PKI配置舉例
關鍵詞:PKI,CA,RA,IKE,IPsec,SSL
摘 要:PKI是一個用公開密鑰原理和技術來實現並提供安全服務的具有通用性的安全基礎設施。本文主要介紹應用PKI實現的基於證書認證的IKE典型配置過程,及SSL典型配置應用。
縮略語:
縮略語 | 英文全名 | 中文解釋 |
CA | Certificate Authority | 認證機構 |
CRL | Certificate Revocation List | 證書吊銷列表 |
HTTP | Hypertext Transfer Protocol | 超文本傳輸協議 |
HTTPS | Hypertext Transfer Protocol Secure | 安全超文本傳輸協議 |
IIS | Internet Information Service | Internet信息服務 |
IKE | Internet Key Exchange | Internet密鑰交互 |
IPsec | Internet Protocol Security | IP安全 |
LDAP | Light-weight Directory Access Protocol | 輕量級目錄訪問協議 |
PKC | Public Key Certificate | 公開密鑰證書 |
PKI | Public Key Infrastructure | 公鑰基礎設施 |
RA | Registration Authority | 注冊機構 |
S/MIME | Secure/Multipurpose Internet Mail Extensions | 安全/多用途Internet郵件擴充協議 |
SCEP | Simple Certification Enrollment Protocol | 簡單證書注冊協議 |
SSL | Secure Sockets Layer | 安全套接層 |
VPN | Virtual Private Network | 虛擬專用網絡 |
目 錄
PKI是一組服務和策略,提供了一個將公鑰和用戶身份唯一綁定的機製,以及如何實施並維護這個綁定相關信息的框架;是一個通過使用公開密鑰技術和數字證書來確保係統信息安全,並負責驗證數字證書持有者身份的體係。
PKI的主要功能是通過簽發數字證書來綁定證書持有者的身份和相關的公開密鑰;為用戶獲取證書、訪問證書和吊銷證書提供途徑;利用數字證書及相關的各種服務(證書發布、黑名單發布等)實現通信過程中各實體的身份認證,保證了通信數據的完整性和不可否認性。
PKI技術的廣泛應用能滿足人們對網絡交易安全保障的需求。作為一種基礎設施,PKI的應用範圍非常廣泛,並且在不斷發展之中,以下是PKI的典型應用場景。
· 虛擬專用網絡
VPN是一種構建在公用通信基礎設施上的專用數據通信網絡,利用網絡層安全協議(如IPsec)和建立在PKI上的加密與數字簽名技術來獲得機密性保護。
· 安全電子郵件
電子郵件的安全也要求機密、完整、認證和不可否認,而這些都可以利用PKI技術來實現。目前發展很快的安全電子郵件協議S/MIME,是一個允許發送加密和有簽名郵件的協議。該協議的實現需要依賴於PKI技術,它采用了PKI數字簽名技術並支持消息和附件的加密,無須收發雙方共享相同密鑰。
· Web安全
為了透明地解決Web的安全問題,在兩個實體進行通信之前,先要建立SSL連接,以此實現對應用層透明的安全通信。利用PKI技術,SSL協議在協商時完成了對服務器和客戶端基於證書的身份認證(其中,對客戶端的認證是可選的),保證了通信安全。
在配置過程中,請注意以下幾點:
· 證書中包含有效時間,隻有設備與CA服務器的時間同步,設備才能成功獲取證書。
· 若使用Windows 2003 server作為CA服務器,則服務器上需要安裝並啟用IIS用於控製和管理CA服務器。其它CA服務器上是否需要安裝特殊的插件,請以實際情況為準。
· 為了避免與已有的Web服務衝突,建議修改CA服務器默認網站的TCP端口號。
作為VPN主要協議的IPsec,為IP層的通信安全提供了有利的保障。在實施IPsec的過程中,可以使用IKE協議來建立SA。但IKE協議在複雜的網絡環境中仍然可能因為身份認證機製簡單而產生一定的安全隱患。如果將IKE與PKI技術相結合,由基於PKI數字證書的身份認證機製實現強認證,則可以提高VPN網關的安全性和可擴展性。
兩個子網通過各自的網關設備與外部網絡互聯,希望使用IPsec隧道構建數據流的安全通道,具體需求如下:
· 在Router A和Router B之間建立一個IPsec安全隧道對子網Group 1(10.1.1.0/24)與子網Group 2(11.1.1.0/24)之間的數據流進行安全保護。
· 在Router A和Router B之間使用IKE自動協商建立安全通道,IKE自動協商采用基於PKI證書的身份認證方式。
圖4-1 基於證書認證的IKE典型配置組網圖
基於證書認證的IKE典型配置組網圖
完成CA服務器的相關配置(本文以Windows 2003 server作為CA server)
分別在Router A和Router B上完成以下配置:
· 配置PKI,定義證書實體及設置PKI域的相關屬性
· 配置IKE,使用數字簽名進行身份認證
· 配置IPsec,保護兩個子網之間的數據流
· 申請證書,並將證書下載到本地
& 說明:
· 以下配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下配置不衝突。
· 進行下麵的配置之前,需要確保各子網網關路由器和CA服務器之間的路由可達。
打開[控製麵板]/[添加或刪除程序],選擇[添加/刪除Windows組件]。在[Windows組件向導]中,選中“證書服務”,並單擊<下一步>按鈕。
圖4-2 安裝證書組件1
選擇CA類型為獨立根CA,並單擊<下一步>按鈕。
圖4-3 安裝證書組件2
輸入CA的名稱為CA server,並單擊<下一步>按鈕。
圖4-4 安裝證書組件3
選擇CA證書數據庫、數據庫日誌和共享文件夾的存儲位置,並單擊<下一步>按鈕。這裏采用缺省設置。
圖4-5 安裝證書組件4
證書組件安裝成功後,單擊<完成>按鈕,退出[Windows組件向導]窗口。
雙擊運行SCEP的安裝文件,在彈出的窗口中,單擊<下一步>按鈕。
& 說明:
SCEP的安裝文件可以從Microsoft網站免費下載。
圖4-6 安裝SCEP插件1
安裝SCEP插件1
選擇使用本地係統帳戶作為標識,並單擊<下一步>按鈕。
圖4-7 安裝SCEP插件2
安裝SCEP插件2
去掉“Require SCEP Challenge Phrase to Enroll”選項,單擊<下一步>按鈕。
圖4-8 安裝SCEP插件3
安裝SCEP插件3
輸入RA向CA服務器登記時使用的RA標識信息,單擊<下一步>按鈕。RA的功能包括個人身份審核、CRL管理、密鑰對產生和密鑰對備份等。RA是CA的延伸,可以作為CA的一部分。
注意:
RA的標識信息“Name”和CA的名稱不能相同,否則相關功能可能無法正常工作。
圖4-9 安裝SCEP插件4
安裝SCEP插件4
完成上述配置後,單擊<完成>按鈕,彈出如圖4-10所示的提示框。記錄該URL地址,並單擊<確定>按鈕。
圖4-10 安裝SCEP插件5
安裝SCEP插件5
完成上述配置後,打開[控製麵板/管理工具]中的[證書頒發機構],如果安裝成功,在[頒發的證書]中將存在兩個CA服務器頒發給RA的證書。
右鍵單擊[CA server],選擇[屬性]。
圖4-11 修改證書服務的屬性
修改證書服務的屬性
在[CA server 屬性]窗口選擇“策略模塊”頁簽,單擊<屬性>按鈕。
圖4-12 證書服務屬性窗口
證書服務屬性窗口
選擇策略模塊的屬性為“如果可以的話,按照證書模板中的設置。否則,將自動頒發證書(F)。”。單擊<確定>按鈕。
圖4-13 策略模塊的屬性
策略模塊的屬性
單擊圖4-14圖14 中的停止服務和圖4-15圖15 中的啟動服務按鈕,重啟證書服務。
圖4-14 停止證書服務
圖4-15 啟動證書服務停止證書服務
打開[控製麵板/管理工具]中的[Internet 信息服務(IIS)管理器],右鍵單擊[默認網站],選擇[屬性]。
圖4-16 IIS管理器
IIS管理器
選擇[默認網站 屬性]窗口中的“主目錄”頁簽,將本地路徑修改為證書服務保存的路徑。
圖4-17 修改默認網站的主目錄
修改默認網站的主目錄
選擇[默認網站 屬性]窗口中的“網站”頁簽,將TCP端口改為8080。
注意:
為了避免與已有的服務衝突,默認網站的TCP端口號不能與已有服務的端口號相同,且建議不要使用默認端口號80。
圖4-18 修改默認網站的TCP端口號
修改默認網站的TCP端口號
配置PKI
# 配置PKI實體entityAentitya。
<RouterA> system-view
[RouterA] pki entity entityAentitya
[RouterA-pki-entity-entityAentitya] common-name routera
[RouterA-pki-entity-entityAentitya] ip 2.2.2.1
[RouterA-pki-entity-entityAentitya] quit
# 創建PKI域。
[RouterA] pki domain domain1
# 配置可信任的CA名稱。
[RouterA-pki-domain-domain1] ca identifier ca server
# 配置注冊服務器URL地址(為安裝SCEP插件時彈出的URL地址,格式為http://host:port/certsrv/mscep/mscep.dll,其中,host:port為CA服務器的主機地址和端口號)。由於CA服務器上默認網站的TCP端口號修改為8080,配置注冊服務器的URL地址時,需要指定端口號為8080。
[RouterA-pki-domain-domain1] certificate request url http://1.1.1.101:8080/certsrv/mscep/mscep.dll
# 指定注冊服務器類型為RA。
[RouterA-pki-domain-domain1] certificate request from ra
# 指定關聯的PKI實體為entityAentitya。
[RouterA-pki-domain-domain1] certificate request entity entityAentitya
[RouterA-pki-domain-domain1] quit
配置IKE
# 設置IKE提議,使用RSA密鑰簽名。
[RouterA] ike proposal 1
[RouterA-ike-proposal-1] authentication-method rsa-signature
[RouterA-ike-proposal-1] quit
# 創建IKE對等體。
[RouterA] ike peer peer1
# 指定對端對等體地址。
[RouterA-ike-peer-peer1] remote-address 3.3.3.1
# 指定PKI域名。
[RouterA-ike-peer-peer1] certificate domain domain1
[RouterA-ike-peer-peer1] quit
配置IPsec
# 配置ACL控製列表,匹配需要保護的報文。
[RouterA] acl number 3000
[RouterA-acl-adv-3000] rule 0 permit ip source 10.1.1.0 0.0.0.255
[RouterA-acl-adv-3000] quit
# 創建IPsec提議。
[RouterA] ipsec proposal transform-set ipsprop1
# 配置安全協議為ESP。
[RouterA-ipsec-transform-setproposal-ipsprop1] transform esp
# 配置封裝格式為隧道。
[RouterA-ipsec-transform-setproposal-ipsprop1] encapsulation-mode tunnel
# 配置ESP安全協議加密算法。
[RouterA-ipsec-transform-setproposal-ipsprop1] esp encryption-algorithm des
# 配置ESP安全協議散列算法。
[RouterA-ipsec-transform-setproposal-ipsprop1] esp authentication-algorithm md5
[RouterA-ipsec-transform-setproposal-ipsprop1] quit
# 創建IPsec安全策略。
[RouterA] ipsec policy policy1 1 isakmp
# 指定安全訪問列表。
[RouterA-ipsec-policy-isakmp-policy1-1] security acl 3000
# 指定IKE對等體。
[RouterA-ipsec-policy-isakmp-policy1-1] ike-peer peer1
# 指定IPsec安全提議。
[RouterA-ipsec-policy-isakmp-policy1-1] transform-setproposal ipsporrop1
[RouterA-ipsec-policy-isakmp-policy1-1] quit
# 接口下綁定IPsec策略。
[RouterA] interface serial 2/0
[RouterA-Serial2/0] ipsec policy policy1
[RouterA-Serial2/0] quit
申請證書
# 生成本地RSA密鑰。
[RouterA] public-key local create rsa
Warning: The local key pair already exist.
Confirm to replace them? [Y/N]:y
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Press CTRL+C to abort.
Input the bits of the modulus[default = 1024]:
Generating Keys...
......++++++
....++++++
......++++++++
...++++++++
證書申請有兩種方式:帶內方式和帶外方式。請根據實際情況選擇其中一種配置。
· 帶內方式申請
# 手動在線獲取CA證書。
[RouterA] pki retrieval-certificate ca domain domain1
Retrieving CA/RA certificates. Please wait a while......
The trusted CA's finger print is:
MD5 fingerprint:4F10 9CB0 4D51 6EB2 21D4 12C4 5881 EE2F
SHA1 fingerprint:1A56 5741 219F 8E98 6438 B556 2C5A 2275 F097 2536
Is the finger print correct?(Y/N):y
Saving CA/RA certificates chain, please wait a moment......
CA certificates retrieval success.
# 手動在線申請本地證書。
[RouterA] pki request-certificate domain domain1
Certificate is being requested, please wait......
[RouterA]
Enrolling the local certificate,please wait a while......
Certificate request Successfully!
Saving the local certificate to device......
Done!
· 帶外方式申請
當無法通過SCEP協議向CA在線申請證書時,可以使用參數pkcs10打印出本地的證書申請信息。用戶保存證書申請信息,並將其通過帶外方式發送給CA進行證書申請。
# 以pkcs10的格式打印本地證書請求信息。
[RouterA] pki request-certificate domain domain1 pkcs10
-----BEGIN CERTIFICATE REQUEST-----
MIIBTTCBtwIBADAOMQwwCgYDVQQDEwMxMjMwgZ8wDQYJKoZIhvcNAQEBBQADgY0A
MIGJAoGBAOEvjYboMDX0akLSOqSSCQm7dE7nmJz0N2BsuPh7I4mlkxLHZIwp5vAo
PT1Q2i85uLqQDtmxjuYd9fZU4qM9Ps9It2lKG4DCFyFXkKTI9U4jPK42/grPMFmq
V8BED9H+O6c9N/sWwA85C2um7UgIOj6TGi6LDBrp9ZZ3xFSO54bdAgMBAAGgADAN
BgkqhkiG9w0BAQQFAAOBgQBnjx0Qyme4Pu29BOjvjVYe8qhf9SizXpl6ty4jPS8Y
+XkVV30WCs1ITfnUrD5IbhiDr50tDdqqv8y9B7kB+7/DBWcFv4Hrek5XBJveGolT
qZ8+M7To8BXxCV4NRLTCsMREYonirVnlKR94KV3TCTGOI1E9KXKgg7DLHZFe75IP
lQ==
-----END CERTIFICATE REQUEST-----
[RouterA]
將BEGIN與END分割線之間的本地證書請求內容通過帶外方式傳送到CA服務器。打開證書服務器申請證書主頁http://1.1.1.101:8080/certsrv,選擇“申請一個證書”。
圖4-19 證書服務器申請證書主頁
證書服務器申請證書主頁
選擇“高級證書申請”。
圖4-20 提交證書申請
提交證書申請
選擇“使用base64編碼的CMC或PKCS#10文件提交一個證書申請,或使用base64編碼的PKCS#7文件續訂證書申請”。
圖4-21 高級證書申請
高級證書申請
在下麵的頁麵中,把剛才用pkcs10格式打印出來的本地證書請求信息添加到“保存的申請”文本框中,單擊<提交>按鈕。
圖4-22 添加證書請求信息
添加證書請求信息
若本地證書申請成功,在下麵的頁麵中選擇證書編碼格式“DER編碼”,然後單擊“下載證書”。
& 說明:
之後,設備上進行證書導入時選擇的證書文件格式參數要與此處選擇的證書編碼格式保持一致。
圖4-23 選擇證書編碼格式
選擇證書編碼格式
在彈出的文件下載對話框中將申請到的本地證書保存在本地路徑,文件名稱修改為“local_cert.cer”。
圖4-24 保存本地證書
保存本地證書
再次返回證書服務器申請證書主頁http://1.1.1.101:8080/certsrv,選擇“下載一個CA證書,證書鏈或CRL”。
圖4-25 證書服務器申請證書主頁
證書服務器申請證書主頁
選擇編碼方法“DER”,單擊“下載CA證書”。
圖4-26 下載CA證書
下載CA證書
在彈出的文件下載對話框中將CA證書保存在本地路徑,文件名稱修改為“ca_cert.cer”,此處略。至此,帶外證書申請完成。
將以上保存在主機上的CA證書和本地證書通過帶外方式發送給Router A,然後使用以下的命令導入到設備。
# 導入CA證書,選擇文件編碼格式為DER。
[RouterA] pki import-certificate ca domain domain1 der filename ca_cert.cer
Importing certificates. Please wait a while......
The trusted CA's finger print is:
MD5 fingerprint:5A9C E2EA 7363 CDA2 3B4F 0C15 B3F7 6E7D
SHA1 fingerprint:B58C B59D 2242 7244 7B83 F2E8 0C16 13EB E0BF 6526
Is the finger print correct?(Y/N):y
%Mar 13 20:32:56:158 20082013 RouterA PKI/4/Verify_CA_Root_Cert:CA root certificate of the domain domain1 is trusted.
Import CA certificate successfully.
[RouterA]
%Mar 13 20:32:56:186 20082013 RouterA PKI/4/Update_CA_Cert:Update CA certificates of the Domain domain1 successfully.
%Mar 13 20:32:56:187 20082013 RouterA PKI/4/Import_CA_Cert:Import CA certificates of the domain domain1 successfully.
[RouterA]
# 導入本地證書,選擇文件編碼格式為DER。
[RouterA] pki import-certificate local domain domain1 der filename local_cert.cer
Importing certificates. Please wait a while......
%Mar 13 20:35:54:364 20082013 RouterA PKI/4/Verify_Cert:Verify certificate CN=routera of the domain domain1 successfully.
Import local certificate successfully.
[RouterA]
%Mar 13 20:35:54:376 20082013 RouterA PKI/4/Import_Local_Cert:Import local certificate of the domain domain1 successfully.
[RouterA]
[RouterA] display current-configuration
#
version 5.20, Release 10601version 5.20, Beta 1505L01, Standard
#
sysname RouterA
#
acl number 3000
rule 0 permit ip source 10.1.1.0 0.0.0.255
#
pki entity entityAentitya
common-name routera
ip 2.2.2.1
#
pki domain domain1
ca identifier ca server
certificate request url http://1.1.1.101:8080/certsrv/mscep/mscep.dll
certificate request from ra
certificate request entity entityAentitya
#
ike proposal 1
authentication-method rsa-signature
#
ike peer peer1
remote-address 3.3.3.1
certificate domain domain1
#
ipsec transform-set proposal ipsprop1
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
#
ipsec policy policy1 1 isakmp
security acl 3000
ike-peer peer1
transform-set proposal ipsprop1
#
acl number 3000
rule 0 permit ip source 10.1.1.0 0.0.0.255
#
interface Serial2/0
link-protocol ppp
ip address 2.2.2.1 255.255.255.0
ipsec policy policy1
#
return
配置PKI
# 配置PKI實體entityBentityb。
<RouterB> system-view
[RouterB] pki entity entityBentityb
[RouterB-pki-entity-entityBentityb] common-name routerb
[RouterB-pki-entity-entityBentityb] ip 3.3.3.1
[RouterB-pki-entity-entityBentityb] quit
# 創建PKI域。
[RouterB] pki domain domain2
# 配置可信任的CA名稱。
[RouterB-pki-domain-domain2] ca identifier ca server
# 配置注冊服務器URL地址(為安裝SCEP插件時彈出的URL地址,格式為http://host:port/certsrv/mscep/mscep.dll,其中,host:port為CA服務器的主機地址和端口號)。由於CA服務器上默認網站的TCP端口號修改為8080,配置注冊服務器的URL地址時,需要指定端口號為8080。
[RouterB-pki-domain-domain2] certificate request url http://1.1.1.101:8080/certsrv/mscep/mscep.dll
# 指定認證服務器類型為RA。
[RouterB-pki-domain-domain2] certificate request from ra
# 指定關聯的PKI實體為entityBentityb。
[RouterB-pki-domain-domain2] certificate request entity entityBentityb
[RouterB-pki-domain-domain2] quit
配置IKE
# 配置IKE提議,使用RSA密鑰簽名。
[RouterB] ike proposal 2
[RouterB-ike-proposal-2] authentication-method rsa-signature
[RouterB-ike-proposal-2] quit
# 創建IKE對等體。
[RouterB] ike peer peer2
# 指定對端對等體地址。
[RouterB-ike-peer-peer2] remote-address 2.2.2.1
# 指定PKI域名。
[RouterB-ike-peer-peer2] certificate domain domain2
[RouterB-ike-peer-peer2] quit
配置IPsec
# 配置ACL控製列表,匹配需要保護的報文。
[RouterB] acl number 3000
[RouterB-acl-adv-3000] rule 0 permit ip destination 10.1.1.0 0.0.0.255
[RouterB-acl-adv-3000] quit
# 創建IPsec提議。
[RouterB] ipsec transform-set proposal ipsprop2
# 配置安全協議為ESP。
[RouterB-ipsec-transform-setproposal-ipsprop2] transform esp
# 配置封裝格式為隧道。
[RouterB-ipsec-transform-setproposal-ipsprop2] encapsulation-mode tunnel
# 配置ESP安全協議加密算法。
[RouterB-ipsec-transform-setproposal-ipsprop2] esp encryption-algorithm des
# 配置ESP安全協議散列算法。
[RouterB-ipsec-transform-setproposal-ipsprop2] esp authentication-algorithm md5
[RouterB-ipsec-transform-setproposal-ipsprop2] quit
# 創建IPsec策略。
[RouterB] ipsec policy policy2 1 isakmp
# 指定安全訪問列表。
[RouterB-ipsec-policy-isakmp-policy2-1] security acl 3000
# 指定IKE對等體。
[RouterB-ipsec-policy-isakmp-policy2-1] ike-peer peer2
# 指定IPsec安全提議。
[RouterB-ipsec-policy-isakmp-policy2-1] transform-setproposal ipsprop2
[RouterB-ipsec-policy-isakmp-policy2-1] quit
# 接口下綁定IPsec策略。
[RouterB] interface serial 2/0
[RouterB-Serial2/0] ipsec policy policy2
[RouterB-Serial2/0] quit
申請證書
# 生成本地RSA密鑰。
[RouterB] public-key local create rsa
Warning: The local key pair already exist.
Confirm to replace them? [Y/N]:y
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Press CTRL+C to abort.
Input the bits of the modulus[default = 1024]:
Generating Keys...
......++++++
....++++++
......++++++++
...++++++++
證書申請有兩種方式:帶內方式和帶外方式。
· 帶內方式申請
# 手動在線獲取CA證書。
[RouterB] pki retrieval-certificate ca domain domain2
Retrieving CA/RA certificates. Please wait a while......
The trusted CA's finger print is:
MD5 fingerprint:8210 000F 4D51 48B2 21D4 12C4 9883 EE2F
SHA1 fingerprint:1A56 A74F 219F 8E98 EE38 B556 2B5A 2275 F097 2536
Is the finger print correct?(Y/N):y
Saving CA/RA certificates chain, please wait a moment......
CA certificates retrieval success.
# 手動在線申請本地證書。
[RouterB] pki request-certificate domain domain2
Certificate is being requested, please wait......
[RouterB]
Enrolling the local certificate,please wait a while......
Certificate request Successfully!
Saving the local certificate to device......
Done!
· 帶外方式申請
帶外證書申請的操作過程與Router A的相同,此處略。完成帶外申請後通過下麵的命令分別將獲得的CA證書和本地證書導入到設備。
[RouterB] pki import-certificate ca domain domain2 der filename ca_cert.cer
Importing certificates. Please wait a while......
The trusted CA's finger print is:
MD5 fingerprint:5A9C E2EA 7363 CDA2 3B4F 0C15 B3F7 6E7D
SHA1 fingerprint:B58C B59D 2242 7244 7B83 F2E8 0C16 13EB E0BF 6526
Is the finger print correct?(Y/N):y
%Mar 14 09:06:54:504 20082013 RouterB PKI/4/Verify_CA_Root_Cert:CA root certificate of the domain domain2 is trusted.
Import CA certificate successfully.
[RouterB]
%Mar 14 09:06:54:575 20082013 RouterB PKI/4/Update_CA_Cert:Update CA certificates of the Domain domain2 successfully.
%Mar 14 09:06:54:575 20082013 RouterB PKI/4/Import_CA_Cert:Import CA certificates of the domain domain2 successfully.
[RouterB]
[RouterB] pki import-certificate local domain domain2 der filename local_cert.cer
Importing certificates. Please wait a while......
%Mar 14 09:07:11:494 20082013 RouterB PKI/4/Verify_Cert:Verify certificate CN= routerb of the domain domain2 successfully.
Import local certificate successfully.
[RouterB]
%Mar 14 09:07:11:506 20082013 RouterB PKI/4/Import_Local_Cert:Import local certificate of the domain domain2 successfully.
[RouterB]
[RouterB] display current-configuration
#
version 5.20, Release 10601version 5.20, Beta 1505L01, Standard
#
sysname RouterB
#
acl number 3000
rule 0 permit ip destination 10.1.1.0 0.0.0.255
#
pki entity entityBentityb
common-name routerb
ip 3.3.3.1
#
pki domain domain2
ca identifier ca server
certificate request url http://1.1.1.101:8080/certsrv/mscep/mscep.dll
certificate request from ra
certificate request entity entityBentityb
#
ike proposal 2
authentication-method rsa-signature
#
ike peer peer2
remote-address 2.2.2.1
certificate domain domain2
#
ipsec transform-setproposal ipsprop2
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
#
ipsec policy ipsprop2 1 isakmp
security acl 3000
ike-peer peer2
transform-setproposal ipsprop2
#
#
acl number 3000
rule 0 permit ip destination 10.1.1.0 0.0.0.255
#
interface Serial2/0
link-protocol ppp
ip address 3.3.3.1 255.255.255.0
ipsec policy policy2
#
return
配置完成後,分別在Router A和Router B上查看IKE SA,發現還未協商生成IKE SA。
# 在Router A上查看IKE SA。
[RouterA] display ike sa
total phase-1 SAs: 0
connection-id peer flag phase doi
----------------------------------------------------------
[RouterA]
# 在Router B上查看IKE SA。
[RouterB] display ike sa
total phase-1 SAs: 0
connection-id peer flag phase doi
----------------------------------------------------------
[RouterB]
在Group 1內的主機上Ping Group 2內的主機,觸發IKE流程,並再次查看IKE SA,發現已經建立起IKE SA,並可以Ping通對端。
& 說明:
如果在觸發IKE協商的時候,Router A和Router B還未獲得CA證書和本地證書,那麼就會出現IKE初次協商失敗,建立臨時SA的情況;下麵的顯示信息為Router A和Router B已經獲得了CA證書和本地證書的情況下,協商成功的IKE SA信息。
[RouterA] display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------
182 3.3.3.1 RD|ST 2 IPSEC
181 3.3.3.1 RD|ST 1 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT
[RouterB] display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------
434 2.2.2.1 RD|ST 2 IPSEC
433 2.2.2.1 RD|ST 1 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT
SSL是一個安全協議,為基於TCP的應用層協議提供安全連接,如SSL可以為HTTP協議提供安全連接。SSL協議廣泛應用於電子商務、網上銀行等領域,為網絡上數據的傳輸提供安全性保證。利用PKI技術,SSL協議允許在客戶端和服務器之間進行加密通信,並且在通信時雙方可以進行基於數字證書的身份認證。
如圖27 所示,位於B地的某公司網絡管理員無法直接配置位於A地的企業內部網絡的網關設備Gateway。為了實現網絡管理員遠程安全登錄網關設備進行管理,對管理員主機Admin和網關設備Gateway之間的HTTP通信采用SSL加密,通過建立HTTPS連接保證數據在互聯網上的安全傳輸。
圖5-1 基於證書認證的SSL典型配置組網圖
基於證書認證的SSL典型配置組網圖
· SSL基於證書對服務器和客戶端進行身份驗證,因此需要配置CA服務器,為網關設備和主機頒發證書。
· 配置網關設備作為SSL服務器,並使能HTTPS服務;
· 主機通過HTTPS協議登錄設備。客戶端身份驗證是可選的,如果需要認證客戶端,則需要為主機申請證書。
關於PKI和SSL組合應用的典型配置請參考“HTTPS典型配置舉例”,本文不再描述。
· 用戶級別切換認證技術白皮書
Copyright © 2013杭州華三通信技術有限公司 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
本文檔中的信息可能變動,恕不另行通知。