- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
PKI Web配置舉例
關鍵詞:PKI、CA、RA、IKE、IPSec、SSL
摘 要:PKI是一個用公開密鑰原理和技術來實現並提供安全服務的具有通用性的安全基礎設施。本文主要介紹應用PKI實現的基於數字簽名認證的IKE典型配置過程及SSL典型配置應用。
縮略語:
縮略語 | 英文全名 | 中文解釋 |
CA | Certificate Authority | 認證機構 |
CRL | Certificate Revocation List | 證書吊銷列表 |
HTTP | Hypertext Transfer Protocol | 超文本傳輸協議 |
HTTPS | Hypertext Transfer Protocol Secure | 安全超文本傳輸協議 |
IIS | Internet Information Service | Internet信息服務 |
IKE | Internet Key Exchange | Internet密鑰交互 |
IPSec | Internet Protocol Security | IP安全 |
LDAP | Light-weight Directory Access Protocol | 輕量級目錄訪問協議 |
PKC | Public Key Certificate | 公開密鑰證書 |
| PKI | Public Key Infrastructure | 公鑰基礎設施 |
RA | Registration Authority | 注冊機構 |
S/MIME | Secure/Multipurpose Internet Mail Extensions | 安全/多用途Internet郵件擴充協議 |
SCEP | Simple Certification Enrollment Protocol | 簡單證書注冊協議 |
SSL | Secure Sockets Layer | 安全套接層 |
VPN | Virtual Private Network | 虛擬專用網絡 |
目 錄
PKI是一組服務和策略,提供了一個將公鑰和用戶身份唯一綁定的機製,以及如何實施並維護這個綁定相關信息的框架;是一個通過使用公開密鑰技術和數字證書來確保係統信息安全,並負責驗證數字證書持有者身份的體係。
PKI的主要功能是通過簽發數字證書來綁定證書持有者的身份和相關的公開密鑰;為用戶獲取證書、訪問證書和吊銷證書提供途徑;利用數字證書及相關的各種服務(證書發布、黑名單發布等)實現通信過程中各實體的身份認證,保證了通信數據的完整性和不可否認性。
PKI技術的廣泛應用能滿足人們對網絡交易安全保障的需求。作為一種基礎設施,PKI的應用範圍非常廣泛,並且在不斷發展之中,以下是PKI的典型應用場景。
VPN是一種構建在公用通信基礎設施上的專用數據通信網絡,利用網絡層安全協議(如IPSec)和建立在PKI上的加密與數字簽名技術來獲得機密性保護。
為了透明地解決Web的安全問題,在兩個實體進行通信之前,先要建立SSL連接,以此實現對應用層透明的安全通信。SSL協議允許在瀏覽器和服務器之間進行加密通信,並且利用PKI技術使用基於數字簽名的方法對服務器和瀏覽器端進行身份驗證。
在配置過程中,請注意以下幾點:
l 證書中包含有效時間,隻有設備與CA服務器的時間同步,設備才能成功獲取證書。
l 若使用Windows 2003 server作為CA服務器,則服務器上需要安裝並啟用IIS用於控製和管理CA服務器。其它CA服務器上是否需要安裝特殊的插件,請以實際情況為準。
l 為了避免與已有的Web服務衝突,建議修改CA服務器默認網站的TCP端口號。
作為VPN主要協議的IPSec,為IP層的通信安全提供了有利的保障。在實施IPSec的過程中,可以使用IKE協議來建立SA。但IKE協議在複雜的網絡環境中仍然可能因為身份認證機製簡單而產生一定的安全隱患。如果將IKE與PKI技術相結合,由基於PKI數字證書的身份認證機製實現強認證,則可以提高VPN網關的安全性。
兩個子網通過各自的網關設備與外部網絡互聯,希望使用IPSec隧道構建數據流的安全通道,具體需求如下:
l 在Device A和Device B之間建立一個IPSec安全隧道對Network 1(10.1.1.0/24)與Network 2(11.1.1.0/24)之間的數據流進行安全保護。
l 在Device A和Device B之間使用IKE自動協商建立安全通道,IKE自動協商采用基於PKI證書的身份認證方式。
圖1 基於證書認證的IKE典型配置組網圖
(1) 完成CA服務器的相關配置(本文以Windows 2003 server作為CA服務器)
(2) 分別在Device A和Device B上完成以下配置:
l 配置PKI,定義證書實體及設置PKI域的相關屬性
l 配置IKE,使用數字簽名進行身份認證
l 配置IPSec,保護兩個子網之間的數據流
l 申請證書,並將證書下載到本地
l 以下配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下配置不衝突。
l 以下對配置Device A和Device B的描述均以SecPath F1000-E產品為示例,其他產品的頁麵可能有所不同。
l 進行下麵的配置之前,需要確保Device A、Device B和CA服務器之間的路由可達。
l 進行下麵的配置之前,需要確保Device A、Device B的係統時間與CA服務器的係統時間一致,否則可能無法申請或導入證書。
l 下麵配置步驟中的各頁麵或窗口的配置項,如果沒有特殊說明,均采用其默認設置。
(1) 打開[控製麵板]/[添加或刪除程序],選擇[添加/刪除Windows組件]。在[Windows組件向導]中,選中“證書服務”,並單擊<下一步>按鈕。
(2) 選擇CA類型為獨立根CA,並單擊<下一步>按鈕。
(3) 輸入CA的名稱為CA server,並單擊<下一步>按鈕。
(4) 選擇CA證書數據庫、數據庫日誌和共享文件夾的存儲位置,並單擊<下一步>按鈕。這裏采用缺省設置。
安裝證書服務組件時,界麵上會出現CA證書數據庫、數據庫日誌和共享文件夾的缺省存放路徑。本配置舉例中使用了缺省存放路徑,其中共享文件夾存放路徑中的“ca”為CA服務器的主機名。
(5) 證書組件安裝成功後,單擊<完成>按鈕,退出[Windows組件向導]窗口。
(1) 雙擊運行SCEP的安裝文件,在彈出的窗口中,單擊<下一步>按鈕。
SCEP的安裝文件可以從Microsoft網站免費下載。
圖6 安裝SCEP插件1
(2) 選擇使用本地係統帳戶作為標識,並單擊<下一步>按鈕。
圖7 安裝SCEP插件2
(3) 去掉“Require SCEP Challenge Phrase to Enroll”選項,單擊<下一步>按鈕。
圖8 安裝SCEP插件3
(4) 輸入RA向CA服務器登記時使用的RA標識信息,單擊<下一步>按鈕。RA的功能包括個人身份審核、CRL管理、密鑰對產生和密鑰對備份等。RA是CA的延伸,可以作為CA的一部分。
RA的標識信息“Name”和CA的名稱不能相同,否則相關功能可能無法正常工作。
圖9 安裝SCEP插件4
(5) 完成上述配置後,單擊<完成>按鈕,彈出如圖10所示的提示框。記錄該URL地址,並單擊<確定>按鈕。
圖10 安裝SCEP插件5
配置Device A和Device B時,需要將注冊服務器地址配置為提示框中的URL地址,其中的主機名ca可以替換為CA服務器的IP地址。
完成上述配置後,打開[控製麵板/管理工具]中的[證書頒發機構],如果安裝成功,在[頒發的證書]中將存在兩個CA服務器頒發給RA的證書。
(1) 右鍵單擊[CA server],選擇[屬性]。
圖11 修改證書服務的屬性
(2) 在[CA server 屬性]窗口選擇“策略模塊”頁簽,單擊<屬性>按鈕。
圖12 證書服務屬性窗口
(3) 選擇策略模塊的屬性為“如果可以的話,按照證書模板中的設置。否則,將自動頒發證書(F)。”,單擊<確定>按鈕。
圖13 策略模塊的屬性
(4) 單擊圖14中的停止服務和圖15中的啟動服務按鈕,重啟證書服務。
(1) 打開[控製麵板/管理工具]中的[Internet 信息服務(IIS)管理器],右鍵單擊[默認網站],選擇[屬性]。
圖16 IIS管理器
(2) 選擇[默認網站 屬性]窗口中的“主目錄”頁簽,將本地路徑修改為證書服務保存的路徑。
圖17 修改默認網站的主目錄
(3) 選擇[默認網站 屬性]窗口中的“網站”頁簽,將TCP端口改為8080。
為了避免與已有的服務衝突,默認網站的TCP端口號不能與已有服務的端口號相同,且建議不要使用默認端口號80。
圖18 修改默認網站的TCP端口號
(1) 配置PKI實體entity-a。
l 在導航欄中選擇“VPN > 證書管理 > PKI實體”,單擊<新建>按鈕。
l 輸入PKI實體名稱為“entity-a”。
l 輸入通用名為“device-a”。
l 輸入實體IP地址為“2.2.2.1”。
l 單擊<確定>按鈕完成操作。
圖19 配置PKI實體entity-a
(2) 配置PKI域domain1。
l 在導航欄中選擇“VPN > 證書管理 > PKI域”,單擊<新建>按鈕。
l 輸入PKI域名稱為“domain1”。
l 輸入CA標識符為“CA server”。
l 選擇本端實體為“entity-a”。
l 選擇注冊機構為“RA”。
l 輸入證書申請URL為“http://1.1.1.101:8080/certsrv/mscep/mscep.dll”(為安裝SCEP插件時彈出的URL地址,格式為“http://host:port/certsrv/mscep/mscep.dll”,其中的“host”和“port”分別為CA服務器的主機地址和端口號)。
l 選擇證書申請方式為“Manual”。
l 單擊<確定>按鈕,彈出的對話框提示“未指定根證書指紋,在獲取CA證書時將不對根證書指紋進行驗證,確認要繼續嗎?”,再次單擊<確定>按鈕完成操作。
圖20 配置PKI域domain1
(1) 配置IKE安全提議1,使用RSA密鑰簽名。
l 在導航欄中選擇“VPN > IKE > 安全提議”,單擊<新建>按鈕。
l 輸入IKE安全提議號為“1”。
l 選擇認證方法為“RSA Signature”。
l 單擊<確定>按鈕完成操作。
圖21 配置IKE安全提議1
(2) 配置IKE對等體peer1,引用PKI域domain1。
l 輸入對等體名稱為“peer1”。
l 輸入對端網關IP地址為“3.3.3.1”。
l 選中“PKI域”前的單選按鈕,選擇PKI域為“domain1”。
l 單擊<確定>按鈕完成操作。
圖22 配置IKE對等體peer1
(1) 配置ACL 3000,匹配Network 1(10.1.1.0/24)到Network 2(11.1.1.0/24)的報文。
l 在導航欄中選擇“防火牆 > ACL”,單擊<新建>按鈕。
l 輸入訪問控製列表ID為“3000”。
l 單擊<確定>按鈕完成操作。
圖23 新建ACL 3000
l 在ACL的顯示頁麵單擊ACL 3000對應的
圖標,單擊<新建>按鈕。
l 選擇操作為“允許”。
l 選中“源IP地址”前的複選框,輸入源IP地址為“10.1.1.0”,輸入源地址通配符為“0.0.0.255”。
l 選中“目的IP地址”前的複選框,輸入源IP地址為“11.1.1.0”,輸入源地址通配符為“0.0.0.255”。
l 單擊<確定>按鈕完成操作。
圖24 配置ACL 3000的規則
(2) 配置IPSec安全提議ipsprop1。
l 在導航欄中選擇“VPN > IPSec > 安全提議”,單擊<新建>按鈕。
l 在安全提議配置向導頁麵單擊“套件方式”。
圖25 IPSec安全提議配置向導
l 輸入安全提議名稱為“ipsprop1”。
l 選擇加密套件為“Tunnel-ESP-DES-MD5”(表示采用隧道模式封裝報文,安全協議為ESP,ESP加密算法為DES,ESP認證算法為MD5)。
l 單擊<確定>按鈕完成操作。
圖26 配置IPSec安全提議ipsprop1
(3) 配置IPSec安全策略policy1。
l 在導航欄中選擇“VPN > IPSec > 策略”,單擊<新建>按鈕。
l 輸入策略名稱為“policy1”。
l 輸入策略序號為“1”。
l 選擇IKE對等體為“peer1”。
l 在可選安全提議列表框中選中“ipsprop1”,單擊“<<”按鈕將其添加到左邊的已選安全提議列表框中。
l 輸入ACL為“3000”。
l 單擊<確定>按鈕完成操作。
圖27 配置IPSec安全策略policy1
(4) 接口GigabitEthernet0/2上應用IPSec安全策略policy1。
l 在導航欄中選擇“VPN > IPSec > 應用”,單擊接口GigabitEthernet0/2對應的圖標。
l 選擇策略名稱為“policy1”。
l 單擊<確定>按鈕完成操作。
圖28 接口GigabitEthernet0/2上應用IPSec安全策略policy1
證書申請有兩種方式:在線方式和離線方式。請根據實際情況選擇其中一種配置。
(1) 在線方式申請
# 生成本地RSA密鑰對。
l 在導航欄中選擇“VPN > 證書管理 > 證書”,單擊<創建密鑰>按鈕。
l 輸入密鑰長度為“1024”。
l 單擊<確定>按鈕完成操作。
圖29 生成本地RSA密鑰對
# 手動在線獲取CA證書。
l 在證書顯示頁麵單擊<獲取證書>按鈕。
l 選擇PKI域名稱為“domain1”。
l 選擇證書類型為“CA”。
l 單擊<確定>按鈕完成操作。頁麵跳轉回證書顯示頁麵,可以看到已獲取到的CA證書。
圖30 獲取CA證書
# 手動在線申請本地證書。
l 在證書顯示頁麵單擊<申請證書>按鈕。
l 選擇PKI域名稱為“domain1”。
l 單擊<確定>按鈕完成操作。
圖31 申請本地證書
l 彈出提示框“證書申請已提交。”,再次單擊<確定>按鈕。頁麵跳轉回證書顯示頁麵,可以看到已申請到的本地證書。
圖32 完成證書申請後的證書顯示頁麵
(2) 離線方式申請
# 生成本地RSA密鑰對。
l 在導航欄中選擇“VPN > 證書管理 > 證書”,單擊<創建密鑰>按鈕。
l 輸入密鑰長度為“1024”。
l 單擊<確定>按鈕完成操作。
圖33 生成本地RSA密鑰對
# 獲得本地證書請求信息。
l 在證書顯示頁麵單擊<申請證書>按鈕。
l 選擇PKI域名稱為“domain1”。
l 選中“啟用離線方式”前的單選按鈕。
l 單擊<確定>按鈕完成操作,可以看到離線申請證書的信息。
圖34 獲得本地證書請求信息
圖35 離線申請證書的信息
# 通過帶外方式向CA申請證書。
l 打開證書服務器申請證書主頁“http://1.1.1.101:8080/certsrv”。
l 在證書服務主頁單擊“申請一個證書”。
圖36 證書服務器申請證書主頁
l 單擊“高級證書申請”。
圖37 提交證書申請
l 單擊“使用base64編碼的CMC或PKCS#10文件提交一個證書申請,或使用base64編碼的PKCS#7文件續訂證書申請”。
圖38 高級證書申請
l 將獲得的離線申請證書的信息(BEGIN與END分割線之間的內容)添加到“保存的申請”文本框中,單擊<提交>按鈕。
圖39 添加證書請求信息
l 本地證書申請成功後進入下麵的頁麵,在頁麵中選擇證書編碼格式“DER編碼”,然後單擊“下載證書”。
圖40 選擇證書編碼格式
l 在彈出的文件下載對話框中將申請到的本地證書保存在本地路徑,文件名稱修改為“local_cert.cer”。
# 通過帶外方式下載CA證書。
l 單擊頁麵右上方的“主頁”鏈接返回證書服務主頁,單擊“下載一個CA證書,證書鏈或CRL”。
圖41 證書服務器申請證書主頁
l 選擇編碼方法“DER”,單擊“下載CA證書”。
圖42 下載CA證書
l 在彈出的文件下載對話框中將CA證書保存在本地主機,文件名稱修改為“ca_cert.cer”,此處略。
# 將CA證書導入到Device A。
l 在“離線申請證書的信息”頁麵單擊<返回>按鈕回到證書的顯示頁麵,單擊<獲取證書>按鈕。
l 選擇PKI域名稱為“domain1”。
l 選擇證書類型為“CA”。
l 選中“啟用離線方式”前的複選框。
l 選中“從PC取得文件”前的單選按鈕。
l 通過單擊<瀏覽>按鈕選擇保存在本地主機上的CA證書ca_cert.cer。
l 單擊<確定>按鈕完成操作。
圖43 導入CA證書
# 將本地證書導入到Device A。
l 在證書的顯示頁麵單擊<獲取證書>按鈕。
l 選擇PKI域名稱為“domain1”。
l 選擇證書類型為“Local”。
l 選中“啟用離線方式”前的複選框。
l 選中“從PC取得文件”前的單選按鈕。
l 通過單擊<瀏覽>按鈕選擇保存在本地主機上的本地證書local_cert.cer。
l 單擊<確定>按鈕完成操作。
圖44 導入本地證書
圖45 完成證書申請後的證書顯示頁麵
(1) 配置PKI實體entity-b。
l 在導航欄中選擇“VPN > 證書管理 > PKI實體”,單擊<新建>按鈕。
l 輸入PKI實體名稱為“entity-b”。
l 輸入通用名為“device-b”。
l 輸入實體IP地址為“3.3.3.1”。
l 單擊<確定>按鈕完成操作。
圖46 配置PKI實體entity-b
(2) 配置PKI域domain2。
l 在導航欄中選擇“VPN > 證書管理 > PKI域”,單擊<新建>按鈕。
l 輸入PKI域名稱為“domain2”。
l 輸入CA標識符為“CA server”。
l 選擇本端實體為“entity-b”。
l 選擇注冊機構為“RA”。
l 輸入證書申請URL為“http://1.1.1.101:8080/certsrv/mscep/mscep.dll”(為安裝SCEP插件時彈出的URL地址,格式為“http://host:port/certsrv/mscep/mscep.dll”,其中的“host”和“port”分別為CA服務器的主機地址和端口號)。
l 選擇證書申請方式為“Manual”。
l 單擊<確定>按鈕,彈出的對話框提示“未指定根證書指紋,在獲取CA證書時將不對根證書指紋進行驗證,確認要繼續嗎?”,再次單擊<確定>按鈕完成操作。
圖47 配置PKI域domain1
(1) 配置IKE安全提議2,使用RSA密鑰簽名。
l 在導航欄中選擇“VPN > IKE > 安全提議”,單擊<新建>按鈕。
l 輸入IKE安全提議號為“2”。
l 選擇認證方法為“RSA Signature”。
l 單擊<確定>按鈕完成操作。
圖48 配置IKE安全提議2
(2) 配置IKE對等體peer2,引用PKI域domain2。
l 輸入對等體名稱為“peer2”。
l 輸入對端網關IP地址為“2.2.2.1”。
l 選中“PKI域”前的單選按鈕,選擇PKI域為“domain2”。
l 單擊<確定>按鈕完成操作。
圖49 配置IKE對等體peer2
(1) 配置ACL 3000,匹配Network 2(11.1.1.0/24)到Network 1(10.1.1.0/24)的報文。
l 在導航欄中選擇“防火牆 > ACL”,單擊<新建>按鈕。
l 輸入訪問控製列表ID為“3000”。
l 單擊<確定>按鈕完成操作。
圖50 新建ACL 3000
l 在ACL的顯示頁麵單擊ACL 3000對應的圖標,單擊<新建>按鈕。
l 選擇操作為“允許”。
l 選中“源IP地址”前的複選框,輸入目的IP地址為“11.1.1.0”,輸入目的地址通配符為“0.0.0.255”。
l 選中“目的IP地址”前的複選框,輸入目的IP地址為“10.1.1.0”,輸入目的地址通配符為“0.0.0.255”。
l 單擊<確定>按鈕完成操作。
圖51 配置ACL 3000的規則
(2) 配置IPSec安全提議ipsprop2。
l 在導航欄中選擇“VPN > IPSec > 安全提議”,單擊<新建>按鈕。
l 在安全提議配置向導頁麵單擊“套件方式”。
圖52 IPSec安全提議配置向導
l 輸入安全提議名稱為“ipsprop2”。
l 選擇加密套件為“Tunnel-ESP-DES-MD5”(表示采用隧道模式封裝報文,安全協議為ESP,ESP加密算法為DES,ESP認證算法為MD5)。
l 單擊<確定>按鈕完成操作。
圖53 配置IPSec安全提議ipsprop2
(3) 配置IPSec安全策略policy2。
l 在導航欄中選擇“VPN > IPSec > 策略”,單擊<新建>按鈕。
l 輸入策略名稱為“policy2”。
l 輸入策略序號為“1”。
l 選擇IKE對等體為“peer2”。
l 在可選安全提議列表框中選中“ipsprop2”,單擊“<<”按鈕將其添加到左邊的已選安全提議列表框中。
l 輸入ACL為“3000”。
l 單擊<確定>按鈕完成操作。
圖54 配置IPSec安全策略policy2
(4) 接口GigabitEthernet0/2上應用IPSec安全策略policy2。
l 在導航欄中選擇“VPN > IPSec > 應用”,單擊接口GigabitEthernet0/2對應的圖標。
l 選擇策略名稱為“policy2”。
l 單擊<確定>按鈕完成操作。
圖55 接口GigabitEthernet0/2上應用IPSec安全策略policy2
證書申請有兩種方式:在線方式和離線方式。請根據實際情況選擇其中一種配置。
(1) 在線方式申請
# 生成本地RSA密鑰對。
l 在導航欄中選擇“VPN > 證書管理 > 證書”,單擊<創建密鑰>按鈕。
l 輸入密鑰長度為“1024”。
l 單擊<確定>按鈕完成操作。
圖56 生成本地RSA密鑰對
# 手動在線獲取CA證書。
l 在證書顯示頁麵單擊<獲取證書>按鈕。
l 選擇PKI域名稱為“domain2”。
l 選擇證書類型為“CA”。
l 單擊<確定>按鈕完成操作。頁麵跳轉回證書顯示頁麵,可以看到已獲取到的CA證書。
圖57 獲取CA證書
# 手動在線申請本地證書。
l 在證書顯示頁麵單擊<申請證書>按鈕。
l 選擇PKI域名稱為“domain2”。
l 單擊<確定>按鈕完成操作。
圖58 申請本地證書
l 彈出提示框“證書申請已提交。”,再次單擊<確定>按鈕。頁麵跳轉回證書顯示頁麵,可以看到已申請到的本地證書。
圖59 完成證書申請後的證書顯示頁麵
(2) 離線方式申請
# 生成本地RSA密鑰對。
l 在導航欄中選擇“VPN > 證書管理 > 證書”,單擊<創建密鑰>按鈕。
l 輸入密鑰長度為“1024”。
l 單擊<確定>按鈕完成操作。
圖60 生成本地RSA密鑰對
# 獲得本地證書請求信息。
l 在證書顯示頁麵單擊<申請證書>按鈕。
l 選擇PKI域名稱為“domain2”。
l 選中“啟用離線方式”前的單選按鈕。
l 單擊<確定>按鈕完成操作,可以看到離線申請證書的信息。
圖61 獲得本地證書請求信息
圖62 離線申請證書的信息
# 通過帶外方式向CA申請證書,並下載CA證書。(帶外證書申請和下載CA證書的操作過程與Device A的相同,此處略)
# 將CA證書導入到Device B。
l 在“離線申請證書的信息”頁麵單擊<返回>按鈕回到證書的顯示頁麵,單擊<獲取證書>按鈕。
l 選擇PKI域名稱為“domain2”。
l 選擇證書類型為“CA”。
l 選中“啟用離線方式”前的複選框。
l 選中“從PC取得文件”前的單選按鈕。
l 通過單擊<瀏覽>按鈕選擇保存在本地主機上的CA證書ca_cert.cer。
l 單擊<確定>按鈕完成操作。
圖63 導入CA證書
# 將本地證書導入到Device B。
l 在證書的顯示頁麵單擊<獲取證書>按鈕。
l 選擇PKI域名稱為“domain2”。
l 選擇證書類型為“Local”。
l 選中“啟用離線方式”前的複選框。
l 選中“從PC取得文件”前的單選按鈕。
l 通過單擊<瀏覽>按鈕選擇保存在本地主機上的本地證書local_cert.cer。
l 單擊<確定>按鈕完成操作。
圖64 導入本地證書
圖65 完成證書申請後的證書顯示頁麵
(1) 配置完成後,分別在Device A和Device B的導航欄中選擇“VPN > IKE > 安全聯盟”查看IKE SA,發現還未協商生成IKE SA。
(2) 在Network 1內的主機上Ping Network 2內的主機,可以Ping通對端。
(3) 再次在Device A和Device B上查看IKE SA,發現已經建立起IKE SA。
如果在觸發IKE協商的時候,Device A和Device B還未獲得CA證書和本地證書,那麼就會出現IKE初次協商失敗,建立臨時SA的情況;下麵的顯示信息為Device A和Device B已經獲得了CA證書和本地證書的情況下,協商成功的IKE SA信息。
圖66 Device A上的IKE SA信息
圖67 Device B上的IKE SA信息
(4) 在Device A的導航欄中選擇“VPN > IPSec > 安全聯盟”,查看IPSec SA的信息。
圖68 Device A上的IPSec SA信息
(5) 在Device A的導航欄中選擇“VPN > IPSec > 統計信息”,查看IPSec處理報文的統計信息。
圖69 Device A上的IPSec統計信息
SSL是一個安全協議,為基於TCP的應用層協議提供安全連接,如SSL可以為HTTP協議提供安全連接。SSL協議廣泛應用於電子商務、網上銀行等領域,為網絡上數據的傳輸提供安全性保證。SSL協議允許在瀏覽器和服務器之間進行加密通信,並且利用PKI技術使用基於數字簽名的方法對服務器和瀏覽器進行身份驗證。
如圖70所示,位於B地的某公司網絡管理員無法直接配置位於A地的企業內部網絡的網關設備Gateway。為了實現網絡管理員遠程安全登錄網關設備進行管理,對管理員主機Admin和網關設備Gateway之間的HTTP通信采用SSL加密,通過建立HTTPS連接保證數據在互聯網上的安全傳輸。
圖70 基於證書認證的SSL典型配置組網圖
l SSL基於證書對服務器進行身份驗證,因此需要配置CA服務器,為網關設備頒發證書。
l 配置網關設備作為SSL服務器,並使能HTTPS服務。
關於PKI和SSL組合應用的典型配置請參考“HTTPS Web配置舉例”,本文不再描述。
HTTPS Web配置舉例
Copyright ©2010 杭州華三通信技術有限公司 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
本文檔中的信息可能變動,恕不另行通知。
售前谘詢
售後谘詢
人工在線谘詢
