Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

인증서 해지 상태를 위해 OCSP를 사용하는 IPsec VPN 구성

다음 예제에서는 OCSP(Online Certificate Status Protocol)를 사용하여 2개의 피어를 구성하여 IPsec VPN 터널에 대한 1단계 협상에 사용된 인증서의 취소 상태를 검사하여 보안을 향상시키는 방법을 보여줍니다.

요구 사항

각 디바이스에서:

  • 로컬 인증서를 획득하고 등록하십시오. 이는 수동으로 수행하거나 SCEP(Simple Certificate Enrollment Protocol)를 사용하여 수행될 수 있습니다.

  • 선택적으로 로컬 인증서를 자동 갱신할 수 있습니다.

  • 피어 디바이스와 트래픽을 허용하도록 보안 정책을 구성합니다.

개요

두 피어 모두, 인증서 기관(CA(certificate authority)) 프로파일 OCSP-ROOT는 다음과 같은 옵션으로 구성됩니다.

  • CA(certificate authority) 이름은 OCSP-ROOT입니다.

  • 등록 URL은 http://10.1.1.1:8080/scep/OCSP-ROOT/. 이것은 SCEP가 요청하는 CA(certificate authority) URL입니다.

  • OCSP 서버의 URL은 http://10.157.88.56:8210/OCSP-ROOT/.

  • OCSP는 먼저 인증서 해지 상태를 검사하는 데 사용됩니다. OCSP 서버의 응답이 없는 경우 CRL(Certificate Revocation List)이 상태를 검사하는 데 사용됩니다. CRL URL은 http://10.1.1.1:8080/crl-as-der/currentcrl-45.crlid=45.

  • OCSP 응답에서 CA(certificate authority) 수신된 인증서는 인증서 해지를 위해 체크되지 않습니다. OCSP 응답에서 수신된 인증서의 수명은 일반적으로 짧아지며 해지 검사를 요구하지 않습니다.

표 1 이 예에서 사용된 1단계 옵션을 보여줍니다.

표 1: 1단계 OCSP 구성 옵션 예

옵션

피어 A

피어 B

IKE(Internet Key Exchange) 제안

ike_prop

ike_prop

인증 방법

RSA 서명

RSA 서명

DH 그룹

group2

group2

인증 알고리즘

SHA 1

SHA 1

암호화 알고리즘

3DES CBC

3DES CBC

IKE(Internet Key Exchange) 정책

ike_policy

ike_policy

모드

공격적

공격적

제안

ike_prop

ike_prop

인증서

로컬 인증서 로컬 인증서1

로컬 인증서 로컬 인증서1

IKE(Internet Key Exchange) 게이트웨이

jsr_gateway

jsr_gateway

정책

ike_policy

ike_policy

게이트웨이 주소

198.51.100.50

192.0.2.50

원격 ID

localcert11.example.net

-

로컬 ID

-

localcert11.example.net

외부 인터페이스

reth1

ge-0/0/2.0

버전

v2

v2

표 2 이 예에서 사용된 2단계 옵션을 보여줍니다.

표 2: OCSP 구성을 위한 2단계 옵션 예

옵션

피어 A

피어 B

IPsec 제안

ipsec_prop

ipsec_prop

프로토콜

ESP

ESP

인증 알고리즘

HMAC SHA1-96

HMAC SHA1-96

암호화 알고리즘

3DES CBC

3DES CBC

수명 초

1200

1200

수명 킬로바이트

150,000

150,000

IPsec 정책

ipsec_policy

ipsec_policy

PFC 키

group2

group2

제안

ipsec_prop

ipsec_prop

VPN

test_vpn

test_vpn

바인드 인터페이스

st0.1

st0.1

IKE(Internet Key Exchange) 게이트웨이

jsr_gateway

jsr_gateway

정책

ipsec_policy

ipsec_policy

터널 설정

-

즉시

토폴로지

그림 1 이 예제에서 구성된 피어 디바이스를 보여줍니다.

그림 1: OCSP 구성 예OCSP 구성 예

구성

피어 A 구성

CLI 빠른 구성

OCSP를 사용하기 위해 VPN 피어 A를 신속하게 구성하려면 다음 명령을 복사하고, 텍스트 파일에 붙여넣기하고, 라인 브레이크를 제거하고, 네트워크 구성과 일치하는 데 필요한 모든 세부 정보를 변경하고, [ ] 계층 수준에서 CLI 명령어를 복제하여 붙여넣기한 다음 구성 모드에서 editcommit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 Junos OS CLI 참조하십시오.

OCSP를 사용하도록 VPN 피어 A를 구성하는 경우:

  1. 인터페이스를 구성합니다.

  2. CA(certificate authority) 프로필을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show interfacesshow security pki ca-profile OCSP-ROOTshow security ikeshow security ipsec 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

피어 B 구성

CLI 빠른 구성

OCSP를 사용하도록 VPN 피어 B를 신속하게 구성하려면 다음 명령을 복사하고, 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [ ] 계층 수준에서 명령어를 CLI 복제 및 붙여넣기한 다음 구성 모드에서 editcommit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 Junos OS CLI 참조하십시오.

OCSP를 사용하도록 VPN 피어 B를 구성하는 경우:

  1. 인터페이스를 구성합니다.

  2. CA(certificate authority) 프로필을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show interfacesshow security pki ca-profile OCSP-ROOTshow security ikeshow security ipsec 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

인증 CA(certificate authority) 검증

목적

각 피어 디바이스에서 CA(certificate authority) 인증서의 유효성을 확인합니다.

실행

작동 모드에서 명령 또는 show security pki ca-certificate ca-profile OCSP-ROOT 명령을 show security pki ca-certificate ca-profile OCSP-ROOT detail 입력합니다.

이 예에서 IP 주소는 CA(certificate authority) URL에서 사용됩니다. 발행된 인증서 또는 CA(certificate authority) IP 주소와 CA(certificate authority) 없는 경우, DNS를 디바이스 구성에서 구성해야 합니다. DNS는 분산 CRL 및 CA(certificate authority) 프로파일 구성의 url에서 호스트를 CA(certificate authority) 수 있어야 합니다. 또한 해지 검사를 받기 위해 동일한 호스트에 대한 네트워크 연결도 제공해야 합니다.

의미

출력에는 각 피어에서 CA(certificate authority) 인증서의 세부 정보 및 유효성이 다음과 같이 표시되어 있습니다.

  • C—국가.

  • O—조직.

  • CN—이름.

  • Not before—유효 일자(validity)를 시작해야 합니다.

  • Not after—유효 기간 종료일.

로컬 인증서 검증

목적

각 피어 디바이스에서 로컬 인증서의 유효성을 검증합니다.

실행

작동 모드에서 명령어를 show security pki local-certificate certificate-id localcert1 detail 입력합니다.

의미

출력에는 각 피어에 있는 로컬 인증서의 세부 사항 및 유효성이 다음과 같이 표시됩니다.

  • DC—도메인 구성 요소.

  • CN—이름.

  • OU—조직 단위.

  • O—조직.

  • L—지역

  • ST—주(State)

  • C—국가.

  • Not before—유효 일자(validity)를 시작해야 합니다.

  • Not after—유효 기간 종료일.

1단계 IKE(Internet Key Exchange) 검증

목적

각 피어 디바이스에서 IKE(Internet Key Exchange) 1단계 상태를 확인합니다.

실행

작동 모드에서 명령어를 show security ike security-associations 입력합니다.

작동 모드에서 명령어를 show security ike security-associations detail 입력합니다.

의미

출력 flags 필드에 보안 연결(IKE(Internet Key Exchange))이 생성되어 있는 것으로 나타졌습니다.

IPsec 2단계 상태 확인

목적

각 피어 디바이스에서 IPsec Phase 2 상태를 확인합니다.

실행

작동 모드에서 명령어를 show security ipsec security-associations 입력합니다.

작동 모드에서 명령어를 show security ipsec security-associations detail 입력합니다.

의미

출력은 ipsec 보안 연결 세부 사항을 보여줍니다.