溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
架設ipsec ***現在對安全性要求越來越高,共享秘鑰法似乎安全性有些低了。
進而使用安全證書進行安全信息交換是個比較好的方法。
SSG從netscreen而來,很早以前的版本(起碼5.0)就可以支持從web管理界面操作了。
操作很簡單
Objects > Certificates>new
填寫相關的信息,國家,地域,名稱啥的,自己決定,IP地址也是一項,看需要,不過我個人覺得還是不填的好,免得以后換IP了還要麻煩。
Key Pair Information:選RSA,微軟的證書簽發機構,RSA是支持的,DSA不支持,ECDSA沒試驗過。
加密的位數,當然是越高越好啦,2048位,微軟的windows2008R2的證書簽發機構是沒問題的。
然后等一會,出現一個畫面
save to file就是把那個框里面的一堆亂碼下載成一個txt文件而已,不用也罷。
generate selfsigned cert不要點擊,那個是自簽名的操作,而不是由其它第三方局進行簽發了。
這時候,直接打開微軟的證書申請web畫面,要用具有管理員權限的賬戶去申請。
選擇使用PKCS#10的那個選項申請,證書的種類選web server,把上面那一堆亂碼的文字全部拷貝到Base 64 那個欄目里,申請就可以,然后看證書服務的設定,是立刻簽發還是手動簽發,一般都是立刻簽發。
然后就可以看到下載證書了,下載下來,注意下載兩個,還有一個證書局的根證書也要,回到ssg的證書管理畫面。
選擇引導上傳本地證書cert,把根證書傳后在show-》CA選項里就會看見根證書
show-》local就會看到Serial#為全0的那個待簽發證書已經完成了簽發。
根證書是必須的,在ipsec***兩點,要使用同一個證書局,就是同一張根證書,它保證兩端可以證明對端的證書是合法的。
另外要強調一點,本人吃了大虧,在建立微軟證書局的時候,使用了sha512,太高了,ssg,包括srx目前只支持到sha256,所以在微軟證書局簽發的證書,一上傳到ssg就報錯,但是fortigate反而可以支持sha512,查了很多地方,才發現不支持。其實到ipsec的配置第一階段,看有沒有選sha512就知道是不是支持了。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
