Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VMware用のvSRX仮想ファイアウォール.ovaファイルを検証する

vSRX仮想ファイアウォールのオープンな仮想アプリケーション(OVA)イメージは、安全に署名されています。必要に応じてOVAイメージを検証できますが、OVAイメージを検証せずにvSRX仮想ファイアウォールをインストールまたはアップグレードできます。

OVA イメージを検証する前に、検証を実行する Linux/UNIX PC または Windows PC に、tar、openssl、および ovftool のユーティリティが使用可能であることを確認してください。

Linux マシンで OVA イメージを検証するには、次の手順を実行します。

  1. vSRX仮想ファイアウォールのジュニパーネットワークスソフトウェアのダウンロードページから、vSRX仮想ファイアウォールOVAイメージとジュニパーネットワークスルート証明書ファイル(JuniperRootRSACA.pem)をダウンロードします。
    手記:

    ジュニパーネットワークスのルート証明書ファイルは一度だけダウンロードする必要があります。同じファイルを使用して、vSRX仮想ファイアウォールの今後のリリースのOVAイメージを検証できます。

  2. (オプション)OVA イメージと証明書ファイルを Windows を実行している PC にダウンロードした場合は、Linux または UNIX を実行している PC の一時ディレクトリに 2 つのファイルをコピーします。OVAイメージと証明書ファイルをvSRX仮想ファイアウォールノードの一時ディレクトリ(/var/tmp または /tmp)にコピーすることもできます。

    検証手順中に、OVA イメージ ファイルとジュニパーネットワークス ルート証明書ファイルが変更されていないことを確認します。これを行うには、これらのファイルへの書き込みアクセス権を、検証手順を実行するユーザーのみに与えます。 /tmp/var/tmp などのアクセス可能な一時ディレクトリを使用する場合、このようなディレクトリには複数のユーザーがアクセスできるため、これは特に重要です。検証手順中に他のユーザーによってファイルが変更されないように予防策を講じてください。

  3. OVA イメージを含むディレクトリに移動します。

    -bash-4.1$ ls

  4. 次のコマンドを実行して、OVA イメージを解凍します。 tar xf ova-filename

    ここで、 ova-filename は以前にダウンロードした OVA イメージのファイル名です。

    -bash-4.1$ mkdir tmp

    -bash-4.1$ cd tmp

    -bash-4.1$ tar xf ../junos-vsrx-15.1X49-DXX.4-domestic.ova

  5. 解凍されたOVAイメージに、証明書チェーンファイル(certchain.pem)とシグネチャファイル(vsrx.cert)が含まれていることを確認します。

    -bash-4.1$ ls

  6. 次のコマンドを実行して、解凍された OVF ファイル (拡張子 .ovf) を検証しますovftool ovf-filename

    ここで、 ovf-filename は、以前にダウンロードした OVA イメージに含まれる解凍された OVF ファイルのファイル名です。

    -bash-4.1$ /usr/lib/vmware-ovftool/ovftool junos-vsrx-15.1X49-DXX.4-domestic.ovf

  7. 次のコマンドを実行して、ジュニパーネットワークスのルート CA ファイルで署名証明書を検証します。

    openssl verify -CAfile JuniperRootRSACA.pem -untrusted Certificate-Chain-File Signature-file

    ここで、JuniperRootRSACA.pemはジュニパーネットワークスのルートCAファイル、Certificate-Chain-Fileは解凍された証明書チェーンファイルのファイル名(拡張子は.pem)、Signature-fileは解凍された署名ファイルのファイル名(拡張子は.cert)です。

    -bash-4.1$ openssl verify -CAfile ../JuniperRootCA.pem -untrusted certchain.pem junos-vsrx-15.1X49-DXX.4-domestic.cert

  8. (オプション)OVA イメージで検証の問題が発生した場合は、次の手順を実行します。

    1. OVAイメージの内容が変更されたかどうかを確認します。内容が変更されている場合は、vSRX仮想ファイアウォールのダウンロードページからOVAイメージをダウンロードします。

    2. ジュニパーネットワークスのルートCAファイルが破損していないか、変更されていないかを確認します。破損または変更されている場合は、vSRX仮想ファイアウォールのダウンロードページから証明書ファイルをダウンロードします。

    3. 一方または両方の新しいファイルを使用して、上記の検証手順を再試行します。