这篇文章是关于在Juniper SRX防火墙之间基于PKI的IPSec 虚拟专用网配置过程中针对奇怪中国体育彩票开奖发行的一些故障排除过程。

尽管已遵循所有步骤，生成了RSA密钥对，在两个SRX防火墙上生成了CSR，将CSR提交给SSL认证提供者，同时为这两个设备接收了中国体育彩票开奖，收到了CA中国体育彩票开奖，并将所有中国体育彩票开奖导入到设备中，但是无法构建VPN隧道。

调试IKE并没有提供太多信息。但是在验证中国体育彩票开奖期间，我发现了这些奇怪的信息：

@SRX1:

[电子邮件 protected]> 显示安全性pki ca中国体育彩票开奖详细信息 
node0:
————————————————————————
中国体育彩票开奖标识符：G5
 中国体育彩票开奖版本：3
 序列号：250ce8e030612e9f2b89f7054d7cf8fd
  发行人：
   组织：“ VeriSign，组织单位：3级公共一级中国体育彩票开奖颁发机构，国家：美国
  Subject:
   组织：“ VeriSign，组织单位：VeriSign Trust 网络，组织单位：”（c）2006 VeriSign，国家/地区：美国，通用名称：VeriSign 3类公共主要中国体育彩票开奖颁发机构– G5
  Subject string:
   C = US，O =“ VeriSign，Inc。”，OU = VeriSign信任网络，OU =”（c）2006 VeriSign，Inc. –仅供授权使用”，CN = VeriSign 3类公共主要中国体育彩票开奖颁发机构– G5
  Validity:
   不早于：11- 8-2006 00:00 UTC
   不晚于：11-7-2021 世界标准时间23:59
 公钥算法：rsaEncryption（2048位）
   30：82：01：0a：02：82：01：01：00：af：24：08：08：29：7a：35：9e：60：0c：aa
   e7：4b：3b：4e：dc：7c：bc：3c：45：1c：bb：2b：e0：fe：29：02：f9：57：08：a3
   64：85：15：27：f5：f1：ad：c8：31：89：5d：22：e8：2a：aa：a6：42：b3：8f：f8
   b9：55：b7：b1：b7：4b：b3：fe：8f：7e：07：57：ec：ef：43：db：66：62：15：61
   cf：60：0d：a4：d8：de：f8：e0：c3：62：08：3d：54：13：eb：49：ca：59：54：85
   26：e5：2b：8f：1b：9f：eb：f5：a1：91：c2：33：49：d8：43：63：6a：52：4b：d2
   8f：e8：70：51：4d：d1：89：69：7b：c7：70：f6：b3：dc：12：74：db：7b：5d：4b
   56：d3：96：bf：15：77：a1：b0：f4：a2：25：f2：af：1c：92：67：18：e5：f4：06
   04：ef：90：b9：e4：00：e4：dd：3a：b5：19：ff：02：ba：f4：3c：ee：e0：8b：eb
   37：8b：ec：f4：d7：ac：f2：f6：f0：3d：af：dd：75：91：33：19：1d：1c：40：cb
   74：24：19：21：93：d9：14：fe：ac：2a：52：c7：8f：d5：04：49：e4：8d：63：47
   88：3c：69：83：cb：fe：47：bd：2b：7e：4f：c5：95：ae：0e：9d：d4：d1：43：c0
   67：73：e3：14：08：7e：e5：3f：9f：73：b8：33：0a：cf：5d：3f：34：87：96：8a
   ee：53：e8：25：15：02：03：01：00：01
 签名算法：sha1WithRSAEncryption
  Distribution CRL:
    http://crl.verisign.com/pca3.crl
 用于密钥：CRL签名，中国体育彩票开奖签名，TLS Web服务器身份验证，1.3.6.5.1.5.5.7.3.1，TLS Web客户端身份验证，1.3.6.5.1.5.7.3.2，代码签名，1.3.6.1.5.5.7.3 .3，Netscape Server门控加密，
 2.16.840.1.113730.4.1、2.16.840.1.113733.1.8.1、2.16.840.1.113733.1.8.1
  指纹：
   32：f3：08：82：62：2b：87：cf：88：56：c6：3d：b8：73：df：08：53：b4：dd：27（sha1）
   f9：1f：fe：e6：a3：6b：99：88：41：d4：67：dd：e5：f8：97：7a（md5）
  Auto-re-enrollment:
    Status: Disabled
   下一次触发时间：计时器未启动
中国体育彩票开奖标识符：G4
 中国体育彩票开奖版本：3
 序列号：513fb9743870b73440418d30930699ff
  发行人：
   组织：“ VeriSign，组织单位：VeriSign Trust 网络，组织单位：”（c）2006 VeriSign，国家/地区：美国，通用名称：VeriSign 3类公共主要中国体育彩票开奖颁发机构– G5
  Subject:
   组织：Symantec Corporation，组织单位：Symantec Trust 网络，国家/地区：美国，通用名称：Symantec Class 3 Secure Server CA – G4
  Subject string:
   C = US，O = 赛门铁克 Corporation，OU = 赛门铁克 Trust 网络，CN = 赛门铁克 Class 3安全服务器CA – G4
  Validity:
   之前不：2013年10月31日00:00 UTC
   不迟于：10-30-2023 世界标准时间23:59
 公钥算法：rsaEncryption（2048位）
   30：82：01：0a：02：82：01：01：00：b2：d8：05：ca：1c：74：2d：b5：17：56：39
   c5：4a：52：09：96：e8：4b：d8：0c：f1：68：9f：9a：42：28：62：c3：a5：30：53
   7e：55：11：82：5b：03：7a：0d：2f：e1：79：04：c9：b4：96：77：19：81：01：94
   59：f9：bc：f7：7a：99：27：82：2d：b7：83：dd：5a：27：7f：b2：03：7a：9c：53
   25：e9：48：1f：46：4f：c8：9d：29：f8：be：79：56：f6：f7：fd：d9：3a：68：da
   8b：4b：82：33：41：12：c3：c8：3c：cc：d6：96：7a：84：21：1a：22：04：03：27
   17：8b：1c：68：61：93：0f：0e：51：80：33：1d：b4：b5：ce：eb：7e：d0：62：ac
   ee：b3：7b：01：74：ef：69：35：eb：ca：d5：3d：a9：ee：97：98：ca：8d：aa：44
   0e：25：99：4a：15：96：a4：ce：6d：02：54：1f：2a：6a：26：e2：06：3a：63：48
   ac：b4：4c：d1：75：93：50：ff：13：2f：d6：da：e1：c6：18：f5：9f：c9：25：5d
   f3：00：3a：de：26：4d：b4：29：09：cd：0f：3d：23：6f：16：4a：81：16：fb：f2
   83：10：c3：b8：d6：d8：55：32：3d：f1：bd：0f：bd：8c：52：95：4a：16：97：7a
   52：21：63：75：2f：16：f9：c4：66：be：f5：b5：09：d8：ff：27：00：cd：44：7c
   6f：4b：3f：b0：f7：02：03：01：00：01
 签名算法：sha256WithRSAEncryption
  Distribution CRL:
    http://s1.symcb.com/pca3-g5.crl
 用于密钥：CRL签名，中国体育彩票开奖签名
  指纹：                        
   ff：67：36：7c：5c：d4：de：4a：e1：8b：cc：e1：d7：0f：da：bd：7c：86：61：35（sha1）
   23：d5：85：8e：bc：89：86：10：7c：b7：ac：1e：17：f7：26：c5（md5）
  Auto-re-enrollment:
    Status: Disabled
   下一次触发时间：计时器未启动

从show命令的输出中，防火墙fw-SRX1-2上的中国体育彩票开奖G4和G5看起来都不错。但是他们不会通过验证。

[电子邮件 protected]> 要求安全性pki ca中国体育彩票开奖验证ca配置文件G4
node1:
————————————————————————
错误：找不到中国体育彩票开奖的中国体育彩票开奖颁发机构</ C = US / O = VeriSign，Inc./OU=VeriSign信任网络/ OU =（c）2006 VeriSign，Inc. –仅供授权使用/ CN = VeriSign 3类公共主要中国体育彩票开奖颁发机构– G5>
{primary：node1}
[电子邮件 protected]>要求安全性pki ca中国体育彩票开奖验证ca配置文件G5 
node1:
————————————————————————
错误：找不到中国体育彩票开奖的中国体育彩票开奖颁发机构</ C = US / O = VeriSign，Inc./OU=VeriSign信任网络/ OU =（c）2006 VeriSign，Inc. –仅供授权使用/ CN = VeriSign 3类公共主要中国体育彩票开奖颁发机构– G5>

@ SRX2，发生了同样的事情：

[电子邮件 protected]> 显示安全性pki ca中国体育彩票开奖详细信息 
node0:
————————————————————————
中国体育彩票开奖标识符：G5
 中国体育彩票开奖版本：3
 序列号：250ce8e030612e9f2b89f7054d7cf8fd
  发行人：
   组织：“ VeriSign，组织单位：3级公共一级中国体育彩票开奖颁发机构，国家：美国
  Subject:
   组织：“ VeriSign，组织单位：VeriSign Trust 网络，组织单位：”（c）2006 VeriSign，国家/地区：美国，通用名称：VeriSign 3类公共主要中国体育彩票开奖颁发机构– G5
  Subject string:
   C = US，O =“ VeriSign，Inc。”，OU = VeriSign信任网络，OU =”（c）2006 VeriSign，Inc. –仅供授权使用”，CN = VeriSign 3类公共主要中国体育彩票开奖颁发机构– G5
  Validity:
   不早于：11- 8-2006 00:00 UTC
   不晚于：11-7-2021 世界标准时间23:59
 公钥算法：rsaEncryption（2048位）
   30：82：01：0a：02：82：01：01：00：af：24：08：08：29：7a：35：9e：60：0c：aa
   e7：4b：3b：4e：dc：7c：bc：3c：45：1c：bb：2b：e0：fe：29：02：f9：57：08：a3
   64：85：15：27：f5：f1：ad：c8：31：89：5d：22：e8：2a：aa：a6：42：b3：8f：f8
   b9：55：b7：b1：b7：4b：b3：fe：8f：7e：07：57：ec：ef：43：db：66：62：15：61
   cf：60：0d：a4：d8：de：f8：e0：c3：62：08：3d：54：13：eb：49：ca：59：54：85
   26：e5：2b：8f：1b：9f：eb：f5：a1：91：c2：33：49：d8：43：63：6a：52：4b：d2
   8f：e8：70：51：4d：d1：89：69：7b：c7：70：f6：b3：dc：12：74：db：7b：5d：4b
   56：d3：96：bf：15：77：a1：b0：f4：a2：25：f2：af：1c：92：67：18：e5：f4：06
   04：ef：90：b9：e4：00：e4：dd：3a：b5：19：ff：02：ba：f4：3c：ee：e0：8b：eb
   37：8b：ec：f4：d7：ac：f2：f6：f0：3d：af：dd：75：91：33：19：1d：1c：40：cb
   74：24：19：21：93：d9：14：fe：ac：2a：52：c7：8f：d5：04：49：e4：8d：63：47
   88：3c：69：83：cb：fe：47：bd：2b：7e：4f：c5：95：ae：0e：9d：d4：d1：43：c0
   67：73：e3：14：08：7e：e5：3f：9f：73：b8：33：0a：cf：5d：3f：34：87：96：8a
   ee：53：e8：25：15：02：03：01：00：01
 签名算法：sha1WithRSAEncryption
  Distribution CRL:
    http://crl.verisign.com/pca3.crl
 用于密钥：CRL签名，中国体育彩票开奖签名，TLS Web服务器身份验证，1.3.6.5.1.5.5.7.3.1，TLS Web客户端身份验证，1.3.6.5.1.5.7.3.2，代码签名，1.3.6.1.5.5.7.3 .3，Netscape Server门控加密，
 2.16.840.1.113730.4.1、2.16.840.1.113733.1.8.1、2.16.840.1.113733.1.8.1
  指纹：
   32：f3：08：82：62：2b：87：cf：88：56：c6：3d：b8：73：df：08：53：b4：dd：27（sha1）
   f9：1f：fe：e6：a3：6b：99：88：41：d4：67：dd：e5：f8：97：7a（md5）
  Auto-re-enrollment:
    Status: Disabled
   下一次触发时间：计时器未启动
中国体育彩票开奖标识符：G4
 中国体育彩票开奖版本：3
 序列号：513fb9743870b73440418d30930699ff
  发行人：
   组织：“ VeriSign，组织单位：VeriSign Trust 网络，组织单位：”（c）2006 VeriSign，国家/地区：美国，通用名称：VeriSign 3类公共主要中国体育彩票开奖颁发机构– G5
  Subject:
   组织：Symantec Corporation，组织单位：Symantec Trust 网络，国家/地区：美国，通用名称：Symantec Class 3 Secure Server CA – G4
  Subject string:
   C = US，O = 赛门铁克 Corporation，OU = 赛门铁克 Trust 网络，CN = 赛门铁克 Class 3安全服务器CA – G4
  Validity:
   之前不：2013年10月31日00:00 UTC
   不迟于：10-30-2023 世界标准时间23:59
 公钥算法：rsaEncryption（2048位）
   30：82：01：0a：02：82：01：01：00：b2：d8：05：ca：1c：74：2d：b5：17：56：39
   c5：4a：52：09：96：e8：4b：d8：0c：f1：68：9f：9a：42：28：62：c3：a5：30：53
   7e：55：11：82：5b：03：7a：0d：2f：e1：79：04：c9：b4：96：77：19：81：01：94
   59：f9：bc：f7：7a：99：27：82：2d：b7：83：dd：5a：27：7f：b2：03：7a：9c：53
   25：e9：48：1f：46：4f：c8：9d：29：f8：be：79：56：f6：f7：fd：d9：3a：68：da
   8b：4b：82：33：41：12：c3：c8：3c：cc：d6：96：7a：84：21：1a：22：04：03：27
   17：8b：1c：68：61：93：0f：0e：51：80：33：1d：b4：b5：ce：eb：7e：d0：62：ac
   ee：b3：7b：01：74：ef：69：35：eb：ca：d5：3d：a9：ee：97：98：ca：8d：aa：44
   0e：25：99：4a：15：96：a4：ce：6d：02：54：1f：2a：6a：26：e2：06：3a：63：48
   ac：b4：4c：d1：75：93：50：ff：13：2f：d6：da：e1：c6：18：f5：9f：c9：25：5d
   f3：00：3a：de：26：4d：b4：29：09：cd：0f：3d：23：6f：16：4a：81：16：fb：f2
   83：10：c3：b8：d6：d8：55：32：3d：f1：bd：0f：bd：8c：52：95：4a：16：97：7a
   52：21：63：75：2f：16：f9：c4：66：be：f5：b5：09：d8：ff：27：00：cd：44：7c
   6f：4b：3f：b0：f7：02：03：01：00：01
 签名算法：sha256WithRSAEncryption
  Distribution CRL:
    http://s1.symcb.com/pca3-g5.crl
 用于密钥：CRL签名，中国体育彩票开奖签名
  指纹：                        
   ff：67：36：7c：5c：d4：de：4a：e1：8b：cc：e1：d7：0f：da：bd：7c：86：61：35（sha1）
   23：d5：85：8e：bc：89：86：10：7c：b7：ac：1e：17：f7：26：c5（md5）
  Auto-re-enrollment:
    Status: Disabled
   下一次触发时间：计时器未启动

中国体育彩票开奖链也没有通过验证程序。错误与SRX1设备相同。似乎G5 CA中国体育彩票开奖有问题。

[电子邮件 protected]> 要求安全性pki ca中国体育彩票开奖验证ca配置文件G4 
node0:
————————————————————————
CA中国体育彩票开奖G4已成功验证
{primary：node0}
[电子邮件 protected]>要求安全性pki ca中国体育彩票开奖验证ca配置文件G5 
node0:
————————————————————————
错误：找不到中国体育彩票开奖的中国体育彩票开奖颁发机构</ C = US / O = VeriSign，Inc./OU=VeriSign信任网络/ OU =（c）2006 VeriSign，Inc. –仅供授权使用/ CN = VeriSign 3类公共主要中国体育彩票开奖颁发机构– G5>

两个设备CA中国体育彩票开奖链均未通过验证。在SRX1上，G4和G5 CA中国体育彩票开奖没有通过验证，在SRX2上，只有G5失败了，尽管我在两个设备上都导入了相同的中国体育彩票开奖。

让我们看一下从Symantec Verisign获得的文件：

1. ssl_certificate.crt是防火墙的 由Verisign CA中国体育彩票开奖签名的中国体育彩票开奖。

2. IntermediateCA.crt是包含两个中国体育彩票开奖的CA中国体育彩票开奖链文件。

––BEGIN中国体育彩票开奖-MIIFODCCBCCgAwIBAgIQUT + 5dDhwtzRAQY0wkwaZ / zANBgkqhkiG9w0BAQsFADCByjELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMR8wHQYDVQQLExZWZXJpU2lnbiBUcnVzdCBOZXR3b3JrMTowOAYDVQQLEZEoYykgMjAwNiBWZXJpU2lnbiwgSW5jLiAtIEZvciBhdXRob3JpemVkIHVzZSBvbmx5MUUwQwYDVQQDEzxWZXJpU2lnbiBDbGFzcyAzIFB1YmxpYyBQcmltYXJ5IENlcnRpZmljYXRpb24gQXV0aG9yaXR5IC0gRzUwHhcNMTMxMDMxMDAwMDAwWhcNMjMxMDMwMjM1OTU5WjB + MQswCQYDVQQGEwJVUzEdMBsGA1UEChMUU3ltYW50ZWMgQ29ycG9yYXRpb24xHzAdBgNVBAsTFlN5bWFudGVjIFRydXN0IE5ldHdvcmsxLzAtBgNVBAMTJlN5bWFudGVjIENsYXNzIDMgU2VjdXJlIFNlcnZlciBDQSAtIEc0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAstgFyhx0LbUXVjnFSlIJluhL2AzxaJ + aQihiw6UwU35VEYJbA3oNL + F5BMm0lncZgQGUWfm893qZJ4Itt4PdWid / sgN6nFMl6UgfRk / InSn4vnlW9vf92Tpo2otLgjNBEsPIPMzWlnqEIRoiBAMnF4scaGGTDw5RgDMdtLXO637QYqzus3sBdO9pNevK1T2p7peYyo2qRA4lmUoVlqTObQJUHypqJuIGOmNIrLRM0XWTUP8TL9ba4cYY9Z / JJV3zADreJk20KQnNDz0jbxZKgRb78oMQw7jW2FUyPfG9D72MUpVKFpd6UiFjdS8W + cRmvvW1Cdj / JwDNRHxvSz + w9wIDAQABo4IBYzCCAV8wEgYDVR0TAQH / BAgwBgEB / wIBADAwBgNVHR8EKTAnMCWgI6Ahhh9odHRwOi8vczEuc3ltY2IuY29tL3BjYTMtZzUuY3JsMA4GA1UdDwEB / wQEAwIBBjAvBggrBgEFBQcBAQQjMCEwHwYIKwYBBQUHMAGGE2h0dHA6Ly9zMi5zeW1jYi5jb20wawYDVR0gBGQwYjBgBgpghkgBhvhFAQc2MFIwJgYIKwYBBQUHAgEWGmh0dHA6Ly93d3cuc3ltYXV0aC5jb20vY3BzMCgGCCsGAQUFBwICMBwaGmh0dHA6Ly93d3cuc3ltYXV0aC5jb20vcnBhMCkGA1UdEQQiMCCkHjAcMRowGAYDVQQDExFTeW1hbnRlY1BLSS0xLTUzNDAdBgNVHQ4EFgQUX2DPYZBV34RDFIpgKrL1evRDGO8wHwYDVR0jBBgwFoAUf9Nlp8Ld7LvwMAnzQzn6Aq8zMTMwDQYJKoZIhvcNAQELBQADggEBAF6UVkndji1l9cE2UbYD49qecxnyH1mrWH5sJgUs + oHXXCMXIiw3k / eG7IXmsKP9H + IyqEVv4dn7ua / ScKAyQmW / hP4WKo8 / xabWo5N9Q + l0IZE1KPRj6S7t9 / Vcf0uatSDpCr3gRRAMFJSaXaXjS5HoJJtGQGX0InLNmfiIEfXzf + YzguaoxX7 + 0AjiJVgIcWjmzaLmFN5OUiQt / eV5E1PnXi8tTRttQBVSK / eHiXgSgW7ZTaoteNTCLD0IX4eRnh8OsN4wUmSGiaqdZpwOdgyA8nTYKvi4Os7X1g8RvmurFPW9QaAiY4nxug9vKWNmLT + sjHLF + 8fk1A / yO0 + MKcc =-结束中国体育彩票开奖-––BEGIN中国体育彩票开奖-MIIE0DCCBDmgAwIBAgIQJQzo4DBhLp8rifcFTXz4 / TANBgkqhkiG9w0BAQUFADBfMQswCQYDVQQGEwJVUzEXMBUGA1UEChMOVmVyaVNpZ24sIEluYy4xNzA1BgNVBAsTLkNsYXNzIDMgUHVibGljIFByaW1hcnkgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMDYxMTA4MDAwMDAwWhcNMjExMTA3MjM1OTU5WjCByjELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMR8wHQYDVQQLExZWZXJpU2InbiBUcnVzdCBOZXR3b3JrMTowOAYDVQQLEzEoYykgMjAwNiBWZXJpU2lnbiwgSW5jLiAtIEZvciBhdXRob3JpemVkIHVzZSBvbmx5MUUwQwYDVQQDEzxWZXJpU2lnbiBDbGFzcyAzIFB1​​YmxpYyBQcmltYXJ5IENlcnRpZmljYXRpb24gQXV0aG9yaXR5IC0gRzUwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCvJAgIKXo1nmAMqudLO07cfLw8RRy7K + D + KQL5VwijZIUVJ / XxrcgxiV0i6CqqpkKzj / i5Vbext0uz / o9 + B1fs70PbZmIVYc9gDaTY3vjgw2IIPVQT60nKWVSFJuUrjxuf6 / WhkcIzSdhDY2pSS9KP6HBRTdGJaXvHcPaz3BJ023tdS1bTlr8Vd6Gw9KIl8q8ckmcY5fQGBO + QueQA5N06tRn /Arr0PO7gi + s3i + z016zy9vA9r911kTMZHRxAy3QkGSGT2RT + rCpSx4 / VBEnkjWNHiDxpg8v + R70rfk / Fla4OndTRQ8Bnc + MUCH7lP59zuDMKz10 / NIeWiu5T6CUVAgMBAAGjggGbMIIBlzAPBgNVHRMBAf8EBTADAQH / MDEGA1UdHwQqMCgwJqAkoCKGIGh0dHA6Ly9jcmwudmVyaXNpZ24uY29tL3BjYTMuY3JsMA4GA1UdDwEB / wQEAwIBBjA9BgNVHSAENjA0MDIGBFUdIAAwKjAoBggrBgEFBQcCARYcaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL2NwczAdBgNVHQ4EFgQUf9Nlp8Ld7LvwMAnzQzn6Aq8zMTMwbQYIKwYBBQUHAQwEYTBfoV2gWzBZMFcwVRYJaW1hZ2UvZ2lmMCEwHzAHBgUrDgMCGgQUj + XTGoasjY5rw8 + AatRIGCx7GS4wJRYjaHR0cDovL2xvZ28udmVyaXNpZ24uY29tL3ZzbG9nby5naWYwNAYIKwYBBQUHAQEEKDAmMCQGCCsGAQUFBzABhhhodHRwOi8vb2NzcC52ZXJpc2lnbi5jb20wPgYDVR0lBDcwNQYIKwYBBQUHAwEGCCsGAQUFBwMCBggrBgEFBQcDAwYJYIZIAYb4QgQBBgpghkgBhvhFAQgBMA0GCSqGSIb3DQEBBQUAA4GBABMC3fjohgDyWvj4IAxZiGIHzs73Tvm7WaGY5eE43U68ZhjTresY8g3JbT5KlCDDPLq9ZVTGr0SzEK0saz6r1we2uIFjxfleLuUqZ87NMwwq14lWAyMfs77oOghZtOxFNfeKW / 9mz1Cvxm1XjRl4t7mi0VfqH5pLr7rJjhJ + xr3 /-结束中国体育彩票开奖-

将中国体育彩票开奖链的每个部分保存到文件中后，我检查了每个中国体育彩票开奖的中国体育彩票开奖属性。

从中国体育彩票开奖属性中，我们可以看出“ 赛门铁克 3类安全服务器CA – G4”是由“ VeriSign 3类公共主要中国体育彩票开奖颁发机构– G5”签署的，而“ VeriSign 3类公共主要中国体育彩票开奖颁发机构– G5”则是由“ 3类签名”签署的公共一级中国体育彩票开奖颁发机构”

从下面的输出中，本地中国体育彩票开奖SRX1由“ 赛门铁克 Class 3 Secure Server CA – G4”签名

[电子邮件 protected]>显示安全性pki本地中国体育彩票开奖的详细信息
node0:
————————————————————————
中国体育彩票开奖标识符： SRX1
 中国体育彩票开奖版本：3
 序列号：2d6f03041e93e1e97acd758ae940e6db
  发行人：
   组织：Symantec Corporation，组织单位：Symantec Trust 网络，国家/地区：美国， 通用名称：Symantec Class 3 Secure Server CA – G4
  Subject:
   组织：GG，组织单位：IT，国家：CA，州：Ontario，位置：srx1，通用名：srx1.gg.com
  Subject string:
   C = CA，ST = Ontario，L​​ = srx1，O = gg，OU = IT，CN = srx1.gg.com
 备用主题：电子邮件为空，srx1.gg.com，ip为空
  Validity:
   不早于：01-9-2015 00:00 UTC
   不迟于：04-5-2018 世界标准时间23:59
 公钥算法：rsaEncryption（2048位）
   30：82：01：0a：02：82：01：01：00：9d：96：c7：76：c3：66：25：c3：ec：58：61
   ee：c9：9d：82：ae：d6：de：26：ff：50：e8：b1：a0：ce：cd：0f：1a：f2：59：56
   9f：7f：49：aa：de：88：a8：5d：4c：69：0a：5b：f0：91：a7：49：e4：9b：3b：df
   e4：0e：24：7d：23：fe：32：4b：c0：9e：a6：37：ff：0c：7b：ae：02：6b：1c：b7
   7c：79：29：e3：73：4d：4f：3d：5a：38：4a：f6：43：03：8b：b9：8e：19：ea：bb
   cd：52：00：5d：a8：b5：a8：3a：92：3c：38：06：13：32：50：56：31：3f：be：68
   a2：b7：e4：f0：2d：0c：a2：f1：0b：22：b3：ea：2a：9e：47：7b：5b：aa：cc：43
   9d：f2：4e：e5：86：9f：c8：37：fc：02：d4：66：34：93：e0：d6：6b：35：c9：5d
   25：29：90：6d：ab：8c：1e：00：a1：cb：79：27：b4：f9：26：2e：e4：22：20：28
   70：e1：51：b6：7d：4a：34：07：c9：a3：69：49：26：34：6a：0b：66：ee：0c：29
   a5：c6：14：04：fb：64：49：31：72：cb：10：15：c4：c4：2b：66：b3：8c：3d：21
   76：34：3d：6a：83：0b：50：92：fe：32：a4：0c：7b：d2：82：d2：3f：61：63：59
   8c：57：4b：c7：99：09：a0：57：45：6c：e9：fb：64：34：80：46：dc：43：ce：4d
   1b：d0：d9：0a：e3：02：03：01：00：01
 签名算法：sha256WithRSAEncryption
  Distribution CRL:
    http://ss.symcb.com/ss.crl
 用于密钥：密钥加密，数字签名，TLS Web服务器身份验证，1.3.6.5.1.5.5.7.3.1，TLS Web客户端身份验证，1.3.6.5.1.5.5.7.3.2
  指纹：
   8a：ea：0d：e2：a9：28：65：d1：d4：e0：6d：77：7e：aa：75：7d：69：7d：1f：ab（sha1）
   c7：b2：a1：ad：36：aa：8e：40：3d：5e：c9：cb：ad：9b：3f：10（md5）
  Auto-re-enrollment:
    Status: Disabled
   下一次触发时间：计时器未启动

我检查了Symantec页面 “根中国体育彩票开奖的许可和使用”，发现还有另一个G5中国体育彩票开奖。

已下载并从Windows检查属性：

这个新的G5中国体育彩票开奖将在2036年到期，并且具有相同的“颁发给”和“颁发者”，这意味着它是根CA中国体育彩票开奖。旧的G5将于2021年到期，并且具有不同的颁发给和颁发者，这意味着它由另一个根CA中国体育彩票开奖签名。现在，我通过绘制下图来了解Symantec中国体育彩票开奖链：

现在很明显，有了从赛门铁克发送的那些原始中国体育彩票开奖，我只有G5（2021）和G4用于CA中国体育彩票开奖链。我缺少一个根中国体育彩票开奖“ Verisign Class 3 Public Primary CA”。

我可以导入另一个新的ca中国体育彩票开奖来完成此链，也可以将G5（2021）替换为新的G5（2036）。我选择替换选项。

以下列出了所有步骤：

[电子邮件 protected]> 请求安全性pki ca中国体育彩票开奖加载ca配置文件G5文件名/var/tmp/G5.pem  
node1:
————————————————————————
错误：命令已中止，因为CA中国体育彩票开奖已存在。清除现有的CA中国体育彩票开奖后重试

[电子邮件 protected]> 清除安全性PKI CA中国体育彩票开奖CA配置文件G5                                  

[电子邮件 protected]> 请求安全性pki ca中国体育彩票开奖加载ca配置文件G5文件名/var/tmp/G5.pem  
node1:
————————————————————————
指纹：
 4e：b6：d5：78：49：9b：1c：cf：5f：58：1e：ad：56：be：3d：9b：67：44：a5：e5（sha1）
 cb：17：e4：31：67：3e：e2：09：fe：45：57：93：f3：0a：fa：1c（md5）
配置文件G5的CA中国体育彩票开奖已成功加载
[电子邮件 protected]> 要求安全性pki ca中国体育彩票开奖验证ca配置文件G4
node1:
————————————————————————
CA中国体育彩票开奖G4已成功验证

[电子邮件 protected]> 要求安全性pki ca中国体育彩票开奖验证ca配置文件G5  
node1:
————————————————————————
CA中国体育彩票开奖G5成功验证

[电子邮件 protected]>显示安全性pki ca中国体育彩票开奖 node0:————————————————————————
中国体育彩票开奖标识符：G5 颁发给：VeriSign 3类公共一级中国体育彩票开奖颁发机构– G5，颁发者：C =美国，O =“ VeriSign，Inc。”，OU = VeriSign信任网络，OU =“（c）2006 VeriSign，Inc. –供授权使用仅”，CN = 威瑞信3级公共一级中国体育彩票开奖颁发机构– G5  Validity:   不早于：11- 8-2006 00:00 UTC    Not after: 07-16-2036 世界标准时间23:59 公钥算法：rsaEncryption（2048位）
中国体育彩票开奖标识符：G4 颁发给：Symantec 3类安全服务器CA – G4，颁发者：C =美国，O =“ VeriSign，Inc。”，OU = VeriSign信任网络，OU =“（c）2006 VeriSign，Inc. –仅供授权使用”，CN = VeriSign 3类公共一级中国体育彩票开奖颁发机构– G5  Validity:   之前不：2013年10月31日00:00 UTC   不迟于：10-30-2023 世界标准时间23:59 公钥算法：rsaEncryption（2048位）

校验：

检查IKE和IPSec SA状态

[电子邮件 protected]>显示安全性ike安全性关联
node1:
————————————————————————
指数  State  Initiator cookie  Responder cookie  Mode           Remote Address
301675926以上  a148a554596bf461  cc586e1ce0d381be  Main           10.9.1.1    
{secondary：node0}
[电子邮件 protected]>显示安全性ipsec安全性关联
node1:
————————————————————————
 活动隧道总数：1
  ID    Algorithm       SPI      Life:sec/kb  Mon lsys Port  Gateway
  <131073 ESP：aes-cbc-128 / sha1 c2a9ad05 1690 / unlim –根500 10.9.1.1   
  >131073 ESP：aes-cbc-128 / sha1 3fd4eedc 1690 / unlim –根500 10.9.1.1    

组态：

介面 {
    st0 {
        unit 0 {
            family inet;
        }
    }
}

[电子邮件 protected]>显示配置路由实例 
vr_SRX2 {
   实例类型虚拟路由器；
    interface reth9.0;
    interface st0.0;
    routing-options {
        static {
           路由1.1.1.0/24下一跳10.4.1.2;
            路由10.9.0.0/16下一跳st0.0;
           路由10.9.1.1/32下一跳10.4.1.2;
        }
        aggregate {
            route 10.9.0.0/16 {
                preference 2;
            }
           路由192.168.0.0/16 {
                preference 2;
            }
        }
       实例导入from_all_to_SRXl;
    }
}

pki {

    ca-profile G4 {
       ca-identity test.com;
        revocation-check {
            disable;
        }
        administrator {
            email-address “[电子邮件 protected]”；
        }
    }
    ca-profile G5 {
       ca-identity test.com;
        revocation-check {
            disable;
        }
        administrator {
           电子邮件地址“ test1.test.com”；
        }
    }
    traceoptions {
       文件PKITRACE大小为1m；
        flag all;
    }
}

ike {

   无效：traceoptions {
       文件IKELOG大小为1m；
       标记策略管理器；
        flag ike;
       标记路由套接字；
        flag certificates;
    }
   提案P1-AES_1_1 {
       身份验证方法rsa签名；
        dh-group group2;
       认证算法sha1;
       加密算法aes-128-cbc;
       寿命秒86400;
    }
   政策ike-pol-Myvpn {
        mode main;
       提案P1-AES_1_1；
        certificate {
           本地中国体育彩票开奖SRX1;
           对等中国体育彩票开奖类型x509签名；
        }
       非活动状态：预共享密钥ascii文本“ $ 9 $ 4xZGjqmT3nCHqp01IcSs2g4Uj”； ##秘密数据
    }
   网关gw-TheirGateway {
       ike-policy ike-pol-Myvpn;
        address 10.9.1.1;
       本地身份主机名srx1.test.com;
       远程身份主机名srx2.test.com;
       外部接口reth9.0;
       本地地址10.4.1.1;
    }
}

ipsec {

    proposal P2-AES_1 {
        description group2;
        protocol esp;
       认证算法hmac-sha1-96;
       加密算法aes-128-cbc;
       寿命秒3600;
    }
   策略ipsec-pol-1 {
       完美转发保密{
            keys group2;
        }
        proposals P2-AES_1;
    }
    vpn vpn-ToThem {
       绑定接口st0.0;
        ike {
           网关gw-TheirGateway;
            idle-time 1800;
           ipsec-policy ipsec-pol-1;
        }
    }
}