开发者社区> 技术小胖子> 正文

利用IPsec实现网络安全之四(CA证书实现身份验证)

简介:
+关注继续查看

作者:许本新

网络环境拓扑如图4-1所示

 

图4-1

各位读友大家好,写文之前先向大家问好,已经好久没有些东西了,今天打开博客发现IPSEC系列文章还没有结束,所以就又有了继续写下去的冲动了。今天接着上一篇叙,上篇介绍了IPSEC的共享密钥实现身份验证,此篇则介绍利用CA证书实现身份验证!

Windows 2003 IPSec 的身份验证主要提供了三种验证模式,它们分别是Kerberos V5 协议、证书、预共享密钥。而所有证书验证都由加密的 API (CAPI) 执行。IKE 只是用来协商使用哪些证书,并为证书凭据的交换提供安全。IPSec 策略指定使用哪些根证书颁发机构 (CA),而不指定使用哪个特定的证书。在 IPSec 策略配置中双方都必须有公用的根 CA

利用CA证书实现验证,需要对证书作出以下要求:

a)      证书存储在计算机帐户(计算机存储)中 

b)      证书包含一个 RSA 公钥,该公钥具有可用来进行 RSA 签名的对应的私钥。

c)      在证书有效期内使用 

d)      根证书颁发机构受信任 

e)      可以由 CAPI 模块建立有效的证书颁发机构链

这些要求是相当基本的。IPSec 不要求计算机证书是 IPSec 类型的证书,因为现有的证书颁发机构可能不颁发这些类型的证书。

一、    IPsec两端申请和安装证书

1、  打开 Internet Explorer 并转到证书颁发机构站点。如果您没有另一个从中接收证书的站点,请使用: http://caserverIP/certsrv 本站点提供到四个证书颁发机构的访问途径。为了简明起见,本步骤使用独立根 CA (sectestca3) 颁发的证书。 

2、  选择独立根 (RSA 2048) 

3、  选择申请证书,然后单击下一步。 

4、  选择高级请求,然后单击下一步。 

5、  选择使用表格提交一个证书申请。

6、  在高级证书申请表格中,输入相关内容如图4-2所示

 

7、  CA服务器上为IPsec计算机颁发证书如图4-3所示

 

8、  IPsec计算机上通过 “查看挂起的证书申请状态”安装CA颁发的证书如图4-4所示

 

 

9、  安装证书链如图4-54-6、4-7和图4-8所示,CA证书和证书链下载下来,然后将证书安装在“受信任根证书颁发机构”的计算机中。注意IPsec协商双方都需要申请和安装证书,方法完全相同。

 

图4-5

 

图4-6

 

图4-7

 




图4-8

二、    添加IPSEC策略配置CA身份验证

如果您在创建新的规则,则可以浏览以查找可使用的证书颁发机构。这是在受信任的根证书颁发机构文件夹中的证书颁发机构证书的列表,而不是您的计算机个人证书的列表。IPSec 规则中的该根 CA 规范有两个目的。第一,它给 IKE 提供它信任的根 CA。您的计算机上的 IKE 将从此根 CA 向其它计算机发送有效证书的申请。第二,CA 规范提供根 CA 的名称,您的计算机将使用该名称来查找其自己的个人证书来响应对等计算机的申请。 注意 您必须至少选择您的计算机证书可以返回的证书颁发机构根,即,在您的计算机的个人存储中,计算机证书的证书路径中的顶层 CA 

IPSec 规则编辑器能使您建立证书颁发机构的有序表,您的计算机在 IKE 协商期间将其在申请中发送给对等计算机。对等计算机必须有您的列表中的其中一个根 CA 颁发的个人证书,才能保证身份验证成功。 您可以继续按照需要添加和排列证书颁发机构。

IPsec规则创建完成后在身份验证项中选择CA证书并保证IPsec双方配置完全一致否则不能协商成功,具体策略配置与共享密钥配置方法完全相同,只是身份验证选择CA验证模式即可。如图4-9所示。

 

三、    检测协商是否成功

 

 

最后需要注意的是,两边IPSEC策略配置需要完全相同,而且最后一定要将策略指派,然后通过ping来检测是否能够协商成功。如图4-10所示表示协商会议成功。

 

 

4-10

 

另外也可以通过抓取报文检测如图4-11所示。






      本文转自xubenxin  51CTO博客,原文链接:http://blog.51cto.com/windows/405888,如需转载请自行联系原作者


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
14216 0
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
18834 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
28023 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
22066 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
15520 0
21115
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载