Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VMware 向け vSRX 仮想ファイアウォール .ova ファイルを検証します。

vSRX 仮想ファイアウォール OVA(Open Virtual Application)イメージは安全に署名されています。必要に応じてOVAイメージを検証できますが、OVAイメージを検証せずにvSRX仮想ファイアウォールをインストールまたはアップグレードできます。

OVAイメージを検証する前に、検証を実行するLinux/UNIX PCまたはWindows PCに、tar、openssl、ovftoolのユーティリティが用意されていることを確認してください。ソフトウェアダウンロードリンクを含む、OVF(VMware Open Virtualization Format)ツールの詳細については、OVFツール のドキュメント を参照してください。

LinuxマシンでOVAイメージを検証するには、次の手順にしたがっています。

  1. vSRX仮想ファイアウォールOVAイメージと、vSRX仮想ファイアウォールのジュニパーネットワークスソフトウェアダウンロードページから、ジュニパーネットワークスのルート証明書ファイル(JuniperRootRSACA.pem)をダウンロードします。
    メモ:

    Juniper Networks Root 証明書ファイルを 1 回だけダウンロードする必要があります。同じファイルを使用して、vSRX仮想ファイアウォールの将来のリリースでOVAイメージを検証できます。

  2. (オプション)OVA イメージと証明書ファイルを Windows を実行している PC にダウンロードした場合は、Linux または UNIX を実行している PC 上の一時ディレクトリに 2 つのファイルをコピーします。vSRX仮想ファイアウォールノードの一時ディレクトリ(/var/tmp または /tmp)にOVAイメージと証明書ファイルをコピーすることもできます。

    検証手順中に、OVAイメージファイルとジュニパーネットワークスルート証明書ファイルが変更されていないことを確認します。検証手順を実行するユーザーにのみ、これらのファイルへの書き込みアクセスを提供することで、これを行うことができます。このようなディレクトリは複数のユーザーがアクセスできるため、 /tmp/var/tmpなどのアクセス可能な一時ディレクトリを使用する場合、これは特に重要です。検証手順中に、ファイルが他のユーザーによって変更されないように予防策を講じる。

  3. OVA イメージを含むディレクトリに移動します。

    -bash-4.1$ ls

  4. 以下のコマンドを実行して、OVA イメージをアンパックします。 tar xf ova-filename

    ova-filename 、以前にダウンロードされたOVA画像のファイル名です。

    -bash-4.1$ mkdir tmp

    -bash-4.1$ cd tmp

    -bash-4.1$ tar xf ../junos-vsrx-15.1X49-DXX.4-domestic.ova

  5. アンパックされた OVA イメージに証明書チェーン ファイル(certchain.pem)と署名ファイル(vsrx.cert)が含まれていることを確認します。

    -bash-4.1$ ls

  6. 次のコマンドを実行して、展開した OVF ファイル(拡張子が .ovf)を検証します。 ovftool ovf-filename

    ovf-filename 、前にダウンロードしたOVA画像に含まれるアンパックされたOVFファイルのファイル名です。

    -bash-4.1$ /usr/lib/vmware-ovftool/ovftool junos-vsrx-15.1X49-DXX.4-domestic.ovf

  7. 次のコマンドを実行して、Juniper Networks Root CAファイルを使用して署名証明書を検証します。

    openssl verify -CAfile JuniperRootRSACA.pem -untrusted Certificate-Chain-File Signature-file

    JuniperRootRSACA.pemは、Juniper Networks Root CAファイルであり、Certificate-Chain-File展開された証明書チェーンファイル(拡張子.pem)のファイル名であり、Signature-file展開された署名ファイル(拡張子は.cert)のファイル名です。

    -bash-4.1$ openssl verify -CAfile ../JuniperRootCA.pem -untrusted certchain.pem junos-vsrx-15.1X49-DXX.4-domestic.cert

  8. (オプション)OVAイメージで検証の問題が発生した場合:
    1. OVA イメージの内容が変更されているかどうかの判別。コンテンツが変更された場合は、vSRX仮想ファイアウォールのダウンロードページからOVAイメージをダウンロードします。

    2. ジュニパーネットワークスのルート CA ファイルが破損しているか変更されているかを判断します。vSRX仮想ファイアウォールのダウンロードページから証明書ファイルをダウンロードします。

    3. 1 つまたは両方の新しいファイルを使用して、前述の検証手順を再試行してください。