IPsec certificate身份验证-CA server颁发证书

转载请注明出处：http://blog.csdn.net/zhangyang0402/archive/2010/05/24/5620314.aspx

 

测试环境：

 

Machine	Windows version	IP
CA server	Windows server 2003	172.16.113.176
client1	Windows XP	172.16.113.175
client2	Windows server 2003	172.16.113.177

 

一、CA Server配置

 

1.安装DC

开始->运行->dcpromo

按照提示，一步步往下安装，最后重启机器

 

2.安装IIS

添加/删除Windows组件中->应用程序服务器->ASP.net+IIS

 

3.安装CA

控制面板->添加删除程序->添加/删除windows组件－>证书服务

CA类型:企业根

CA的公用名称：caroot

证书数据库设置：默认

 

4.为DC机器申请证书

在浏览器打开http://localhost/certsrv

申请一个证书->高级证书申请->创建并向此CA提交一个申请->

证书模板：系统管理员

勾选上“将证书保存在本地计算机存储中"

->提交->安装此证书

在mmc->证书->本地计算机中->个人证书中，可看到安装的证书

 

二、客户端配置

client1和client2分别进行下面4步操作

 

在浏览器打开http://172.16.113.176/certsrv

输入用户名和密码，

 

1. 下载CA证书

单击“下载一个CA证书， 证书链或CRL”链接， 单击“下载CA证书”, 将certnew.cer保存

 

2. 导入CA证书

开始>运行->mmc->File->Add/Remove snap-in->Add->Certificates->Computer account

 

右击"受信任的根证书颁发机构”下的“证书“->所有任务->导入， 选择上面的certnew.cer，导入根CA即可。

 

3. 申请个人证书

返回到http://172.16.113.176/certsrv/

申请一个证书->高级证书申请->创建并向此CA提交一个申请->

证书模板：用户

勾选上“将证书保存在本地计算机存储中"

->提交->安装此证书

 

4.配置IPsec

在MMC上配置ipsec，名称为"secure icmp",为ping添加安全通讯，身份验证方法选证

书颁发机构，浏览选择根CA的证书，导入

 

三、测试

在Clinet1上尝试ping通client2

双方未指派secure icmp策略前

>ping 172.16.113.177

 

Pinging 172.16.113.177 with 32 bytes of data:

 

Reply from 172.16.113.177: bytes=32 time<1ms TTL=128

Reply from 172.16.113.177: bytes=32 time<1ms TTL=128

Reply from 172.16.113.177: bytes=32 time<1ms TTL=128

Reply from 172.16.113.177: bytes=32 time<1ms TTL=128

 

Ping statistics for 172.16.113.177:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 0ms, Maximum = 0ms, Average = 0ms

 

双方指派secure icmp策略后

>ping 172.16.113.177

 

Pinging 172.16.113.177 with 32 bytes of data:

 

Negotiating IP Security.

Reply from 172.16.113.177: bytes=32 time<1ms TTL=128

Reply from 172.16.113.177: bytes=32 time<1ms TTL=128

Reply from 172.16.113.177: bytes=32 time<1ms TTL=128

 

测试成功