这次ipsec的对象是两台windows机器,一台是终端服务器,一台是xp客户端,客户端连接到终端服务器必须通过ipsec,ipsec用证书强化。
一、在linux上生成ipsec所需要的证书
1、修改/etc/ssl/openssl.cn,并复制到工作目录,只修改生成key存放的位置和ca的有效期
2、构建ca
openssl req -config openssl.cnf -new -x509 -keyout ca.key -out ca.pem -days 3650
3、生成客户端证书
请求
openssl req -config openssl.cnf -new -keyout tk.key -out tk.req
openssl req -config openssl.cnf -new -keyout tcpip.key -out tcpip.req
签署
openssl ca -config openssl.cnf -out tk.pem -notext -infiles tk.req
openssl ca -config openssl.cnf -out tcpip.pem -notext -infiles tcpip.req
封装成windows下的p12格式
openssl pkcs12 -export -in tk.pem -inkey tk.key -out tk.p12
openssl pkcs12 -export -in tcpip.pem -inkey tcpip.key -out tcpip.p12
二、安装证书
这部分没什么特别,记住所有证书(根证书和客户端证书)必须安装到"本地计算机",根证书安装到"受信任的根证书颁发机构",客户端证书安装到个人证书。
三、配置服务器端的ipsec策略
1、筛选器属性
源地址要选任意ip地址,这样所有客户端来访问时都必须配置ipsec策略
2、筛选器操作属性
3、身份验证属性,选中我们安装过的根证书
四、配置客户端
除了筛选器跟服务器端配置不一样之外,其他跟服务器配置一样。筛选器中,源地址选"我的地址",目的地址填入终端服务器的ip地址。