信息化操作pki配置舉例

1、：PKI，CA，RA，IKE，IPsec，SSL摘 要：PKI 是一個(gè)用公開密鑰原理和技術(shù)來實(shí)現(xiàn)并提供安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施。本文主要介紹應(yīng)用 PKI 實(shí)現(xiàn)的基于認(rèn)證的 IKE 典型配置過程，及 SSL 典型配置應(yīng)用?？s略語：第 1 頁，共 30 頁縮略語英文全名中文解釋CAAuthority認(rèn)證機(jī)構(gòu)CRLRevocation List吊銷列表HTTPHypertext Transfrotocol超文本傳輸協(xié)議HTTPSHypertext Transfrotocol Secure安全超文本傳輸協(xié)議IISernet Information Serviceernet信息服務(wù)IKEern

2、et Key Exchangeernet密鑰交互IPsecernet Protocol SecurityIP安全LDAPLight-weight Directory Acs Protocol輕量級目錄協(xié)議PKCPublic Key公開密鑰PKIPublic Key Infrastructure公鑰基礎(chǔ)設(shè)施RARegistration Authority機(jī)構(gòu)S/MIMESecure/Multipureernet Extens安全/多用途 ernet郵件擴(kuò)充協(xié)議SCEPSimple Certification Enrollment Protocol簡單協(xié)議SSLSecure Sockets Lay

3、er接層Virtual Private Network虛擬網(wǎng)絡(luò)目 錄特性簡介3應(yīng)用場合3注意事項(xiàng)3基于數(shù)字的IKE典型配置舉例4組網(wǎng)需求4配置思路4配置步驟5CA服務(wù)器的配置5RouterA的配置15Router B的配置24驗(yàn)證結(jié)果285 基于數(shù)字的SSL典型配置舉例29組網(wǎng)需求29配置思路29配置步驟306 相關(guān)資料30第 2 頁，共 30 頁1特性簡介PKI 是一組服務(wù)和策略，提供了一個(gè)將公鑰和用戶唯一綁定的機(jī)制，以及如何實(shí)施并這個(gè)綁定相關(guān)信息的框架；是一個(gè)通過使用公開密鑰技術(shù)和數(shù)字來確保系統(tǒng)，并負(fù)責(zé)驗(yàn)證數(shù)字持有者的體系。PKI 的主要功能是通過簽發(fā)數(shù)字來綁定持有者的和相關(guān)的公開密鑰；為

4、用戶獲取、和吊銷提供途徑；利用數(shù)字及相關(guān)的各種服務(wù)（發(fā)布、發(fā)布等）實(shí)現(xiàn)通信過程中各實(shí)體的認(rèn)證，保證了通信數(shù)據(jù)的完整性和不可否認(rèn)性。2應(yīng)用場合PKI 技術(shù)的廣泛應(yīng)用能滿足人們對網(wǎng)絡(luò)交易安全保障的需求。作為一種基礎(chǔ)設(shè)施，PKI 的應(yīng)用范圍非常廣泛，并且在不斷發(fā)展之中，以下是 PKI 的典型應(yīng)用場景。虛擬網(wǎng)絡(luò)是一種構(gòu)建在公用通信基礎(chǔ)設(shè)施上的數(shù)據(jù)通信網(wǎng)絡(luò)，利用網(wǎng)絡(luò)層安全協(xié)議（如 IPsec）和建立在 PKI 上的加密與數(shù)字簽名技術(shù)來獲得性保護(hù)。安全電子郵件電子郵件的安全也要求、完整、認(rèn)證和不可否認(rèn)，而這些都可以利用 PKI 技術(shù)來實(shí)現(xiàn)。目前發(fā)展很快的安全電子郵件協(xié)議 S/MIME，是一個(gè)允許發(fā)送加密和

5、有簽名郵件的協(xié)議。該協(xié)議的實(shí)現(xiàn)需要依賴于 PKI 技術(shù)，它采用了 PKI 數(shù)字簽名技術(shù)并支持消息和附件的加密，無須收發(fā)雙方共享相同密鑰。Web 安全為了透明地解決 Web 的安全問題，在兩個(gè)實(shí)體進(jìn)行通信之前，先要建立 SSL 連接，以此實(shí)現(xiàn)對應(yīng)用層透明的安全通信。利用 PKI 技術(shù)，SSL 協(xié)議在協(xié)商時(shí)完成了對服務(wù)器和客戶端基于份認(rèn)證（其中，對客戶端的認(rèn)證是可選的），保證了通信安全。的身3注意事項(xiàng)在配置過程中，請注意以下幾點(diǎn)：中包含有效時(shí)間，只有設(shè)備與 CA 服務(wù)器的時(shí)間同步，設(shè)備才能成功獲取。若使用 Windows 2003 server 作為 CA 服務(wù)器，則服務(wù)器上需要安裝并啟用 IIS

6、 用于控制和管理 CA 服務(wù)器。其它 CA 服務(wù)器上是否需要安裝特殊的插件，請以實(shí)際情況為準(zhǔn)。為了避免與已有的 Web 服務(wù)，建議修改 CA 服務(wù)器默認(rèn)的 TCP 端。第 3 頁，共 30 頁4的IKE典型配置舉例基于數(shù)字主要協(xié)議的 IPsec，為 IP 層的通信安全提供了有利的保障。在實(shí)施 IPsec 的過程中，可作為以使用 IKE 協(xié)議來建立 SA。但 IKE 協(xié)議在復(fù)雜的網(wǎng)絡(luò)環(huán)境中仍然可能因?yàn)檎J(rèn)證機(jī)制簡單而產(chǎn)生一定的安全隱患。如果將 IKE 與 PKI 技術(shù)相結(jié)合，由基于 PKI 數(shù)字的認(rèn)證機(jī)制實(shí)現(xiàn)強(qiáng)認(rèn)證，則可以提高網(wǎng)關(guān)的安全性和可擴(kuò)展性。4.1組網(wǎng)需求兩個(gè)子網(wǎng)通過各自的網(wǎng)關(guān)設(shè)備與外部網(wǎng)

7、絡(luò)互聯(lián)，希望使用 IPsec 隧道構(gòu)建數(shù)據(jù)流的安全通體需求如下：在 Router A 和 Router B 之間建立一個(gè) IPsec 安全隧道對子網(wǎng) Group 1（/24）與子網(wǎng) Group 2（/24）之間的數(shù)據(jù)流進(jìn)行安全保護(hù)。在 Router A 和 Router B 之間使用 IKE 自動(dòng)協(xié)商建立安全通道，IKE 自動(dòng)協(xié)商采用基于 PKI的圖4-1 基于認(rèn)證方式。認(rèn)證的 IKE 典型配置組網(wǎng)圖4.2配置思路完成 CA 服務(wù)器的相關(guān)配置（本文以 Windows 2003 server 作為 CA server）分別在 Router A 和 Router B 上完成以下配置：配置 PKI，

8、定義實(shí)體及設(shè)置 PKI 域的相關(guān)屬性配置 IKE，使用數(shù)字簽名進(jìn)行認(rèn)證配置 IPsec，保護(hù)兩個(gè)子網(wǎng)之間的數(shù)據(jù)流第 4 頁，共 30 頁申請，并將到本地4.3 配置步驟以下配置均是在環(huán)境下進(jìn)行的配置和驗(yàn)證，配置前設(shè)備的所有參數(shù)均采用出廠時(shí)的缺省配置。如果您已經(jīng)對設(shè)備進(jìn)行了配置，為了保證配置效果，請確認(rèn)現(xiàn)有配置和以下配置不進(jìn)行下面的配置之前，需要確保各子網(wǎng)網(wǎng)關(guān)路由器和 CA 服務(wù)器之間的路由可達(dá)。4.3.1 CA服務(wù)器的配置1. 安裝服務(wù)組件打開控制面板/添加或刪除程序，選擇添加/刪除 Windows 組件。在Windows 組件向?qū)е?，選服務(wù)”，并單擊按鈕。安裝組件 1中“圖4-2選擇 CA

9、類型為獨(dú)立根 CA，并單擊按鈕。第 5 頁，共 30 頁圖4-3 安裝組件 2輸入 CA 的名稱為 CA server，并單擊按鈕。圖4-4 安裝組件 3選擇 CA省設(shè)置。位置，并單擊按鈕。這里采用缺數(shù)據(jù)庫、數(shù)據(jù)庫日志和共享文件夾的第 6 頁，共 30 頁圖4-5安裝組件 4組件安裝成功后，單擊按鈕，退出Windows 組件向?qū)Т翱凇?. 安裝SCEP插件雙擊運(yùn)行 SCEP 的安裝文件，在彈出的窗口中，單擊按鈕。SCEP 的安裝文件可以從免費(fèi)。第 7 頁，共 30 頁圖4-6安裝 SCEP 插件 1選擇使用本地系統(tǒng)帳戶作為標(biāo)識，并單擊按鈕。圖4-7安裝 SCEP 插件 2去掉“Require

10、SCEP Challenge Phrase to Enroll”選項(xiàng)，單擊按鈕。第 8 頁，共 30 頁圖4-8安裝 SCEP 插件 3輸入 RA 向 CA 服務(wù)器登記時(shí)使用的 RA 標(biāo)識信息，單擊按鈕。RA 的功能包括個(gè)人審核、CRL 管理、密鑰對產(chǎn)生和密鑰對備份等。RA 是 CA 的延伸，可以作為 CA 的一部分。RA 的標(biāo)識信息“Name”和 CA 的名稱不能相同，否則相關(guān)功能可能無法正常工作。第 9 頁，共 30 頁圖4-9安裝 SCEP 插件 4完成上述配置后，單擊按鈕，彈出如 圖 4-10 所示的提示框。定按鈕。圖4-10 安裝 SCEP 插件 5該URL地址，并單擊確3. 修改服

11、務(wù)的屬性完成上述配置后，打開控制面板/管理工具中的頒發(fā)機(jī)構(gòu)，如果安裝成功，在頒發(fā)的中將存在兩個(gè) CA 服務(wù)器頒發(fā)給 RA 的右鍵單擊CA server，選擇屬性。第 10 頁，共 30 頁圖4-11 修改服務(wù)的屬性在CA server 屬性窗口選擇“策略模塊”頁簽，單擊按鈕。圖4-12服務(wù)屬性窗口第 11 頁，共 30 頁選擇策略模塊的屬性為“如果可以的話，按照單擊按鈕。模板中的設(shè)置。否則，將自動(dòng)頒發(fā)(F)?！?。圖4-13策略模塊的屬性單擊 圖 4-14 中的停止服務(wù)和圖 4-15 中的啟動(dòng)服務(wù)按鈕，重啟服務(wù)。圖4-14 停止服務(wù)第 12 頁，共 30 頁圖4-15 啟動(dòng)服務(wù)4. 修改IIS服

12、務(wù)的屬性打開控制面板/管理工具中的ernet 信息服務(wù)(IIS)管理器，右鍵單擊默認(rèn)，選擇屬性。圖4-16IIS 管理器第 13 頁，共 30 頁選擇默認(rèn)屬性窗口中的“主目錄”頁簽，將本地路徑修改為服務(wù)保存的路徑。圖4-17修改默認(rèn)的主目錄選擇默認(rèn)屬性窗口中的“”頁簽，將 TCP 端口改為 8080。的 TCP 端為了避免與已有的服務(wù)使用默認(rèn)端80。，默認(rèn)不能與已有服務(wù)的端相同，且建議不要第 14 頁，共 30 頁圖4-18修改默認(rèn)的 TCP 端4.3.2RouterA的配置1. 配置步驟配置 PKI# 配置 PKI 實(shí)體 entitya。 system-view RouterA pki en

13、tity entitya RouterA-pki-entity-entitya RouterA-pki-entity-entitya RouterA-pki-entity-entitya# 創(chuàng)建 PKI 域。common-name routera ip quitRouterA pki1# 配置任的 CA 名稱。RouterA-pki-1ca identifier ca server# 配置 服務(wù)器 URL 地址 （為安裝 SCEP 插件時(shí)彈出的 URL 地 址，格式為 ，其中，host:port 為 CA 服務(wù)器的主機(jī)地址和端）。由第 15 頁，共 30 頁于 CA 服務(wù)器上默認(rèn)端為 8080

14、。RouterA-pki-的 TCP 端修改為 8080，配置服務(wù)器的 URL 地址時(shí)，需要指定-1requesturl# 指定服務(wù)器類型為 RA。RouterA-pki-1request from ra# 指定關(guān)聯(lián)的 PKI 實(shí)體為 entitya。RouterA-pki- RouterA-pki-配置 IKE-11 quitrequest entity entitya# 設(shè)置 IKE 提議，使用 RSA 密鑰簽名。RouterA ike pro RouterA-ike-pro RouterA-ike-pro# 創(chuàng)建 IKE 對等體。RouterA ike peal 1 al-1al-1au

15、thentication-method rsa-signaturequiteer1# 指定對端對等體地址。RouterA-ike-peeer1remote-address # 指定 PKI。RouterA-ike-pe RouterA-ike-pe配置 IPseceer1eer11quit# 配置 ACL 控制列表，匹配需要保護(hù)的報(bào)文。RouterA acl number 3000RouterA-acl-adv-3000 rule 0 permit ip source 55 RouterA-acl-adv-3000 quit# 創(chuàng)建 IPsec 提議。RouterA ipsec transfo

16、rm-set ipsprop1# 配置安全協(xié)議為 ESP。RouterA-ipsec-transform-set-ipsprop1# 配置封裝格式為隧道。RouterA-ipsec-transform-set-ipsprop1 # 配置 ESP 安全協(xié)議加密算法。 RouterA-ipsec-transform-set-ipsprop1 # 配置 ESP 安全協(xié)議散列算法。 RouterA-ipsec-transform-set-ipsprop1 RouterA-ipsec-transform-set-ipsprop1# 創(chuàng)建 IPsec 安全策略。transform espencapsula

17、tion-mode tunnelesp encryption-algorithm desesp authentication-algorithmquitmd5RouterA ipsec policy policy1 1 isakmp# 指定安全列表。RouterA-ipsec-policy-isakmp-policy1-1 security acl 3000# 指定 IKE 對等體。第 16 頁，共 30 頁RouterA-ipsec-policy-isakmp-policy1-1# 指定 IPsec 安全提議。RouterA-ipsec-policy-isakmp-policy1-1 Rou

18、terA-ipsec-policy-isakmp-policy1-1# 接口下綁定 IPsec 策略。ike-peeer1transform-setquitipsprop1RouterAerfaerial 2/0ipsec policy policy1 quitRouterA-Serial2/0 RouterA-Serial2/0申請# 生成本地 RSA 密鑰。RouterA public-key local create rsa Warning: The local key pair already exist. Confirm to replace them? Y/N:yThe range

19、 of public key size is (512 2048). NOTES: If the key modulus is greatern 512, It will take a few minutes.Press CTRL+C to abort.Input the bits of the modulusdefault = 1024:Generating Keys.+.+.+.+申請有兩種方式：帶內(nèi)方式和帶外方式。請根據(jù)實(shí)際情況選擇其中一種配置。帶內(nèi)方式申請# 手動(dòng)獲取 CA。RouterA pki retrieval- Retrieving CA/RAThe trusted CAs f

20、ingca1s. Please wait a while.is:rMD5 fingSHA1 fingrr:4F10 9CB0 4D51 6EB2 21D4 12C4 5881 EE2F:1A56 5741 219F 8E98 6438 B556 2C5A 2275 F097 2536Is thefingrcorrect?(Y/N):ySaving CA# 手動(dòng)CA/RAs chain, please wait a moment.s retrieval sucs.申請本地。ertificate requested, pleaseRouterA pki reqis beingRouterAEnro

21、lling the local1wait.,pleasesfully!wait a while.requestSaving the local Done!Sucto device.第 17 頁，共 30 頁帶外方式申請當(dāng)無法通過 SCEP 協(xié)議向 CA時(shí)，可以使用參數(shù) pkcs10 打印出本地的申請申請信息。用戶保存申請信息，并將其通過帶外方式發(fā)送給 CA 進(jìn)行申請。# 以 pkcs10 的格式打印本地請求信息。RouterA pki-BEGIN MIIBTTCBtwIBAreqertificateREQUEST-1 pkcs10MQwwCgYDV DEwMxMjMAQEBBQADgY0A0N

22、2BsuPh7I4mlkxLHZIwp5vAoMIGJAoGBAOEvjYboMDX0akLSOqSSCQm7dE7nPT1Q2i85uL DtmxjuYd9fZU4qM9Ps9It2lKG4DCFyFXkKTI9U4jPK42/grPMFmq V8BED9H+O6c9N/sWwA85C2um7UgIOj6TGi6LDBrp9ZZ3xFSO54bdAgMBAAGgADANBgkqhkiG9w0BA FAAOBgQBnjx0Qyme4Pu29BOjvjVYe8qhf9SizXpl6ty4jPS8Y+XkVV30WCs1ITfnUrD5IbhiDr50tDd v8y9B7kB+7/DBWcFv4H

23、rek5XBJveGolTqZ8+M7To8BXxCV4NRLTCsMREYonirVnlKR94KV3TCTGOI1E9KXKgg7DLHZFe75IP lQ=-ENDRouterAREQUEST-將 BEGIN 與 END 分割線之間的本地請求內(nèi)容通過帶外方式傳送到 CA 服務(wù)器。打開服務(wù)器申請主頁，選擇“申請一個(gè)”。圖4-19服務(wù)器申請主頁選擇“高級申請”。第 18 頁，共 30 頁圖4-20 提交申請選擇“使用 base64 編碼的 CMC 或 PKCS#10 文件提交一個(gè)PKCS#7 文件續(xù)訂申請”。申請，或使用 base64 編碼的圖4-21 高級申請?jiān)谙旅娴捻撁嬷?，把剛才?pk

24、cs10 格式打印出來的本地框中，單擊按鈕。請求信息添加到“保存的申請”文本第 19 頁，共 30 頁圖4-22添加請求信息申請成功，在下面的頁面中選擇編碼格式“DER 編碼”，然后單擊“若本地”。之后，設(shè)備上進(jìn)行導(dǎo)入時(shí)選擇的文件格式參數(shù)要與此處選擇的編碼格式保持一致。圖4-23 選擇編碼格式第 20 頁，共 30 頁在彈出的文件 “l(fā)ocal_cert.cer”。圖4-24 保存本地框中將申請到的本地 保存在本地路徑，文件名稱修改為 再次返回鏈或 CRL”。服務(wù)器申請主頁，選擇“一個(gè) CA，圖4-25服務(wù)器申請主頁選擇編碼方法“DER”，單擊“CA”。第 21 頁，共 30 頁圖4-26CA

25、在彈出的文件至此，帶外框中將申請完成。CA保存在本地路徑，文件名稱修改為“ca_cert.cer”，此處略。將以上保存在主機(jī)上的 CA導(dǎo)入到設(shè)備。通過帶外方式發(fā)送給 Router A，然后使用以下和本地令# 導(dǎo)入 CA，選擇文件編碼格式為 DER。RouterA pki import- ImportingThe trusted CAs fingca1a while.der filename ca_cert.cers. Please waitris:MD5 fingSHA1 fingrr:5A9C E2EA 7363:B58C B59D 2242CDA2 3B4F 0C157244 7B83 F

26、2E8B3F7 6E7D0C16 13EB E0BF 6526Is the fingrcorrect?(Y/N):y%Mar 13 20:32:56:158 2013 RouterA PKI/4/Verify_CA_Root_Cert:CA1 is trusted.rootoftheImport CARouterAsucsfully.%Mar 13 20:32:56:186 2013 RouterA PKI/4/Update_CA_Cert:UpdateCAs ofthe1 sucsfully.%Mar 13 20:32:56:187 2013 RouterA PKI/4/Import_CA_

27、Cert:ImportCAs ofthe1 sucsfully.RouterA# 導(dǎo)入本地，選擇文件編碼格式為 DER。第 22 頁，共 30 頁RouterA pki import-Importinglocal1 der filename local_cert.cers. Please wait a while.%Mar 13 20:35:54:364 2013 RouterA PKI/4/Verify_Cert:VerifyCN=routeraofthe1 sucsfully.sucImport localRouterAsfully.%Mar 13 20:35:54:376 2013 Ro

28、uterA PKI/4/Import_Local_Cert:Importlocalofthe RouterA2. 配置文件1 sucsfully.RouterA display current-configuration#ver#5.20, Release 10601sysname RouterA #acl number 3000rule 0 permit ip source 55 #pki entity entityacommon-name routeraip#pkica1identifier ca serverrequest requestrequesturl from raentity

29、entitya#ike proal 1authentication-method rsa-signature#ike peeer1remote-address 1#ipsec transform-set ipsprop1 encapsulation-mode tunnel transform espesp authentication-algorithm md5 esp encryption-algorithm des#ipsec policy policy1 1 isakmp security acl 3000ike-peeer1transform-set ipsprop1第 23 頁，共

30、30 頁#erfaerial2/0link-protocol pppip address ipsec policy policy1#return4.3.3Router B的配置1. 配置步驟配置 PKI# 配置 PKI 實(shí)體 entityb。 system-view RouterB pki entity entityb RouterB-pki-entity-entityb RouterB-pki-entity-entityb RouterB-pki-entity-entityb# 創(chuàng)建 PKI 域。common-name routerb ip quitRouterB pki2# 配置任的 CA

31、 名稱。RouterB-pki-2ca identifier ca server# 配置 URL 地址 （為安裝 SCEP 插件時(shí)彈出的 URL 地 址，格式為 服務(wù)器 ，其中，host:port 為 CA 服務(wù)器的主機(jī)地址和端）。由于 CA 服務(wù)器上默認(rèn)的 TCP 端修改為 8080，配置服務(wù)器的 URL 地址時(shí)，需要指定端為 8080。RouterB-pki-/mscep.dll-2request url# 指定認(rèn)證服務(wù)器類型為 RA。RouterB-pki-2request from ra# 指定關(guān)聯(lián)的 PKI 實(shí)體為 entityb。RouterB-pki- RouterB-pki-配

32、置 IKE-22 quitrequest entity entityb# 配置 IKE 提議，使用 RSA 密鑰簽名。RouterB ike pro RouterB-ike-pro RouterB-ike-pro# 創(chuàng)建 IKE 對等體。RouterB ike peal 2 al-2al-2authentication-method rsa-signaturequiteer2# 指定對端對等體地址。RouterB-ike-peeer2remote-address # 指定 PKI。第 24 頁，共 30 頁RouterB-ike-pe RouterB-ike-pe配置 IPseceer2eer

33、2 quit2# 配置 ACL 控制列表，匹配需要保護(hù)的報(bào)文。RouterB acl number 3000RouterB-acl-adv-3000 rule 0 permit ip destination 55 RouterB-acl-adv-3000 quit# 創(chuàng)建 IPsec 提議。RouterB ipsec transform-set ipsprop2# 配置安全協(xié)議為 ESP。Routersec-transform-set-ipsprop2transform esp# 配置封裝格式為隧道。Routersec-transform-set-ipsprop2encapsulation-m

34、ode tunnel# 配置 ESP 安全協(xié)議加密算法。Routersec-transform-set-ipsprop2esp encryption-algorithm des# 配置 ESP 安全協(xié)議散列算法。RouterRoutersec-transform-set-ipsprop2sec-transform-set-ipsprop2esp authentication-algorithmquitmd5# 創(chuàng)建 IPsec 策略。RouterB ipsec policy policy2 1 isakmp# 指定安全列表。Routersec-policy-isakmp-policy2-1se

35、curity acl 3000# 指定 IKE 對等體。Routersec-policy-isakmp-policy2-1ike-peeer2# 指定 IPsec 安全提議。RouterRoutersec-policy-isakmp-policy2-1sec-policy-isakmp-policy2-1transform-set ipsprop2quit# 接口下綁定 IPsec 策略。RouterBerfaerial 2/0ipsec policy policy2 quitRouterB-Serial2/0 RouterB-Serial2/0申請# 生成本地 RSA 密鑰。RouterB

36、public-key local create rsa Warning: The local key pair already exist. Confirm to replace them? Y/N:yThe range of public key size is (512 2048). NOTES: If the key modulus is greatern 512, It will take a few minutes.Press CTRL+C to abort.Input the bits of the modulusdefault = 1024: Generating Keys.+第

37、 25 頁，共 30 頁.+.+.+申請有兩種方式：帶內(nèi)方式和帶外方式。帶內(nèi)方式申請# 手動(dòng)獲取 CA。RouterB pki retrieval- Retrieving CA/RAThe trusted CAs fingca2s. Please wait a while.is:rMD5 fingSHA1 fingrr:8210 000F 4D51 48B2 21D4 12C4 9883 EE2F:1A56 A74F 219F 8E98 EE38 B556 2B5A 2275 F097 2536Is thefingrcorrect?(Y/N):ySaving CA# 手動(dòng)CA/RAs chai

38、n, please wait a moment.s retrieval sucs.申請本地。ertificate requested, pleaseRouterB pki reqis beingRouterBEnrolling the local2wait.,pleasewait a while.request Saving the localDone!Sucsfully!to device.帶外得的 CA帶外方式申請申請的操作過程與 Router A 的相同，此處略。完成帶外申請后通過下面令分別將獲和本地導(dǎo)入到設(shè)備。RouterBImportingpki import-ca2a while.

39、der filename ca_cert.cers. Please waitThe trusted CAs fingris:MD5 fingSHA1 fingrr:5A9C E2EA 7363:B58C B59D 2242CDA2 3B4F 0C157244 7B83 F2E8B3F7 6E7D0C16 13EB E0BF 6526Is the fingrcorrect?(Y/N):y%Mar 14 09:06:54:504 2013 RouterB PKI/4/Verify_CA_Root_Cert:CA2 is trusted.rootoftheImport CARouterBsucsfu

40、lly.%Mar 14 09:06:54:575 2013 RouterB PKI/4/Update_CA_Cert:UpdateCAs ofthe2 sucsfully.%Mar 14 09:06:54:575 2013 RouterB PKI/4/Import_CA_Cert:ImportCAs ofthe2 sucsfully.RouterBRouterB pki import-local2 der filename local_cert.cer第 26 頁，共 30 頁Importings. Please wait a while.%Mar 14 09:07:11:494 2013 R

41、outerB PKI/4/Verify_Cert:VerifyCN=routerboftheImport local RouterB2 sucsfully.sucsfully.%Mar 14 09:07:11:506 2013 RouterB PKI/4/Import_Local_Cert:Importlocalofthe RouterB2. 配置文件2 sucsfully.RouterB display current-configuration#ver#5.20, Release 10601sysname RouterB #acl number 3000rule 0 permit ip d

42、estination #pki entity entitybcommon-name routerb55ip#pkica2identifier ca serverrequest requestrequesturl from raentity entityb#ike proal 2authentication-method rsa-signature#ike peeer2remote-address 2#ipsec transform-set ipsprop2 encapsulation-mode tunnel transform espesp authentication-algorithm md5 esp encryption-algorithm des#ipsec policy ipsprop2 1 isakmp security acl 3000ike-peeer2transform-set ipsprop2#第 27 頁，共 30 頁erfaerial2/0link-protocol pppip address ipsec policy policy2#return4.3.4驗(yàn)證結(jié)果配置完成后，分別在 Router A