Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

示例:通过在 SRX 系列设备上配置策略 Oid 来验证数字证书

 

在某些情况下,可能希望仅接受来自对等方的已知策略对象标识符(Oid)的证书。此可选配置仅当从对等方收到的证书链中包含至少一个在 SRX 系列设备上配置的策略 OID 时,才允许证书验证成功。此示例演示如何在 SRX 系列设备的 IKE 策略中配置策略 Oid。

注意

您必须确保在对等方’证书或证书链中至少包含一个在 SRX 系列设备上配置的策略 oid。请注意, policy-oids对等方’s 证书中的字段是可选的。如果您在 IKE 策略中配置策略 Oid,并且对’等方的证书链不包含任何策略 oid,则对等方的证书验证将失败。

要求

开始之前:

概述

此示例显示指定策略 Oid 2.16.840.1.101.3.1.48.2 和5.16.40.1.101.3.1.55.2 的 IKE 策略配置。IKE 策略 ike_cert_pol 参考的是不显示的 IKE 提案 ike_cert_prop。SRX 系列设备上的本地证书 igloo 根。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要配置用于证书验证的策略 Oid:

  • 配置 IKE 策略:

结果

从配置模式,输入show security ike policy ike_cert_pol命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

针对

确认配置是否正常工作。

验证 CA 证书

用途

显示设备上配置的 CA 证书。

操作

在操作模式下,输入show security pki ca-certificate ca-profile ca-tmp命令。

user@host> show security pki ca-certificate ca-profile ca-tmp detail

验证策略 OID 验证

用途

如果对等’方证书成功验证,则会建立 IKE 和 IPsec 安全关联。如果对等方’证书验证失败,则不会建立 IKE 安全关联。

操作

在操作模式下,输入show security ike security-associationsshow security ipsec security-associations命令。

user@host> show security ike security-associations
user@host> show security ipsec security-associations

含义

show security ike security-associations命令列出所有活动 IKE 阶段 1 sa。如果未列出任何 Sa,则为相位1建立问题。在这种情况下,请检查系统日志中是否有 PKID_CERT_POLICY_CHECK_FAIL 消息。此消息表示对等方’证书链不包含 SRX 系列设备上配置的策略 OID。使用 SRX 系列policy-oids设备上配置的’值检查对等方 s 证书链中的值。

也可能是对等方’的证书链不包含任何policy-oids字段(可选字段)。如果是这种情况,如果 SRX 系列设备上配置了任何策略 Oid,证书验证将失败。