이 페이지의 내용
IPsec에 디지털 인증서 사용
IPsec에 디지털 인증서 사용
네트워크 관리자가 IPsec 네트워크를 확장하는 데 널리 사용되는 방법은 미리 공유한 키 대신 디지털 인증서를 사용하는 것입니다. 네트워크에서 디지털 인증서를 사용하려면 운영 모드 명령과 구성 명령문을 조합하여 사용해야 합니다. 다음 작업을 통해 M 시리즈 및 T 시리즈 라우터에 설치된 AS 및 멀티서비스 PIC에서 디지털 인증서를 구현할 수 있습니다.
또한보십시오
CA 프로필 구성
CA 프로필에는 CA 또는 RA의 이름 및 URL과 일부 재시도 타이머 설정이 포함되어 있습니다. Entrust, VeriSign 및 Microsoft에서 발급한 CA 인증서는 모두 M 시리즈 및 T 시리즈 라우터와 호환됩니다. CA 또는 RA의 도메인 이름을 구성하려면 계층 수준에서 문을 [edit security pki ca-profile ca-profile-name]
포함합니다ca-identity
. CA의 URL을 구성하려면 계층 수준에서 문을 [edit security pki ca-profile ca-profile-name enrollment]
포함합니다url
. 라우터가 수행해야 하는 등록 시도 횟수를 구성하려면 계층 수준에서 문을 [edit security pki ca-profile ca-profile-name enrollment]
포함합니다retry
. 등록 시도 사이에 라우터가 대기해야 하는 시간을 구성하려면 계층 수준에서 문을 [edit security pki ca-profile ca-profile-name enrollment]
포함합니다retry-interval
.
[edit security pki] ca-profile ca-profile-name { ca-identity ca-identity; enrollment { url url-name; retry number-of-enrollment-attempts; # The range is 0 though 100 attempts. retry-interval seconds; # The range is 0 though 3600 seconds. } }
전체 PKI(공개 키 인프라) 구성을 삭제하면 디바이스의 모든 CA 인증서가 예상대로 삭제되지 않습니다. 이러한 CA 인증서는 CA 프로필을 다시 생성한 후에 액세스할 수 있습니다.
인증서 해지 목록 구성
CRL(인증서 해지 목록)에는 만료 날짜 전에 취소된 디지털 인증서 목록이 포함되어 있습니다. 참여 피어는 디지털 인증서를 사용할 때 인증서 서명과 유효성을 확인합니다. 또한 가장 최근에 발급된 CRL을 획득하고 인증서 일련 번호가 해당 CRL에 없는지 확인합니다. 기본적으로 CRL 검증은 Junos OS 릴리스 8.1 이상에서 실행되는 모든 CA 프로필에서 활성화됩니다. CRL 확인을 비활성화하려면 계층 수준에서 [edit security pki ca-profile ca-profile-name revocation-check] 문을 포함합니다disable
.
CA가 현재 CRL을 저장하는 LDAP(Lightweight Directory Access Protocol) 서버의 URL을 지정하려면 [edit security pki ca-profile ca-profile-name revocation-check crl] 계층 수준에 문을 포함합니다url
. LDAP 서버가 CRL에 액세스하기 위해 암호를 요구하는 경우 [edit security pki ca-profile ca-profile-name revocation-check crl url] 계층 수준에 문을 포함합니다password
.
인증서에 CDP(인증서 배포 지점)가 포함된 경우 LDAP 서버의 URL을 지정할 필요가 없습니다. CDP는 인증서에 대한 CRL을 검색하는 방법에 대한 정보가 포함된 인증서 내의 필드입니다. 라우터는 이 정보를 사용하여 CRL을 자동으로 다운로드합니다. 구성하는 모든 LDAP URL은 인증서에 포함된 CDP보다 우선합니다.
CRL을 수동으로 다운로드한 경우 라우터에 수동으로 설치해야 합니다. CRL을 수동으로 설치하려면 명령을 실행합니다 request security pki crl load ca-profile ca-profile-name filename path/filename
.
CRL 업데이트 간의 시간 간격을 구성하려면 계층 수준에서 [edit security ca-profile ca-profile-name revocation-check crl] 문을 포함합니다refresh-interval
.
기본 동작을 무시하고 CRL 다운로드에 실패할 때 IPsec 피어 인증이 계속되도록 허용하려면 계층 수준에서 [edit security ca-profile ca-profile-name revocation-check crl] 문을 포함합니다disable on-download-failure
.
[edit security pki ca-profile ca-profile-name] revocation-check { disable; crl { disable on-download-failure; refresh-interval number-of-hours { # The range is 0 through 8784 hours. url { url-name; password; } } } }