Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

인증서 해지 상태를 위해 OCSP를 사용하여 IPsec VPN 구성

이 예는 IPSec VPN 터널에 대한 1단계 협상에서 사용된 인증서의 해지 상태를 확인하도록 OCSP(Online Certificate Status Protocol)를 사용하여 두 피어를 구성함으로써 보안을 향상시키는 방법을 보여줍니다.

요구 사항

각 장치에서 다음을 수행합니다.

  • 로컬 인증서를 얻어 등록합니다. 이 작업은 수동으로 수행하거나 SCEP(단순 인증서 등록 프로토콜)를 사용하여 수행할 수 있습니다.

  • 필요에 따라 로컬 인증서의 자동 갱신을 사용하도록 설정합니다.

  • 피어 디바이스와의 트래픽을 허용하도록 보안 정책을 구성합니다.

개요

두 피어 모두에서 인증 기관(CA) 프로필 OCSP-ROOT는 다음 옵션으로 구성됩니다.

  • CA 이름은 OCSP-ROOT입니다.

  • 등록 URL은 http://10.1.1.1:8080/scep/OCSP-ROOT/ 입니다. CA에 대한 SCEP 요청이 전송되는 URL입니다.

  • OCSP 서버의 URL은 http://10.157.88.56:8210/OCSP-ROOT/ 입니다.

  • 먼저 OCSP를 사용하여 인증서 해지 상태를 확인합니다. OCSP 서버로부터 응답이 없는 경우 CRL(인증서 해지 목록)을 사용하여 상태를 확인합니다. CRL URL은 http://10.1.1.1:8080/crl-as-der/currentcrl-45.crlid=45 입니다.

  • OCSP 응답으로 받은 CA 인증서의 인증서 해지가 확인되지 않습니다. OCSP 응답에서 수신된 인증서는 일반적으로 수명이 더 짧으며 해지 확인이 필요하지 않습니다.

표 1 은(는) 이 예에서 사용된 1단계 옵션을 보여줍니다.

표 1: OCSP 구성에 대한 1단계 옵션 예

옵션

피어 A

피어 B

IKE(Internet Key Exchange) 제안

ike_prop

ike_prop

인증 방법

RSA 서명

RSA 서명

DH 그룹

group2

group2

인증 알고리즘

SHA 1 (한국어판)

SHA 1 (한국어판)

암호화 알고리즘

3DES CBC

3DES CBC

IKE(Internet Key Exchange) 정책

ike_policy

ike_policy

모드

적극적

적극적

제안

ike_prop

ike_prop

인증서

로컬 인증서 localcert1

로컬 인증서 localcert1

IKE(Internet Key Exchange) 게이트웨이

jsr_gateway

jsr_gateway

정책

ike_policy

ike_policy

게이트웨이 주소

198.51.100.50

192.0.2.50

원격 ID

localcert11.example.net

-

로컬 ID

-

localcert11.example.net

외부 인터페이스

레트1

ge-0/0/2.0

버전

v2

v2 버전

표 2 은(는) 이 예에서 사용된 2단계 옵션을 보여줍니다.

표 2: OCSP 구성에 대한 2단계 옵션 예

옵션

피어 A

피어 B

IPsec 제안

ipsec_prop

ipsec_prop

프로토콜

ESP

ESP

인증 알고리즘

HMAC SHA1-96

HMAC SHA1-96

암호화 알고리즘

3DES CBC

3DES CBC

라이프타임 초(초)

1200

1200

수명 킬로바이트

150,000

150,000

IPsec 정책

ipsec_policy

ipsec_policy

PFC 키

group2

group2

제안

ipsec_prop

ipsec_prop

VPN

test_vpn

test_vpn

바인드 인터페이스

st0.1

st0.1

IKE(Internet Key Exchange) 게이트웨이

jsr_gateway

jsr_gateway

정책

ipsec_policy

ipsec_policy

터널 설정

-

즉시

토폴로지

그림 1 은(는) 이 예에서 구성된 피어 디바이스를 보여줍니다.

그림 1: OCSP 구성 예OCSP 구성 예

구성

피어 A 구성

CLI 빠른 구성

OCSP를 사용하도록 VPN 피어 A를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣고, 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 명령을 복사하여 [] 계층 수준의 CLI에 붙여넣은 다음 구성 모드에서 입력합니다 .editcommit

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

OCSP를 사용하도록 VPN 피어 A를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. CA 프로필을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

결과

구성 모드에서 show interfaces, show security pki ca-profile OCSP-ROOT, show security ikeshow security ipsec 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

피어 B 구성

CLI 빠른 구성

OCSP를 사용하도록 VPN 피어 B를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 명령을 복사하여 [] 계층 수준의 CLI에 붙여넣고, 구성 모드에서 을 입력합니다 .editcommit

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

OCSP를 사용하도록 VPN 피어 B를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. CA 프로필을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

결과

구성 모드에서 show interfaces, show security pki ca-profile OCSP-ROOT, show security ikeshow security ipsec 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

CA 인증서 확인

목적

각 피어 디바이스에서 CA 인증서의 유효성을 확인합니다.

작업

운영 모드에서 또는 명령을 입력합니다.show security pki ca-certificate ca-profile OCSP-ROOTshow security pki ca-certificate ca-profile OCSP-ROOT detail

이 예에서 IP 주소는 CA 프로필 구성의 URL에 사용됩니다. IP 주소가 CA 발급 인증서 또는 CA 인증서와 함께 사용되지 않는 경우 디바이스 구성에서 DNS를 구성해야 합니다. DNS는 배포 CRL 및 CA 프로필 구성의 CA URL에서 호스트를 확인할 수 있어야 합니다. 또한 해지 검사를 받으려면 동일한 호스트에 대한 네트워크 연결이 가능해야 합니다.

의미

출력은 다음과 같이 각 피어에서 CA 인증서의 세부 사항과 유효성을 보여줍니다.

  • C—국가.

  • O—조직.

  • CN- 일반 이름입니다.

  • Not before- 유효 시작 날짜입니다.

  • Not after- 유효 종료 날짜입니다.

로컬 인증서 확인

목적

각 피어 디바이스에서 로컬 인증서의 유효성을 확인합니다.

작업

운영 모드에서 show security pki local-certificate certificate-id localcert1 detail 명령을 입력합니다.

의미

출력은 다음과 같이 각 피어에서 로컬 인증서의 세부 사항과 유효성을 보여줍니다.

  • DC- 도메인 구성 요소.

  • CN- 일반 이름입니다.

  • OU- 조직 구성 단위.

  • O—조직.

  • L- 구/군/시

  • ST- 상태.

  • C—국가.

  • Not before- 유효 시작 날짜입니다.

  • Not after- 유효 종료 날짜입니다.

IKE(Internet Key Exchange) 1단계 상태 확인

목적

각 피어 디바이스에서 IKE(Internet Key Exchange) 1단계 상태를 확인합니다.

작업

운영 모드에서 show security ike security-associations 명령을 입력합니다.

운영 모드에서 show security ike security-associations detail 명령을 입력합니다.

의미

출력의 필드는 IKE(Internet Key Exchange) 보안 연결이 생성되었음을 보여줍니다.flags

IPsec 2단계 상태 확인

목적

각 피어 디바이스에서 IPsec 2단계 상태를 확인합니다.

작업

운영 모드에서 show security ipsec security-associations 명령을 입력합니다.

운영 모드에서 show security ipsec security-associations detail 명령을 입력합니다.

의미

출력에는 ipsec 보안 연결 세부 정보가 표시됩니다.