使用IKE数字签名RSA认证建立IPsec隧道的配置案例

e8354fd3af0900baf5a617f30216eb48.gif

正文共:1234 字 19 图,预估阅读时间:2 分钟

我们之前介绍了不少IPsec VPN的配置案例VPN合辑,有通过手工方式建立隧道的IPsec小实验:手工方式建立保护IPv4报文的IPsec-ESP隧道,还有使用IKE(Internet Key Exchange,互联网密钥交换)自动建立隧道的IKE主模式及预共享密钥认证配置

之前,我们使用的预共享密钥方式有时会被认为不安全,要求使用更安全的证书进行认证,或者称为数字签名认证。这里的预共享密钥认证和数字签名认证都是IKE提议中配置的认证方法。

之前,我们在IKE提议中使用预共享密钥,就是配置IKE keychain;而现在要使用数字签名,则就需要和当初配置SSL VPN时类似VSR白送的的SSL VPN功能,你要不要?,在PKI(Public Key Infrastructure,公钥基础设施)域中进行配置了。

不过,H3C官网有没有这个案例,我就只能摸索着再给H3C补充一篇了!

首先解决证书的问题,我们还是可以使用EasyRSA来生成证书使用Easy-RSA配置生成SSL证书。这次要用到3个证书,CA(Certificate Authority,证书颁发机构)证书、服务器证书和服务器密钥。

为了方便,我们依旧使用nopass参数来生成CA证书,nopass表示不对CA密钥进行加密,这样在签署证书时就可以跳过密码验证。

./easyrsa build-ca nopass

cbdabd56b6bd9460e606b1e3790c2ee8.png

创建RT1的证书,指定nopass参数,不对私钥进行加密。

./easyrsa gen-req rt1 nopass

df3a1b5d72b0809968b956bad272dc10.png

对证书进行签名时,需要选择证书类型,常用类型如下:

server: 用于服务器或主机

client: 用于客户端或用户设备

ca: 用于根证书颁发机构

官方介绍说,sign-req命令只负责对证书请求进行签名操作,这些类型只是用于区分不同类型的证书,生成已签署的证书文件,而不会考虑所签署的证书类型,不会对sign-req命令的功能产生影响。实际上,经过验证,这里的类型还是要选择用于服务器设备的server类型。

./easyrsa sign-req server rt1

b56ddc25e34d24e6a68a1053ee04f65f.png

如法炮制,生成RT2的证书,并将所有证书下载到本地。

7ace3d73f6433021033573dd8d23668d.png

然后我们将证书文件上传到设备上,RT1上传ca.crt、rt1.crt和rt1.key,RT1上传ca.crt、rt2.crt和rt2.key。

24d7d9fb5493bcce235a4dcb537f4b78.png

组网拓扑如下所示,带外管理部分主要用于上传证书使用。

0af406ee1ef49b3bf38d0e46421af859.png

然后先导入加密后的本地RSA密钥对,指定名称为ipsec,文件名称为rt1.key。

bd89ed8f08828b92dfa7c3a792611caf.png

创建PKI域ipsec并进入PKI域视图,关闭CRL检查,并指定证书申请使用的签名和加密RSA密钥对名称为ipsec。

#
pki domain ipsec
 public-key rsa general name ipsec
 undo crl check enable

bff302711480b8196218af0e9f1ce689.png

然后回到系统视图下,向PKI域中导入CA证书和本地证书,证书文件格式均为PEM编码。

pki import domain ipsec pem ca filename ca.crt
pki import domain ipsec pem local filename rt1.crt

c775309af10e189328ccb6f025dd3406.png

导入成功之后,我们可以通过命令查看本地RSA密钥对中的公钥信息。

ab6d5d14a9910199a19f1817b7036ec7.png

查看PKI域ipsec的CA证书内容。

2fb7a0e7627c1d8dea18860b608c5040.png

查看PKI域ipsec的本地证书内容。

368c393bd7947a353ea340d9daef5b77.png

如法炮制,我们配置好RT2的证书。

接下来就简单了,我们先创建IKE安全提议,指定使用RSA数字签名认证方法。

#
ike proposal 3402
 authentication-method rsa-signature

然后配置IKE安全安全框架,指定引用的数字签名认证证书所属的PKI域为ipsec,其他配置正常配置。

#
ike profile rsa
 certificate domain ipsec
 local-identity address 12.1.1.1
 match remote identity address 23.1.1.3 255.255.255.255
 proposal 3402

配置保护两端子网数据流的ACL。

#
acl advanced 3402
 rule 0 permit ip source 11.1.1.0 0.0.0.255 destination 22.1.1.0 0.0.0.255

创建IPsec安全提议。

#
ipsec transform-set rsa
 esp encryption-algorithm 3des-cbc
 esp authentication-algorithm sha1

创建一条IKE协商方式的IPsec安全策略。

#
ipsec policy rsa 10 isakmp
 transform-set rsa
 security acl 3402
 local-address 12.1.1.1
 remote-address 23.1.1.3
 ike-profile rsa

最后将策略应用到接口上就好了。

#
interface GigabitEthernet0/0
 ipsec apply policy rsa

同理,梳理得到RT2的配置如下:

#
ike proposal 3402
 authentication-method rsa-signature
#
ike profile rsa
 certificate domain ipsec
 local-identity address 23.1.1.3
 match remote identity address 12.1.1.1 255.255.255.255
 proposal 3402
#
acl advanced 3402
 rule 0 permit ip source 22.1.1.0 0.0.0.255 destination 11.1.1.0 0.0.0.255
#
ipsec transform-set rsa
 esp encryption-algorithm 3des-cbc
 esp authentication-algorithm sha1
#
ipsec policy rsa 10 isakmp
 transform-set rsa
 security acl 3402
 local-address 23.1.1.3
 remote-address 12.1.1.1
 ike-profile rsa
#
interface GigabitEthernet0/0
 ipsec apply policy rsa

09facb97399a77e95daa2d9c682d3422.png

使用业务流量进行触发。

81541e1a508b13a9a877eb4753cde2d2.png

查看IKE第一阶段协商成功后生成的IKE SA。

70fd21280b1202fbf5f809735c57b55b.png

查看IKE第二阶段协商生成的IPsec SA。

97aee599cbf65d5f44bdbb64a05c8fa6.png

查看设备上的IKE提议信息。

504574f707712f80037f4e5c9cd6e474.png

查看报文交互过程,主要就是认证算法变成了RSA数字签名。

6244dc701db76a449aadd2778e1055d8.png

证书的相关信息。

9098343203e480f6cb499316c20e0ae2.png

其实这个案例我也整了一个星期,就是卡在了证书的类型那里;再就是配置的细节上,名称配置不对应会导致证书校验不通过。请各位引以为戒!

5c22743ed5ec939d1044ba09b86a6b90.gif

长按二维码
关注我们吧

6c2f3805ee68dd9ddb0f55d0219b4a94.jpeg

b9463c7a6692212557eb347b3620838d.png

捡了一台FortiGate-VM64,怎么用起来呢?

来吧,给大家分享一下最新版本的FortiGate-VM64,带试用授权

豁出去了,真机带业务演示一把ESXi 6.7升级7.0 U3

什么?Windows自带的Hyper-V虚拟化你都没用过?

开启Hyper-V之后用不了VMware了,怎么破?

能找到Hyper-V和VMware共存的方法吗?

HPE服务器通过显卡直通安装Tesla M4,这算亮机成功了吗?

切换到WDDM模式,Tesla M4可以用于本地显示输出了!

基于子VLAN的组播VLAN实验

ip address命令操作指南

添加组播地址的autojoin标志就能测试祖播了

手撸一个自动创建SSL证书的SHELL脚本

easyrsa命令使用指南

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值