MSR系列路由器使用PKI认证建立IPSec隧道功能的配置

jaygxgx
2 ℃
2020-02-25

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

MSR系列路由器使用PKI认证建立IPSec隧道功能的配置关键词：MSR;IPSec;IKE;PKI;RSA;Win2003;证书服务器一、组网需求：如下面的组网图，使用Win2003作为证书服务器，2台MSR路由器需要通过IKE建立IPSec隧道，IKE的认证方式使用PKI证书方式，证书服务器使用Win2003设备清单：MSR系列路由器2台，Win2003主机一台二、组网图：三、配置步骤：设备和版本：MSR系列、Version5.20,Release1509配置前的操作步骤//MSR1和MSR2都执行如下操作，生成1024位的rsa本地密钥对（含公钥和私钥）[MSR1]public-keylocalcreatersaTherangeofpublickeysizeis(512~2048).NOTES:Ifthekeymodulusisgreaterthan512,Itwilltakeafewminutes.PressCTRL+Ctoabort.Inputthebitsofthemodulus[default=1024]:GeneratingKeys.....++++++..........++++++...++++++++..++++++++MSR1配置#//定义IKE提议，序号为1，优先度最高，使用rsa签名方式认证ikeproposal1authentication-methodrsa-signature#//pki实体msr1pkientitymsr1//实体的名字common-namemsr1//所属组织部门，注意与CA保持一致organization-unitts-msr//所属组织，与CA保持一致organizationh3c//城市，与CA保持一致localitybj//所属国家，与CA保持一致，CN表示中国countryCN#//pki认证域h3cpkidomainh3c//CA的名字，可以从后面介绍中获得caidentifierwin2003//证书获取URL，可以从后面介绍获得certificaterequesturl证书获取方式为RA，注册委员会，使用Win2003时必须配置certificaterequestfromra//指定注册实体为msr1certificaterequestentitymsr1//指定注册模式和密钥长度certificaterequestmodeautokey-length1024//输入CA证书的指纹，即CA证书的缩略图，可以从后面的介绍中获得root-certificatefingerprintsha1c4cb24743e26d601f23b7618b4e749a1061d9eb0//CRL，即证书吊销列表的获取URLcrlurl建立IKEPeerMSR2ikepeermsr2remote-address1.1.1.2local-address1.1.1.1//指定证书域为h3ccertificatedomainh3c#//IPSec提议，即安全提议ipsecproposaldefault#//IPSec策略ipsecpolicymsr21isakmpsecurityacl3000ike-peermsr2proposaldefault#//定义安全流量的ACLaclnumber3000rule0permitipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255#interfaceEthernet0/0portlink-moderouteipaddress1.1.1.1255.255.255.0//在出接口上绑定IPSec策略ipsecpolicymsr2#interfaceEthernet0/1portlink-moderouteipaddress192.168.1.1255.255.255.0#//指定访问对方私网的静态路由iproute-static192.168.2.0255.255.255.01.1.1.2#MSR2配置#//定义IKE提议，序号为1，优先度最高，使用rsa签名方式认证ikeproposal1authentication-methodrsa-signature#//pki实体msr2pkientitymsr2//实体的名字common-namemsr2//所属组织部门，注意与CA保持一致organization-unitts-msr//所属组织，与CA保持一致organizationh3c//城市，与CA保持一致localitybj//所属国家，与CA保持一致，CN表示中国countryCN#//pki认证域h3cpkidomainh3c//CA的名字，可以从后面介绍中获得caidentifierwin2003//证书获取URL，可以从后面介绍获得certificaterequesturl证书获取方式为RA，注册委员会，使用Win2003时必须配置certificaterequestfromra//指定注册实体为msr2certificaterequestentitymsr2//指定注册模式和密钥长度certificaterequestmodeautokey-length1024//输入CA证书的指纹，即CA证书的缩略图，可以从后面的介绍中获得root-certificatefingerprintsha1c4cb24743e26d601f23b7618b4e749a1061d9eb0//CRL，即证书吊销列表的获取URLcrlurl建立IKEPeerMSR1ikepeermsr1remote-address1.1.1.1local-address1.1.1.2//指定证书域为h3ccertificatedomainh3c#//IPSec提议，即安全提议ipsecproposaldefault#//IPSec策略ipsecpolicymsr11isakmpsecurityacl3000ike-peermsr1proposaldefault#//定义安全流量的ACLaclnumber3000rule0permitipsource192.168.2.00.0.0.255destination192.168.1.00.0.0.255#interfaceEthernet0/0portlink-moderouteipaddress1.1.1.2255.255.255.0//在出接口上绑定IPSec策略ipsecpolicymsr1#interfaceEthernet0/1portlink-moderouteipaddress192.168.2.1255.255.255.0#//指定访问对方私网的静态路由iproute-static192.168.1.0255.255.255.01.1.1.1#手工获取证书的操作//做完上述配置之后，可以通过一些命令来检查证书是否可以正确获取//第一步，获取CA证书，可以根据提示判断是否正确获得[MSR2]pkiretrieval-certificatecadomainh3cRetrievingCA/RAcertificates.Pleasewaitawhile......SavingCA/RAcertificateschain,pleasewaitamoment......%Dec2021:02:08:70520062PKI/4/Verify_CA_Root_Cert:CArootcertificateofthedomainh3cistrusted.CAcertificatesretrievalsuccess.[MSR2]%Dec2021:02:08:75420062PKI/4/Update_CA_Cert:UpdateCAcertificatesoftheDomainh3csuccessfully.%Dec2021:02:08:75520062PKI/4/CA_Cert_Retrieval:RetrievalCAcertificatesofthedomainh3csuccessfully.//上述信息提示正确获得CA证书，即根证书，第二步，获取CA签名的本地证书[MSR2]pkirequest-certificatedomainh3cCertificateisbeingrequested,pleasewait......[MSR2]Enrollingthelocalcertificate,pleasewaitawhile......CertificaterequestSuccessfully!Savingthelocalcertificatetodevice......Done!%Dec2021:02:29:0220062PKI/4/Local_Cert_Request:Requestlocalcertificateofthedomainh3csuccessfully.//上述信息提示本地证书获取成功，第三步，获取CRL，可以检查同一个CA签名的证书是否过期[MSR2]pkiretrieval-crldomainh3cConnectingtoserverforretrievingCRL.Pleasewaitawhile.....CRLretrievalsuccess![MSR2]%Dec2021:03:59:2112006MSR2PKI/4/Update_CRL:UpdateCRLofthedomainh3csuccessfully.%Dec2021:03:59:2122006MSR2PKI/4/Retrieval_CRL:RetrievalCRLofthedomainh3csuccessfully.[MSR2]//显示CA证书[MSR2]dispkicertcadh3cCertificate:Data:Version:3(0x2)SerialNumber:613E1A31000000000002SignatureAlgorithm:sha1WithRSAEncryptionIssuer:CN=win2003ValidityNotBefore:Dec2012:08:592006GMTNotAfter:Dec2012:18:592007GMTSubject:C=CNST=bjL=bjO=h3cOU=ts-msrCN=win2003SubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionRSAPublicKey:(1024bit)Modulus(1024bit):00C2A4CEC5344632263595CC0680FA7526E77572D06E32F9E717C20C6D87A6C1CF1F2C9A46323DC60C72B06E7B1D8C3E0565EFF7FEBEA570F6DE66FFAD1EE75E3E481A806A5FE282CA41FD2B928144826FB06093E880F237F984AA21A53E52C87529C48658965EB5DFAEA99D8A5B338DFCAEAA1FAC1EA4B244F77393E76EE67CD1Exponent:65537(0x10001)X509v3extensions:X509v3KeyUsage:criticalDigitalSignature,NonRepudiationX509v3ExtendedKeyUsage:1.3.6.1.4.1.311.20.2.11.3.6.1.4.1.31