安全與VPN-PKI配置舉例-D

1、，安全與VPN-PKI配置舉例PKI配置舉例杭州華三通信技術(shù)有限公司 HYPERLINK / 第 PAGE 33頁，共33頁P(yáng)KI配置舉例關(guān)鍵詞：PKI，CA，RA，IKE，IPsec，SSL摘 要：PKI是一個(gè)用公開密鑰原理和技術(shù)來實(shí)現(xiàn)并提供安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施。本文主要介紹應(yīng)用PKI實(shí)現(xiàn)的基于證書認(rèn)證的IKE典型配置過程，及SSL典型配置應(yīng)用?？s略語：縮略語英文全名中文解釋CACertificate Authority認(rèn)證機(jī)構(gòu)CRLCertificate Revocation List證書吊銷列表HTTPHypertext Transfer Protocol超文本傳輸協(xié)議HT

2、TPSHypertext Transfer Protocol Secure安全超文本傳輸協(xié)議IISInternet Information ServiceInternet信息服務(wù)IKEInternet Key ExchangeInternet密鑰交互IPsecInternet Protocol SecurityIP安全LDAPLight-weight Directory Access Protocol輕量級(jí)目錄訪問協(xié)議PKCPublic Key Certificate公開密鑰證書PKIPublic Key Infrastructure公鑰基礎(chǔ)設(shè)施RARegistration Authority

3、注冊(cè)機(jī)構(gòu)S/MIMESecure/MultipurposeInternetMail Extensions安全/多用途Internet郵件擴(kuò)充協(xié)議SCEPSimple Certification Enrollment Protocol簡(jiǎn)單證書注冊(cè)協(xié)議SSLSecure Sockets Layer安全套接層VPNVirtual Private Network虛擬專用網(wǎng)絡(luò)目 錄 HYPERLINK l _bookmark0 特性簡(jiǎn)介 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 應(yīng)用場(chǎng)合 HYPERLINK l _bookmark0 3 HYPERL

4、INK l _bookmark0 注意事項(xiàng) HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 基于數(shù)字證書的IKE典型配置舉例 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 組網(wǎng)需求 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 配置思路 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 配置步驟 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 CA服務(wù)器的

5、配置 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark7 RouterA的配置 HYPERLINK l _bookmark7 17 HYPERLINK l _bookmark8 Router B的配置 HYPERLINK l _bookmark8 26 HYPERLINK l _bookmark9 驗(yàn)證結(jié)果 HYPERLINK l _bookmark9 31 HYPERLINK l _bookmark10 基于數(shù)字證書的SSL典型配置舉例 HYPERLINK l _bookmark10 32 HYPERLINK l _bookmark10 組網(wǎng)需求

6、HYPERLINK l _bookmark10 32 HYPERLINK l _bookmark11 配置思路 HYPERLINK l _bookmark11 33 HYPERLINK l _bookmark11 配置步驟 HYPERLINK l _bookmark11 33 HYPERLINK l _bookmark11 相關(guān)資料 HYPERLINK l _bookmark11 33特性簡(jiǎn)介PKI是一組服務(wù)和策略，提供了一個(gè)將公鑰和用戶身份唯一綁定的機(jī)制，以及如何實(shí)施并維護(hù)這個(gè)綁定相關(guān)信息的框架；是一個(gè)通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全，并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的體系。PK

7、I的主要功能是通過簽發(fā)數(shù)字證書來綁定證書持有者的身份和相關(guān)的公開密鑰； 為用戶獲取證書、訪問證書和吊銷證書提供途徑；利用數(shù)字證書及相關(guān)的各種服務(wù)（證書發(fā)布、黑名單發(fā)布等）實(shí)現(xiàn)通信過程中各實(shí)體的身份認(rèn)證，保證了通信數(shù)據(jù)的完整性和不可否認(rèn)性。應(yīng)用場(chǎng)合PKI技術(shù)的廣泛應(yīng)用能滿足人們對(duì)網(wǎng)絡(luò)交易安全保障的需求。作為一種基礎(chǔ)設(shè)施， PKI的應(yīng)用范圍非常廣泛，并且在不斷發(fā)展之中，以下是PKI的典型應(yīng)用場(chǎng)景。虛擬專用網(wǎng)絡(luò)VPN是一種構(gòu)建在公用通信基礎(chǔ)設(shè)施上的專用數(shù)據(jù)通信網(wǎng)絡(luò)，利用網(wǎng)絡(luò)層安全協(xié)議（如IPsec）和建立在PKI上的加密與數(shù)字簽名技術(shù)來獲得機(jī)密性保護(hù)。安全電子郵件電子郵件的安全也要求機(jī)密、完整、認(rèn)證

8、和不可否認(rèn)，而這些都可以利用PKI技術(shù)來實(shí)現(xiàn)。目前發(fā)展很快的安全電子郵件協(xié)議S/MIME，是一個(gè)允許發(fā)送加密和有簽名郵件的協(xié)議。該協(xié)議的實(shí)現(xiàn)需要依賴于PKI技術(shù)，它采用了PKI數(shù)字簽名技術(shù)并支持消息和附件的加密，無須收發(fā)雙方共享相同密鑰。Web安全為了透明地解決Web的安全問題，在兩個(gè)實(shí)體進(jìn)行通信之前，先要建立SSL連接， 以此實(shí)現(xiàn)對(duì)應(yīng)用層透明的安全通信。利用PKI技術(shù)，SSL協(xié)議在協(xié)商時(shí)完成了對(duì)服務(wù)器和客戶端基于證書的身份認(rèn)證（其中，對(duì)客戶端的認(rèn)證是可選的），保證了通信安全。注意事項(xiàng)在配置過程中，請(qǐng)注意以下幾點(diǎn)：證書中包含有效時(shí)間，只有設(shè)備與 CA 服務(wù)器的時(shí)間同步，設(shè)備才能成功獲取證書。若

9、使用 Windows 2003 server 作為 CA 服務(wù)器，則服務(wù)器上需要安裝并啟用IIS 用于控制和管理 CA 服務(wù)器。其它 CA 服務(wù)器上是否需要安裝特殊的插件，請(qǐng)以實(shí)際情況為準(zhǔn)。為了避免與已有的 Web 服務(wù)沖突，建議修改 CA 服務(wù)器默認(rèn)網(wǎng)站的 TCP 端口號(hào)。基于數(shù)字證書的IKE典型配置舉例作為VPN主要協(xié)議的IPsec，為IP層的通信安全提供了有利的保障。在實(shí)施IPsec的過程中，可以使用IKE協(xié)議來建立SA。但I(xiàn)KE協(xié)議在復(fù)雜的網(wǎng)絡(luò)環(huán)境中仍然可能因?yàn)樯矸菡J(rèn)證機(jī)制簡(jiǎn)單而產(chǎn)生一定的安全隱患。如果將IKE與PKI技術(shù)相結(jié)合，由基于PKI數(shù)字證書的身份認(rèn)證機(jī)制實(shí)現(xiàn)強(qiáng)認(rèn)證，則可以提高

10、VPN網(wǎng)關(guān)的安全性和可擴(kuò)展性。組網(wǎng)需求兩個(gè)子網(wǎng)通過各自的網(wǎng)關(guān)設(shè)備與外部網(wǎng)絡(luò)互聯(lián)，希望使用IPsec隧道構(gòu)建數(shù)據(jù)流的安全通道，具體需求如下：在 Router A 和 Router B 之間建立一個(gè) IPsec 安全隧道對(duì)子網(wǎng) Group 1（/24）與子網(wǎng) Group 2（/24）之間的數(shù)據(jù)流進(jìn)行安全保護(hù)。在 Router A 和 Router B 之間使用 IKE 自動(dòng)協(xié)商建立安全通道，IKE 自動(dòng)協(xié)商采用基于 PKI 證書的身份認(rèn)證方式。圖1 基于證書認(rèn)證的IKE典型配置組網(wǎng)圖配置思路完成CA服務(wù)器的相關(guān)配置（本文以Windows 2003 server作為CA server）分別在Rout

11、er A和Router B上完成以下配置：配置 PKI，定義證書實(shí)體及設(shè)置 PKI 域的相關(guān)屬性配置 IKE，使用數(shù)字簽名進(jìn)行身份認(rèn)證配置 IPsec，保護(hù)兩個(gè)子網(wǎng)之間的數(shù)據(jù)流申請(qǐng)證書，并將證書下載到本地配置步驟 說明：以下配置均是在實(shí)驗(yàn)室環(huán)境下進(jìn)行的配置和驗(yàn)證，配置前設(shè)備的所有參數(shù)均采用出廠時(shí)的缺省配置。如果您已經(jīng)對(duì)設(shè)備進(jìn)行了配置，為了保證配置效果，請(qǐng)確認(rèn)現(xiàn)有配置和以下配置不沖突。進(jìn)行下面的配置之前，需要確保各子網(wǎng)網(wǎng)關(guān)路由器和 CA 服務(wù)器之間的路由可達(dá)。CA服務(wù)器的配置安裝證書服務(wù)組件打開 控制面板/ 添加或刪除程序，選擇 添加/ 刪除Windows 組件。在Windows組件向?qū)е?，選中

12、“證書服務(wù)”，并單擊按鈕。圖2 安裝證書組件1選擇CA類型為獨(dú)立根CA，并單擊按鈕。圖3 安裝證書組件2輸入CA的名稱為CA server，并單擊按鈕。圖4 安裝證書組件3選擇CA證書數(shù)據(jù)庫、數(shù)據(jù)庫日志和共享文件夾的存儲(chǔ)位置，并單擊 按鈕。這里采用缺省設(shè)置。圖5 安裝證書組件4證書組件安裝成功后，單擊按鈕，退出Windows組件向?qū)Т翱?。安裝SCEP插件雙擊運(yùn)行SCEP的安裝文件，在彈出的窗口中，單擊按鈕。 說明：SCEP 的安裝文件可以從 Microsoft 網(wǎng)站免費(fèi)下載。圖6 安裝SCEP插件1選擇使用本地系統(tǒng)帳戶作為標(biāo)識(shí)，并單擊按鈕。圖7 安裝SCEP插件2去掉“Require SCEP

13、 Challenge Phrase to Enroll”選項(xiàng)，單擊按鈕。圖8 安裝SCEP插件3輸入RA向CA服務(wù)器登記時(shí)使用的RA標(biāo)識(shí)信息，單擊按鈕。RA的功能包括個(gè)人身份審核、CRL管理、密鑰對(duì)產(chǎn)生和密鑰對(duì)備份等。RA是CA 的延伸，可以作為CA的一部分。 注意：RA 的標(biāo)識(shí)信息“Name”和 CA 的名稱不能相同，否則相關(guān)功能可能無法正常工作。圖9 安裝SCEP插件4完成上述配置后，單擊按鈕，彈出如圖 HYPERLINK l _bookmark4 10 所示的提示框。記錄該URL 地址，并單擊按鈕。圖10 安裝SCEP插件5修改證書服務(wù)的屬性完成上述配置后，打開控制面板/管理工具中的證書

14、頒發(fā)機(jī)構(gòu)，如果安裝成功， 在頒發(fā)的證書中將存在兩個(gè)CA服務(wù)器頒發(fā)給RA的證書。右鍵單擊CA server，選擇屬性。圖11 修改證書服務(wù)的屬性在CA server 屬性窗口選擇“策略模塊”頁簽，單擊按鈕。圖12 證書服務(wù)屬性窗口選擇策略模塊的屬性為“如果可以的話，按照證書模板中的設(shè)置。否則，將自動(dòng)頒發(fā)證書(F)?！?。單擊按鈕。圖13 策略模塊的屬性單擊圖 HYPERLINK l _bookmark5 14 中的停止服務(wù)和圖 HYPERLINK l _bookmark6 15 中的啟動(dòng)服務(wù)按鈕，重啟證書服務(wù)。圖14 停止證書服務(wù)圖15 啟動(dòng)證書服務(wù)修改IIS服務(wù)的屬性打開控制面板/管理工具中的I

15、nternet 信息服務(wù)(IIS)管理器，右鍵單擊默認(rèn)網(wǎng)站，選擇屬性。圖16 IIS管理器選擇默認(rèn)網(wǎng)站 屬性窗口中的“主目錄”頁簽，將本地路徑修改為證書服務(wù)保存的路徑。圖17 修改默認(rèn)網(wǎng)站的主目錄選擇默認(rèn)網(wǎng)站 屬性窗口中的“網(wǎng)站”頁簽，將TCP端口改為8080。 注意：為了避免與已有的服務(wù)沖突，默認(rèn)網(wǎng)站的 TCP 端口號(hào)不能與已有服務(wù)的端口號(hào)相同，且建議不要使用默認(rèn)端口號(hào) 80。圖18 修改默認(rèn)網(wǎng)站的TCP端口號(hào)RouterA的配置配置步驟配置PKI# 配置PKI實(shí)體entityA。 system-view RouterA pki entity entityARouterA-pki-entit

16、y-entityA common-name routera RouterA-pki-entity-entityA ip RouterA-pki-entity-entityA quit# 創(chuàng)建PKI域。RouterA pki domain domain1# 配置可信任的CA名稱。RouterA-pki-domain-domain1 ca identifier ca server# 配置注冊(cè)服務(wù)器URL 地址（ 為安裝SCEP插件時(shí)彈出的URL 地址， 格式為http:/host:port/certsrv/mscep/mscep.dll，其中，host:port為CA服務(wù)器的主機(jī)地址和端口號(hào)）。由

17、于CA服務(wù)器上默認(rèn)網(wǎng)站的TCP端口號(hào)修改為8080，配置注冊(cè)服務(wù)器的URL地址時(shí)，需要指定端口號(hào)為8080。RouterA-pki-domain-domain1certificaterequesturl 01:8080/certsrv/mscep/mscep.dll# 指定注冊(cè)服務(wù)器類型為RA。RouterA-pki-domain-domain1 certificate request from ra# 指定關(guān)聯(lián)的PKI實(shí)體為entityA。RouterA-pki-domain-domain1 certificate request entity entityA RouterA-pki-dom

18、ain-domain1 quit配置IKE# 設(shè)置IKE提議，使用RSA密鑰簽名。RouterA ike proposal 1RouterA-ike-proposal-1 authentication-method rsa-signature RouterA-ike-proposal-1 quit# 創(chuàng)建IKE對(duì)等體。RouterA ike peer peer1# 指定對(duì)端對(duì)等體地址。RouterA-ike-peer-peer1 remote-address # 指定PKI域名。RouterA-ike-peer-peer1 certificate domain domain1 RouterA-

19、ike-peer-peer1 quit配置IPsec# 配置ACL控制列表，匹配需要保護(hù)的報(bào)文。RouterA acl number 3000RouterA-acl-adv-3000 rule 0 permit ip source 55 RouterA-acl-adv-3000 quit# 創(chuàng)建IPsec提議。RouterA ipsec proposal ipsprop1# 配置安全協(xié)議為ESP。RouterA-ipsec-proposal-ipsprop1 transform esp# 配置封裝格式為隧道。RouterA-ipsec-proposal-ipsprop1 encapsulati

20、on-mode tunnel# 配置ESP安全協(xié)議加密算法。RouterA-ipsec-proposal-ipsprop1 esp encryption-algorithm des# 配置ESP安全協(xié)議散列算法。RouterA-ipsec-proposal-ipsprop1 esp authentication-algorithm md5 RouterA-ipsec-proposal-ipsprop1 quit# 創(chuàng)建IPsec安全策略。RouterA ipsec policy policy1 1 isakmp# 指定安全訪問列表。RouterA-ipsec-policy-isakmp-pol

21、icy1-1 security acl 3000# 指定IKE對(duì)等體。RouterA-ipsec-policy-isakmp-policy1-1 ike-peer peer1# 指定IPsec安全提議。RouterA-ipsec-policy-isakmp-policy1-1 proposal ipsporp1 RouterA-ipsec-policy-isakmp-policy1-1 quit# 接口下綁定IPsec策略。RouterA interface serial 2/0RouterA-Serial2/0 ipsec policy policy1 RouterA-Serial2/0 q

22、uit申請(qǐng)證書# 生成本地RSA密鑰。RouterA public-key local create rsa Warning: The local key pair already exist. Confirm to replace them? Y/N:yThe range of public key size is (512 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes.Press CTRL+C to abort.Input the bits of the modulusdef

23、ault = 1024:Generating Keys.+.+證書申請(qǐng)有兩種方式：帶內(nèi)方式和帶外方式。請(qǐng)根據(jù)實(shí)際情況選擇其中一種配置。帶內(nèi)方式申請(qǐng)# 手動(dòng)在線獲取CA證書。RouterA pki retrieval-certificate ca domain domain1 Retrieving CA/RA certificates. Please wait a whileThe trusted CAs finger print is:MD5fingerprint:4F10 9CB0 4D51 6EB2 21D4 12C4 5881 EE2FSHA1 fingerprint:1A56 5741

24、 219F 8E98 6438 B556 2C5A 2275 F097 2536Is the finger print correct?(Y/N):ySaving CA/RA certificates chain, please wait a momentCA certificates retrieval success.# 手動(dòng)在線申請(qǐng)本地證書。RouterA pki request-certificate domain domain1 Certificate is being requested, please waitRouterAEnrolling the local certific

25、ate,please wait a whileCertificate request Successfully!Saving the local certificate to deviceDone!帶外方式申請(qǐng)當(dāng)無法通過SCEP協(xié)議向CA在線申請(qǐng)證書時(shí)，可以使用參數(shù)pkcs10打印出本地的證書申請(qǐng)信息。用戶保存證書申請(qǐng)信息，并將其通過帶外方式發(fā)送給CA進(jìn)行證書申請(qǐng)。# 以pkcs10的格式打印本地證書請(qǐng)求信息。RouterA pki request-certificate domain domain1 pkcs10BEGIN CERTIFICATE REQUESTMIIBTTCBtwIBADA

26、OMQwwCgYDVQQDEwMxMjMwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAOEvjYboMDX0akLSOqSSCQm7dE7nmJz0N2BsuPh7I4mlkxLHZIwp5vAo PT1Q2i85uLqQDtmxjuYd9fZU4qM9Ps9It2lKG4DCFyFXkKTI9U4jPK42/grPMFmq V8BED9H+O6c9N/sWwA85C2um7UgIOj6TGi6LDBrp9ZZ3xFSO54bdAgMBAAGgADANBgkqhkiG9w0BAQQFAAOBgQBnjx0Qyme4Pu29BOjvjVYe8qhf9SizXpl6t

27、y4jPS8Y+XkVV30WCs1ITfnUrD5IbhiDr50tDdqqv8y9B7kB+7/DBWcFv4Hrek5XBJveGolT qZ8+M7To8BXxCV4NRLTCsMREYonirVnlKR94KV3TCTGOI1E9KXKgg7DLHZFe75IP lQ=END CERTIFICATE REQUESTRouterA將BEGIN與END分割線之間的本地證書請(qǐng)求內(nèi)容通過帶外方式傳送到CA服務(wù)器。打開證書服務(wù)器申請(qǐng)證書主頁01:8080/certsrv，選擇“申請(qǐng)一個(gè)證書”。圖19 證書服務(wù)器申請(qǐng)證書主頁選擇“高級(jí)證書申請(qǐng)”。圖20 提交證書申請(qǐng)選擇“使用base64 編碼的

28、CMC 或PKCS#10 文件提交一個(gè)證書申請(qǐng)， 或使用base64編碼的PKCS#7文件續(xù)訂證書申請(qǐng)”。圖21 高級(jí)證書申請(qǐng)?jiān)谙旅娴捻撁嬷?，把剛才用pkcs10格式打印出來的本地證書請(qǐng)求信息添加到“保存的申請(qǐng)”文本框中，單擊按鈕。圖22 添加證書請(qǐng)求信息若本地證書申請(qǐng)成功，在下面的頁面中選擇證書編碼格式“DER編碼”，然后單擊“下載證書”。 說明：之后，設(shè)備上進(jìn)行證書導(dǎo)入時(shí)選擇的證書文件格式參數(shù)要與此處選擇的證書編碼格式保持一致。圖23 選擇證書編碼格式在彈出的文件下載對(duì)話框中將申請(qǐng)到的本地證書保存在本地路徑，文件名稱修改為“l(fā)ocal_cert.cer”。圖24 保存本地證書再次返回證書服

29、務(wù)器申請(qǐng)證書主頁01:8080/certsrv，選擇“下載一個(gè)CA證書，證書鏈或CRL”。圖25 證書服務(wù)器申請(qǐng)證書主頁選擇編碼方法“DER”，單擊“下載CA證書”。圖26 下載CA證書在彈出的文件下載對(duì)話框中將CA 證書保存在本地路徑， 文件名稱修改為“ca_cert.cer”，此處略。至此，帶外證書申請(qǐng)完成。將以上保存在主機(jī)上的CA證書和本地證書通過帶外方式發(fā)送給Router A，然后使用以下的命令導(dǎo)入到設(shè)備。# 導(dǎo)入CA證書，選擇文件編碼格式為DER。RouterApkiimport-certificatecadomaindomain1derfilename ca_cert.cerImp

30、orting certificates. Please wait a whileThe trusted CAs finger print is:MD5fingerprint:5A9C E2EA 7363 CDA2 3B4F 0C15 B3F7 6E7DSHA1 fingerprint:B58C B59D 2242 7244 7B83 F2E8 0C16 13EB E0BF 6526Is the finger print correct?(Y/N):y%Mar1320:32:56:1582008RouterAPKI/4/Verify_CA_Root_Cert:CAroot certificate

31、 of the domain domain1 is trusted.Import CA certificate successfully. RouterA%Mar1320:32:56:1862008RouterAPKI/4/Update_CA_Cert:UpdateCA certificates of the Domain domain1 successfully.%Mar1320:32:56:1872008RouterAPKI/4/Import_CA_Cert:ImportCA certificates of the domain domain1 successfully.RouterA#

32、導(dǎo)入本地證書，選擇文件編碼格式為DER。RouterApkiimport-certificatelocaldomaindomain1derfilename local_cert.cerImporting certificates. Please wait a while%Mar 13 20:35:54:364 2008 RouterA PKI/4/Verify_Cert:Verify certificate CN=routera of the domain domain1 successfully.Import local certificate successfully. RouterA%M

33、ar 13 20:35:54:376 2008 RouterA PKI/4/Import_Local_Cert:Import local certificate of the domain domain1 successfully.RouterA配置文件RouterA display current-configuration #version 5.20, Beta 1505L01, Standard#sysname RouterA #pki entity entityA common-name routera ip #pki domain domain1ca identifier ca se

34、rvercertificate request url 01:8080/certsrv/mscep/mscep.dll certificate request from racertificate request entity entityA#ike proposal 1authentication-method rsa-signature #ike peer peer1remote-address certificate domain domain1#ipsec proposal ipsprop1 #ipsec policy policy1 1 isakmp security acl 300

35、0ike-peer peer1 proposal ipsprop1#acl number 3000rule 0 permit ip source 55 #interface Serial2/0 link-protocol pppip address ipsec policy policy1#returnRouter B的配置配置步驟配置PKI# 配置PKI實(shí)體entityB。 system-view RouterB pki entity entityBRouterB-pki-entity-entityB common-name routerb RouterB-pki-entity-entity

36、B ip RouterB-pki-entity-entityB quit# 創(chuàng)建PKI域。RouterB pki domain domain2# 配置可信任的CA名稱。RouterB-pki-domain-domain2 ca identifier ca server# 配置注冊(cè)服務(wù)器URL 地址（ 為安裝SCEP插件時(shí)彈出的URL 地址， 格式為http:/host:port/certsrv/mscep/mscep.dll，其中，host:port為CA服務(wù)器的主機(jī)地址和端口號(hào)）。由于CA服務(wù)器上默認(rèn)網(wǎng)站的TCP端口號(hào)修改為8080，配置注冊(cè)服務(wù)器的URL地址時(shí)，需要指定端口號(hào)為8080。R

37、outerB-pki-domain-domain2 certificate request url 01:8080/certsrv/mscep/mscep.dll# 指定認(rèn)證服務(wù)器類型為RA。RouterB-pki-domain-domain2 certificate request from ra# 指定關(guān)聯(lián)的PKI實(shí)體為entityB。RouterB-pki-domain-domain2 certificate request entity entityB RouterB-pki-domain-domain2 quit配置IKE# 配置IKE提議，使用RSA密鑰簽名。RouterB ike

38、 proposal 2RouterB-ike-proposal-2 authentication-method rsa-signature RouterB-ike-proposal-2 quit# 創(chuàng)建IKE對(duì)等體。RouterB ike peer peer2# 指定對(duì)端對(duì)等體地址。RouterB-ike-peer-peer2 remote-address # 指定PKI域名。RouterB-ike-peer-peer2 certificate domain domain2 RouterB-ike-peer-peer2 quit配置IPsec# 配置ACL控制列表，匹配需要保護(hù)的報(bào)文。Rout

39、erB acl number 3000RouterB-acl-adv-3000 rule 0 permit ip destination 55 RouterB-acl-adv-3000 quit# 創(chuàng)建IPsec提議。RouterB ipsec proposal ipsprop2# 配置安全協(xié)議為ESP。RouterB-ipsec-proposal-ipsprop2 transform esp# 配置封裝格式為隧道。RouterB-ipsec-proposal-ipsprop2 encapsulation-mode tunnel# 配置ESP安全協(xié)議加密算法。RouterB-ipsec-pro

40、posal-ipsprop2 esp encryption-algorithm des# 配置ESP安全協(xié)議散列算法。RouterB-ipsec-proposal-ipsprop2 esp authentication-algorithm md5 RouterB-ipsec-proposal-ipsprop2 quit# 創(chuàng)建IPsec策略。RouterB ipsec policy policy2 1 isakmp# 指定安全訪問列表。RouterB-ipsec-policy-isakmp-policy2-1 security acl 3000# 指定IKE對(duì)等體。RouterB-ipsec-

41、policy-isakmp-policy2-1 ike-peer peer2# 指定IPsec安全提議。RouterB-ipsec-policy-isakmp-policy2-1 proposal ipsprop2 RouterB-ipsec-policy-isakmp-policy2-1 quit# 接口下綁定IPsec策略。RouterB interface serial 2/0RouterB-Serial2/0 ipsec policy policy2 RouterB-Serial2/0 quit申請(qǐng)證書# 生成本地RSA密鑰。RouterB public-key local creat

42、e rsa Warning: The local key pair already exist. Confirm to replace them? Y/N:yThe range of public key size is (512 2048). NOTES: If the key modulus is greater than 512,It will take a few minutes. Press CTRL+C to abort.Input the bits of the modulusdefault = 1024:Generating Keys.+.+證書申請(qǐng)有兩種方式：帶內(nèi)方式和帶外方

43、式。帶內(nèi)方式申請(qǐng)# 手動(dòng)在線獲取CA證書。RouterB pki retrieval-certificate ca domain domain2 Retrieving CA/RA certificates. Please wait a whileThe trusted CAs finger print is:MD5fingerprint:8210 000F 4D51 48B2 21D4 12C4 9883 EE2FSHA1 fingerprint:1A56 A74F 219F 8E98 EE38 B556 2B5A 2275 F097 2536Is the finger print corre

44、ct?(Y/N):ySaving CA/RA certificates chain, please wait a momentCA certificates retrieval success.# 手動(dòng)在線申請(qǐng)本地證書。RouterB pki request-certificate domain domain2 Certificate is being requested, please waitRouterBEnrolling the local certificate,please wait a whileCertificate request Successfully!Saving th

45、e local certificate to deviceDone!帶外方式申請(qǐng)帶外證書申請(qǐng)的操作過程與Router A的相同，此處略。完成帶外申請(qǐng)后通過下面的命令分別將獲得的CA證書和本地證書導(dǎo)入到設(shè)備。RouterBpkiimport-certificatecadomaindomain2derfilename ca_cert.cerImporting certificates. Please wait a whileThe trusted CAs finger print is:MD5fingerprint:5A9C E2EA 7363 CDA2 3B4F 0C15 B3F7 6E7DSH

46、A1 fingerprint:B58C B59D 2242 7244 7B83 F2E8 0C16 13EB E0BF 6526Is the finger print correct?(Y/N):y%Mar1409:06:54:5042008RouterBPKI/4/Verify_CA_Root_Cert:CAroot certificate of the domain domain2 is trusted.Import CA certificate successfully. RouterB%Mar1409:06:54:5752008RouterBPKI/4/Update_CA_Cert:U

47、pdateCA certificates of the Domain domain2 successfully.%Mar1409:06:54:5752008RouterBPKI/4/Import_CA_Cert:ImportCA certificates of the domain domain2 successfully.RouterBRouterBpkiimport-certificatelocaldomaindomain2derfilename local_cert.cerImporting certificates. Please wait a while%Mar 14 09:07:1

48、1:494 2008 RouterB PKI/4/Verify_Cert:Verify certificate CN= routerb of the domain domain2 successfully.Import local certificate successfully. RouterB%Mar 14 09:07:11:506 2008 RouterB PKI/4/Import_Local_Cert:Import local certificate of the domain domain2 successfully.RouterB配置文件RouterB display curren

49、t-configuration #version 5.20, Beta 1505L01, Standard #sysname RouterB #pki entity entityB common-name routerb ip #pki domain domain2ca identifier ca servercertificate request url 01:8080/certsrv/mscep/mscep.dll certificate request from racertificate request entity entityB#ike proposal 2authentication-method rsa-signature #ike peer peer2remote-address certificate domain domain2#ipsec proposal ipsprop2 #ipsec policy ipsprop2 1 isakmp security acl 300