Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Настройка IPsec VPN с OCSP для статуса отзыва сертификата

В этом примере показано, как улучшить безопасность, настроив два узла с помощью протокола online Certificate Status (OCSP) для проверки статуса отзыва сертификатов, используемых при согласовании фазы 1 для туннеля IPsec VPN.

Требования

На каждом устройстве:

  • Получение и регистрация локального сертификата. Это можно сделать вручную или с помощью протокола простого протокола регистрации сертификатов (SCEP).

  • При желании можно включить автоматическое обновление локального сертификата.

  • Настройте политики безопасности, разрешающее трафик одноранговому устройству и с него.

Обзор

На обоих одноранговых узлах центр сертификации (CA) профиль OCSP-ROOT настроен со следующими опциями:

  • CA – OCSP-ROOT.

  • URL-адрес регистрации http://10.1.1.1:8080/scep/OCSP-ROOT/. Это URL- адрес, на который отправляются запросы SCEP CA адреса.

  • URL-адрес для сервера OCSP http://10.157.88.56:8210/OCSP-ROOT/.

  • OCSP используется в первую очередь для проверки статуса отзыва сертификата. Если отклик от сервера OCSP не существует, список отзыва сертификатов (CRL) используется для проверки состояния. URL-адрес CRL http://10.1.1.1:8080/crl-as-der/currentcrl-45.crlid=45.

  • Сертификат CA, полученный в ответе OCSP, не проверяется для отзыва сертификата. Обычно сертификаты, полученные в ответе OCSP, имеют более короткий период действия, и проверка отзыва не требуется.

Табл. 1 отображает параметры фазы 1, используемые в этом примере.

Табл. 1: Пример конфигурации ПАРАМЕТРОВ фазы 1 для OCSP

Параметр

Одноранговая А

Одноранговая узла B

IKE с предложением

ike_prop

ike_prop

Метод аутентификации

Подписи RSA

Подписи RSA

Группа DH

group2

group2

Алгоритм аутентификации

SHA 1

SHA 1

Алгоритм шифрования

3DES CBC

3DES CBC

IKE политики

ike_policy

ike_policy

Режим

Агрессивный

Агрессивный

Предложение

ike_prop

ike_prop

Сертификат

local-certificate localcert1

local-certificate localcert1

IKE шлюз

jsr_gateway

jsr_gateway

Политики

ike_policy

ike_policy

Адрес шлюза

198.51.100.50

192.0.2.50

Удаленная идентификация

localcert11.example.net

-

Локальные идентификаторы

-

localcert11.example.net

Внешний интерфейс

reth1

ge-0/0/2.0

Версия

v2

v2

Табл. 2 отображает параметры фазы 2, используемые в этом примере.

Табл. 2: Пример конфигурации OCSP параметров фазы 2

Параметр

Одноранговая А

Одноранговая узла B

Предложение IPsec

ipsec_prop

ipsec_prop

Протокол

Esp

Esp

Алгоритм аутентификации

HMAC SHA1-96

HMAC SHA1-96

Алгоритм шифрования

3DES CBC

3DES CBC

Секунда срока службы

1200

1200

Килобайты срока службы

150,000

150,000

Политика IPsec

ipsec_policy

ipsec_policy

Ключи PFC

group2

group2

Предложение

ipsec_prop

ipsec_prop

Vpn

test_vpn

test_vpn

Интерфейс привязки

st0.1

st0.1

IKE шлюз

jsr_gateway

jsr_gateway

Политики

ipsec_policy

ipsec_policy

создание туннелей

-

Сразу

Топологии

Рис. 1 отображает одноранговых устройства, настроенные в этом примере.

Рис. 1: Пример конфигурации OCSPПример конфигурации OCSP

Конфигурации

Настройка узла A

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить одноранговое устройство VPN A на использование OCSP, скопировать следующие команды, ввести их в текстовый файл, удалить любые разрывы строки, изменить все данные, необходимые для настройки сети, скопировать и ввести команды в интерфейс командной строки на [] иерархии, а затем зайти в режим editcommit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве Junos OS интерфейс командной строки пользователя.

Чтобы настроить одноранговую сеть VPN A для использования OCSP:

  1. Настройте интерфейсы.

  2. Настройте профиль CA конфигурации.

  3. Настройте параметры фазы 1.

  4. Настройте параметры фазы 2.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show security pki ca-profile OCSP-ROOT и show security ikeshow security ipsec команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Настройка узла B

интерфейс командной строки быстрой конфигурации

Для быстрой настройки однорангового узла VPN B на использование OCSP, скопируйте следующие команды, введите их в текстовый файл, удалите любые разрывы строк, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на [] иерархии, а затем войдите из режима editcommit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве Junos OS интерфейс командной строки пользователя.

Чтобы настроить одноранговую сеть VPN B на использование OCSP:

  1. Настройте интерфейсы.

  2. Настройте профиль CA конфигурации.

  3. Настройте параметры фазы 1.

  4. Настройте параметры фазы 2.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show security pki ca-profile OCSP-ROOT и show security ikeshow security ipsec команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка CA сертификатов

Цель

Проверьте достоверность сертификата CA на каждом одноранговом устройстве.

Действий

В рабочем режиме введите show security pki ca-certificate ca-profile OCSP-ROOT или show security pki ca-certificate ca-profile OCSP-ROOT detail введите команду.

В данном примере IP-адреса используются в URL-адресах в конфигурации CA профиля. Если IP-адреса не используются с CA или CA сертификатами, DNS должен быть настроен в конфигурации устройства. DNS должен иметь возможность разрешать хост в распределительном CRL и в URL-CA URL в конфигурации CA профиля. Кроме того, для проверки отзыва необходимо наличие сетевой доступности к одному и тем же хосту.

Смысл

Выходные данные показывают подробную и действительность сертификата CA на каждом одноранговом узлах следующим образом:

  • C—Страна.

  • O— Организация.

  • CN— Общее имя.

  • Not before- Начальная дата достоверности.

  • Not after— Дата окончания срока действия.

Проверка локальных сертификатов

Цель

Проверьте достоверность локального сертификата на каждом одноранговом устройстве.

Действий

В рабочем режиме введите show security pki local-certificate certificate-id localcert1 detail команду.

Смысл

Выходные данные показывают подробную и достоверность локального сертификата на каждом одноранговом одноранговом уровне следующим образом:

  • DC— компонент домена.

  • CN— Общее имя.

  • OU— Организационный блок.

  • O— Организация.

  • L— локальность

  • ST—State.

  • C—Страна.

  • Not before- Начальная дата достоверности.

  • Not after— Дата окончания срока действия.

Проверка состояния IKE 1-м этапе

Цель

Проверьте состояние IKE фазе 1 на каждом одноранговом устройстве.

Действий

В рабочем режиме введите show security ike security-associations команду.

В рабочем режиме введите show security ike security-associations detail команду.

Смысл

В flags поле выходных данных показано, IKE была создана ассоциация безопасности.

Проверка состояния фазы 2 IPsec

Цель

Проверьте состояние IPsec фазы 2 на каждом одноранговом устройстве.

Действий

В рабочем режиме введите show security ipsec security-associations команду.

В рабочем режиме введите show security ipsec security-associations detail команду.

Смысл

В выходных данных показаны подробности ассоциаций безопасности ipsec.