证书认证的IPSec-VPN配置

ZZ------GDUFS（感谢小马哥）证书认证的IPSecVPN配置证书申请步骤第一步：同步时间第二步：部署证书服务器第三步：客户端产生密钥第四步：验证证书服务器第五步：申请个人证书第六步：审核并签名证书第七步：颁发数字证书第八步：交换公钥实验目的：配置部署CA，R1、R2向CA申请证书，并使用证书安全通信。使R1loopback01.1.1.1pingR2loopback2.2.2.2。1.实验拓扑图：2.实验配置：（一）同步时区，并配置NTP(networktimeprotocol计算机时间同步化协议)（1）将CA、R1、R2都设为GMT+8时区ZZ------GDUFS（感谢小马哥）（2）将CA设为ntpmaster,并配置R1、R2的ntpserver（3）使用命令showntpstatus查看是否同步（二）部署证书服务器CA（1）激活http服务器（2）配置域名（3）创建并激活CA服务器（名字为CA，本地有效）ZZ------GDUFS（感谢小马哥）（4）使用showcryptopkiserver命令查看CAserver状态（三）客户端产生密钥+（四）验证证书服务器（A）R1在线方式（1）配置R1域名，产生客户端密钥（2）验证CA，获取CA根证书（3）使用命令showcryptopkicerficates查看R1上的证书ZZ------GDUFS（感谢小马哥）（B）R2为离线方式认证CA，接受CA证书（1）配置域名，产生密钥对（2）使用terminal模式验证CA，填写个人信息，关闭吊销列表CA使用命令cryptopkiexportCApemtermianl导出证书将CA证书导入R2，并验证导入的证书的fingerprintMD5是否与CA的一致，若一致则接受。ZZ------GDUFS（感谢小马哥）（五）申请个人证书（A）R1为在线方式申请ZZ------GDUFS（感谢小马哥）ZZ------GDUFS（感谢小马哥）（B）R2为离线terminal终端模式申请证书ZZ------GDUFS（感谢小马哥）ZZ------GDUFS（感谢小马哥）R1与R2使用证书认证通信（一）R1配置：1.添加默认路由2.配置IPSecZZ------GDUFS（感谢小马哥）（二）R2配置：1.添加默认路由2.配置IPSec（三）相互ping通信此时，在R1上使用ping2.2.2.2source1.1.1.1在R2上使用ping1.1.1.1source2.2.2.2