作者:许本新

网络环境拓扑如图4-1所示

各位读友大家好,写文之前先向大家问好,已经好久没有些东西了，今天打开博客发现IPSEC系列文章还没有结束，所以就又有了继续写下去的冲动了。今天接着上一篇叙，上篇介绍了IPSEC的共享密钥实现身份验证，此篇则介绍利用CA证书实现身份验证！

Windows 2003 IPSec 的身份验证主要提供了三种验证模式，它们分别是Kerberos V5 协议、证书、预共享密钥。而所有证书验证都由加密的 API (CAPI) 执行。IKE 只是用来协商使用哪些证书，并为证书凭据的交换提供安全。IPSec 策略指定使用哪些根证书颁发机构 (CA)，而不指定使用哪个特定的证书。在 IPSec 策略配置中双方都必须有公用的根 CA。

利用CA证书实现验证，需要对证书作出以下要求：

a)      证书存储在计算机帐户（计算机存储）中 

b)      证书包含一个 RSA 公钥，该公钥具有可用来进行 RSA 签名的对应的私钥。

c)      在证书有效期内使用 

d)      根证书颁发机构受信任 

e)      可以由 CAPI 模块建立有效的证书颁发机构链

这些要求是相当基本的。IPSec 不要求计算机证书是 IPSec 类型的证书，因为现有的证书颁发机构可能不颁发这些类型的证书。

一、    IPsec两端申请和安装证书

1、  打开 Internet Explorer 并转到证书颁发机构站点。如果您没有另一个从中接收证书的站点，请使用： http://caserverIP/certsrv 本站点提供到四个证书颁发机构的访问途径。为了简明起见，本步骤使用独立根 CA (sectestca3) 颁发的证书。 

2、  选择独立根 (RSA 2048)。 

3、  选择申请证书，然后单击下一步。 

4、  选择高级请求，然后单击下一步。 

5、  选择使用表格提交一个证书申请。

6、  在高级证书申请表格中，输入相关内容如图4-2所示

7、  在CA服务器上为IPsec计算机颁发证书如图4-3所示

8、  在IPsec计算机上通过 “查看挂起的证书申请状态”安装CA颁发的证书如图4-4所示

9、  安装证书链如图4-5、4-6、4-7和图4-8所示,将CA证书和证书链下载下来，然后将证书安装在“受信任根证书颁发机构”的计算机中。注意IPsec协商双方都需要申请和安装证书，方法完全相同。

图4-5

图4-6

图4-7

图4-8

二、    添加IPSEC策略配置CA身份验证

如果您在创建新的规则，则可以浏览以查找可使用的证书颁发机构。这是在“受信任的根证书颁发机构”文件夹中的证书颁发机构证书的列表，而不是您的计算机个人证书的列表。IPSec 规则中的该根 CA 规范有两个目的。第一，它给 IKE 提供它信任的根 CA。您的计算机上的 IKE 将从此根 CA 向其它计算机发送有效证书的申请。第二，CA 规范提供根 CA 的名称，您的计算机将使用该名称来查找其自己的个人证书来响应对等计算机的申请。 注意 您必须至少选择您的计算机证书可以返回的证书颁发机构根，即，在您的计算机的个人存储中，计算机证书的证书路径中的顶层 CA。 

IPSec 规则编辑器能使您建立证书颁发机构的有序表，您的计算机在 IKE 协商期间将其在申请中发送给对等计算机。对等计算机必须有您的列表中的其中一个根 CA 颁发的个人证书，才能保证身份验证成功。 您可以继续按照需要添加和排列证书颁发机构。

IPsec规则创建完成后在身份验证项中选择CA证书并保证IPsec双方配置完全一致否则不能协商成功，具体策略配置与共享密钥配置方法完全相同，只是身份验证选择CA验证模式即可。如图4-9所示。

三、    检测协商是否成功

最后需要注意的是，两边IPSEC策略配置需要完全相同，而且最后一定要将策略指派，然后通过ping来检测是否能够协商成功。如图4-10所示表示协商会议成功。

图4-10

另外也可以通过抓取报文检测如图4-11所示。

      本文转自xubenxin  51CTO博客，原文链接：http://blog.51cto.com/windows/405888，如需转载请自行联系原作者