使用计算机证书验证的 IPsec 设置

easy

现在有 3 台计算机，一台作为独立的 CA，另外两台是做通信测试用。CA 的 IP 地址为 192.168.2.98，另外两台机子的 IP 地址分别为 192.168.2.10 和 192.168.2.11 。

现在假设已经安装好 CA 的服务环境，具体可以参考版块内的相关帖子。

客户端向 CA 申请计算机证书时有两种方式，一种是通过普通的 http ，另一种是通过 https 。如果是利用 https 来申请证书在操作上有点麻烦，具体的做法可参考《 SSL 网站的搭建与证书的申请》这个帖子。这里为了方便起见，就使用 http 方式来连接 CA 网站。在该方式下，先暂时将 IE 的 “本地 Intranet” 的安全等级设为最低级别，同时将 CA 网站加入“本地 Intranet” 中，如下图所示：





1. 现在需要做的是先信任 CA，即将 CA 证书安装到客户机上。如果是在域环境中，即使用企业 CA 的话，域成员会自动信任企业 CA，因此域成员可避免手动信任 CA 这个步骤。信任 CA 的做法参考帖子：《 安装 AD CS 与架设根 CA》

2. 通过 http://192.168.2.98/certsr 来向 CA 申请证书，流程为：

申请证书 ---> 高级证书申请 ---> 创建并向此 CA 提交一个申请 ---> 填写证书申请表，填完后单击 “提交” 按钮即可（如下图所示）




注意上面，“需要的证书类型” 里我们选择 “客户端身份验证证书”；下边还勾选了 “标记密钥为可导出”，这么做是为了以后备份或传输密钥。提一点，如果是企业 CA 的话，只要在 “证书模板” 处选择 “管理员”，然后可直接下载与安装证书文件。


在提交后，可以看到 “证书正在挂起” 的页面：




现在转到 CA 计算机上，从“管理工具” 里打开 “证书颁发机构”，单击 “挂起的申请”，然后看到之前的证书申请，右击，在弹出菜单里选择 “所有任务” ---> “颁发”，如下图所示：





现在到刚才申请证书的计算机上，再次打开 http://192.168.2.98/certsrv/ ，点击 “查看挂起的证书申请状态” 链接：



然后看到已经颁发的证书链接，点击进去，最后在单击 “安装此证书” 链接来安装证书，安装成功后，会看到相应提示：





现在打开 IE 浏览器的 "Internet 选项"，并切换到 “内容” 标签，单击 “证书” 按钮，在证书对话框的 “个人” 标签下，可以看到刚才申请的证书：




单击上图中的 “导出” 按钮，然后在弹出的 “证书导出向导” 界面中单击 “下一步” 按钮，在 “导出私钥” 的对话框中选择 “是，导出私钥” ，然后单击 “下一步”：



在 “导出文件格式” 对话框里保持默认即可，然后单击 “下一步” 按钮：



在 “密码” 对话框中，输入一个密码，用来保护我们的私钥：



接着给导出的证书指定一个文件名，然后单击“下一步” ：




最后单击 “完成” 按钮，完成证书的导出。

接下来，在 “运行” 里输入 mmc ，新建一个控制台，然后将 “文件” 菜单里选择 “添加/删除管理单元” ：



然后在 “可用的管理单元” 里找到 “证书” 一项，然后单击 “添加” 按钮，将其添加：



在弹出的对话框选择 “计算机账户” ，然后单击 “下一步” ：



在 “选择需要这个管理单元的计算机” 界面保持默认，即 “本地计算机”，然后单击 “完成” 按钮即可：




现在回到 “控制台”，展开 “证书”，右击 “个人” 文件夹，在弹出菜单中选择 “所有任务” ---> “导入”：



在弹出的 “证书导入向导” 对话框中单击 “下一步” 按钮。

在 “要导入的文件” 对话框中，通过 “浏览” 选择刚才导出的证书，在导入时注意选择证书的格式，然后单击 “下一步”：



接下来，要求你输入私钥的保护密码，这个就是在之前导出证书时所输入的密码，然后单击 “下一步”：



最后将证书存储，存储的位置为 “个人” ：



到这里，我们已经完成了证书的申请，导出，导入的工作。下面要做的就是要设置防火墙的安全连接规则了。在此之前，将 IE 浏览器里的 “本地 Intranet” 的安全级别恢复为 “中低” 。

在客户机上打开 Windows 防火墙，通过 “高级安全 Windows 防火墙” 来新建 “连接安全规则”，在“规则类型” 里选择 “自定义”，然后单击 “下一步” ：



在 “终结点” 界面，对终结点 1 和 终结点 2 分别设置 IP ，然后单击 “下一步”：



接下来，选择 “入站和出站连接要求身份验证” ，然后单击 “下一步”：



在 “身份验证方法” 里选择 “高级” ，然后单击旁边的 “自定义” 按钮，在弹出的指定身份对话框中，单击 “第一身份验证方法” 下的 “添加” 按钮，然后选择 “来自下列证书颁发机构(CA)的计算机证书”，单击 “浏览” 按钮选我们建立的 CA ：



最后确定返回，并完成安全连接规则的设置。

到这里，工作已经完成。之前两台测试计算机是可以互相 ping 通的，那么现在还有一台计算机没有添加证书，那么我们在其中一台上 ping 另一台时，会看到不能 ping 通了：

ping 192.168.2.11

正在 Ping 192.168.2.11 具有 32 字节的数据:
请求超时。
请求超时。
请求超时。
请求超时。

192.168.2.11 的 Ping 统计信息:
    数据包: 已发送 = 4，已接收 = 0，丢失 = 4 (100% 丢失)，

最后，我们再为另一台计算机同样添加证书，然后再互 ping 一下，可以发现现在能正常通讯了。此外，还可以在防火墙的 “安全关联” 里的“主模式” 里看到有相应的规则显示出来：