Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Орган сертификации

Профиль центр сертификации (CA) определяет каждый параметр, связанный с конкретным сертификатом, для установления безопасного соединения между двумя конечными точками. Профили определяют, какие сертификаты использовать, как проверить состояние отзыва сертификата и как это состояние ограничивает доступ.

Настройка группы доверенных CA

В этом разделе описывается процедура создания CA группы доверенных пользователей для списка CA профилей и удаление доверенного CA группы.

Создание доверенного CA группы для списка CA профилей

Для авторизации объекта можно настроить и назначить CA группу доверенных лиц. Если одноранговая узла пытается установить соединение с клиентом, проверяется только сертификат, выданный этим доверенным CA объекта. Устройство проверяет, принадлежит ли тот или иной сертификат одной и той же сети клиента. Если issuer и presenter принадлежат к той же сети клиента, то соединение установлено. В этом случае соединение установиться не будет.

Перед началом работы необходимо иметь список всех профилей CA которые необходимо добавить в доверную группу.

В данном примере мы создаем три CA с именем , и связываем следующие CA идентификаторы и для соответствующих orgA-ca-profileorgB-ca-profileorgC-ca-profileca-profile1ca-profile2ca-profile3 профилей. Все три профиля можно сгрупп CA в группу доверенных orgABC-trusted-ca-group CA.

Можно настроить не более 20 CA для доверенного CA группы.

  1. Создайте CA профилях и CA идентификаторы с профилем.
  2. Группу CA профилей в доверную CA группу.
  3. Сфиксировать конфигурацию при конфигурировании CA профилей и доверенных CA групп.

Для просмотра профилей CA и доверенных CA, настроенных на устройстве, show security pki запустите команду.

Эта show security pki команда отображает все CA, которые сгруппировали под orgABC_trusted-ca-group .

Удаление профиля CA из надежной CA группы

Можно удалить определенный профиль CA в надежной CA или удалить самую доверяемую CA группу.

Например, если необходимо удалить профиль CA из группы доверенных CA, настроенный на устройстве так, как показано на теме, выполните orgC-ca-profileorgABC-trusted-ca-group следующие Настройка группы доверенных CA действия:

  1. Удалите профиль CA из доверенного CA группы.
  2. Если удаление профиля CA из CA группы доверенных пользователей, сфиксировать конфигурацию.

Чтобы просмотреть orgC-ca-profile удаляемую orgABC-trusted-ca-group команду, запустите show security pki команду.

Выходные данные не отображают профиль, поскольку он удаляется из CA orgC-ca-profile группы.

Удаление группы доверенных CA

Объект может поддерживать множество доверенных CA, и можно удалить любую доверяемую CA группу для объекта.

Например, если необходимо удалить доверенного CA имя, настроенное на устройстве, как показано в разделе, выполните orgABC-trusted-ca-groupНастройка группы доверенных CA следующие действия:

  1. Удаление доверенного CA группы.
  2. Если удаление профиля CA из CA группы доверенных пользователей, сфиксировать конфигурацию.

Чтобы просмотреть orgABC-trusted-ca-group удаление объекта, запустите show security pki команду.

Выходные данные не отображают orgABC-trusted-ca-group то, что удаляется из объекта.

Понимание профилей органа сертификации

Конфигурация центр сертификации (CA) профиля содержит сведения, специфические для CA. На устройстве CA несколько серия SRX профилей. Например, у вас может быть один профиль для orgA и один профиль для orgB. Каждый профиль связан с CA сертификатом. Если необходимо загрузить новый сертификат CA без удаления более старого, необходимо создать новый профиль CA (например, Microsoft-2008).

Начиная с Junos OS 18.1R1, сервером CA IPv6 может быть CA IPv6.

Модуль PKI поддерживает формат адреса IPv6 для использования серия SRX устройств в сетях, где IPv6 является единственным используемым протоколом.

Если CA цифровые сертификаты, которые помогают установить безопасное соединение между двумя конечными точками с помощью проверки сертификата. Для данной топологии можно CA несколько профилей в одну CA группу доверенных пользователей. Эти сертификаты используются для установления соединения между двумя конечными точками. Чтобы установить IKE или IPsec, обе конечные точки должны доверять одному CA. Если одна из конечных точек не может проверить сертификат с помощью своих доверенных CA (ca-profile) или CA группы, соединение не устанавливается. Для CA создания CA группы необходимо как минимум один профиль CA а максимум 20 ЦС разрешено в одной CA группе. Любой CA определенной группы может проверить сертификат для конкретной конечной точки.

Начиная Junos OS выпуске 18.1R1, проверку настроенного узла IKE можно сделать с помощью указанного CA или группы CA серверов. Группа доверенных CA серверов может быть создана с помощью утверждения конфигурации на уровне [] иерархии; один или несколько профилей CA могут trusted-ca-groupedit security pki быть заданы. Доверенный CA-сервер привязан к конфигурации IKE политики для одноранговых устройств на уровне edit security ike policy policy certificate [] иерархии.

Если профиль прокси-сервера CA профиле, устройство подключается к прокси-хосту вместо CA сервером при регистрации, проверке или повторном отзыве сертификата. Прокси-хост взаимодействует CA сервером с запросами устройства, а затем передает ответ устройству.

CA прокси-сервера поддерживает протоколы SCEP, CMPv2 и OCSP.

CA прокси-профиль поддерживается только на HTTP и не поддерживается протоколом HTTPS.

Примере: Настройка профиля CA сети

В этом примере показано, как настроить CA профиль.

Требования

До настройки этой функции специальная настройка после инициализации устройства не требуется.

Обзор

В данном примере создается профиль CA с CA ca-profile-ipsec идентификацией Microsoft-2008. Затем создается профиль прокси для CA профиля. Конфигурация указывает, что CRL обновляется каждые 48 часов, а расположение для извлечения CRL составляет http://www.my-ca.com . В этом примере вы установили для повторного зачисления значение 20. (Значение повторного попытку по умолчанию — 10.)

Автоматический опрос сертификатов устанавливается каждые 30 минут. Если вы настраивали попытку только без настройки интервала между повторной попытку, то интервал между повторной попытку по умолчанию составляет 900 секунд (или 15 минут). Если не конфигурировать период между повторной настройкой или между повторной попыткуми, опрос не будет отспросирован.

Конфигурации

Процедуры

Пошаговая процедура

Для настройки профиля CA конфигурации:

  1. Создайте CA профиль.

  2. При желании настройте профиль прокси для CA профиля.

    Инфраструктура открытых ключей (PKI) использует профиль прокси, настроенный на системном уровне. Профиль прокси, используемый в профиле CA должен быть настроен в [edit services proxy] иерархии. В иерархии может быть несколько профилей [edit services proxy] прокси. Каждый CA профиль ссылается на первый такой профиль прокси. В иерархии можно настроить хост и порт [edit system services proxy] прокси-профиля.

  3. Создайте проверку отзыва, чтобы указать метод проверки отзыва сертификата.

  4. Установите интервал обновления в часах, чтобы указать частоту обновления CRL. Значения по умолчанию — время следующего обновления в CRL или 1 неделю, если время следующего обновления не задано.

  5. Укажите значение повторного зачисления.

  6. Укажите интервал времени (в секундах) между попытками автоматического зачисления сертификата CA в сети.

  7. После настройки устройства сфиксировать конфигурацию.

Проверки

Чтобы проверить правильность работы конфигурации, введите show security pki команду.

Примере: Настройка адреса IPv6 в качестве адреса источника для профиля CA профиля

В этом примере показано, как настроить адрес IPv6 в качестве адреса источника для CA профиля.

До настройки этой функции специальная настройка после инициализации устройства не требуется.

В этом примере создайте профиль CA, который CA идентификацией, и установите адрес CA профиля в качестве orgA-ca-profilev6-ca адреса IPv6, 2001:db8:0:f101::1 например. Url-адрес регистрации можно настроить так, чтобы он принял адрес http://[2002:db8:0:f101::1]:/.../ IPv6.

  1. Создайте CA профиль.
  2. Настройте адрес источника профиля CA в качестве адреса IPv6.
  3. Укажите параметры регистрации для CA.
  4. После настройки устройства сфиксировать конфигурацию.
Таблица истории выпусков
Версия
Описание
18.1R1
Начиная с Junos OS 18.1R1, сервером CA IPv6 может быть CA IPv6.
18.1R1
Начиная Junos OS выпуске 18.1R1, проверку настроенного узла IKE можно сделать с помощью указанного CA или группы CA серверов.