使用数字证书配置IKEv2

最新推荐文章于 2024-04-27 16:19:56 发布
最新推荐文章于 2024-04-27 16:19:56 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: # 网络安全 文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a13554371686/article/details/126111762
版权

我们配置的是从预共享密钥IKEv2身份验证切换为使用数字证书的身份验证。名为SERVER的路由器具有另外两个功能:时间服务器和CA服务器。

切换前配置步骤

更改以前的配置,使路由器ROUTER-A和ROUTER-B使用数字证书,放弃预共享密钥。首先在所有路由器上进行基本配置,以便建立CA服务器并检索数字证书。

CA服务器

!
hostname SERVER
!
interface f0/0
ip address 10.2.2.2 255.255.255.0
no shutdown
!
ip route 0.0.0.0 0.0.0.0 10.2.2.1
!
ntp master
!

在生产环境中,我们将确保时间准确无误,但是对于我们的实验室来说,这样做是可以做到的。路由器同意正确的时间很重要,这与现在的时间无关。

ROUTER-A

!
hostname ROUTER-A
!
interface FastEthernet0/0
ip address 10.1.1.1 255.255.255.0
no shutdown
!
interface Serial5/0
ip address 1.1.1.1 255.255.255.0
no shutdown
!
ip route 0.0.0.0 0.0.0.0 1.1.1.2
!
ntp server 10.2.2.2
!

ROUTER-B

!
hostname ROUTER-B
!
interface FastEthernet0/0
ip address 10.2.2.1 255.255.255.0
no shutdown
!
interface Serial5/0
ip address 1.1.1.2 255.255.255.0
no shutdown
!
ip route 0.0.0.0 0.0.0.0 1.1.1.1
!
ntp server 10.2.2.2
!

PC路由器具有最简单的配置:

!
hostname PC
!
interface FastEthernet0/0
ip address 10.1.1.2 255.255.255.0
no shutdown
!
ip route 0.0.0.0 0.0.0.0 10.1.1.1
!

现在验证我们的连通性。我们可以验证ROUTER-A和ROUTER-B上的时间同步。如果可以,我们可以继续。例如,ROUTER-A:

ROUTER_A#
ROUTER_A#show ntp ass

address     ref clock    st  when  poll reach delay offset  disp
*~10.2.2.2    127.127.7.1   8  118  1024  377 12.103 -59951. 0.070
* sys.peer, # selected, + candidate, – outlyer, x falseticker, ~ configured
ROUTER_A#

我们可以看到我们处于同步状态,因此我们可以继续配置。

生成证书

现在,让我们再次关注SERVER并生成用于此CA将使用的数字证书的RSA密钥对:

cry key gen rsa gen lab CA_SERVER mod 2048

我们给该密钥对命名为CA_SERVER,并且希望密钥的长度为2048位。接下来,我们使用最小设置创建CA授权:

crypto pki server CA_SERVER
issuer-name CN=Popravak Root CA
grant auto
no shutdown

我们给该CA取了一个名字,并确保它在没有任何干预的情况下签发证书。最后,我们激活此CA。在继续之前,我们需要确保已激活CA上的HTTP服务器,因为客户端在与CA进行通信时将使用HTTP协议:

!
ip http server
!

这是我们CA服务器的非常基本的设置。现在,让我们拜访我们的朋友ROUTER-A。我们还需要此路由器上的RSA密钥对以获取将由我们的CA服务器颁发的证书:

给Router-A颁发证书

cry key gen rsa gen lab ROUTER_A_CA mod 2048

现在我们创建信任点。它是描述我们与证书颁发机构的通信的结构。在我们的情况下:

crypto pki trustpoint ROUTER_A_CA
enrollment url http://10.2.2.2:80
subject-name CN=ROUTER_A.popravak.local, O=Popravak Inc
revocation-check none
rsakeypair ROUTER_A_CA

我们为该信任点指定了名称,并指定了将用于证书请求和检索的URL。我们还说明了要在证书中编码的信息。这以x509形式给出,我们只需要路由器的FQDN(CN或Common Name字段)和组织名称(O字段)。我们不想检查证书是否被CA标记为吊销,因为这是一个实验室环境。最后,我们指定生成的RSA密钥对。

现在,需要完成两件事。首先,我们必须向CA进行**身份验证。**这基本上意味着我们连接到CA并检索其证书。

cry pki authenticate ROUTER_A_CA

我们期盼:

Trustpoint CA certificate accepted.

一旦获得CA证书和公钥,我们就可以注册该CA。这是一种很好的说法,我们希望该CA向我们颁发证书:

cry pki enroll ROUTER_A_CA

这是我们想要看到的:

%PKI-6-CERTRET: Certificate received from Certificate Authority

现在,我们具有从预共享密钥身份验证切换到基于证书的身份验证所需的全部功能。当然,对于路由器ROUTER-A。这些确切步骤也需要在ROUTER-B上执行。除了到目前为止我们在ROUTER-B上键入的内容之外,我们还总结一下获得证书所需的步骤:

给Router-B颁发证书

!
cry key gen rsa gen lab ROUTER_B_CA mod 2048
!
crypto pki trustpoint ROUTER_B_CA
enrollment url http://10.2.2.2:80
subject-name CN=ROUTER_B.popravak.local, O=Popravak Inc
revocation-check none
rsakeypair ROUTER_B_CA
!
cry pki authenticate ROUTER_B_CA
!
cry pki enroll ROUTER_B_CA
!

我们已经到达VPN设置部分。最后

更改IKEv2设置

在更改IKEv2设置之前,让我们看一下旧的IKEv2配置文件:

旧的IKEv2配置文件

crypto ikev2 profile IKEv2_PROFILE
match identity remote address 1.1.1.2 255.255.255.255
identity local address 1.1.1.1
authentication remote pre-share
authentication local pre-share
keyring local IKEv2_KEYRING

如果远程对等方使用IP地址1.1.1.2标识自己,我们将使用IP地址1.1.1.1,双方都使用预共享密钥进行身份验证,并且这些密钥存储在指定的密钥环中,则将触发此IKEv2配置文件。在更改此配置文件之前,让我们首先创建IKEv2提议。我们回到ROUTER-A。

crypto ikev2 proposal IKEv2_PROPOSAL
encryption aes-cbc-256 aes-cbc-192 3des
integrity sha512 sha256 md5
group 14 5 2

然后policy:

crypto ikev2 policy IKEv2_POLICY
proposal IKEv2_PROPOSAL

和pki:

crypto pki certificate map IDENTITY_MAP 10
subject-name co o = popravak inc

最后

IKEv2新配置文件

crypto ikev2 profile IKEv2_PROFILE
match certificate IDENTITY_MAP
identity local dn
authentication remote rsa-sig
authentication local rsa-sig
pki trustpoint ROUTER_A_CA

现在,如果我们收到与证书映射中指定的内容匹配的证书,则将使用此配置文件。我们使用证书来标识自己,并且双方现在都使用rsa-sig类型的身份验证,即数字证书的身份验证。我们还列出了我们要使用的信任点。我们的证书映射现在用于触发配置文件。因此,如果满足证书映射要求,我们的个人资料将触发,并且我们仅希望证书包含我们组织的名称。基本上,如果我们收到组织名称为“ Popravak Inc ”的证书,则将使用此证书。

ROUTER-A上的IPsec设置保持不变:

!
crypto ipsec transform-set IPSEC_TRANSFORM1 esp-aes 256 esp-sha512-hmac
mode tunnel
!
crypto ipsec profile IPSEC_PROFILE
set transform-set IPSEC_TRANSFORM1
set ikev2-profile IKEv2_PROFILE
!

现在,我们准备通过配置隧道接口并完成路由来完成ROUTER-A配置:

interface Tunnel0
description === SVTI INTERFACE ===
ip address 192.168.12.1 255.255.255.0
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source Serial5/0
tunnel mode ipsec ipv4
tunnel destination 1.1.1.2
tunnel protection ipsec profile IPSEC_PROFILE
!
ip route 10.2.2.0 255.255.255.0 Tunnel0

到目前为止,我们一直在准备ROUTER-A。ROUTER-B上有类似的配置:

crypto ikev2 proposal IKEv2_PROPOSAL
encryption aes-cbc-256 aes-cbc-192 3des
integrity sha512 sha256 md5
group 14 5 2
!
crypto ikev2 policy IKEv2_POLICY
proposal IKEv2_PROPOSAL
!
crypto pki certificate map IDENTITY_MAP 10
subject-name co o = popravak inc
!
crypto ikev2 profile IKEv2_PROFILE
match certificate IDENTITY_MAP
identity local dn
authentication remote rsa-sig
authentication local rsa-sig
pki trustpoint ROUTER_B_CA
!
crypto ipsec transform-set IPSEC_TRANSFORM1 esp-aes 256 esp-sha512-hmac
mode tunnel
!
crypto ipsec profile IPSEC_PROFILE
set transform-set IPSEC_TRANSFORM1
set ikev2-profile IKEv2_PROFILE
!
interface Tunnel0
description === SVTI INTERFACE ===
ip address 192.168.12.2 255.255.255.0
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source Serial5/0
tunnel mode ipsec ipv4
tunnel destination 1.1.1.1
tunnel protection ipsec profile IPSEC_PROFILE
!
ip route 10.1.1.0 255.255.255.0 Tunnel0

隧道启动后,我们可以验证对等方确实已使用数字证书进行了身份验证:

ROUTER_A#
ROUTER_A#show cry ikev2 sa
IPv4 Crypto IKEv2 SA

Tunnel-id Local         Remote        fvrf/ivrf      Status
1     1.1.1.1/500      1.1.1.2/500      none/none      READY
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:14, Auth sign: RSA, Auth verify: RSA
Life/Active Time: 86400/27741 sec

IPv6 Crypto IKEv2 SA

ROUTER_A#

最后的想法可能与IPSec无关。路由器接口下的命令是“ no ip route-cache ”。如果没有此命令,则不会通过隧道转发任何流量。这可能与dynamips平台上的IOS映像有关。但是我很确定这不会成为问题。

凯歌响起
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
4.4 IKEv2 Win7 客户端证书认证
LinuxKernelCiscoIOS的博客
05-16 4282
4.4 IKEv2 Win7 客户端证书认证 4.5 IKEv2 ---IKEv2 EAP 认证
ikev2 配置
LinuxKernelCiscoIOS的博客
04-29 5907
LAN----------site1  ---------------------INTERNET -------------------site2------------LAN  172.16.1.1     .1  202.100.1.0/24  .10          .10  61.128.1.0/24  .1      10.1.1.1 ------------------
windows系统在家访问公司环境, IKEv2 方式 安装证书 全套经验
Counter-Strike大牛
07-07 3283
首先安装证书 WIN键 + R 打开运行,输入mmc,回车 2. 在打开的窗口点击“文件” - “添加/删除管理单元” 3. 选择“证书”,点击“添加” 4. 选择“计算机账户”,点击“下一步” 5. 选择“本地计算机”(默认),点击“完成” 6. 点击“确定”关闭页面 7. 打开“证书” - 打开“受信任的根证书颁发机构” - 右击“证书” - “所有任务” - “导入” 8. 默认选中“本地计算机”,点击“下一步” 9. 点击“浏览”,在右下角选择证书的格式(我的是p12),然后选中
IKEv2的认证数据生成过程
JwLee的专栏
05-21 8555
IKEv2的第三个消息和第四个消息中,双方都会向对方发送一个AUTH Payload来证明自己的身份。这个过程是通过对各自发送的第一个消息进行签名来实现的。比如,如果一个Responder想证明自己的身份,那么,当它发送IKE_SA_INIT消息时,需要把这个消息完整的缓存下来。然后在发送IKE_SA_AUTH之前,将缓存的IKE_SA_INIT消息和Nonce_I,以及它自身的ID的MAC值连
Mac系统导入ikev2证书导入方法
weixin_34304013的博客
11-10 2576
Mac OS 用户测试 先将证书拷贝到mac系统内,双击打开。如下: 此处注意 修改使用此证书时:始终信任。 可能需要输入系统管理员的密码! 之后,打开网络偏好设置,添加VPN,如下图:类型选择IKEv2 之后输入vpn信息,服务器地址和远程ID均输入VPN服务器公网ip,点击鉴定设置,输入用户名和密码。点击连接即可 最后查看本机ip配置,...
Server2016内置CA证书实现IKEv2详细步骤180张截图1-57
10-13
Windows Server2016内置CA证书,不用域结构和DNS,实现IKEv2详细步骤的屏幕截图.
7200 ikev2
04-27
7200 ikev27200 ikev27200 ikev27200 ikev27200 ikev2
rfc7296 IKEv2
03-21
rfc7296 IKEv2 pdf IKEv2 rfc7296 Internet Key Exchange
RFC 5996 IKEv2
12-24
给大家分享,英文协议,FC5996.希望大家喜欢
IKEV2新特性
08-22
IKEV2新特性
思科路由器IKEV2 L2L***证书认证配置
weixin_34198453的博客
07-10 1345
一.概述:  IKEV2支持多种认证方式,还支持两边使用不一样的认证方式,本实验两边都是用证书方式进行认证,参考链接:http://blog.sina.com.cn/s/blog_675bc36a010160s4.html.二.基本思路:A.配置证书认证之前,需要配置时钟同步B.证书认证,identity可以设置为FQDN,但是配置SVTI时需要设置目标地址,因此这种方式不方便一边为动态的地址的配...
外部证书服务器充当IKEv2认证方式
潇峰的博客
01-19 3580
hostname Server ! enable password cisco ! interface Loopback0 ip address 10.1.1.1 255.255.255.0 ! interface GigabitEthernet1 ip address 61.128.1.1 255.255.255.0 no shu ! ip route 0.0.0.0 0.0.0.0 61...
ASA 8.4 ikev2 预共享密钥加证书认证和双方都用证书认证
weixin_33675507的博客
12-30 660
ASA8.4ikev2预共享密钥加证书认证和双方都用证书认证拓扑:配置:ASAVersion8.4(2)!hostnameASA1enablepassword8Ry2YjIyt7RRXU24encryptedpasswd2KFQnbNIdI.2KYOUencryptednames!interfaceGigabitEthernet0nameifo...
ipsec ike_在AIX中生成证书并将证书导入Windows以用于IKE IPsec隧道
cusi77914的博客
06-23 846
Internet协议安全性(IPsec)是在Internet协议(IP)层上保护网络传输安全的一种广泛使用的方法。 IP层是网络堆栈中的战略位置,可确保来自下层和高层的所有流量都通过它来保护通信。 同样,在该层提供的安全性与较低层无关,并且对较高层透明。 在其他安全传输协议(例如安全套接字层(SSL)或传输层安全性(TLS))中,需要启用应用程序以使用安全协议。 但是,使用IPsec,应用程序...
SWAN之ikev2协议config-payload配置测试
redwingz的博客
11-03 837
本测试主要验证远程用户carol以及dave和网关moon之间的IKE配置(configuration)功能,由两个远程用户发起配置请求,moon网关回复分配的虚拟IP地址和DNS服务器地址信息。在远程用户carol和dave主机的ipsec.conf配置文件中,将leftsourceip设置为%config开启此功能。测试拓扑如下: 主机配置 carol的连接配置文件:ikev2/config...
VPP配置指南:基于IKEv2的IPsec VPN
衡水铁头哥的博客
01-03 2154
正文共:1024 字 13 图,预估阅读时间:1 分钟现在,我们已经能够熟练地部署VPP了(不用半小时,最快8分钟即可在CentOS上完成VPP的部署),而且已经能够满足基本的转发要求,那今天我们就来介绍一下VPP如何配置IPsec VPN。前面,我们已经讲了几十篇和VPN相关的文章了,有需要的小伙伴请参考合集(VPN合集)。简单回顾一下,IPsec(IP Security,IP安全)是IETF制...
思科2911路由器GRE-OVER-IPSEC典型配置ikev2
最新发布
normanhere的博客
04-27 590
创建隧道口 小心 MTU 和 模式 MTU 必须是1400 模式必须是 ipsec ipv4 调用IPSEC PROFILE 隧道对端地址 10.0.0.14/31 公网出口ip 60.1.1.1 对端公网地址 222.2.2.2。创建Ikev2 proflie 用IP地址标识对端和自己 调用keyring 认证方式使用预共享秘钥 lifetime 可以不需要配置。创建 IPSEC PROFILE 调用 transform-set 和 ikev2 profile。
PKI系列:(3)基于rsa-sig的SVTI隧道【证书认证方式】
网络之路Blog(其他平台同名)
03-04 884
说明 之前已经介绍过PKI的组件和处理流程,以及怎么搭建CA服务器,包括Cisco的IOS 软件和微软的服务器,我们搭建CA服务器,就是为了提供扩展性和安全性,这段时间会介绍PKI在虚拟专用中的应用,包括IPSec XXX、EZXXX、SSL XXX的证书认证,关于DMXXX和GETXXX其实跟IPSec XXX一样,只要掌握了IPSec XXX的证书认证注意的地方,就不会有难点了,反而EZXXX和SSL XXX有几个需要注意的地方,需要特别的提下。 这个图很简单,这次利用IOS来搭建CA服务器,并
思科交换机crypto pki trustpoint TP-self-signed-18999761
weixin_33688840的博客
01-20 4359
最近碰到一个思科交换机WS-C2960-24TC-L硬件坏了,更换了同型号的思科交换机。再进行配置转移时候,发现了下面这一串代码。!crypto pki trustpoint TP-self-signed-3356232880enrollment selfsignedsubject-name cn=IOS-Self-Signed-Certificate-3356232880revocation-c...
vpp ikev2配置
05-13
VPP(Vector Packet Processing)是一种高性能数据平面框架,支持多种协议,包括 IKEv2(Internet Key Exchange version 2)协议。在VPP中配置IKEv2,需要进行以下步骤: 1. 安装VPP 首先,需要安装VPP和相关的插件。可以从官方网站上下载最新版本的VPP,并按照官方文档进行安装。 2. 配置IKEv2插件 在VPP中,可以使用IKEv2插件来实现IKEv2协议的支持。需要启用IKEv2插件,可以使用以下命令: ``` set plugins plugin_path /usr/lib64/vpp_plugins/ set plugins plugin default-plugin-enable set plugins plugin ikev2-plugin-enable ``` 3. 配置IKEv2连接 在VPP中,可以使用IKEv2插件来创建IKEv2连接。可以使用以下命令创建IKEv2连接: ``` ikev2 profile name IKEV2-PROFILE ikev2 profile auth shared-secret KEY ikev2 profile local-auth method pre-shared-key ikev2 profile remote-auth method pre-shared-key ikev2 profile local-id name FQDN ikev2 profile remote-id name FQDN ikev2 profile tunnel-ip local IP_ADDRESS ikev2 profile tunnel-ip remote IP_ADDRESS ikev2 profile ike-crypto-profile IKE-CRYPTO-PROFILE ikev2 profile esp-crypto-profile ESP-CRYPTO-PROFILE ``` 4. 配置IKEv2策略 在VPP中,可以使用IKEv2插件来配置IKEv2策略。可以使用以下命令配置IKEv2策略: ``` ikev2 policy name IKEV2-POLICY ikev2 policy proposal 1 encryption aes-256-gcm ikev2 policy proposal 1 integrity sha-256 ikev2 policy proposal 1 dh-group 19 ikev2 policy proposal 1 lifetime seconds 3600 ``` 5. 配置IKEv2安全协议 在VPP中,可以使用IKEv2插件来配置IKEv2安全协议。可以使用以下命令配置IKEv2安全协议: ``` ikev2 crypto name IKE-CRYPTO ikev2 crypto proposal 1 encryption aes-256-gcm ikev2 crypto proposal 1 integrity sha-256 ikev2 crypto proposal 1 dh-group 19 ikev2 crypto proposal 1 lifetime seconds 3600 ``` 6. 配置ESP安全协议 在VPP中,可以使用IKEv2插件来配置ESP安全协议。可以使用以下命令配置ESP安全协议: ``` ikev2 crypto name ESP-CRYPTO ikev2 crypto proposal 1 encryption aes-256-gcm ikev2 crypto proposal 1 integrity sha-256 ikev2 crypto proposal 1 lifetime seconds 3600 ``` 7. 配置IKEv2转发 在VPP中,可以使用IKEv2插件来配置IKEv2转发。可以使用以下命令配置IKEv2转发: ``` ikev2 route name IKEV2-ROUTE ikev2 route local-networks 10.0.0.0/24 ikev2 route remote-networks 10.1.0.0/24 ikev2 route profile IKEV2-PROFILE ``` 以上就是在VPP中配置IKEv2的步骤。需要根据实际情况进行调整和修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值