Https

Juniper SSG5 DDNS https 套接字創建失敗

  • July 27, 2015

我有一個 Juniper SSG5 防火牆,版本:6.3.0r19.0,位於動態 IP 上。我們正在使用來自 dyndns 的 DDNS 服務。SSG 設備支持該服務。

僅使用 http 使其工作沒有問題。更改為 https 時出現我的問題。

使用 http 時,我得到來自 dyndns 的“good”和“nochg”回复。它只在使用 https 時回复“no-init”。

更多細節在下面找到,如果有想法讓它發揮作用,我很新鮮。我對證書和 CA 的了解並不廣泛。

我一直使用這篇知識庫文章作為配置的基礎:

Juniper KB,在 screenOS 設備上配置 DDNS, http://kb.juniper.net/InfoCenter/index?page=content&id= KB4582

注意:此處提到的證書,Geotrust 證書,截至日期不再有效。如此處所述, http ://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/DynDNS-Certificate-Provider-Changed-ScreenOS-DDNS-Client-Broken/td-p/143914

截至 2012 年 5 月 22 日,該證書已更改為 DigiCert 證書。在將證書導入 SSG 設備之前,我使用 FF 查找和導出證書。members.dyndns.org/ 上使用的數字證書據我所知,如果我錯了,請糾正我,

DigiCert Global Root CA, with serial number:[08:3B:E0:56:90:42:46:B1:A1:75:6A:C9:59:91:C7:4A]

DigiCert SHA2 Secure Server CA with serial number: [01:FD:A3:EB:6E:CA:75:C8:88:43:8B:72:4B:CF:BC:91]

我什至嘗試從 digicert 首頁下載它們並安裝我在那裡下載的證書,然後使用序列號查看證書是否相同。

或許值得注意的是,安裝時,兩個 ca-certs 都被命名為“DigiCert Global Root CA”,但序列號和過期日期與通過點擊 FF 中的 url 掛鎖從頁面獲取的資訊相匹配。使用時

openssl x509 -in DigiCertGlobalRootCA -text -noout

似乎兩個證書都有 CN=“DigiCert Global Root CA”。

我嘗試先將它們安裝為根 CA,然後以相反的順序安裝中間 CA,僅根,僅中間。從 DigiCert 和 FF 證書下載。在 FF 中,我嘗試過使用和不使用鏈條。我什至嘗試添加我在 FF 中找到的所有 DigiCert。

不管上述努力,我仍然得到:

DDNS: Triggering update for 1
ddns: server members.dyndns.org resolved to 204.13.248.111
DDNS: connect error
socket creation failed
ddns: update failed, fail cnt 4, retry after 60 min

使用 Dyndns 的這個例子,從這裡,

$$ sorry don’t have the rep for more URL’s $$: help.dyn.com/remote-access-api/perform-update/ 使用它,我可以使用帶有 FF 的 https 更新 ip。

使用者名:password@members.dyndns.org/nic/update?hostname=yourhostname&myip=ipaddress&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG

我還找到了這篇 Juniper KB 文章並在那裡測試了命令,

將中間 CA 證書載入到 Netscreen 防火牆

kb.juniper.net/InfoCenter/index?page=content&id=KB6779&actp=search&viewlocale=en_US&searchid=1237138980966

set pki x509 def cert-path full [Enter]
save [Enter]

但我能看到的唯一變化是,如果我安裝中間證書,則在安裝中間證書時同時安裝中間證書和根證書,但對我的問題沒有幫助。

在某處我發現禁用 dns 上的 alg 可能會有所幫助。我已經嘗試過了,但我看不出它有什麼不同。

注意,ntp 和 dns 已啟用並正常工作。載入假定的正確證書後已完成重置。

我從瞻博網路社區得到了以下答案。

這是 6.3r19 中的一個已知問題。我建議使用 6.3r18。

通過使用以下指南,我將版本從 6.3r19 更改為 6.3r18: http ://kb.juniper.net/InfoCenter/index?page=content&id=KB13672

請注意,在降級之前刪除 Digicert 證書是值得的。降級後,它們以某種奇怪的方式發生了變化。我在降級後刪除並重新安裝了它們,之後我得到了一個回复“好”的表格 dyndns。

這是瞻博網路論壇上的文章: http ://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/Juniper-SSG5-DDNS-https-socket-creation-failed/td-p/278154#M30368

引用自:https://serverfault.com/questions/708584

相關問答

Firewall

使用埠轉發通過一個公共 IP 地址訪問多台電腦

  • August 31, 2015
檢視問答
Vpn

使用 Juniper SSG 5 - LAN 到 LAN VPN 設置路由條目

  • May 3, 2012
檢視問答
Bandwidth

瞻博網路 SSG5 發現頻寬吞噬者

  • November 23, 2011
檢視問答
Networking

PowerConnect 交換機、瞻博網路防火牆和 esx 冗餘

  • August 17, 2011
檢視問答
Juniper

瞻博網路 SSG5 幫助!

  • May 16, 2011
檢視問答
Juniper

從 Juniper Netscreen 輕鬆獲取會話列表

  • February 8, 2010
檢視問答