ipsec ike_在AIX中生成证书并将证书导入Windows以用于IKE IPsec隧道

最新推荐文章于 2022-08-01 22:55:10 发布
最新推荐文章于 2022-08-01 22:55:10 发布
阅读量854 收藏 1
点赞数
文章标签: 数据库 网络 python java linux
原文链接:https://www.ibm.com/developerworks/aix/library/au-aix-ipsec-tunnel-config-1/index.html
版权
本教程详细介绍了如何在AIX系统上使用IBM Global Security Toolkit (GSKit) 生成证书,并将这些证书导入Windows 2012,以在AIX与Windows之间建立IKE IPsec安全隧道。内容包括证书的生成过程,涉及的文件和目录,以及证书导入Windows的步骤。
摘要由CSDN通过智能技术生成

Internet协议安全性(IPsec)是在Internet协议(IP)层上保护网络传输安全的一种广泛使用的方法。 IP层是网络堆栈中的战略位置,可确保来自下层和高层的所有流量都通过它来保护通信。 同样,在该层提供的安全性与较低层无关,并且对较高层透明。 在其他安全传输协议(例如安全套接字层(SSL)或传输层安全性(TLS))中,需要启用应用程序以使用安全协议。 但是,使用IPsec,应用程序不会知道IP层的基础加密或解密。

异构系统之间也支持IPsec。 数据中心通常具有一组异构系统,即属于不同供应商的系统。 例如,数据中心可以具有一个IBM®AIX®Enterprise服务器,该服务器托管具有Microsoft®Windows®桌面系统的应用程序服务器,作为该AIX服务器的端点客户端。 我们仍然可以使用IPsec来保护这种异构环境中的通信。 唯一必要的条件是这些不同系统上的IPsec实现必须符合IPsec,Internet密钥交换(IKE)和注释请求(RFC)的要求。

本教程讨论使用IBM全局安全性工具包(GSKit)在AIX上生成证书以及如何将证书导入Windows操作系统。 这是使用证书在AIX(6.1 / 7.1 / 7.2)与Microsoft Windows 2012之间建立IKE隧道的第一步。 使用证书建立IKEv1或IKEv2隧道时,需要执行以下步骤。 表1简要描述了本教程中涉及的主要主题及其含义。

表1.涵盖的主要主题
内容 描述
证书生成 本节描述如何在AIX上生成证书。
将证书导入Windows 本节介绍如何将证书导入Windows 2012系统。

证书生成

本节介绍如何在AIX上生成证书,在下一节中,我们将了解如何在Windows 2012中导入证书。证书生成步骤对于IKEv1和IKEv2都是通用的。 要在AIX上生成证书,我们使用IBM GSKit V8文件集。

图1. lslpp输出查询GSKit8文件集

在AIX上gsk8capicmd的绝对路径是/ usr / opt / ibm / gsk8 / bin / gsk8capicmd。 安装通常会创建从/ usr / bin / gsk8capicmd到/ usr / opt / ibm / gsk8 / bin / gsk8capicmd的链接。

以下是我们将在配置中创建的一组密钥数据库(kdbs / key dbs)和证书。

图2.密钥数据库和其中的证书之间的关系

AIX IPsec引用了一个名为ikekey.db的密钥数据库(DB),用于检查将用于IKE协商的证书。 因此,首先,让我们在AIX系统上创建这个关键数据库。 对于本文档,将首先在名为/ GSK_CERTS的目录下创建所有证书和数据库。 以后,它们将被移到正确的目录下。 

gsk8capicmd -keydb -create -db /GSK_CERTS/ikekey.kdb -pw 123456 -type cms -stash

在上面的命令中,我们使用123456作为keydb的密码。 除了前六个连续的正整数以外,最好使用更强的密码。 但是在本教程中,为简单起见,让我们仅使用此密码。

这将创建四个文件:ikekey.crl,ikekey.kdb,ikekey.rdb和ikekey.sth。

接下来,我们需要在单独的数据库中创建根证书颁发机构(根CA)。 以下命令为根CA创建密钥DB。 它创建rootCA.crl,rootCA.kdb,rootCA.rdb和rootCA.sth。 在/ GSK_CERTS下。 

gsk8capicmd -keydb -create -db   /GSK_CERTS/rootCA.kdb -pw 123456 -type cms -stash

以下命令在新的rootCA.kdb密钥DB中创建根CA。 

gsk8capicmd -cert -create -db /GSK_CERTS/rootCA.kdb -pw 123456 -size 1024 -dn "C=IN,O=IBM,CN=ipsecroot" -label Root_CA_Full -default_cert  yes -ca true

现在,您将在/ GSK_CERTS目录下看到以下文件。

图3. / GSK_CERTS目录下的文件

将根CA添加到AIX系统的ikekey.db密钥数据库时,必须提取并添加根CA的公共部分。 如果Root_CA证书中同时存在私钥和公钥,则AIX IPsec会将其视为普通证书而不是根CA。

要提取根CA的公共部分,请运行以下命令: 

gsk8capicmd -cert -extract -db /GSK_CERTS/rootCA.kdb -stashed -label Root_CA_Full -format ascii -target rootCA_Pub.arm

使用以下命令将上面提取的rootCA_Pub.arm添加到ikekey.db

gsk8capicmd -cert -add -db /GSK_CERTS/ikekey.kdb -stashed -label Root_CA -file rootCA_Pub.arm -format ascii -trust enable

如果现在要查询ikekey.db密钥数据库,我们将在此处看到新添加的Root_CA

gsk8capicmd -cert -list -db /GSK_CERTS/ikekey.kdb -pw 123456
图4.在ikekey.kdb中列出证书

以下命令为AIX主机创建一个证书: 

gsk8capicmd -certreq -create -db /GSK_CERTS/ikekey.kdb -pw 123456 -label Test_Cert2 -dn "C=IN,ST=KA,L=BA,O=IBM,OU=ISL,CN=test2" -size 1024 -file /GSK_CERTS/cert2_csr.arm

接下来,让我们用Root_CA签署Test_Cert2证书。 但是请记住,我们在ikekey.kdb中只有根CA的公用密钥部分(Root_CA),而在rootCA.kdb中只有完整的根CA。 因此,在签名我们创建的证书时,我们需要使用Root_CA_Full

gsk8capicmd -cert -sign -db /GSK_CERTS/rootCA.kdb -pw 123456 -label Root_CA_Full -target /GSK_CERTS/Test_Cert2.cer -format ascii -expire 100 -file /GSK_CERTS/cert2_csr.arm
图5. / GSK_CERTS目录下的ikekey文件及其大小

签署证书后,证书现在存在于ikekey.rdb中,也称为ikekey请求数据库(rdb)。 仍然需要将其接收到ikekey.kdb密钥数据库中。 以下命令将密钥接收到ikekey.kdb密钥数据库中。 

gsk8capicmd -cert -receive -file /GSK_CERTS/Test_Cert2.cer -db /GSK_CERTS/ikekey.kdb  -pw 123456 -type cms -format ascii
图6. ikekey文件及其大小的第二清单

在收到证书之前,此新创建的证书将驻留在ikekey.rdb中。 收到证书后,我们可以看到ikekey.kdb的大小增加了,如图5和图6所示。

图7. ikekey.kdb中的证书的第二清单

现在,在ikekey.kdb中有Root_CA和Test_Cert2。 ikekey。*数据库将驻留在AIX主机中。 因此,让我们将所有相关的ikekey。*数据库移至/ etc / security。 

/usr/bin/mv  /GSK_CERTS/ikekey* /etc/security

接下来,让我们为Windows 2012系统创建一个证书。 我们将像以前一样使用Root_CA_Full在AIX系统上创建此证书,以对该证书进行签名。 但是由于该证书属于Windows 2012,因此让我们创建一个新的数据库来简化它。 我们将其称为Rikekey.kdb,其中“ R”是指远程系统 。 

gsk8capicmd -keydb -create -db   /GSK_CERTS/Rikekey.kdb -pw 123456 -type cms -stash

接下来,将Root_CA(仅包含公共部分)添加到Rikekey.kdb。 

gsk8capicmd -cert -add -db /GSK_CERTS/Rikekey.kdb -stashed -label Root_CA -file rootCA_Pub.arm -format ascii -trust enable

创建远程证书。 

gsk8capicmd -certreq -create -db  /GSK_CERTS/Rikekey.kdb -pw 123456 -label Test_Cert1 -dn "C=IN,ST=KA,L=BA,O=IBM,OU=ISL,CN=test1" -size 1024 -file /GSK_CERTS/cert1_csr.arm

gsk8capicmd -cert -sign -db /GSK_CERTS/rootCA.kdb -pw 123456 -label Root_CA_Full -target /GSK_CERTS/Test_Cert1.cer -format ascii -expire 100 -file /GSK_CERTS/cert1_csr.arm

gsk8capicmd -cert -receive -file /GSK_CERTS/Test_Cert1.cer -db /GSK_CERTS/Rikekey.kdb  -pw 123456 -type cms -format ascii

现在,我们在Rikekey.kdb中拥有一个新证书( Test_Cert1 )。 我们需要在Windows上注册此证书。 但是在此之前,我们需要以Windows可以接受的格式拥有Test1和Root_CA。 来做吧。 

gsk8capicmd -cert -export -db /GSK_CERTS/Rikekey.kdb -pw 123456 -label Test_Cert1  -type cms -target Test1.p12 -target_type p12 -target_pw 123456

gsk8capicmd -cert -export -db /GSK_CERTS/Rikekey.kdb -pw 123456 -label Root_CA  -type cms -target Root.p12 -target_type p12 -target_pw 123456

使用FTP将Test1.p12和Root.p12传输到Windows。 请注意使用bin模式进行传输。

将证书导入Windows 2012

您需要执行以下步骤将证书导入Windows 2012系统:

  1. 在Windows 2012系统上,单击“ 开始” ,然后单击“ MMC”
  2. 在MMC控制台中,单击“ 文件” ->“ 添加/删除管理单元”
    图8.在MMC中添加新的管理单元
  3. 搜索名为“ 证书”的管理单元,然后单击“ 添加” 。 然后,单击确定
    图9.添加证书管理单元
  4. 在“证书”管理单元对话框中,选择“ 计算机帐户” ,然后单击“ 下一步”
    图10.选择将由“证书”管理单元管理的帐户
  5. 在“选择计算机”对话框中,选择“ 本地计算机” ,然后单击“ 完成”
    图11.选择该管理单元将管理的计算机
  6. 在主窗口中,单击确定 。 添加证书插件后,您应该能够查看它,如图12所示。
    图12.证书在本地计算机上捕捉
  7. 要导入证书,请展开“ 证书” ,右键单击“ 个人” ,然后单击“ 所有任务” ->“ 导入”
    图13.导入证书
  8. 在证书导入向导的欢迎页面上,单击下一步
    图14.证书导入向导窗口
  9. 浏览以获取Test.p12证书,然后单击“ 下一步”
    图15.浏览以获取Test.p12证书

    Test1.p12证书在C:\ Users \ Administrator \下可用,您可以在图15中找到此路径。这不是默认路径。 这是您在Windows中复制证书的路径。

  10. 提供私钥的密码。 为了简单起见,我们使用与AIX相同的密码123456 ,然后单击Next
    图16.证书导入向导:私钥保护
  11. 指定将所有证书放置在“ 个人”存储中的选项(如图17所示)。
    图17.选择个人存储作为证书存储
  12. 验证为证书指定的设置,然后单击“ 完成”
    图18.验证存储和要导入的证书

成功导入Test1之后,您可以找到它,如图19所示。

图19.验证导入的证书是否显示在“证书”管理单元中

下一步是在“ 受信任的根证书颁发机构”下导入Root_CA证书。 如果您具有中间CA证书,请执行以下步骤,但要记住在“ 中间证书颁发机构”下导入中间CA证书。 有关更多信息,请参阅参考资料 。 这会将根CA注册到Windows的证书数据库中。

  1. 右键单击“ 受信任的根证书授权” ,然后单击“ 所有任务” ->“ 导入”
    图20. Trusted Root认证授权下的扩展选项
  2. 将“ 受信任的根证书颁发机构”指定为存储,然后单击“ 下一步”
    图21.选择证书存储
  3. 与导入Test1.p12类似,浏览并导入Root.p12。 然后,单击完成
    图22.证书导入向导完成

    现在我们可以看到根CA已成功导入Windows(请参见图23)。

    图23.根CA证书

摘要

本教程介绍了使用GSKit在AIX上创建证书并将其导入Windows 2012操作系统的步骤。 这是在AIX和Windows之间使用证书配置隧道的第一步。 以下教程提到了在AIX和Windows操作系统之间配置隧道的下一步。

本教程和以上教程共同说明了在AIX 6.1 / 7.1 / 7.2与Windows 2012系统之间建立隧道的四种不同方法。 这四种方法是使用AIX和Windows之间的预共享密钥和证书来建立IKEv1和IKEv2隧道。

Windows的配置步骤(在本教程中进行了说明)在实验室中进行了尝试,并适用于测试团队。 这些步骤未得到Microsoft或IBM的认可。 您可以考虑将本教程中提到的步骤作为入门的指导。 隧道尽头总是有光。 因此,享受配置隧道的乐趣!

相关话题

翻译自: https://www.ibm.com/developerworks/aix/library/au-aix-ipsec-tunnel-config-1/index.html

cusi77914
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
aixipsec的使用
夭桃鸣鹿的博客
06-11 3243
aix类似Linux的iptables命令是ipsec stopsrc -s inetd startsrc -s inetd refresh -s inetd 重启inetd etc-mail-sendmail
利用证书实现IPSEC
weixin_34059951的博客
05-08 891
利用证书实现IPSEC 利用证书建立IPSEC安全通讯 在讲解IPSEC策略之前,首先必须了解微软预定义的IPSEC策略 1. Client : 这种方式用一句不恰当的比喻:国在任何情况下不首先谋求使用核武器,即发起通讯的计算机在任何情况下不首先谋求IPSEC通讯,如果对方需要IPSEC,则启用IPSEC。 2. Server:首先谋求使用IPSEC,如果对方不...
aix ipsec_AIXWindows之间的异构IPSec解决方案
cusi77914的博客
06-22 433
IPSec(Internet协议安全性)是用于保护IP通信的协议。 它对流经网络的每个IP数据包进行身份验证和加密。 当您尝试在不同系统之间进行互操作而不用担心它们之间的安全风险时,这一点尤其重要。 虚拟专用网络(VPN)是企业专用Intranet在诸如Internet之类的公用网络上的扩展,基本上通过专用隧道创建了安全的专用连接。 VPN通过Internet安全地传送信息,从而将远程用户...
ikev2 ikev1_AIX 6.1或更高版本与Windows 2012之间的IKEv1 IPsec隧道
cusi77914的博客
06-20 948
顾名思义,Internet协议安全性(IPsec)在Internet协议(IP)层提供安全性。 本教程需要基本了解什么是IPsec,以及如何将其用于保护网络上的数据。 您可以参考知识心或其他资源(如Wiki)来了解IPsec。 本教程讨论了在IBM®AIX®(6.1 / 7.1 / 7.2)和Microsoft Windows 2012系统之间建立IPsec隧道的两种不同方法。 这些方法...
aix ipsec_简化和集AIX上的IPSec管理
cusi77914的博客
06-22 883
总览 Internet协议安全性是一个协议套件,为信息安全提供了各种功能。 单个用户或组织使用IPSec功能来保护所有应用程序的通信,而不必对应用程序本身进行任何修改。 IPSec使用身份验证,完整性检查和加密保护数据流量。 在通信堆栈的IP层提供了数据安全性,因此应用程序不需要任何修改。 但是,必须分别配置每台计算机才能使用IPSec。 在本文,了解有关AIX IPSec管理功能的...
IBM AIX 5L ipsec总结
cuizijian2878的博客
03-19 122
IBM AIX 5L ipsec总结 最近使用ibm 自带的ipsec限制服务器接入.在测试过程,总是发生N多问题,经过不断调试,完成工作,并将其总结如下: [@more@] ...
使用 AIX TCP/IP 过滤功能设置防火墙
weixin_33736048的博客
02-22 1134
简介 一个 POWER 服务器具有承载上百个 LPAR 或分区(一个分区就是操作系统安装的一个独立实例)的处理能力,这意味着,虚拟化功能让您能在一个物理机器拥有上百个服务器。如果这上百个服务器在处理 Internet 或其他敏感的数据,那么您可能想要在其设置一些防火墙规则作为额外的安全层(以及网络防火墙和***防御设备)。 本文从简短回顾 TCP/IP 网络开始。如果...
IKEv2的认证数据生成过程
JwLee的专栏
05-21 8581
IKEv2的第三个消息和第四个消息,双方都会向对方发送一个AUTH Payload来证明自己的身份。这个过程是通过对各自发送的第一个消息进行签名来实现的。比如,如果一个Responder想证明自己的身份,那么,当它发送IKE_SA_INIT消息时,需要把这个消息完整的缓存下来。然后在发送IKE_SA_AUTH之前,将缓存的IKE_SA_INIT消息和Nonce_I,以及它自身的ID的MAC值连
AIX 5L V5.3 命令参考大全,卷 3,i-m
10-13
此命令用于管理Internet Key Exchange (IKE),这是一种为IPsec协议提供密钥交换服务的协议。 #### 用法示例: ```bash ike|n -s <session-name> -p ``` - `-s`: 指定IKE会话名称。 - `-p`: 指定对等体的IP地址。 ...
AIX 5L V5.2 命令参考大全(i-m)
08-02
- **详细信息:** IKE是建立IPSec隧道的关键步骤之一,用于协商密钥和策略。 ##### 9. ikedb|n **命令用途:** `ikedb` 命令用于管理IKE数据库。 - **语法:** `ikedb [options]` - **示例用法:** `ikedb -l`列出当前...
AIX命令参考大全卷3i-m
09-04
- **importvg|n**: 用于将逻辑卷管理器(LVM)的卷组从一个系统导入到另一个系统,通常在系统升级或数据迁移场景使用。 - **imptun|n**: 与网络隧道相关,可能用于配置或管理网络隧道,如IPSec隧道。 - **infocmp|n*...
AIX 比较全的FAQ
热门推荐
q30的专栏
08-04 1万+
FAQ:怎样在AIX 5.1建立热后备(hot spare)磁盘?环境  AIX 5.1 问题  怎样在AIX 5.1建立热后备(hot spare)磁盘? 解答 在AIX 5.1可以在操作系统的级别上建立hot spare磁盘。如需要在某一卷组(VG)建立hot spare磁盘,必须满足如下条件:1. 逻辑卷(LV)在此卷组必须进行镜像(mirror)。2. 作为hot spare的磁
使用数字证书配置IKEv2
凯歌响起的博客
08-01 1924
数字证书配置IKEv2
IPsec限制 某几个IP地址 访问 (AIX)
shenghuiping2001的专栏
06-13 6949
只允许或限制某几个IP地址访问该系统主机,步骤为:1.             确定安装了bos.net.ipsec.*(在AIX 4.3和5l都有,一般默认情况下已安装)*软件包 2.             启动ip security服务              smit ipsec4—>Start/Stop  IP Security                   
windows系统在家访问公司环境, IKEv2 方式 安装证书 全套经验
Counter-Strike大牛
07-07 3342
首先安装证书 WIN键 + R 打开运行,输入mmc,回车 2. 在打开的窗口点击“文件” - “添加/删除管理单元” 3. 选择“证书”,点击“添加” 4. 选择“计算机账户”,点击“下一步” 5. 选择“本地计算机”(默认),点击“完成” 6. 点击“确定”关闭页面 7. 打开“证书” - 打开“受信任的根证书颁发机构” - 右击“证书” - “所有任务” - “导入” 8. 默认选“本地计算机”,点击“下一步” 9. 点击“浏览”,在右下角选择证书的格式(我的是p12),然后选
Aix IPSEC 策略介绍
业精于勤,荒于嬉;行成于思,毁于随。
08-15 4691
Packet Filtering with IPSec $Id: ipsec-filtering.html,v 1.18 2001/12/17 17:50:08 ssklar Exp ssklar $ Introduction Should I take this tutorial? This tutorial is about using the IP Security
AIX 存储、HMC、光纤交换机登入方法及IP地址
weixin_33795743的博客
12-06 364
AIX 存储、HMC、光纤交换机登入方法及IP地址 1.1 如何登入IBM光纤交换机 1、拿网线连接光纤交换机IBM B16的网口。 2、将本地电脑地址配置成10.77.77.77同一网段。 3、在IE浏...
ipcs /ipcrm 命令 说明
cuiqinxin1870的博客
04-19 205
摘自 ibm文档[@more@]ipcs 命令用途报告进程间通信设施状态。语法ipcs [ -m] [ -q] [ -s] [ -S] [ -P] [ -l] [ -a | -b -c -o -p -t] [ -T] [ -C ...
IPSec IKEv1&IKEv2
weixin_51045259的博客
02-04 3480
IKE简介 IKE概述 因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,是基于UDP(User Datagram Protocol)的应用层协议。它为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务,能够简化IPSec的配置和维护工作。 IKEIPSec的关系如图1所示,对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPS
IPSecIKE:安全联盟与密钥管理
"IKEIPSec的作用及IPSecIKE的关联介绍" IPSec(IP Security)是一种由互联网工程任务组(IETF)制定的框架,旨在为互联网上的数据传输提供安全保障。它包含了两个主要的安全协议:认证头协议AH...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值