Juniper SSG5 DDNS https 套接字创建失败

Juniper SSG5 DDNS https 套接字创建失败

我有一个 Juniper SSG5 防火墙,版本:6.3.0r19.0,它使用动态 IP。我们正在使用 dyndns 的 DDNS 服务。该服务由 SSG 设备支持。

仅使用 http 时没有出现任何问题。我的问题出现在更改为 https 时。

使用 http 时,我从 dyndns 获得“good”和“nochg”回复。使用 https 时,它只回复“no-init”。

更多详细信息请见下文,我对如何实现这一点还没有什么新想法。我对证书和 CA 的了解并不广泛。

我一直使用这篇知识库文章作为配置的基础:

Juniper KB,在 screenOS 设备上配置 DDNS, http://kb.juniper.net/InfoCenter/index?page=content&id=KB4582

注意:此处提到的 Geotrust 证书自此不再有效。正如此处所述, http://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/DynDNS-Certificate-Provider-Changed-ScreenOS-DDNS-Client-Broken/td-p/143914

自 2012 年 5 月 22 日起,该证书已更改为 DigiCert 证书。我已使用 FF 查找并导出证书,然后将其导入 SSG 设备。members.dyndns.org/ 上使用的 digicerts 是我所能理解的,如果我错了,请纠正我,

DigiCert Global Root CA, with serial number:[08:3B:E0:56:90:42:46:B1:A1:75:6A:C9:59:91:C7:4A]

DigiCert SHA2 Secure Server CA with serial number: [01:FD:A3:EB:6E:CA:75:C8:88:43:8B:72:4B:CF:BC:91]

我甚至尝试从 digicert 主页下载它们并安装我在那里下载的证书,然后使用序列号查看证书是否相同。

也许值得注意的是,安装时,两个 ca-certs 都名为“DigiCert Global Root CA”,但序列号和到期日期与通过单击 FF 中的 URL 挂锁从页面获取的信息相匹配。使用时

openssl x509 -in DigiCertGlobalRootCA -text -noout

看起来这两个证书都有 CN="DigiCert Global Root CA"。

我尝试先安装根 CA,然后按相反顺序安装中间 CA,只安装根 CA,只安装中间 CA。从 DigiCert 下载证书和 FF 证书。在 FF 中,我尝试过使用和不使用证书链。我甚至尝试添加我在 FF 中找到的所有 DigiCert。

无论我做出上述努力,我仍然得到:

DDNS: Triggering update for 1
ddns: server members.dyndns.org resolved to 204.13.248.111
DDNS: connect error
socket creation failed
ddns: update failed, fail cnt 4, retry after 60 min

使用 Dyndns 的这个示例,从这里开始,[抱歉没有更多 URL 的代表]:help.dyn.com/remote-access-api/perform-update/

使用这个我可以使用 FF 的 https 更新 ip。

用户名:[电子邮件保护]/nic/update?hostname=你的主机名&myip=ip地址&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG

我还找到了这篇 Juniper KB 文章并在那里测试了命令,

将中级 CA 证书加载到 Netscreen 防火墙

kb.juniper.net/InfoCenter/index?page=content&id=KB6779&actp=search&viewlocale=en_US&searchid=1237138980966

set pki x509 def cert-path full [Enter]
save [Enter]

但我能看到的唯一变化是,如果我安装中级证书,则在安装中级证书时会同时安装中级证书和根证书,但这对我的问题没有帮助。

我在某处发现,禁用 DNS 上的 alg 可能会有所帮助。我试过了,但我看不出有什么区别。

注意,ntp 和 dns 已启用并正常工作。加载假定的正确证书后已进行重置。

答案1

我从Juniper社区得到了以下答案。

这是 6.3r19 中的一个已知问题。我建议使用 6.3r18。

通过使用以下指南,我将版本从 6.3r19 更改为 6.3r18: http://kb.juniper.net/InfoCenter/index?page=content&id=KB13672

笔记,值得在降级之前删除 Digicert 证书。降级后,它们发生了一些奇怪的变化。降级后我删除了它们并重新安装,之后我收到了来自 dyndns 的“良好”回复。

以下是 Juniper 论坛上的帖子: http://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/Juniper-SSG5-DDNS-https-socket-creation-failed/td-p/278154#M30368

相关内容