵コンポーネントがディスクおよび鍵ハッシュから削除されます。キーペアは HSM から削除されません。HSM からキーペアを削除するには、HSM にアクセスし、キーペアを手動で削除する必要があります。Azure Key Vault で論理的な削除機能が有効になっている場合は、キーペア名を再利用する前に、キーペアからキーペアを削除する必要もあります。

    メモ:

    ファイルからのキーのエクスポートはサポートされていません。およびrequest security pki key-pair exportコマンドを使用してrequest security pki local-certificate exportキーをエクスポートすると、エラーメッセージが表示されますExport of keypairs/certificate is not supported when HSM is enabled

  6. プライベートキーの署名 — プライベートキーが HSM に存在するようになりました。そのため、プライベートキーを必要とするすべての操作が HSM にオフロードされています。操作には以下が含まれます。

    秘密キー署名操作は、次のときに使用されます。

    • 証明書署名要求(CSR)の作成

    • CA から受信したローカル証明書の検証

    • IKE ネゴシエーション中の RSA 署名

    • SHA-1 の相互運用性。Azure キー コンテナーでは、SHA-256 ダイジェストに対してのみ秘密キーの署名がサポートされています。

HSMを使用する場合と使用しない場合のCLIの動作

CLI

Non-HSM

HSM

request security pki generate-key-pair

キーペアをローカルに作成します。

HSM でキーペアを作成します

request security pki generate-certificate-request

CSRをローカルで作成します

CSR の作成中にプライベートキーの署名のために HSM に接続します。ダイジェストは SHA-256 である必要があります

request security pki local-certificate enroll

CSR をローカルで作成します。CSR を CA サーバに送信し、証明書を受信します。

CSR の作成中にプライベートキーの署名のために HSM に接続します。CSR を CA サーバに送信し、証明書を受信します。ダイジェストは SHA-256 である必要があります

request security pki local-certificate export

ローカル証明書を他のデバイスにエクスポート

キーペアがローカルに存在しないため、不可能です

request security pki key-pair export

ローカルに存在するキーペアを他のデバイスにエクスポート

キーペアがローカルに存在しないため、不可能です

request security pki local-certificate generate-self-signed

自己署名証明書の生成

署名のために HSM に連絡し、自己署名証明書を生成します

show security pki local-certificate

デバイスに存在するローカル証明書を表示します

キーペアがローカルまたはクラウドHSMで生成されたことを示します

セキュリティ PKI ローカル証明書登録 SCEP の要求

構文

リリース情報

Junos OS リリース 9.1 で導入されたコマンド。Junos OSリリース12.1X45の件名文字列出力フィールドにシリアル番号(SN)オプションが追加されました。 scep Junos OSリリース15.1X49-D40で追加されたキーワードと ipv6-address オプション。

vSRX仮想ファイアウォール3.0のJunos OSリリース20.1R1以降、Microsoft Azure Key Vaultハードウェアセキュリティモジュール(HSM)サービスを使用して、PKIDとIKEDで使用されるプライベートキーを保護できます。HSM で生成されたキーペアを使用して、PKI ベースの VPN トンネルを確立できます。証明書 ID のハブ certificate-id オプションは、HSM キーペアの生成後の構成には使用できません。

vSRX仮想ファイアウォール3.0のJunos OSリリース20.4R1以降、AWSキー管理サービス(KMS)を使用して、PKIDとIKEDで使用されるプライベートキーを保護できます。KMS によって生成されたキーペアを使用して、PKI ベースの VPN トンネルを確立できます。certificate-id の下のハブ certificate-id オプションは、PKI キーペアを生成した後の設定に使用できません。

Junos OS リリース 22.4R2 以降、 logical-system は PKI SCEP 証明書登録のステートメントで導入されています。

説明

簡易証明書登録プロトコル (SCEP) を使用して、ローカルのデジタル証明書をオンラインで登録およびインストールします。

または cmpv2 キーワードを指定scepせずにコマンドを入力しrequest security pki local-certificate enrollた場合、SCEP がローカル証明書を登録するデフォルトの方法です。

オプション

ca-profile ca-profile-name

CA プロファイル名。

certificate-id certificate-id-name

ローカル・デジタル証明書および公開鍵と秘密鍵のペアの名前。

challenge-password password

管理者によって設定され、通常は CA の SCEP 登録 Web ページから取得されるパスワード。パスワードの長さは最大 256 文字です。必要な文字に制限を適用できます。

digest (sha-1 | sha-256)

RSA 証明書の署名に使用されるハッシュ アルゴリズム(SHA-1 または SHA-256)。SHA-1 がデフォルトです。

domain-name domain-name

完全修飾ドメイン名 (FQDN)。FQDN は、インターネット キー交換 (IKE) ネゴシエーションの証明書所有者の ID を提供し、サブジェクト名の代替手段を提供します。

email email-address

認証所有者の電子メール アドレス。

ip-address ip-address

ルーターのIPアドレス。

ipv6-address ipv6-address

代替サブジェクトのルーターの IPv6 アドレス。

logical-system (logical-system-name | all)

論理システムの名前またはすべて。これは任意です。

scep-digest-algorithm (md5 | sha-1)

ハッシュ アルゴリズム ダイジェスト(MD5 または SHA-1)。SHA-1 がデフォルトです。

scep-encryption-algorithm (des | des3)

DES または DES3 の暗号化アルゴリズム。デフォルトは DES3 です。

subject subject-distinguished-name

ドメイン コンポーネント、共通名、部門、シリアル番号、会社名、都道府県、および国を DC、CN、OU、O、SN、L、ST、C の形式で含む識別名 (DN) 形式。

  • DC- ドメインコンポーネント

  • CN- 共通名

  • OU- 組織単位名

  • O—組織名

  • SN- デバイスのシリアル番号

    サブジェクトフィールドでシリアル番号なしでSNを定義すると、シリアル番号がデバイスから直接読み取られ、証明書署名要求(CSR)に追加されます。

  • ST—州

  • C—国

必要な権限レベル

メンテナンスとセキュリティ

出力フィールド

このコマンドを入力すると、リクエストステータスに関するフィードバックが提供されます。

サンプル出力

コマンド名

サンプル出力

vSRX仮想ファイアウォール3.0の出力例