Huawei Technologies Co

Size: px

Start display at page:

Download "Huawei Technologies Co"

利执危
5 years ago
Views:

1 关键词 :PKI CA RA IKE IPSec SSL 摘要 :PKI 是一个用公开密钥原理和技术来实现并提供安全服务的具有通用性的安全基础设施本文主要介绍应用 PKI 实现的基于数字签名认证的 IKE 典型配置过程及 SSL 典型配置应用缩略语 : 缩略语英文全名中文解释 CA Certificate Authority 认证机构 CRL Certificate Revocation List 证书吊销列表 HTTP Hypertext Transfer Protocol 超文本传输协议 HTTPS Hypertext Transfer Protocol Secure 安全超文本传输协议 IIS Internet Information Service Internet 信息服务 IKE Internet Key Exchange Internet 密钥交互 IPSec Internet Protocol Security IP 安全 LDAP Light-weight Directory Access Protocol 轻量级目录访问协议 PKC Public Key Certificate 公开密钥证书 PKI Public Key Infrastructure 公钥基础设施 RA Registration Authority 注册机构 S/MIME Secure/Multipurpose Internet Mail Extensions 安全 / 多用途 Internet 邮件扩充协议 SCEP Simple Certification Enrollment Protocol 简单证书注册协议 SSL Secure Sockets Layer 安全套接层 VPN Virtual Private Network 虚拟专用网络杭州华三通信技术有限公司第 1 页, 共 47 页

2 目录 1 特性简介应用场合注意事项基于数字证书的 IKE 典型配置举例组网需求配置思路配置步骤 CA 服务器的配置 Device A 的配置 Device B 的配置验证结果基于数字证书的 SSL 典型配置举例组网需求配置思路配置步骤相关资料杭州华三通信技术有限公司第 2 页, 共 47 页

3 1 特性简介 PKI 是一组服务和策略, 提供了一个将公钥和用户身份唯一绑定的机制, 以及如何实施并维护这个绑定相关信息的框架 ; 是一个通过使用公开密钥技术和数字证书来确保系统信息安全, 并负责验证数字证书持有者身份的体系 PKI 的主要功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥 ; 为用户获取证书访问证书和吊销证书提供途径 ; 利用数字证书及相关的各种服务 ( 证书发布黑名单发布等 ) 实现通信过程中各实体的身份认证, 保证了通信数据的完整性和不可否认性 2 应用场合 PKI 技术的广泛应用能满足人们对网络交易安全保障的需求作为一种基础设施,PKI 的应用范围非常广泛, 并且在不断发展之中, 以下是 PKI 的典型应用场景 1. 虚拟专用网络 VPN 是一种构建在公用通信基础设施上的专用数据通信网络, 利用网络层安全协议 ( 如 IPSec) 和建立在 PKI 上的加密与数字签名技术来获得机密性保护 2. Web 安全为了透明地解决 Web 的安全问题, 在两个实体进行通信之前, 先要建立 SSL 连接, 以此实现对应用层透明的安全通信 SSL 协议允许在浏览器和服务器之间进行加密通信, 并且利用 PKI 技术使用基于数字签名的方法对服务器和浏览器端进行身份验证 3 注意事项在配置过程中, 请注意以下几点 : 证书中包含有效时间, 只有设备与 CA 服务器的时间同步, 设备才能成功获取证书若使用 Windows 2003 server 作为 CA 服务器, 则服务器上需要安装并启用 IIS 用于控制和管理 CA 服务器其它 CA 服务器上是否需要安装特殊的插件, 请以实际情况为准为了避免与已有的 Web 服务冲突, 建议修改 CA 服务器默认网站的 TCP 端口号 4 基于数字证书的 IKE 典型配置举例作为 VPN 主要协议的 IPSec, 为 IP 层的通信安全提供了有利的保障在实施 IPSec 的过程中, 可以使用 IKE 协议来建立 SA 但 IKE 协议在复杂的网络环境中仍然可能因为身份认证机制简单而产生一定的安全隐患如果将 IKE 与 PKI 技术相结合, 由基于 PKI 数字证书的身份认证机制实现强认证, 则可以提高 VPN 网关的安全性杭州华三通信技术有限公司第 3 页, 共 47 页

4 4.1 组网需求两个子网通过各自的网关设备与外部网络互联, 希望使用 IPSec 隧道构建数据流的安全通道, 具体需求如下 : 在 Device A 和 Device B 之间建立一个 IPSec 安全隧道对 Network 1( /24) 与 Network 2( /24) 之间的数据流进行安全保护在 Device A 和 Device B 之间使用 IKE 自动协商建立安全通道,IKE 自动协商采用基于 PKI 证书的身份认证方式图 1 基于证书认证的 IKE 典型配置组网图 4.2 配置思路 (1) 完成 CA 服务器的相关配置 ( 本文以 Windows 2003 server 作为 CA 服务器 ) (2) 分别在 Device A 和 Device B 上完成以下配置 : 配置 PKI, 定义证书实体及设置 PKI 域的相关属性配置 IKE, 使用数字签名进行身份认证配置 IPSec, 保护两个子网之间的数据流申请证书, 并将证书下载到本地杭州华三通信技术有限公司第 4 页, 共 47 页

4.3 配置步骤以下配置均是在实验室环境下进行的配置和验证, 配置前设备的所有参数均采用出厂时的缺省配置如果您已经对设备进行了配置, 为了保证配置效果, 请确认现有配置和以下配置不冲突以下对配置 Device A 和 Device B 的描述均以 SecPath F1000-E 产品为示例, 其他产品的页面可能有所不同进行下面的配置之前, 需要确保 Device A Device B 和

5 4.3 配置步骤以下配置均是在实验室环境下进行的配置和验证, 配置前设备的所有参数均采用出厂时的缺省配置如果您已经对设备进行了配置, 为了保证配置效果, 请确认现有配置和以下配置不冲突以下对配置 Device A 和 Device B 的描述均以 SecPath F1000-E 产品为示例, 其他产品的页面可能有所不同进行下面的配置之前, 需要确保 Device A Device B 和 CA 服务器之间的路由可达进行下面的配置之前, 需要确保 Device A Device B 的系统时间与 CA 服务器的系统时间一致, 否则可能无法申请或导入证书下面配置步骤中的各页面或窗口的配置项, 如果没有特殊说明, 均采用其默认设置 CA 服务器的配置 1. 安装证书服务组件 (1) 打开 [ 控制面板 ]/[ 添加或删除程序 ], 选择 [ 添加 / 删除 Windows 组件 ] 在[Windows 组件向导 ] 中, 选中证书服务, 并单击 < 下一步 > 按钮图 2 安装证书服务组件 1 (2) 选择 CA 类型为独立根 CA, 并单击 < 下一步 > 按钮杭州华三通信技术有限公司第 5 页, 共 47 页

6 图 3 安装证书服务组件 2 (3) 输入 CA 的名称为 CA server, 并单击 < 下一步 > 按钮杭州华三通信技术有限公司第 6 页, 共 47 页

7 图 4 安装证书服务组件 3 (4) 选择 CA 证书数据库数据库日志和共享文件夹的存储位置, 并单击 < 下一步 > 按钮这里采用缺省设置杭州华三通信技术有限公司第 7 页, 共 47 页

8 图 5 安装证书服务组件 4 安装证书服务组件时, 界面上会出现 CA 证书数据库数据库日志和共享文件夹的缺省存放路径本配置举例中使用了缺省存放路径, 其中共享文件夹存放路径中的 ca 为 CA 服务器的主机名 (5) 证书组件安装成功后, 单击 < 完成 > 按钮, 退出 [Windows 组件向导 ] 窗口 2. 安装 SCEP 插件 (1) 双击运行 SCEP 的安装文件, 在弹出的窗口中, 单击 < 下一步 > 按钮 SCEP 的安装文件可以从 Microsoft 网站免费下载杭州华三通信技术有限公司第 8 页, 共 47 页

9 图 6 安装 SCEP 插件 1 (2) 选择使用本地系统帐户作为标识, 并单击 < 下一步 > 按钮图 7 安装 SCEP 插件 2 (3) 去掉 Require SCEP Challenge Phrase to Enroll 选项, 单击 < 下一步 > 按钮杭州华三通信技术有限公司第 9 页, 共 47 页

10 图 8 安装 SCEP 插件 3 (4) 输入 RA 向 CA 服务器登记时使用的 RA 标识信息, 单击 < 下一步 > 按钮 RA 的功能包括个人身份审核 CRL 管理密钥对产生和密钥对备份等 RA 是 CA 的延伸, 可以作为 CA 的一部分 RA 的标识信息 Name 和 CA 的名称不能相同, 否则相关功能可能无法正常工作杭州华三通信技术有限公司第 10 页, 共 47 页

图 9 安装 SCEP 插件 4 (5) 完成上述配置后, 单击 < 完成 > 按钮, 弹出如图 10 所示的提示框记录该 URL 地址, 并单击 < 确定 > 按钮图 10 安装 SCEP 插件 5 配置 Device A 和 Device B 时, 需要将注册服务器地址配置为提示框中的 URL 地址, 其中的主机名 ca 可以替换为 CA 服务器的

11 图 9 安装 SCEP 插件 4 (5) 完成上述配置后, 单击 < 完成 > 按钮, 弹出如图 10 所示的提示框记录该 URL 地址, 并单击 < 确定 > 按钮图 10 安装 SCEP 插件 5 配置 Device A 和 Device B 时, 需要将注册服务器地址配置为提示框中的 URL 地址, 其中的主机名 ca 可以替换为 CA 服务器的 IP 地址 3. 修改证书服务的属性完成上述配置后, 打开 [ 控制面板 / 管理工具 ] 中的 [ 证书颁发机构 ], 如果安装成功, 在 [ 颁发的证书 ] 中将存在两个 CA 服务器颁发给 RA 的证书 (1) 右键单击 [CA server], 选择 [ 属性 ] 杭州华三通信技术有限公司第 11 页, 共 47 页

12 图 11 修改证书服务的属性 (2) 在 [CA server 属性 ] 窗口选择策略模块页签, 单击 < 属性 > 按钮图 12 证书服务属性窗口 (3) 选择策略模块的属性为如果可以的话, 按照证书模板中的设置否则, 将自动颁发证书 (F), 单击 < 确定 > 按钮杭州华三通信技术有限公司第 12 页, 共 47 页

13 图 13 策略模块的属性 (4) 单击图 14 中的停止服务和图 15 中的启动服务按钮, 重启证书服务图 14 停止证书服务杭州华三通信技术有限公司第 13 页, 共 47 页

14 图 15 启动证书服务 4. 修改 IIS 服务的属性 (1) 打开 [ 控制面板 / 管理工具 ] 中的 [Internet 信息服务 (IIS) 管理器 ], 右键单击 [ 默认网站 ], 选择 [ 属性 ] 图 16 IIS 管理器 (2) 选择 [ 默认网站属性 ] 窗口中的主目录页签, 将本地路径修改为证书服务保存的路径杭州华三通信技术有限公司第 14 页, 共 47 页

15 图 17 修改默认网站的主目录 (3) 选择 [ 默认网站属性 ] 窗口中的网站页签, 将 TCP 端口改为 8080 为了避免与已有的服务冲突, 默认网站的 TCP 端口号不能与已有服务的端口号相同, 且建议不要使用默认端口号 80 杭州华三通信技术有限公司第 15 页, 共 47 页

图 18 修改默认网站的 TCP 端口号 4.3.2 Device A 的配置 1.

16 图 18 修改默认网站的 TCP 端口号 Device A 的配置 1. 配置 PKI (1) 配置 PKI 实体 entity-a 在导航栏中选择 VPN > 证书管理 > PKI 实体, 单击 < 新建 > 按钮输入 PKI 实体名称为 entity-a 输入通用名为 device-a 输入实体 IP 地址为单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 16 页, 共 47 页

图 19 配置 PKI 实体 entity-a (2) 配置 PKI 域 domain1 在导航栏中选择 VPN > 证书管理 > PKI 域, 单击 < 新建 > 按钮输入 PKI 域名称为 domain1 输入 CA 标识符为 CA server 选择本端实体为 entity-a 选择注册机构为 RA 输入证书申请 URL 为 http://1.1.1.101:8080/certsrv/mscep/mscep.

17 图 19 配置 PKI 实体 entity-a (2) 配置 PKI 域 domain1 在导航栏中选择 VPN > 证书管理 > PKI 域, 单击 < 新建 > 按钮输入 PKI 域名称为 domain1 输入 CA 标识符为 CA server 选择本端实体为 entity-a 选择注册机构为 RA 输入证书申请 URL 为 ( 为安装 SCEP 插件时弹出的 URL 地址, 格式为其中的 host 和 port 分别为 CA 服务器的主机地址和端口号 ) 选择证书申请方式为 Manual 单击 < 确定 > 按钮, 弹出的对话框提示未指定根证书指纹, 在获取 CA 证书时将不对根证书指纹进行验证, 确认要继续吗?, 再次单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 17 页, 共 47 页

18 图 20 配置 PKI 域 domain1 2. 配置 IKE (1) 配置 IKE 安全提议 1, 使用 RSA 密钥签名在导航栏中选择 VPN > IKE > 安全提议, 单击 < 新建 > 按钮输入 IKE 安全提议号为 1 选择认证方法为 RSA Signature 单击 < 确定 > 按钮完成操作图 21 配置 IKE 安全提议 1 (2) 配置 IKE 对等体 peer1, 引用 PKI 域 domain1 杭州华三通信技术有限公司第 18 页, 共 47 页

输入对等体名称为 peer1 输入对端网关 IP 地址为 3.3.3.1 选中 PKI 域前的单选按钮, 选择 PKI 域为 domain1 单击 < 确定 > 按钮完成操作图 22 配置 IKE 对等体 peer1 3.

19 输入对等体名称为 peer1 输入对端网关 IP 地址为选中 PKI 域前的单选按钮, 选择 PKI 域为 domain1 单击 < 确定 > 按钮完成操作图 22 配置 IKE 对等体 peer1 3. 配置 IPSec (1) 配置 ACL 3000, 匹配 Network 1( /24) 到 Network 2( /24) 的报文在导航栏中选择防火墙 > ACL, 单击 < 新建 > 按钮输入访问控制列表 ID 为 3000 单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 19 页, 共 47 页

20 图 23 新建 ACL 3000 在 ACL 的显示页面单击 ACL 3000 对应的图标, 单击 < 新建 > 按钮选择操作为允许选中源 IP 地址前的复选框, 输入源 IP 地址为 , 输入源地址通配符为选中目的 IP 地址前的复选框, 输入源 IP 地址为 , 输入源地址通配符为单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 20 页, 共 47 页

21 图 24 配置 ACL 3000 的规则 (2) 配置 IPSec 安全提议 ipsprop1 在导航栏中选择 VPN > IPSec > 安全提议, 单击 < 新建 > 按钮在安全提议配置向导页面单击套件方式图 25 IPSec 安全提议配置向导输入安全提议名称为 ipsprop1 选择加密套件为 Tunnel-ESP-DES-MD5 ( 表示采用隧道模式封装报文, 安全协议为 ESP,ESP 加密算法为 DES,ESP 认证算法为 MD5) 单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 21 页, 共 47 页

22 图 26 配置 IPSec 安全提议 ipsprop1 (3) 配置 IPSec 安全策略 policy1 在导航栏中选择 VPN > IPSec > 策略, 单击 < 新建 > 按钮输入策略名称为 policy1 输入策略序号为 1 选择 IKE 对等体为 peer1 在可选安全提议列表框中选中 ipsprop1, 单击 << 按钮将其添加到左边的已选安全提议列表框中输入 ACL 为 3000 单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 22 页, 共 47 页

23 图 27 配置 IPSec 安全策略 policy1 (4) 接口 GigabitEthernet0/2 上应用 IPSec 安全策略 policy1 在导航栏中选择 VPN > IPSec > 应用, 单击接口 GigabitEthernet0/2 对应的图标选择策略名称为 policy1 单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 23 页, 共 47 页

单击 < 创建密钥 > 按钮输入密钥长度为 1024 单击 < 确定 > 按钮完成操作图 29 生成本地 RSA 密钥对 # 手动在线获取 CA 证书在证书显示页面单击 < 获取证书

24 图 28 接口 GigabitEthernet0/2 上应用 IPSec 安全策略 policy1 4. 申请证书证书申请有两种方式 : 在线方式和离线方式请根据实际情况选择其中一种配置 (1) 在线方式申请 # 生成本地 RSA 密钥对在导航栏中选择 VPN > 证书管理 > 证书, 单击 < 创建密钥 > 按钮输入密钥长度为 1024 单击 < 确定 > 按钮完成操作图 29 生成本地 RSA 密钥对 # 手动在线获取 CA 证书在证书显示页面单击 < 获取证书 > 按钮选择 PKI 域名称为 domain1 选择证书类型为 CA 单击 < 确定 > 按钮完成操作页面跳转回证书显示页面, 可以看到已获取到的 CA 证书图 30 获取 CA 证书杭州华三通信技术有限公司第 24 页, 共 47 页

25 # 手动在线申请本地证书在证书显示页面单击 < 申请证书 > 按钮选择 PKI 域名称为 domain1 单击 < 确定 > 按钮完成操作图 31 申请本地证书弹出提示框证书申请已提交, 再次单击 < 确定 > 按钮页面跳转回证书显示页面, 可以看到已申请到的本地证书图 32 完成证书申请后的证书显示页面 (2) 离线方式申请 # 生成本地 RSA 密钥对在导航栏中选择 VPN > 证书管理 > 证书, 单击 < 创建密钥 > 按钮输入密钥长度为 1024 单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 25 页, 共 47 页

26 图 33 生成本地 RSA 密钥对 # 获得本地证书请求信息在证书显示页面单击 < 申请证书 > 按钮选择 PKI 域名称为 domain1 选中启用离线方式前的单选按钮单击 < 确定 > 按钮完成操作, 可以看到离线申请证书的信息图 34 获得本地证书请求信息图 35 离线申请证书的信息 # 通过带外方式向 CA 申请证书打开证书服务器申请证书主页在证书服务主页单击申请一个证书杭州华三通信技术有限公司第 26 页, 共 47 页

27 图 36 证书服务器申请证书主页单击高级证书申请图 37 提交证书申请单击使用 base64 编码的 CMC 或 PKCS#10 文件提交一个证书申请, 或使用 base64 编码的 PKCS#7 文件续订证书申请杭州华三通信技术有限公司第 27 页, 共 47 页

28 图 38 高级证书申请将获得的离线申请证书的信息 (BEGIN 与 END 分割线之间的内容 ) 添加到保存的申请文本框中, 单击 < 提交 > 按钮图 39 添加证书请求信息本地证书申请成功后进入下面的页面, 在页面中选择证书编码格式 DER 编码, 然后单击下载证书杭州华三通信技术有限公司第 28 页, 共 47 页

29 图 40 选择证书编码格式在弹出的文件下载对话框中将申请到的本地证书保存在本地路径, 文件名称修改为 local_cert.cer # 通过带外方式下载 CA 证书单击页面右上方的主页链接返回证书服务主页, 单击下载一个 CA 证书, 证书链或 CRL 图 41 证书服务器申请证书主页选择编码方法 DER, 单击下载 CA 证书杭州华三通信技术有限公司第 29 页, 共 47 页

30 图 42 下载 CA 证书在弹出的文件下载对话框中将 CA 证书保存在本地主机, 文件名称修改为 ca_cert.cer, 此处略 # 将 CA 证书导入到 Device A 在离线申请证书的信息页面单击 < 返回 > 按钮回到证书的显示页面, 单击 < 获取证书 > 按钮选择 PKI 域名称为 domain1 选择证书类型为 CA 选中启用离线方式前的复选框选中从 PC 取得文件前的单选按钮通过单击 < 浏览 > 按钮选择保存在本地主机上的 CA 证书 ca_cert.cer 单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 30 页, 共 47 页

31 图 43 导入 CA 证书 # 将本地证书导入到 Device A 在证书的显示页面单击 < 获取证书 > 按钮选择 PKI 域名称为 domain1 选择证书类型为 Local 选中启用离线方式前的复选框选中从 PC 取得文件前的单选按钮通过单击 < 浏览 > 按钮选择保存在本地主机上的本地证书 local_cert.cer 单击 < 确定 > 按钮完成操作图 44 导入本地证书杭州华三通信技术有限公司第 31 页, 共 47 页

32 图 45 完成证书申请后的证书显示页面 Device B 的配置 1. 配置 PKI (1) 配置 PKI 实体 entity-b 在导航栏中选择 VPN > 证书管理 > PKI 实体, 单击 < 新建 > 按钮输入 PKI 实体名称为 entity-b 输入通用名为 device-b 输入实体 IP 地址为单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 32 页, 共 47 页

33 图 46 配置 PKI 实体 entity-b (2) 配置 PKI 域 domain2 在导航栏中选择 VPN > 证书管理 > PKI 域, 单击 < 新建 > 按钮输入 PKI 域名称为 domain2 输入 CA 标识符为 CA server 选择本端实体为 entity-b 选择注册机构为 RA 输入证书申请 URL 为 ( 为安装 SCEP 插件时弹出的 URL 地址, 格式为其中的 host 和 port 分别为 CA 服务器的主机地址和端口号 ) 选择证书申请方式为 Manual 单击 < 确定 > 按钮, 弹出的对话框提示未指定根证书指纹, 在获取 CA 证书时将不对根证书指纹进行验证, 确认要继续吗?, 再次单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 33 页, 共 47 页

34 图 47 配置 PKI 域 domain1 2. 配置 IKE (1) 配置 IKE 安全提议 2, 使用 RSA 密钥签名在导航栏中选择 VPN > IKE > 安全提议, 单击 < 新建 > 按钮输入 IKE 安全提议号为 2 选择认证方法为 RSA Signature 单击 < 确定 > 按钮完成操作图 48 配置 IKE 安全提议 2 (2) 配置 IKE 对等体 peer2, 引用 PKI 域 domain2 杭州华三通信技术有限公司第 34 页, 共 47 页

35 输入对等体名称为 peer2 输入对端网关 IP 地址为选中 PKI 域前的单选按钮, 选择 PKI 域为 domain2 单击 < 确定 > 按钮完成操作图 49 配置 IKE 对等体 peer2 3. 配置 IPSec (1) 配置 ACL 3000, 匹配 Network 2( /24) 到 Network 1( /24) 的报文在导航栏中选择防火墙 > ACL, 单击 < 新建 > 按钮输入访问控制列表 ID 为 3000 单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 35 页, 共 47 页

图 50 新建 ACL 3000 在 ACL 的显示页面单击 ACL 3000 对应的图标, 单击 < 新建 > 按钮选择操作为允许选中源 IP 地址前的复选框, 输入目的 IP 地址为 11.1.1.0, 输入目的地址通配符为 0.0.0.255 选中目的 IP 地址前的复选框, 输入目的 IP 地址为 10.

36 图 50 新建 ACL 3000 在 ACL 的显示页面单击 ACL 3000 对应的图标, 单击 < 新建 > 按钮选择操作为允许选中源 IP 地址前的复选框, 输入目的 IP 地址为 , 输入目的地址通配符为选中目的 IP 地址前的复选框, 输入目的 IP 地址为 , 输入目的地址通配符为单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 36 页, 共 47 页

37 图 51 配置 ACL 3000 的规则 (2) 配置 IPSec 安全提议 ipsprop2 在导航栏中选择 VPN > IPSec > 安全提议, 单击 < 新建 > 按钮在安全提议配置向导页面单击套件方式图 52 IPSec 安全提议配置向导输入安全提议名称为 ipsprop2 选择加密套件为 Tunnel-ESP-DES-MD5 ( 表示采用隧道模式封装报文, 安全协议为 ESP,ESP 加密算法为 DES,ESP 认证算法为 MD5) 单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 37 页, 共 47 页

38 图 53 配置 IPSec 安全提议 ipsprop2 (3) 配置 IPSec 安全策略 policy2 在导航栏中选择 VPN > IPSec > 策略, 单击 < 新建 > 按钮输入策略名称为 policy2 输入策略序号为 1 选择 IKE 对等体为 peer2 在可选安全提议列表框中选中 ipsprop2, 单击 << 按钮将其添加到左边的已选安全提议列表框中输入 ACL 为 3000 单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 38 页, 共 47 页

39 图 54 配置 IPSec 安全策略 policy2 (4) 接口 GigabitEthernet0/2 上应用 IPSec 安全策略 policy2 在导航栏中选择 VPN > IPSec > 应用, 单击接口 GigabitEthernet0/2 对应的图标选择策略名称为 policy2 单击 < 确定 > 按钮完成操作杭州华三通信技术有限公司第 39 页, 共 47 页

40 图 55 接口 GigabitEthernet0/2 上应用 IPSec 安全策略 policy2 4. 申请证书证书申请有两种方式 : 在线方式和离线方式请根据实际情况选择其中一种配置 (1) 在线方式申请 # 生成本地 RSA 密钥对在导航栏中选择 VPN > 证书管理 > 证书, 单击 < 创建密钥 > 按钮输入密钥长度为 1024 单击 < 确定 > 按钮完成操作图 56 生成本地 RSA 密钥对 # 手动在线获取 CA 证书在证书显示页面单击 < 获取证书 > 按钮选择 PKI 域名称为 domain2 选择证书类型为 CA 单击 < 确定 > 按钮完成操作页面跳转回证书显示页面, 可以看到已获取到的 CA 证书杭州华三通信技术有限公司第 40 页, 共 47 页

41 图 57 获取 CA 证书 # 手动在线申请本地证书在证书显示页面单击 < 申请证书 > 按钮选择 PKI 域名称为 domain2 单击 < 确定 > 按钮完成操作图 58 申请本地证书弹出提示框证书申请已提交, 再次单击 < 确定 > 按钮页面跳转回证书显示页面, 可以看到已申请到的本地证书图 59 完成证书申请后的证书显示页面杭州华三通信技术有限公司第 41 页, 共 47 页

42 (2) 离线方式申请 # 生成本地 RSA 密钥对在导航栏中选择 VPN > 证书管理 > 证书, 单击 < 创建密钥 > 按钮输入密钥长度为 1024 单击 < 确定 > 按钮完成操作图 60 生成本地 RSA 密钥对 # 获得本地证书请求信息在证书显示页面单击 < 申请证书 > 按钮选择 PKI 域名称为 domain2 选中启用离线方式前的单选按钮单击 < 确定 > 按钮完成操作, 可以看到离线申请证书的信息图 61 获得本地证书请求信息杭州华三通信技术有限公司第 42 页, 共 47 页

43 图 62 离线申请证书的信息 # 通过带外方式向 CA 申请证书, 并下载 CA 证书 ( 带外证书申请和下载 CA 证书的操作过程与 Device A 的相同, 此处略 ) # 将 CA 证书导入到 Device B 在离线申请证书的信息页面单击 < 返回 > 按钮回到证书的显示页面, 单击 < 获取证书 > 按钮选择 PKI 域名称为 domain2 选择证书类型为 CA 选中启用离线方式前的复选框选中从 PC 取得文件前的单选按钮通过单击 < 浏览 > 按钮选择保存在本地主机上的 CA 证书 ca_cert.cer 单击 < 确定 > 按钮完成操作图 63 导入 CA 证书 # 将本地证书导入到 Device B 杭州华三通信技术有限公司第 43 页, 共 47 页

在证书的显示页面单击 < 获取证书 > 按钮选择 PKI 域名称为 domain2 选择证书类型为 Local 选中启用离线方式前的复选框选中从 PC 取得文件前的单选按钮通过单击 < 浏览 > 按钮选择保存在本地主机上的本地证书 local_cert.cer 单击 < 确定 > 按钮完成操作图 64 导入本地证书图 65 完成证书申请后的证书显示页面 4.

44 在证书的显示页面单击 < 获取证书 > 按钮选择 PKI 域名称为 domain2 选择证书类型为 Local 选中启用离线方式前的复选框选中从 PC 取得文件前的单选按钮通过单击 < 浏览 > 按钮选择保存在本地主机上的本地证书 local_cert.cer 单击 < 确定 > 按钮完成操作图 64 导入本地证书图 65 完成证书申请后的证书显示页面 4.4 验证结果 (1) 配置完成后, 分别在 Device A 和 Device B 的导航栏中选择 VPN > IKE > 安全联盟查看 IKE SA, 发现还未协商生成 IKE SA (2) 在 Network 1 内的主机上 Ping Network 2 内的主机, 可以 Ping 通对端杭州华三通信技术有限公司第 44 页, 共 47 页

上的 IKE SA 信息图 67 Device B 上的 IKE SA 信息 (4) 在 Device A 的导航栏中选择 VPN > IPSec > 安全联盟, 查看 IPSec SA 的信息图 68 Device A

45 (3) 再次在 Device A 和 Device B 上查看 IKE SA, 发现已经建立起 IKE SA 如果在触发 IKE 协商的时候,Device A 和 Device B 还未获得 CA 证书和本地证书, 那么就会出现 IKE 初次协商失败, 建立临时 SA 的情况 ; 下面的显示信息为 Device A 和 Device B 已经获得了 CA 证书和本地证书的情况下, 协商成功的 IKE SA 信息图 66 Device A 上的 IKE SA 信息图 67 Device B 上的 IKE SA 信息 (4) 在 Device A 的导航栏中选择 VPN > IPSec > 安全联盟, 查看 IPSec SA 的信息图 68 Device A 上的 IPSec SA 信息 (5) 在 Device A 的导航栏中选择 VPN > IPSec > 统计信息, 查看 IPSec 处理报文的统计信息杭州华三通信技术有限公司第 45 页, 共 47 页

图 69 Device A 上的 IPSec 统计信息 5 基于数字证书的 SSL

1 组网需求如图 70 所示, 位于 B 地的某公司网络管理员无法直接配置位于 A

为了实现网络管理员远程安全登录网关设备进行管理, 对管理员主机 Admin 和网关设备

46 图 69 Device A 上的 IPSec 统计信息 5 基于数字证书的 SSL 典型配置举例 SSL 是一个安全协议, 为基于 TCP 的应用层协议提供安全连接, 如 SSL 可以为 HTTP 协议提供安全连接 SSL 协议广泛应用于电子商务网上银行等领域, 为网络上数据的传输提供安全性保证 SSL 协议允许在浏览器和服务器之间进行加密通信, 并且利用 PKI 技术使用基于数字签名的方法对服务器和浏览器进行身份验证 5.1 组网需求如图 70 所示, 位于 B 地的某公司网络管理员无法直接配置位于 A 地的企业内部网络的网关设备 Gateway 为了实现网络管理员远程安全登录网关设备进行管理, 对管理员主机 Admin 和网关设备 Gateway 之间的 HTTP 通信采用 SSL 加密, 通过建立 HTTPS 连接保证数据在互联网上的安全传输图 70 基于证书认证的 SSL 典型配置组网图杭州华三通信技术有限公司第 46 页, 共 47 页

47 5.2 配置思路 SSL 基于证书对服务器进行身份验证, 因此需要配置 CA 服务器, 为网关设备颁发证书配置网关设备作为 SSL 服务器, 并使能 HTTPS 服务 5.3 配置步骤关于 PKI 和 SSL 组合应用的典型配置请参考 HTTPS Web 配置举例, 本文不再描述 6 相关资料 HTTPS Web 配置举例 Copyright 2010 杭州华三通信技术有限公司版权所有, 保留一切权利非经本公司书面许可, 任何单位和个人不得擅自摘抄复制本文档内容的部分或全部, 并不得以任何形式传播本文档中的信息可能变动, 恕不另行通知杭州华三通信技术有限公司第 47 页, 共 47 页

目录 1 HTTPS 典型配置举例简介 HTTPS 典型配置举例适用产品和版本组网需求配置思路配置注意事项配置步骤验证配置配置文件 19 i

目录 1 HTTPS 典型配置举例简介 HTTPS 典型配置举例适用产品和版本组网需求配置思路配置注意事项配置步骤验证配置配置文件 19 i 目录 1 HTTPS 典型配置举例 1 1.1 简介 1 1.2 HTTPS 典型配置举例 1 1.2.1 适用产品和版本 1 1.2.2 组网需求 1 1.2.3 配置思路 1 1.2.4 配置注意事项 2 1.2.5 配置步骤 2 1.2.6 验证配置 17 1.2.7 配置文件 19 i 1 HTTPS 典型配置举例 1.1 简介本章介绍通过 HTTPS 功能, 对客户端身份和服务器进行验证,