作者:许本新
网络环境拓扑如图4-1所示
各位读友大家好,写文之前先向大家问好,已经好久没有些东西了,今天打开博客发现IPSEC系列文章还没有结束,所以就又有了继续写下去的冲动了。今天接着上一篇叙,上篇介绍了IPSEC的共享密钥实现身份验证,此篇则介绍利用CA证书实现身份验证!
Windows 2003 IPSec 的身份验证主要提供了三种验证模式,它们分别是Kerberos V5 协议、证书、预共享密钥。而所有证书验证都由加密的 API (CAPI) 执行。IKE 只是用来协商使用哪些证书,并为证书凭据的交换提供安全。IPSec 策略指定使用哪些根证书颁发机构 (CA),而不指定使用哪个特定的证书。在 IPSec 策略配置中双方都必须有公用的根 CA。
利用CA证书实现验证,需要对证书作出以下要求:
a) 证书存储在计算机帐户(计算机存储)中
b) 证书包含一个 RSA 公钥,该公钥具有可用来进行 RSA 签名的对应的私钥。
c) 在证书有效期内使用