Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurar varios tipos de certificados para establecer SA de IKE e IPsec

En este ejemplo se muestra cómo configurar varios tipos de certificados para establecer IKE y SA IPsec.

A partir de Junos OS versión 22.4R1, puede establecer túneles independientemente del tipo de certificado utilizado en el iniciador y el respondedor si el método de autenticación está configurado como certificates en la propuesta de IKE mediante el set security ike proposal ike_proposal_name authentication-method certificates comando.

Puede ver el certificado inscrito mediante show security pki local-certificate certificate-id certificate-name detail el comando.

Puede comprobar el certificado inscrito mediante el request security pki local-certificate verify certificate-id certificate-name comando.

Requisitos

Antes de empezar:

  • Asegúrese de tener certificados inscritos en sus dispositivos, consulte Inscripción de certificados.

    Puede verificar los certificados inscritos en sus dispositivos mediante el request security pki local-certificate certificate-id certificate-name detail comando.

  • Asegúrese de que tiene instalado el paquete IKE, para comprobar el paquete IKE instalado, utilice el show version | match ike comando operativo.

    Si no tiene el paquete IKE instalado en el dispositivo, puede instalar el paquete IKE mediante el comando request system software add optional://junos-ike.tgzoperativo , para obtener más información, consulte Habilitar el conjunto de características VPN IPsec.

Descripción general

En este ejemplo se configuran varios tipos de certificados para establecer SA de IKE e IPsec entre SRX_A y SRX_B.

Nota:

En este ejemplo, hemos inscrito el certificado RSA en SRX_A y el certificado ECDSA en dispositivos SRX_B. Para obtener más información acerca de cómo instalar los certificados, consulte Inscripción de certificados.

Tabla 1: Configuración de topología para dispositivos SRX_A y SRX_B
Nombre del dispositivo Interfaz utilizada Dirección de puerta de enlace de IKE Dirección IP local de la puerta de enlace IKE
SRX_A ge-0/0/0 192.168.1.2 192.168.1.1
SRX_B ge-0/0/0 192.168.1.1 192.168.1.2

Topología

El describe la topología para varios tipos de Figura 1 certificados que admiten la configuración.

Figura 1: Ejemplo de configuración de compatibilidad con varios tipos de certificadosEjemplo de configuración de compatibilidad con varios tipos de certificados

Configuración

Configuración de SRX_A

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Descripción del modo de configuración de CLI en la Guía del usuario de CLI.

Para configurar varios tipos de certificados para establecer SA de IKE e IPsec:

  1. Vea los certificados inscritos en sus dispositivos con el show security pki local-certificate certificate-id certificate-name detail comando.

    Instale el certificado en su dispositivo si su dispositivo no tiene los certificados inscritos. Para obtener más información, consulte Inscripción de certificados.

  2. Configurar interfaces.

  3. Configure las zonas de seguridad y la política de seguridad.

  4. Configure la propuesta de IKE.

  5. Configure la política de IKE.

  6. Configure la puerta de enlace de IKE.

  7. Configure la propuesta IPsec.

  8. Configure la directiva IPsec.

  9. Configure la VPN IPsec.

Resultados

Desde el modo de configuración, escriba los show interfacescomandos y, show security ike para confirmar la configuración. show security ipsec Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de SRX_B

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Descripción general del modo de configuración de CLI en la Guía del usuario de CLI.

Para configurar varios tipos de certificados para establecer SA de IKE e IPsec:

  1. Vea los certificados inscritos en sus dispositivos con el request security pki local-certificate certificate-id certificate-name detail comando.

    Instale el certificado en su dispositivo si su dispositivo no tiene los certificados inscritos. Para obtener más información, consulte Inscripción de certificados.

  2. Configurar interfaces.

  3. Configure las zonas de seguridad y la política de seguridad.

  4. Configure la propuesta de IKE.

  5. Configure la política de IKE.

  6. Configure la puerta de enlace de IKE.

  7. Configure la propuesta IPsec.

  8. Configure la directiva IPsec.

  9. Configure la VPN IPsec.

Resultados

Desde el modo de configuración, escriba los show interfacescomandos y, show security ike para confirmar la configuración. show security ipsec Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verificar SRX_A

Las salidas de muestra que se muestran están en SRX-A.

Propósito

Compruebe el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ike security-associations.

Desde el modo operativo, ingrese el comando show security ipsec security-associations.

Desde el modo operativo, ingrese el comando show security ike security-associations detail.

Desde el modo operativo, ingrese el comando show security ipsec security-associations detail.

Desde el modo operativo, ingrese el comando show security pki local-certificate certificate-id r0_rsa_cr detail.

Desde el modo operativo, ingrese el comando show security pki ca-certificate ca-profile Root-CA detail.

Verificar SRX_B

Las salidas de muestra que se muestran están en SRX-B.

Propósito

Compruebe el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ike security-associations.

Desde el modo operativo, ingrese el comando show security ipsec security-associations.

Desde el modo operativo, ingrese el comando show security ike security-associations detail.

Desde el modo operativo, ingrese el comando show security ipsec security-associations detail.

Desde el modo operativo, ingrese el comando show security pki local-certificate certificate-id r1_crt_ecdsa384 detail.

s

Desde el modo operativo, ingrese el comando show security pki ca-certificate ca-profile Root-CA detail.