Solicitud de un certificado digital de CA
Solicitud de un certificado digital de CA
Puede solicitar un certificado digital de CA en línea o manualmente. Para solicitar un certificado digital de una CA o RA en línea mediante SCEP, ejecute el request security pki ca-certificate enroll ca-profile ca-profile-name comando.
Si obtuvo el certificado digital de CA manualmente a través del correo electrónico u otro mecanismo fuera de banda, debe cargarlo manualmente. Para instalar manualmente un certificado en el enrutador, ejecute el request security pki ca-certificate load ca-profile profile_name filename /path/filename.cert comando.
Generación de un par de claves privada/pública
Un par de claves es un elemento crítico de la implementación de un certificado digital. La clave pública se incluye en el certificado digital local y la clave privada se utiliza para descifrar los datos recibidos de los pares. Para generar un par de claves privada/pública, ejecute el request security pki generate-key-pair certificate-id certificate-id-name comando.
Generación e inscripción de un certificado digital local
Puede generar e inscribir un certificado digital local en línea o manualmente. Para generar e inscribir un certificado local en línea mediante SCEP, ejecute el request security pki local-certificate enroll comando. Para generar manualmente una solicitud de certificado local en el formato PKCS-10, ejecute el request security pki generate-certificate-request comando.
Si crea la solicitud de certificado local manualmente, también debe cargar el certificado manualmente. Para instalar manualmente un certificado en el enrutador, ejecute el request security pki local-certificate load comando.
Aplicación del certificado digital local a una configuración IPsec
Para activar un certificado digital local, configure la propuesta de IKE para utilizar certificados digitales en lugar de claves previamente compartidas, haga referencia al certificado local en la política de IKE e identifique la CA o RA en el conjunto de servicios. Para habilitar la propuesta de IKE para certificados digitales, incluya la rsa-signatures instrucción en el nivel jerárquico [edit services ipsec-vpn ike proposal proposal-name authentication-method] . Para hacer referencia al certificado local en la política de IKE, incluya la local-certificate instrucción en el nivel jerárquico [edit services ipsec-vpn ike policy policy-name] . Para identificar la CA o RA en el conjunto de servicios, incluya la trusted-ca instrucción en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía.
[edit services] service-set service-set-name { ..... ipsec-vpn-options { trusted-ca ca-profile-name; } } ipsec-vpn { ike { proposal proposal-name { ..... authentication-method [pre-shared-keys | rsa-signatures]; } policy policy-name { .... local-certificate certificate-id-name; } } }
Configuración de la reinscripción automática de certificados digitales
Puede configurar la reinscripción automática para certificados digitales. Esta función no está habilitada de forma predeterminada. Para configurar la reinscripción automática de certificados digitales, incluya la auto-re-enrollment instrucción en el nivel jerárquico [edit security pki]:
[edit]
security {
pki {
auto-re-enrollment {
certificate-id certificate-name {
ca-profile ca-profile-name;
challenge-password password;
re-enroll-trigger-time-percentage percentage; # Percentage of validity-period
# (specified in certificate) when automatic
# reenrollment should be initiated.
re-generate-keypair;
validity-period number-of-days;
}
}
}
}