Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

인증서 해지 상태를 위해 OCSP를 사용하여 IPsec VPN 구성

이 예는 OCSP(Online Certificate Status Protocol)를 사용하여 두 피어를 구성하여 IPsec VPN 터널의 1단계 협상에서 사용되는 인증서의 해지 상태를 확인하여 보안을 개선하는 방법을 보여줍니다.

요구 사항

각 디바이스에서 다음을 수행합니다.

  • 로컬 인증서를 획득하고 등록합니다. 이는 수동으로 또는 SCEP(Simple Certificate Enrollment Protocol)를 사용하여 수행될 수 있습니다.

  • 선택적으로 로컬 인증서의 자동 갱신을 활성화합니다.

  • 피어 디바이스에서 트래픽을 허용하도록 보안 정책을 구성합니다.

개요

두 피어 모두에서 인증 기관(CA) 프로필 OCSP-ROOT는 다음 옵션으로 구성됩니다.

  • CA 이름은 OCSP-ROOT입니다.

  • 등록 URL이 http://10.1.1.1:8080/scep/OCSP-ROOT/. 이것은 CA에 대한 SCEP 요청이 전송되는 URL입니다.

  • OCSP 서버 URL은 http://10.157.88.56:8210/OCSP-ROOT/.

  • OCSP는 인증서 해지 상태를 확인하기 위해 먼저 사용됩니다. OCSP 서버에서 응답이 없는 경우, CRL(인증서 해지 목록)을 사용하여 상태를 확인합니다. CRL URL은 http://10.1.1.1:8080/crl-as-der/currentcrl-45.crlid=45.

  • OCSP 응답에서 수신된 CA 인증서는 인증서 해지 확인을 받지 않습니다. OCSP 응답에서 수신된 인증서는 일반적으로 수명이 더 짧으며 해지 검사가 필요하지 않습니다.

표 1 은(는) 이 예에서 사용된 1단계 옵션을 보여줍니다.

표 1: OCSP 구성 예에 대한 1단계 옵션

옵션

피어 A

피어 B

IKE(Internet Internet Internet) 제안

ike_prop

ike_prop

인증 방법

RSA 시그니처

RSA 시그니처

DH 그룹

group2

group2

인증 알고리즘

SHA 1

SHA 1

암호화 알고리즘

3DES CBC

3DES CBC

IKE 정책

ike_policy

ike_policy

모드

공격적

공격적

제안

ike_prop

ike_prop

인증서

local-certificate localcert1

local-certificate localcert1

IKE 게이트웨이

jsr_gateway

jsr_gateway

정책

ike_policy

ike_policy

게이트웨이 주소

198.51.100.50

192.0.2.50

원격 ID

localcert11.example.net

-

로컬 ID

-

localcert11.example.net

외부 인터페이스

reth1

ge-0/0/2.0

버전

v2

v2

표 2 은(는) 이 예에서 사용된 2단계 옵션을 보여줍니다.

표 2: OCSP 구성 예에 대한 2단계 옵션

옵션

피어 A

피어 B

IPsec 제안

ipsec_prop

ipsec_prop

프로토콜

ESP

ESP

인증 알고리즘

HMAC SHA1-96

HMAC SHA1-96

암호화 알고리즘

3DES CBC

3DES CBC

수명 초

1200

1200

수명 킬로바이트

150,000

150,000

IPsec 정책

ipsec_policy

ipsec_policy

PFC 키

group2

group2

제안

ipsec_prop

ipsec_prop

VPN

test_vpn

test_vpn

바인딩 인터페이스

st0.1

st0.1

IKE 게이트웨이

jsr_gateway

jsr_gateway

정책

ipsec_policy

ipsec_policy

터널 설정

-

즉시

토폴로지

그림 1 은(는) 이 예에서 구성된 피어 디바이스를 보여줍니다.

그림 1: OCSP 구성 예OCSP 구성 예

구성

피어 A 구성

CLI 빠른 구성

OCSP를 사용하도록 VPN 피어 A를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브랩을 제거하고, 네트워크 구성과 일치하기 위해 필요한 세부 사항을 변경하고, 명령을 복사하여 [edit] 계층 수준의 CLI에 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

OCSP를 사용하도록 VPN 피어 A를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. CA 프로필을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

결과

구성 모드에서 , , show security pki ca-profile OCSP-ROOTshow security ikeshow security ipsec 명령을 입력show interfaces하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

피어 B 구성

CLI 빠른 구성

OCSP를 사용하도록 VPN 피어 B를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브랩을 제거하고, 네트워크 구성과 일치하기 위해 필요한 세부 사항을 변경하고, 명령을 복사하여 [edit] 계층 수준의 CLI로 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

OCSP를 사용하도록 VPN 피어 B를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. CA 프로필을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

결과

구성 모드에서 , , show security pki ca-profile OCSP-ROOTshow security ikeshow security ipsec 명령을 입력show interfaces하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인합니다.

CA 인증서 확인

목적

각 피어 디바이스에서 CA 인증서의 유효성을 확인합니다.

실행

운영 모드에서 또는 show security pki ca-certificate ca-profile OCSP-ROOT detail 명령을 입력 show security pki ca-certificate ca-profile OCSP-ROOT 합니다.

이 예에서 IP 주소는 CA 프로필 구성의 URL에 사용됩니다. IP 주소가 CA에서 발급한 인증서 또는 CA 인증서와 함께 사용되지 않는 경우, 디바이스의 구성에서 DNS를 구성해야 합니다. DNS는 배포 CRL 및 CA 프로필 구성의 CA URL에서 호스트를 해결할 수 있어야 합니다. 또한, 해지 검사를 받으려면 동일한 호스트에 대한 네트워크 연결성을 갖추어야 합니다.

의미

출력은 다음과 같이 각 피어에 CA 인증서의 세부 사항과 유효성을 보여줍니다.

  • C—국가.

  • O—조직.

  • CN-공통 이름.

  • Not before—유효 날짜 시작.

  • Not after—유효 날짜 종료일.

로컬 인증서 확인

목적

각 피어 디바이스에서 로컬 인증서의 유효성을 확인합니다.

실행

운영 모드에서 명령을 입력합니다 show security pki local-certificate certificate-id localcert1 detail .

의미

출력은 다음과 같이 각 피어에서 로컬 인증서의 세부 사항과 유효성을 보여줍니다.

  • DC—도메인 구성 요소.

  • CN-공통 이름.

  • OU—조직 단위.

  • O—조직.

  • L—지역성

  • ST-상태.

  • C—국가.

  • Not before—유효 날짜 시작.

  • Not after—유효 날짜 종료일.

IKE(Internet Internet) 1단계 상태 확인

목적

각 피어 디바이스에서 IKE(Internet Internet) 1단계 상태를 확인합니다.

실행

운영 모드에서 명령을 입력합니다 show security ike security-associations .

운영 모드에서 명령을 입력합니다 show security ike security-associations detail .

의미

flags 출력의 필드는 IKE 보안 연결이 생성되는 것을 보여줍니다.

IPsec 2단계 상태 확인

목적

각 피어 디바이스에서 IPsec 2단계 상태를 확인합니다.

실행

운영 모드에서 명령을 입력합니다 show security ipsec security-associations .

운영 모드에서 명령을 입력합니다 show security ipsec security-associations detail .

의미

출력에는 ipsec 보안 연결 세부 정보가 표시됩니다.

관련 항목