作者:許本新

網路環境拓撲如圖4-1所示

 

各位讀友大家好,寫文之前先向大家問好,已經好久沒有些東西了，今天開啟部落格發現IPSEC系列文章還沒有結束，所以就又有了繼續寫下去的衝動了。今天接著上一篇敘，上篇介紹了IPSEC的共享金鑰實現身份驗證，此篇則介紹利用CA證書實現身份驗證！

Windows 2003 IPSec 的身份驗證主要提供了三種驗證模式，它們分別是Kerberos V5 協議、證書、預共享金鑰。而所有證書驗證都由加密的 API (CAPI) 執行。IKE 只是用來協商使用哪些證書，併為證書憑據的交換提供安全。IPSec 策略指定使用哪些根證書頒發機構 (CA)，而不指定使用哪個特定的證書。在 IPSec 策略配置中雙方都必須有公用的根 CA。

利用CA證書實現驗證，需要對證書作出以下要求：

a)      證書儲存在計算機帳戶（計算機儲存）中 

b)      證書包含一個 RSA 公鑰，該公鑰具有可用來進行 RSA 簽名的對應的私鑰。

c)      在證書有效期內使用 

d)      根證書頒發機構受信任 

e)      可以由 CAPI 模組建立有效的證書頒發機構鏈

這些要求是相當基本的。IPSec 不要求計算機證書是 IPSec 型別的證書，因為現有的證書頒發機構可能不頒發這些型別的證書。

一、    IPsec兩端申請和安裝證書

1、  開啟 Internet Explorer 並轉到證書頒發機構站點。如果您沒有另一個從中接收證書的站點，請使用： http://caserverIP/certsrv 本站點提供到四個證書頒發機構的訪問途徑。為了簡明起見，本步驟使用獨立根 CA (sectestca3) 頒發的證書。 

2、  選擇獨立根 (RSA 2048)。 

3、  選擇申請證書，然後單擊下一步。 

4、  選擇高階請求，然後單擊下一步。 

5、  選擇使用表格提交一個證書申請。

6、  在高階證書申請表格中，輸入相關內容如圖4-2所示

 

7、  在CA伺服器上為IPsec計算機頒發證書如圖4-3所示

 

8、  在IPsec計算機上通過 “檢視掛起的證書申請狀態”安裝CA頒發的證書如圖4-4所示

 

 

9、  安裝證書鏈如圖4-5、4-6、4-7和圖4-8所示,將CA證書和證書鏈下載下來，然後將證書安裝在“受信任根證書頒發機構”的計算機中。注意IPsec協商雙方都需要申請和安裝證書，方法完全相同。

 

圖4-5

 

圖4-6

 

圖4-7

 

圖4-8

二、    新增IPSEC策略配置CA身份驗證

如果您在建立新的規則，則可以瀏覽以查詢可使用的證書頒發機構。這是在“受信任的根證書頒發機構”資料夾中的證書頒發機構證書的列表，而不是您的計算機個人證書的列表。IPSec 規則中的該根 CA 規範有兩個目的。第一，它給 IKE 提供它信任的根 CA。您的計算機上的 IKE 將從此根 CA 向其它計算機傳送有效證書的申請。第二，CA 規範提供根 CA 的名稱，您的計算機將使用該名稱來查詢其自己的個人證書來響應對等計算機的申請。 注意 您必須至少選擇您的計算機證書可以返回的證書頒發機構根，即，在您的計算機的個人儲存中，計算機證書的證書路徑中的頂層 CA。 

IPSec 規則編輯器能使您建立證書頒發機構的有序表，您的計算機在 IKE 協商期間將其在申請中傳送給對等計算機。對等計算機必須有您的列表中的其中一個根 CA 頒發的個人證書，才能保證身份驗證成功。 您可以繼續按照需要新增和排列證書頒發機構。

IPsec規則建立完成後在身份驗證項中選擇CA證書並保證IPsec雙方配置完全一致否則不能協商成功，具體策略配置與共享金鑰配置方法完全相同，只是身份驗證選擇CA驗證模式即可。如圖4-9所示。

 

三、    檢測協商是否成功

 

 

最後需要注意的是，兩邊IPSEC策略配置需要完全相同，而且最後一定要將策略指派，然後通過ping來檢測是否能夠協商成功。如圖4-10所示表示協商會議成功。

 

 

圖4-10

 

另外也可以通過抓取報文檢測如圖4-11所示。

      本文轉自xubenxin  51CTO部落格，原文連結：http://blog.51cto.com/windows/405888，如需轉載請自行聯絡原作者