演示：使用IPsec+PKI来完成IP通信的安全

演示目标：

n在windows操作系统上IPsec的基本配置

n将PKI应用到IPsec中

演示环境：如下图3.105所示的演示环境。

演示工具：windows2003系统集成的IPsec和PKI组件。

演示步骤：

第一步：在图3.105的环境，没有正式的配置IPSec之前，当主机Aping主机B时，如果存在第三方的流量截取者，那么它将清晰的看到主机A和B正在进行ICMP的通信，如下图3.106所示，因为数据流量没有被加密所以直接暴露给第三方，您可以试想一下，如果暴露的流量不是Ping测试而是您的敏感信息，比如密码、邮件内容等，后果会是什么？所以使用IPsec来保护加密通信的流量成为了该实验的目标，并且要求结合PKI架构中的数字证书来进行身份认证。

以主机A为例，主机A首先需要向环境中证书服务器申请一张用于IPSec安全认证的机器证书，这里需要的是机器证书，并不是用户证书，道理很简单，因为可能有不同的人需要使用这台计算机通信。由于该环境部署的是独立CA，所以主机A只能通过Web页面来申请证书。

注意：关于在独立CA环境中如何使用Web页面来申请证书，在本项目的任务四中有详细的描述，这里不再作重复描述，只描述出申请过程中的关键点。

在使用web页面申请证书时，需要选择高级的证书申请如下图3.107所示，然后选择以CMC或者PKCS#10文件来提交证书申请，如下图3.108所示，在这里请教师帮助学生回忆CMC和PKCS#10的作用与意义。

当出现图3.109所示的页面时，在该页面中的相关要求，按实际情况填定即可，但是有两处需要注意，在需要的证书类型处，请选择IPsec证书；并选中将证书保存在本地计算机存储中，这指示将申请一张计算机证书而不是用户证书。填写完相关证书申请任务后，点击提交，完成证书申请。

完成证书申请后，等待证书管理员审订并颁发，当证书管理员颁发证书后，您再次来到证书申请页面，你会看到如图3.110所示的IPSec的证书和颁发时间，现在你可以下载这张用于IPSec的证书了，同时你需要安装如下图3.111所示的CA证书链，如果你不安装CA的证书链，那么您刚才所申请到的IPSec证书将以不受信的方式体现，证书上会有一把红色的小叉。

当完成上述的步骤后，你打下如下图3.112所示证书管控台，你可以看到刚才为主机A申请的IPsec证书，名称叫IPsecA。此时，除了你本地计算机的个人证书容器中必须出现你刚申请并安装用于IPsec的证书外，你受信任的根证书颁发机构中，必须出现证书服务器CA的证书，如果没有出现请使用下面的步骤获得CA的证书。

客户端再次来到，申请证书的Web页面，不过此次不是为了申请用户或者客户端的机器证书，而是为了下载证书服务器CA的证书和证书链，在如下图3.113的页面中，选择下载CA证书和下载CA证书链。然后在你的计算机上安装CA的证书，如下图3.114所示。

当完成上述的配置，安装完CA服务器的证书后，你应该在受信任的根证书颁发机构容器中可以看到CA服务器的证书，该实验中CA服务器的证书叫ipsecCA，如下图3.115所示，注意：这一步相当重要，如果没有出现图3.115的情况，那么在配置IPSec加载证书做为验证方式时，你将找不到，可信任的证书分发机构。

第二步：现在开始正始的配置将证书集成到IPSec使用，以计算机A的配置为例，给大家作描述，首先在MMC中加载IPsec的管控台，如下图3.116所示，在IPsec的管控台中有三个系统默认的IPsec安全策略，这三个策略是系统内建预配置的，在该演示环境中，不指派使用这个内建的策略。我们选中IP安全策略，本地计算机，然后右击它，在弹出菜单中选择新建一个IP安全策略。

出现如下图3.117所示的IP安全策略向导，在名称中输入新建IP安全策略的名称，建议取一个具备标识性意义的名称，在这里我们给新策略命名为IPsec+CA，然后单击下一步，出现如图3.118所示的对话框，确保不要选中（取消）激活默认响应规则。然后下一步。

提问：为什么要激活默认响应规则？

回答：因为本实验的目标是在PKI的架构下使用证书完成安全对等体的身份验证，为了体现实验的成功与否，所以我们只使用证书来完成安全规则响应，而windows默认是使用kv5完成规则响应，如果我们选中了kv5那么到时实验成功的结果就不知道是证书在生效完成的身份验证，还是Kv5生效的结果，这将为我们的实验带来“二重性”结果，所以为了保证只有证书生效，必须去掉默认的响应规则，当然在实际工作中不需要这么做。

出现如图3.119所示的对话框中，确保取消默认使用kerberos进行身份证书的响应规则，然后，选择添加新的安全规则，出现如图3.120所示的创建新的IP安全规则向导，点击下一步，出现如图3.121所示的对话框，要求您选择一种需要保护的网络类型，在这里选择所有网络连接。然后单击下一步，出现如图3.122的对话框，要求您选择受保护的流量。默认它有两种选择，一是只保护ICMP流量，二是保护所有的IP通信流量，在此外，该演示选择保护所有IP通信流量，然后点击下一步，如果此时，你需要定义更粒度化的保护，或者基于具体的某种流量进行保护，你可以选择添加或者编辑新的筛选列表，所谓筛选列表就是定义你需要保护的流量。

出现如图3.123所示的对话框，要求配置定义了安全保护流量后的筛选器操作行为，事实上，就是请你选择，对你定义需要保护的流量执行一个什么样的安全操作，有三种选择：

ü请求安全：指示两个IPSec对等体之间，不是必须进行安全通信，但是都具备安全通信的能力，如果有一方请求安全通信，那么另一方可以满足这个安全通信的请求。这是协商性的安全行为。

ü需要安全：指示两个IPsec对等体之间，必须进行安全通信，没有商量的余地，如果对等体的一方不能提供相关的安全性标准，那么将无法进行通信，这是最高的安全行为。

ü许可：允许与没有IPsec安全策略的主机通信，这是最低的安全标准。

在本演示环境，选择需求安全（就是必须进行IPSec的协商），然后单击下一步，在如

图3.124的对话框中，选择使用由此证书颁发机构（CA）颁发的证书，可以通过浏览按钮在受信任的根证书颁发机构容器中可以看到CA服务器的证书，在这里CA服务器的证书名称叫做ipsecCA,然后单击下一步。

在出现如图3.125所示的对话框中，必须确保你选中使用证书来响应安全规则，然后单击确定，退出到如图3.126的界面，此时，还必须确保你新建的IP安全策略IPsec+CA被指派，否则该策略将不会生效。

注意：完成上述配置后，你还必须在IPSec主机B上申请用于IPSec的证书，新建与第二步相同的IP安全策略，这个过程与上面的过程基本相同，所以在这里就不再作重复描述，具体请参看上面的配置。

第三步：当完成在主机A和B上关于IPsec接合证书的使用来确保安全性的配置后，现在可以将主机A和B进行安全会话，查看被IPsec保护后的数据流，在主机A上ping主机B，此时，如果你使用协议分析器截取主机A和B之间的数据流量，如下图3.127所示，可以看出ICMP数据被ESP加密封装。

实训扩展的建议：

建议教师指导学生完成上述实训的扩展，所谓扩展实训，就是教师一步步引导学生使用IPsec接合CA来保护通信流量的安全，但是不要永远去完成与教材相同的演示目标，比如该任务是使用IPsec保护所有IP通信流量，那么教师在扩展时，可以指导学生使用IPsec来保护 Web通信流量，这样可以使学生懂得灵活应用，同时也扩展了教材以外的实践活动。