1、IPSEC CA证书简介
IPSec V.P.N点到多点场景中,进行身份认证时如果使用预共享密钥方式,总部和每个分部之间形成的对等体都要配置预共享密钥。如果所有对等体都使用同一个密钥,存在安全风险,而每个对等体都使用不同的密钥,又不便于管理和维护。
为了解决上述问题,可以使用证书认证。IKE通过借用了PKI中的证书机制来进行对等体的身份认证,不必再为每个对等体配置单独的密钥,降低管理成本。
使用证书进行身份认证需要经历两个步骤:
- 证书导入:使用设备的密钥及必要信息到CA颁发证书,并将成对的证书导入到设备;
- 证书认证:IPSec身份认证时,各自将导入的本地证书发送给对端验证身份;
2、构建证书服务器
网络拓扑: