安全與VPN-PKI配置舉例-D

1、，安全與VPN-PKI配置舉例PKI配置舉例杭州華三通信技術有限公司 HYPERLINK / 第 PAGE 33頁，共33頁PKI配置舉例關鍵詞：PKI，CA，RA，IKE，IPsec，SSL摘 要：PKI是一個用公開密鑰原理和技術來實現(xiàn)并提供安全服務的具有通用性的安全基礎設施。本文主要介紹應用PKI實現(xiàn)的基于證書認證的IKE典型配置過程，及SSL典型配置應用。縮略語：縮略語英文全名中文解釋CACertificate Authority認證機構CRLCertificate Revocation List證書吊銷列表HTTPHypertext Transfer Protocol超文本傳輸協(xié)議HT

2、TPSHypertext Transfer Protocol Secure安全超文本傳輸協(xié)議IISInternet Information ServiceInternet信息服務IKEInternet Key ExchangeInternet密鑰交互IPsecInternet Protocol SecurityIP安全LDAPLight-weight Directory Access Protocol輕量級目錄訪問協(xié)議PKCPublic Key Certificate公開密鑰證書PKIPublic Key Infrastructure公鑰基礎設施RARegistration Authority

3、注冊機構S/MIMESecure/MultipurposeInternetMail Extensions安全/多用途Internet郵件擴充協(xié)議SCEPSimple Certification Enrollment Protocol簡單證書注冊協(xié)議SSLSecure Sockets Layer安全套接層VPNVirtual Private Network虛擬專用網絡目 錄 HYPERLINK l _bookmark0 特性簡介 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 應用場合 HYPERLINK l _bookmark0 3 HYPERL

4、INK l _bookmark0 注意事項 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 基于數(shù)字證書的IKE典型配置舉例 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 組網需求 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 配置思路 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 配置步驟 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 CA服務器的

5、配置 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark7 RouterA的配置 HYPERLINK l _bookmark7 17 HYPERLINK l _bookmark8 Router B的配置 HYPERLINK l _bookmark8 26 HYPERLINK l _bookmark9 驗證結果 HYPERLINK l _bookmark9 31 HYPERLINK l _bookmark10 基于數(shù)字證書的SSL典型配置舉例 HYPERLINK l _bookmark10 32 HYPERLINK l _bookmark10 組網需求

6、HYPERLINK l _bookmark10 32 HYPERLINK l _bookmark11 配置思路 HYPERLINK l _bookmark11 33 HYPERLINK l _bookmark11 配置步驟 HYPERLINK l _bookmark11 33 HYPERLINK l _bookmark11 相關資料 HYPERLINK l _bookmark11 33特性簡介PKI是一組服務和策略，提供了一個將公鑰和用戶身份唯一綁定的機制，以及如何實施并維護這個綁定相關信息的框架；是一個通過使用公開密鑰技術和數(shù)字證書來確保系統(tǒng)信息安全，并負責驗證數(shù)字證書持有者身份的體系。PK

7、I的主要功能是通過簽發(fā)數(shù)字證書來綁定證書持有者的身份和相關的公開密鑰； 為用戶獲取證書、訪問證書和吊銷證書提供途徑；利用數(shù)字證書及相關的各種服務（證書發(fā)布、黑名單發(fā)布等）實現(xiàn)通信過程中各實體的身份認證，保證了通信數(shù)據(jù)的完整性和不可否認性。應用場合PKI技術的廣泛應用能滿足人們對網絡交易安全保障的需求。作為一種基礎設施， PKI的應用范圍非常廣泛，并且在不斷發(fā)展之中，以下是PKI的典型應用場景。虛擬專用網絡VPN是一種構建在公用通信基礎設施上的專用數(shù)據(jù)通信網絡，利用網絡層安全協(xié)議（如IPsec）和建立在PKI上的加密與數(shù)字簽名技術來獲得機密性保護。安全電子郵件電子郵件的安全也要求機密、完整、認證

8、和不可否認，而這些都可以利用PKI技術來實現(xiàn)。目前發(fā)展很快的安全電子郵件協(xié)議S/MIME，是一個允許發(fā)送加密和有簽名郵件的協(xié)議。該協(xié)議的實現(xiàn)需要依賴于PKI技術，它采用了PKI數(shù)字簽名技術并支持消息和附件的加密，無須收發(fā)雙方共享相同密鑰。Web安全為了透明地解決Web的安全問題，在兩個實體進行通信之前，先要建立SSL連接， 以此實現(xiàn)對應用層透明的安全通信。利用PKI技術，SSL協(xié)議在協(xié)商時完成了對服務器和客戶端基于證書的身份認證（其中，對客戶端的認證是可選的），保證了通信安全。注意事項在配置過程中，請注意以下幾點：證書中包含有效時間，只有設備與 CA 服務器的時間同步，設備才能成功獲取證書。若

9、使用 Windows 2003 server 作為 CA 服務器，則服務器上需要安裝并啟用IIS 用于控制和管理 CA 服務器。其它 CA 服務器上是否需要安裝特殊的插件，請以實際情況為準。為了避免與已有的 Web 服務沖突，建議修改 CA 服務器默認網站的 TCP 端口號?；跀?shù)字證書的IKE典型配置舉例作為VPN主要協(xié)議的IPsec，為IP層的通信安全提供了有利的保障。在實施IPsec的過程中，可以使用IKE協(xié)議來建立SA。但IKE協(xié)議在復雜的網絡環(huán)境中仍然可能因為身份認證機制簡單而產生一定的安全隱患。如果將IKE與PKI技術相結合，由基于PKI數(shù)字證書的身份認證機制實現(xiàn)強認證，則可以提高

10、VPN網關的安全性和可擴展性。組網需求兩個子網通過各自的網關設備與外部網絡互聯(lián)，希望使用IPsec隧道構建數(shù)據(jù)流的安全通道，具體需求如下：在 Router A 和 Router B 之間建立一個 IPsec 安全隧道對子網 Group 1（/24）與子網 Group 2（/24）之間的數(shù)據(jù)流進行安全保護。在 Router A 和 Router B 之間使用 IKE 自動協(xié)商建立安全通道，IKE 自動協(xié)商采用基于 PKI 證書的身份認證方式。圖1 基于證書認證的IKE典型配置組網圖配置思路完成CA服務器的相關配置（本文以Windows 2003 server作為CA server）分別在Rout

11、er A和Router B上完成以下配置：配置 PKI，定義證書實體及設置 PKI 域的相關屬性配置 IKE，使用數(shù)字簽名進行身份認證配置 IPsec，保護兩個子網之間的數(shù)據(jù)流申請證書，并將證書下載到本地配置步驟 說明：以下配置均是在實驗室環(huán)境下進行的配置和驗證，配置前設備的所有參數(shù)均采用出廠時的缺省配置。如果您已經對設備進行了配置，為了保證配置效果，請確認現(xiàn)有配置和以下配置不沖突。進行下面的配置之前，需要確保各子網網關路由器和 CA 服務器之間的路由可達。CA服務器的配置安裝證書服務組件打開 控制面板/ 添加或刪除程序，選擇 添加/ 刪除Windows 組件。在Windows組件向導中，選中

12、“證書服務”，并單擊按鈕。圖2 安裝證書組件1選擇CA類型為獨立根CA，并單擊按鈕。圖3 安裝證書組件2輸入CA的名稱為CA server，并單擊按鈕。圖4 安裝證書組件3選擇CA證書數(shù)據(jù)庫、數(shù)據(jù)庫日志和共享文件夾的存儲位置，并單擊 按鈕。這里采用缺省設置。圖5 安裝證書組件4證書組件安裝成功后，單擊按鈕，退出Windows組件向導窗口。安裝SCEP插件雙擊運行SCEP的安裝文件，在彈出的窗口中，單擊按鈕。 說明：SCEP 的安裝文件可以從 Microsoft 網站免費下載。圖6 安裝SCEP插件1選擇使用本地系統(tǒng)帳戶作為標識，并單擊按鈕。圖7 安裝SCEP插件2去掉“Require SCEP

13、 Challenge Phrase to Enroll”選項，單擊按鈕。圖8 安裝SCEP插件3輸入RA向CA服務器登記時使用的RA標識信息，單擊按鈕。RA的功能包括個人身份審核、CRL管理、密鑰對產生和密鑰對備份等。RA是CA 的延伸，可以作為CA的一部分。 注意：RA 的標識信息“Name”和 CA 的名稱不能相同，否則相關功能可能無法正常工作。圖9 安裝SCEP插件4完成上述配置后，單擊按鈕，彈出如圖 HYPERLINK l _bookmark4 10 所示的提示框。記錄該URL 地址，并單擊按鈕。圖10 安裝SCEP插件5修改證書服務的屬性完成上述配置后，打開控制面板/管理工具中的證書

14、頒發(fā)機構，如果安裝成功， 在頒發(fā)的證書中將存在兩個CA服務器頒發(fā)給RA的證書。右鍵單擊CA server，選擇屬性。圖11 修改證書服務的屬性在CA server 屬性窗口選擇“策略模塊”頁簽，單擊按鈕。圖12 證書服務屬性窗口選擇策略模塊的屬性為“如果可以的話，按照證書模板中的設置。否則，將自動頒發(fā)證書(F)。”。單擊按鈕。圖13 策略模塊的屬性單擊圖 HYPERLINK l _bookmark5 14 中的停止服務和圖 HYPERLINK l _bookmark6 15 中的啟動服務按鈕，重啟證書服務。圖14 停止證書服務圖15 啟動證書服務修改IIS服務的屬性打開控制面板/管理工具中的I

15、nternet 信息服務(IIS)管理器，右鍵單擊默認網站，選擇屬性。圖16 IIS管理器選擇默認網站 屬性窗口中的“主目錄”頁簽，將本地路徑修改為證書服務保存的路徑。圖17 修改默認網站的主目錄選擇默認網站 屬性窗口中的“網站”頁簽，將TCP端口改為8080。 注意：為了避免與已有的服務沖突，默認網站的 TCP 端口號不能與已有服務的端口號相同，且建議不要使用默認端口號 80。圖18 修改默認網站的TCP端口號RouterA的配置配置步驟配置PKI# 配置PKI實體entityA。 system-view RouterA pki entity entityARouterA-pki-entit

16、y-entityA common-name routera RouterA-pki-entity-entityA ip RouterA-pki-entity-entityA quit# 創(chuàng)建PKI域。RouterA pki domain domain1# 配置可信任的CA名稱。RouterA-pki-domain-domain1 ca identifier ca server# 配置注冊服務器URL 地址（ 為安裝SCEP插件時彈出的URL 地址， 格式為http:/host:port/certsrv/mscep/mscep.dll，其中，host:port為CA服務器的主機地址和端口號）。由

17、于CA服務器上默認網站的TCP端口號修改為8080，配置注冊服務器的URL地址時，需要指定端口號為8080。RouterA-pki-domain-domain1certificaterequesturl 01:8080/certsrv/mscep/mscep.dll# 指定注冊服務器類型為RA。RouterA-pki-domain-domain1 certificate request from ra# 指定關聯(lián)的PKI實體為entityA。RouterA-pki-domain-domain1 certificate request entity entityA RouterA-pki-dom

18、ain-domain1 quit配置IKE# 設置IKE提議，使用RSA密鑰簽名。RouterA ike proposal 1RouterA-ike-proposal-1 authentication-method rsa-signature RouterA-ike-proposal-1 quit# 創(chuàng)建IKE對等體。RouterA ike peer peer1# 指定對端對等體地址。RouterA-ike-peer-peer1 remote-address # 指定PKI域名。RouterA-ike-peer-peer1 certificate domain domain1 RouterA-

19、ike-peer-peer1 quit配置IPsec# 配置ACL控制列表，匹配需要保護的報文。RouterA acl number 3000RouterA-acl-adv-3000 rule 0 permit ip source 55 RouterA-acl-adv-3000 quit# 創(chuàng)建IPsec提議。RouterA ipsec proposal ipsprop1# 配置安全協(xié)議為ESP。RouterA-ipsec-proposal-ipsprop1 transform esp# 配置封裝格式為隧道。RouterA-ipsec-proposal-ipsprop1 encapsulati

20、on-mode tunnel# 配置ESP安全協(xié)議加密算法。RouterA-ipsec-proposal-ipsprop1 esp encryption-algorithm des# 配置ESP安全協(xié)議散列算法。RouterA-ipsec-proposal-ipsprop1 esp authentication-algorithm md5 RouterA-ipsec-proposal-ipsprop1 quit# 創(chuàng)建IPsec安全策略。RouterA ipsec policy policy1 1 isakmp# 指定安全訪問列表。RouterA-ipsec-policy-isakmp-pol

21、icy1-1 security acl 3000# 指定IKE對等體。RouterA-ipsec-policy-isakmp-policy1-1 ike-peer peer1# 指定IPsec安全提議。RouterA-ipsec-policy-isakmp-policy1-1 proposal ipsporp1 RouterA-ipsec-policy-isakmp-policy1-1 quit# 接口下綁定IPsec策略。RouterA interface serial 2/0RouterA-Serial2/0 ipsec policy policy1 RouterA-Serial2/0 q

22、uit申請證書# 生成本地RSA密鑰。RouterA public-key local create rsa Warning: The local key pair already exist. Confirm to replace them? Y/N:yThe range of public key size is (512 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes.Press CTRL+C to abort.Input the bits of the modulusdef

23、ault = 1024:Generating Keys.+.+證書申請有兩種方式：帶內方式和帶外方式。請根據(jù)實際情況選擇其中一種配置。帶內方式申請# 手動在線獲取CA證書。RouterA pki retrieval-certificate ca domain domain1 Retrieving CA/RA certificates. Please wait a whileThe trusted CAs finger print is:MD5fingerprint:4F10 9CB0 4D51 6EB2 21D4 12C4 5881 EE2FSHA1 fingerprint:1A56 5741

24、 219F 8E98 6438 B556 2C5A 2275 F097 2536Is the finger print correct?(Y/N):ySaving CA/RA certificates chain, please wait a momentCA certificates retrieval success.# 手動在線申請本地證書。RouterA pki request-certificate domain domain1 Certificate is being requested, please waitRouterAEnrolling the local certific

25、ate,please wait a whileCertificate request Successfully!Saving the local certificate to deviceDone!帶外方式申請當無法通過SCEP協(xié)議向CA在線申請證書時，可以使用參數(shù)pkcs10打印出本地的證書申請信息。用戶保存證書申請信息，并將其通過帶外方式發(fā)送給CA進行證書申請。# 以pkcs10的格式打印本地證書請求信息。RouterA pki request-certificate domain domain1 pkcs10BEGIN CERTIFICATE REQUESTMIIBTTCBtwIBADA

26、OMQwwCgYDVQQDEwMxMjMwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAOEvjYboMDX0akLSOqSSCQm7dE7nmJz0N2BsuPh7I4mlkxLHZIwp5vAo PT1Q2i85uLqQDtmxjuYd9fZU4qM9Ps9It2lKG4DCFyFXkKTI9U4jPK42/grPMFmq V8BED9H+O6c9N/sWwA85C2um7UgIOj6TGi6LDBrp9ZZ3xFSO54bdAgMBAAGgADANBgkqhkiG9w0BAQQFAAOBgQBnjx0Qyme4Pu29BOjvjVYe8qhf9SizXpl6t

27、y4jPS8Y+XkVV30WCs1ITfnUrD5IbhiDr50tDdqqv8y9B7kB+7/DBWcFv4Hrek5XBJveGolT qZ8+M7To8BXxCV4NRLTCsMREYonirVnlKR94KV3TCTGOI1E9KXKgg7DLHZFe75IP lQ=END CERTIFICATE REQUESTRouterA將BEGIN與END分割線之間的本地證書請求內容通過帶外方式傳送到CA服務器。打開證書服務器申請證書主頁01:8080/certsrv，選擇“申請一個證書”。圖19 證書服務器申請證書主頁選擇“高級證書申請”。圖20 提交證書申請選擇“使用base64 編碼的

28、CMC 或PKCS#10 文件提交一個證書申請， 或使用base64編碼的PKCS#7文件續(xù)訂證書申請”。圖21 高級證書申請在下面的頁面中，把剛才用pkcs10格式打印出來的本地證書請求信息添加到“保存的申請”文本框中，單擊按鈕。圖22 添加證書請求信息若本地證書申請成功，在下面的頁面中選擇證書編碼格式“DER編碼”，然后單擊“下載證書”。 說明：之后，設備上進行證書導入時選擇的證書文件格式參數(shù)要與此處選擇的證書編碼格式保持一致。圖23 選擇證書編碼格式在彈出的文件下載對話框中將申請到的本地證書保存在本地路徑，文件名稱修改為“l(fā)ocal_cert.cer”。圖24 保存本地證書再次返回證書服

29、務器申請證書主頁01:8080/certsrv，選擇“下載一個CA證書，證書鏈或CRL”。圖25 證書服務器申請證書主頁選擇編碼方法“DER”，單擊“下載CA證書”。圖26 下載CA證書在彈出的文件下載對話框中將CA 證書保存在本地路徑， 文件名稱修改為“ca_cert.cer”，此處略。至此，帶外證書申請完成。將以上保存在主機上的CA證書和本地證書通過帶外方式發(fā)送給Router A，然后使用以下的命令導入到設備。# 導入CA證書，選擇文件編碼格式為DER。RouterApkiimport-certificatecadomaindomain1derfilename ca_cert.cerImp

30、orting certificates. Please wait a whileThe trusted CAs finger print is:MD5fingerprint:5A9C E2EA 7363 CDA2 3B4F 0C15 B3F7 6E7DSHA1 fingerprint:B58C B59D 2242 7244 7B83 F2E8 0C16 13EB E0BF 6526Is the finger print correct?(Y/N):y%Mar1320:32:56:1582008RouterAPKI/4/Verify_CA_Root_Cert:CAroot certificate

31、 of the domain domain1 is trusted.Import CA certificate successfully. RouterA%Mar1320:32:56:1862008RouterAPKI/4/Update_CA_Cert:UpdateCA certificates of the Domain domain1 successfully.%Mar1320:32:56:1872008RouterAPKI/4/Import_CA_Cert:ImportCA certificates of the domain domain1 successfully.RouterA#

32、導入本地證書，選擇文件編碼格式為DER。RouterApkiimport-certificatelocaldomaindomain1derfilename local_cert.cerImporting certificates. Please wait a while%Mar 13 20:35:54:364 2008 RouterA PKI/4/Verify_Cert:Verify certificate CN=routera of the domain domain1 successfully.Import local certificate successfully. RouterA%M

33、ar 13 20:35:54:376 2008 RouterA PKI/4/Import_Local_Cert:Import local certificate of the domain domain1 successfully.RouterA配置文件RouterA display current-configuration #version 5.20, Beta 1505L01, Standard#sysname RouterA #pki entity entityA common-name routera ip #pki domain domain1ca identifier ca se

34、rvercertificate request url 01:8080/certsrv/mscep/mscep.dll certificate request from racertificate request entity entityA#ike proposal 1authentication-method rsa-signature #ike peer peer1remote-address certificate domain domain1#ipsec proposal ipsprop1 #ipsec policy policy1 1 isakmp security acl 300

35、0ike-peer peer1 proposal ipsprop1#acl number 3000rule 0 permit ip source 55 #interface Serial2/0 link-protocol pppip address ipsec policy policy1#returnRouter B的配置配置步驟配置PKI# 配置PKI實體entityB。 system-view RouterB pki entity entityBRouterB-pki-entity-entityB common-name routerb RouterB-pki-entity-entity

36、B ip RouterB-pki-entity-entityB quit# 創(chuàng)建PKI域。RouterB pki domain domain2# 配置可信任的CA名稱。RouterB-pki-domain-domain2 ca identifier ca server# 配置注冊服務器URL 地址（ 為安裝SCEP插件時彈出的URL 地址， 格式為http:/host:port/certsrv/mscep/mscep.dll，其中，host:port為CA服務器的主機地址和端口號）。由于CA服務器上默認網站的TCP端口號修改為8080，配置注冊服務器的URL地址時，需要指定端口號為8080。R

37、outerB-pki-domain-domain2 certificate request url 01:8080/certsrv/mscep/mscep.dll# 指定認證服務器類型為RA。RouterB-pki-domain-domain2 certificate request from ra# 指定關聯(lián)的PKI實體為entityB。RouterB-pki-domain-domain2 certificate request entity entityB RouterB-pki-domain-domain2 quit配置IKE# 配置IKE提議，使用RSA密鑰簽名。RouterB ike

38、 proposal 2RouterB-ike-proposal-2 authentication-method rsa-signature RouterB-ike-proposal-2 quit# 創(chuàng)建IKE對等體。RouterB ike peer peer2# 指定對端對等體地址。RouterB-ike-peer-peer2 remote-address # 指定PKI域名。RouterB-ike-peer-peer2 certificate domain domain2 RouterB-ike-peer-peer2 quit配置IPsec# 配置ACL控制列表，匹配需要保護的報文。Rout

39、erB acl number 3000RouterB-acl-adv-3000 rule 0 permit ip destination 55 RouterB-acl-adv-3000 quit# 創(chuàng)建IPsec提議。RouterB ipsec proposal ipsprop2# 配置安全協(xié)議為ESP。RouterB-ipsec-proposal-ipsprop2 transform esp# 配置封裝格式為隧道。RouterB-ipsec-proposal-ipsprop2 encapsulation-mode tunnel# 配置ESP安全協(xié)議加密算法。RouterB-ipsec-pro

40、posal-ipsprop2 esp encryption-algorithm des# 配置ESP安全協(xié)議散列算法。RouterB-ipsec-proposal-ipsprop2 esp authentication-algorithm md5 RouterB-ipsec-proposal-ipsprop2 quit# 創(chuàng)建IPsec策略。RouterB ipsec policy policy2 1 isakmp# 指定安全訪問列表。RouterB-ipsec-policy-isakmp-policy2-1 security acl 3000# 指定IKE對等體。RouterB-ipsec-

41、policy-isakmp-policy2-1 ike-peer peer2# 指定IPsec安全提議。RouterB-ipsec-policy-isakmp-policy2-1 proposal ipsprop2 RouterB-ipsec-policy-isakmp-policy2-1 quit# 接口下綁定IPsec策略。RouterB interface serial 2/0RouterB-Serial2/0 ipsec policy policy2 RouterB-Serial2/0 quit申請證書# 生成本地RSA密鑰。RouterB public-key local creat

42、e rsa Warning: The local key pair already exist. Confirm to replace them? Y/N:yThe range of public key size is (512 2048). NOTES: If the key modulus is greater than 512,It will take a few minutes. Press CTRL+C to abort.Input the bits of the modulusdefault = 1024:Generating Keys.+.+證書申請有兩種方式：帶內方式和帶外方

43、式。帶內方式申請# 手動在線獲取CA證書。RouterB pki retrieval-certificate ca domain domain2 Retrieving CA/RA certificates. Please wait a whileThe trusted CAs finger print is:MD5fingerprint:8210 000F 4D51 48B2 21D4 12C4 9883 EE2FSHA1 fingerprint:1A56 A74F 219F 8E98 EE38 B556 2B5A 2275 F097 2536Is the finger print corre

44、ct?(Y/N):ySaving CA/RA certificates chain, please wait a momentCA certificates retrieval success.# 手動在線申請本地證書。RouterB pki request-certificate domain domain2 Certificate is being requested, please waitRouterBEnrolling the local certificate,please wait a whileCertificate request Successfully!Saving th

45、e local certificate to deviceDone!帶外方式申請帶外證書申請的操作過程與Router A的相同，此處略。完成帶外申請后通過下面的命令分別將獲得的CA證書和本地證書導入到設備。RouterBpkiimport-certificatecadomaindomain2derfilename ca_cert.cerImporting certificates. Please wait a whileThe trusted CAs finger print is:MD5fingerprint:5A9C E2EA 7363 CDA2 3B4F 0C15 B3F7 6E7DSH

46、A1 fingerprint:B58C B59D 2242 7244 7B83 F2E8 0C16 13EB E0BF 6526Is the finger print correct?(Y/N):y%Mar1409:06:54:5042008RouterBPKI/4/Verify_CA_Root_Cert:CAroot certificate of the domain domain2 is trusted.Import CA certificate successfully. RouterB%Mar1409:06:54:5752008RouterBPKI/4/Update_CA_Cert:U

47、pdateCA certificates of the Domain domain2 successfully.%Mar1409:06:54:5752008RouterBPKI/4/Import_CA_Cert:ImportCA certificates of the domain domain2 successfully.RouterBRouterBpkiimport-certificatelocaldomaindomain2derfilename local_cert.cerImporting certificates. Please wait a while%Mar 14 09:07:1

48、1:494 2008 RouterB PKI/4/Verify_Cert:Verify certificate CN= routerb of the domain domain2 successfully.Import local certificate successfully. RouterB%Mar 14 09:07:11:506 2008 RouterB PKI/4/Import_Local_Cert:Import local certificate of the domain domain2 successfully.RouterB配置文件RouterB display curren

49、t-configuration #version 5.20, Beta 1505L01, Standard #sysname RouterB #pki entity entityB common-name routerb ip #pki domain domain2ca identifier ca servercertificate request url 01:8080/certsrv/mscep/mscep.dll certificate request from racertificate request entity entityB#ike proposal 2authentication-method rsa-signature #ike peer peer2remote-address certificate domain domain2#ipsec proposal ipsprop2 #ipsec policy ipsprop2 1 isakmp security acl 300