利用IPsec实现网络安全之四(CA证书实现身份验证)

简介:

作者:许本新

网络环境拓扑如图4-1所示

 

图4-1

各位读友大家好,写文之前先向大家问好,已经好久没有些东西了,今天打开博客发现IPSEC系列文章还没有结束,所以就又有了继续写下去的冲动了。今天接着上一篇叙,上篇介绍了IPSEC的共享密钥实现身份验证,此篇则介绍利用CA证书实现身份验证!

Windows 2003 IPSec 的身份验证主要提供了三种验证模式,它们分别是Kerberos V5 协议、证书、预共享密钥。而所有证书验证都由加密的 API (CAPI) 执行。IKE 只是用来协商使用哪些证书,并为证书凭据的交换提供安全。IPSec 策略指定使用哪些根证书颁发机构 (CA),而不指定使用哪个特定的证书。在 IPSec 策略配置中双方都必须有公用的根 CA

利用CA证书实现验证,需要对证书作出以下要求:

a)      证书存储在计算机帐户(计算机存储)中 

b)      证书包含一个 RSA 公钥,该公钥具有可用来进行 RSA 签名的对应的私钥。

c)      在证书有效期内使用 

d)      根证书颁发机构受信任 

e)      可以由 CAPI 模块建立有效的证书颁发机构链

这些要求是相当基本的。IPSec 不要求计算机证书是 IPSec 类型的证书,因为现有的证书颁发机构可能不颁发这些类型的证书。

一、    IPsec两端申请和安装证书

1、  打开 Internet Explorer 并转到证书颁发机构站点。如果您没有另一个从中接收证书的站点,请使用: http://caserverIP/certsrv 本站点提供到四个证书颁发机构的访问途径。为了简明起见,本步骤使用独立根 CA (sectestca3) 颁发的证书。 

2、  选择独立根 (RSA 2048) 

3、  选择申请证书,然后单击下一步。 

4、  选择高级请求,然后单击下一步。 

5、  选择使用表格提交一个证书申请。

6、  在高级证书申请表格中,输入相关内容如图4-2所示

 

7、  CA服务器上为IPsec计算机颁发证书如图4-3所示

 

8、  IPsec计算机上通过 “查看挂起的证书申请状态”安装CA颁发的证书如图4-4所示

 

 

9、  安装证书链如图4-54-6、4-7和图4-8所示,CA证书和证书链下载下来,然后将证书安装在“受信任根证书颁发机构”的计算机中。注意IPsec协商双方都需要申请和安装证书,方法完全相同。

 

图4-5

 

图4-6

 

图4-7

 




图4-8

二、    添加IPSEC策略配置CA身份验证

如果您在创建新的规则,则可以浏览以查找可使用的证书颁发机构。这是在受信任的根证书颁发机构文件夹中的证书颁发机构证书的列表,而不是您的计算机个人证书的列表。IPSec 规则中的该根 CA 规范有两个目的。第一,它给 IKE 提供它信任的根 CA。您的计算机上的 IKE 将从此根 CA 向其它计算机发送有效证书的申请。第二,CA 规范提供根 CA 的名称,您的计算机将使用该名称来查找其自己的个人证书来响应对等计算机的申请。 注意 您必须至少选择您的计算机证书可以返回的证书颁发机构根,即,在您的计算机的个人存储中,计算机证书的证书路径中的顶层 CA 

IPSec 规则编辑器能使您建立证书颁发机构的有序表,您的计算机在 IKE 协商期间将其在申请中发送给对等计算机。对等计算机必须有您的列表中的其中一个根 CA 颁发的个人证书,才能保证身份验证成功。 您可以继续按照需要添加和排列证书颁发机构。

IPsec规则创建完成后在身份验证项中选择CA证书并保证IPsec双方配置完全一致否则不能协商成功,具体策略配置与共享密钥配置方法完全相同,只是身份验证选择CA验证模式即可。如图4-9所示。

 

三、    检测协商是否成功

 

 

最后需要注意的是,两边IPSEC策略配置需要完全相同,而且最后一定要将策略指派,然后通过ping来检测是否能够协商成功。如图4-10所示表示协商会议成功。

 

 

4-10

 

另外也可以通过抓取报文检测如图4-11所示。






      本文转自xubenxin  51CTO博客,原文链接:http://blog.51cto.com/windows/405888,如需转载请自行联系原作者


相关文章
|
2月前
|
运维 监控 安全
|
2月前
|
算法
计算机网络:CSMA/CA协议
计算机网络:CSMA/CA协议
96 9
|
2月前
|
安全 网络安全 数据安全/隐私保护
|
安全 网络安全 数据安全/隐私保护
网络安全工程师有什么证书可以考?需要什么条件?
自从人类进入信息化时代后,生活发生了天翻地覆的变化,每个人的出行、交友、购物都和网络息息相关,让人们的生活变得更加便利。
|
存储 缓存 安全
Kerberos 概述:介绍网络身份验证
Kerberos 概述:介绍网络身份验证
575 0
|
网络协议 算法 网络安全
网络基础 记一次HTTPS证书验证测试过程
网络基础 记一次HTTPS证书验证测试过程
118 0
|
算法 网络安全 数据安全/隐私保护
【计算机网络】网络安全 : 公钥分配 ( 公钥使用者 | 公钥分配 | CA 证书格式 | CA 证书吊销 )
【计算机网络】网络安全 : 公钥分配 ( 公钥使用者 | 公钥分配 | CA 证书格式 | CA 证书吊销 )
238 0
计算机网络学习12:随机接入CSMA/CA(CD)
上一节课中讲述的是静态划分信道。 现在将动态接入控制,而又因为受控接入已经被历史和市场淘汰,故没有研究。 这一节的内容是讲述随机接入。
计算机网络学习12:随机接入CSMA/CA(CD)
|
算法 安全 数据建模
网络安全保护,需要国密SSL证书
近年来国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法应用实施、加强行业安全可控的要求。摆脱对国外技术和产品的过度依赖,建设行业网络安全环境,增强我国行业信息系统的“安全可控”能力显得尤为必要和迫切。
514 0
网络安全保护,需要国密SSL证书
|
算法 数据安全/隐私保护 流计算
【计算机网络】数据链路层 : CSMA/CA 协议 ( 载波监听多点接入 / 碰撞避免 协议 | CSMA/CA 协议工作原理 | CSMA/CD 协议 与 CSMA/CA 协议对比 )
【计算机网络】数据链路层 : CSMA/CA 协议 ( 载波监听多点接入 / 碰撞避免 协议 | CSMA/CA 协议工作原理 | CSMA/CD 协议 与 CSMA/CA 协议对比 )
821 0