Juniper SSG5 DDNS https 套接字創建失敗
我有一個 Juniper SSG5 防火牆,版本:6.3.0r19.0,位於動態 IP 上。我們正在使用來自 dyndns 的 DDNS 服務。SSG 設備支持該服務。
僅使用 http 使其工作沒有問題。更改為 https 時出現我的問題。
使用 http 時,我得到來自 dyndns 的“good”和“nochg”回复。它只在使用 https 時回复“no-init”。
更多細節在下面找到,如果有想法讓它發揮作用,我很新鮮。我對證書和 CA 的了解並不廣泛。
我一直使用這篇知識庫文章作為配置的基礎:
Juniper KB,在 screenOS 設備上配置 DDNS, http://kb.juniper.net/InfoCenter/index?page=content&id= KB4582
注意:此處提到的證書,Geotrust 證書,截至日期不再有效。如此處所述, http ://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/DynDNS-Certificate-Provider-Changed-ScreenOS-DDNS-Client-Broken/td-p/143914
截至 2012 年 5 月 22 日,該證書已更改為 DigiCert 證書。在將證書導入 SSG 設備之前,我使用 FF 查找和導出證書。members.dyndns.org/ 上使用的數字證書據我所知,如果我錯了,請糾正我,
DigiCert Global Root CA, with serial number:[08:3B:E0:56:90:42:46:B1:A1:75:6A:C9:59:91:C7:4A]
和
DigiCert SHA2 Secure Server CA with serial number: [01:FD:A3:EB:6E:CA:75:C8:88:43:8B:72:4B:CF:BC:91]
我什至嘗試從 digicert 首頁下載它們並安裝我在那裡下載的證書,然後使用序列號查看證書是否相同。
或許值得注意的是,安裝時,兩個 ca-certs 都被命名為“DigiCert Global Root CA”,但序列號和過期日期與通過點擊 FF 中的 url 掛鎖從頁面獲取的資訊相匹配。使用時
openssl x509 -in DigiCertGlobalRootCA -text -noout
似乎兩個證書都有 CN=“DigiCert Global Root CA”。
我嘗試先將它們安裝為根 CA,然後以相反的順序安裝中間 CA,僅根,僅中間。從 DigiCert 和 FF 證書下載。在 FF 中,我嘗試過使用和不使用鏈條。我什至嘗試添加我在 FF 中找到的所有 DigiCert。
不管上述努力,我仍然得到:
DDNS: Triggering update for 1 ddns: server members.dyndns.org resolved to 204.13.248.111 DDNS: connect error socket creation failed ddns: update failed, fail cnt 4, retry after 60 min
使用 Dyndns 的這個例子,從這裡,
$$ sorry don’t have the rep for more URL’s $$: help.dyn.com/remote-access-api/perform-update/ 使用它,我可以使用帶有 FF 的 https 更新 ip。
使用者名:password@members.dyndns.org/nic/update?hostname=yourhostname&myip=ipaddress&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG
我還找到了這篇 Juniper KB 文章並在那裡測試了命令,
將中間 CA 證書載入到 Netscreen 防火牆
kb.juniper.net/InfoCenter/index?page=content&id=KB6779&actp=search&viewlocale=en_US&searchid=1237138980966
set pki x509 def cert-path full [Enter] save [Enter]
但我能看到的唯一變化是,如果我安裝中間證書,則在安裝中間證書時同時安裝中間證書和根證書,但對我的問題沒有幫助。
在某處我發現禁用 dns 上的 alg 可能會有所幫助。我已經嘗試過了,但我看不出它有什麼不同。
注意,ntp 和 dns 已啟用並正常工作。載入假定的正確證書後已完成重置。
我從瞻博網路社區得到了以下答案。
這是 6.3r19 中的一個已知問題。我建議使用 6.3r18。
通過使用以下指南,我將版本從 6.3r19 更改為 6.3r18: http ://kb.juniper.net/InfoCenter/index?page=content&id=KB13672
請注意,在降級之前刪除 Digicert 證書是值得的。降級後,它們以某種奇怪的方式發生了變化。我在降級後刪除並重新安裝了它們,之後我得到了一個回复“好”的表格 dyndns。
這是瞻博網路論壇上的文章: http ://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/Juniper-SSG5-DDNS-https-socket-creation-failed/td-p/278154#M30368