LIFE_OF_NETWORK_ENGINEER Telegram 167
tgoop.com » United States » Будни сетевика » Telegram web » Post 167
Будни сетевика
Задача: настроить коммутаторы Juniper QFX на отправку syslog over TLS

Такое потребовалось в одном изолированном контуре, где все должно быть максимально БЕЗОПАСНО 🔐

3 шага для настройки

🔑 Шаг 1: Установка сертификата

Тут два варианта.

1. Получить сертификат от вашего CA

Указываем URL для получения сертификата:
set security pki ca-profile tls-syslog enrollment url http://your-ca-server/certsrv


Получаем сертификат:
request security pki ca-certificate enroll ca-profile tls-syslog


Сертификат будет автоматически сохранён и использован.

2. Скачать уже готовый сертификат на устройство (например, через SCP)

Далее загружаем сертификат:
request security pki ca-certificate load ca-profile tls-syslog filename /var/tmp/cert_ca.pem


Проверяем, что сертификат был загружен:
show security pki ca-certificate

LSYS: root-logical-system
CA profile: tls-syslog
Certificate identifier: tls-syslog
Issued to: Okko CA Certificate, Issued by: C = RU, ST = Saint-Petersburg, O = Okko, OU = Technical Department, CN = Okko CA Certificate
Validity:
Not before: 09-11-2025 14:32 UTC
Not after: 09- 9-2035 14:32 UTC
Public key algorithm: ecdsaEncryption(384 bits)
Keypair Location: Keypair generated locally



🔑 Шаг 2: Создание ca-группы и ca-профиля

set security pki ca-profile tls-syslog ca-identity tls-syslog
set security pki ca-profile tls-syslog revocation-check disable
set security pki trusted-ca-group tlsdetails ca-profiles tls-syslog



🔑 Шаг 3: Настройка syslog с TLS

10.15.24.37 - Syslog-сервер

set system syslog host 10.15.24.37 any any
set system syslog host 10.15.24.37 interactive-commands any
set system syslog host 10.15.24.37 port 1515
set system syslog host 10.15.24.37 source-address 10.1.25.130
set system syslog host 10.15.24.37 transport tls
set system syslog host 10.15.24.37 tlsdetails trusted-ca-group tls-syslog ca-profiles tls-syslog
set system syslog host 10.15.24.37 structured-data
set system syslog file interactive-commands interactive-commands any
set system syslog file messages any any
set system syslog file messages authorization info
set system syslog source-address 10.15.25.130


Можно проверять логи на Syslog-сервере.

Документация Juniper: Syslog over TLS.

🎤Будни сетевика 😊 | #Задача
Please open Telegram to view this post
VIEW IN TELEGRAM
👍22🔥3👀3
www.tgoop.com/life_of_network_engineer/167
353 viewsedited  



tgoop.com/life_of_network_engineer/167
Create:
Last Update:

Задача: настроить коммутаторы Juniper QFX на отправку syslog over TLS

Такое потребовалось в одном изолированном контуре, где все должно быть максимально БЕЗОПАСНО 🔐

3 шага для настройки

🔑 Шаг 1: Установка сертификата

Тут два варианта.

1. Получить сертификат от вашего CA

Указываем URL для получения сертификата:

set security pki ca-profile tls-syslog enrollment url http://your-ca-server/certsrv


Получаем сертификат:
request security pki ca-certificate enroll ca-profile tls-syslog


Сертификат будет автоматически сохранён и использован.

2. Скачать уже готовый сертификат на устройство (например, через SCP)

Далее загружаем сертификат:
request security pki ca-certificate load ca-profile tls-syslog filename /var/tmp/cert_ca.pem


Проверяем, что сертификат был загружен:
show security pki ca-certificate

LSYS: root-logical-system
CA profile: tls-syslog
Certificate identifier: tls-syslog
Issued to: Okko CA Certificate, Issued by: C = RU, ST = Saint-Petersburg, O = Okko, OU = Technical Department, CN = Okko CA Certificate
Validity:
Not before: 09-11-2025 14:32 UTC
Not after: 09- 9-2035 14:32 UTC
Public key algorithm: ecdsaEncryption(384 bits)
Keypair Location: Keypair generated locally



🔑 Шаг 2: Создание ca-группы и ca-профиля

set security pki ca-profile tls-syslog ca-identity tls-syslog
set security pki ca-profile tls-syslog revocation-check disable
set security pki trusted-ca-group tlsdetails ca-profiles tls-syslog



🔑 Шаг 3: Настройка syslog с TLS

10.15.24.37 - Syslog-сервер

set system syslog host 10.15.24.37 any any
set system syslog host 10.15.24.37 interactive-commands any
set system syslog host 10.15.24.37 port 1515
set system syslog host 10.15.24.37 source-address 10.1.25.130
set system syslog host 10.15.24.37 transport tls
set system syslog host 10.15.24.37 tlsdetails trusted-ca-group tls-syslog ca-profiles tls-syslog
set system syslog host 10.15.24.37 structured-data
set system syslog file interactive-commands interactive-commands any
set system syslog file messages any any
set system syslog file messages authorization info
set system syslog source-address 10.15.25.130


Можно проверять логи на Syslog-сервере.

Документация Juniper: Syslog over TLS.

🎤Будни сетевика 😊 | #Задача

BY Будни сетевика


Share with your friend now:
tgoop.com/life_of_network_engineer/167

View MORE
Open in Telegram


Telegram News

Date: |

Developing social channels based on exchanging a single message isn’t exactly new, of course. Back in 2014, the “Yo” app was launched with the sole purpose of enabling users to send each other the greeting “Yo.” 5Telegram Channel avatar size/dimensions Step-by-step tutorial on desktop: Telegram offers a powerful toolset that allows businesses to create and manage channels, groups, and bots to broadcast messages, engage in conversations, and offer reliable customer support via bots. Hui said the time period and nature of some offences “overlapped” and thus their prison terms could be served concurrently. The judge ordered Ng to be jailed for a total of six years and six months.
from us


Задача: настроить коммутаторы Juniper QFX на отправку syslog over TLS

 Будни сетевика TG
web: 167
Будни сетевика.Telegram web
Будни сетевика Telegram TG Channel
Telegram Updated:
Telegram Будни сетевика
FROM American