1、SSL所使用的证书可以是自己建的生成的,也可以通过一个商业性CA如Verisign 或 Thawte签署证书。
2、证书的概念:首先要有一个根证书,然后用根证书来签发服务器证书和客户证书,一般理解:服务器证书和客户证书是平级关系。在SSL必须安装根证书和服务器证书来认证。
因此:在此环境中,至少必须有三个证书:即根证书,服务器证书,客户端证书
在生成证书之前,一般会有一个私钥,同时用私钥生成证书请求,再利用证书服务器的根证来签发证书。
3、签发证书的问题:我最近找了很多关于openssl的资料,基本上只生成了根证书和私钥及服务器证书请求,并没有真正的实现签证。我这里参考了一些资料,用openssl自带的一个CAsh来签证书,而不是用MOD_ssl里的signsh来签。
用openssl语法来生成证书,有很多条件限定,如目录,key的位置等,比较麻烦,我实验了好几天,最后放弃了。有兴趣的可以参考一下openssl手册。
步骤一:安装openssl和apache
1、到最新版>默认情况下远程桌面功能是不支持SSL加密认证的,即使我们申请并安装了证书。
第一步:通过任务栏的“控制面板->管理工具->终端服务配置”来启动tscc终端服务配置窗口。
第二步:在tscc终端服务配置窗口中我们点“终端服务>连接”,在右边窗口中会显示出终端服务,我们在其上点鼠标右键选择“属性”。
第二步:在tscc终端服务配置窗口中我们点“终端服务>连接”,在右边窗口中会显示出终端服务,我们在其上点鼠标右键选择“属性”。
第三步:在常规标签中的证书设置处旁边有一个“编辑”按钮,点击该按钮打开证书设置窗口。然后通过查看证书找到对应证书
第四步:选择完证书后还需要对常规标签中的安全级别进行设置,我们将安全层设置为“SSL”,将加密级别设置为“高”。确定后完成全部服务器远程桌面设置工作。
二、客户端安装认证证书:
既然服务器上使用了证书进行SSL加密认证,那么还需要在客户机上安装这些认证。如果不安装的话远程桌面访问将无法进行。有两种方法获得证书,我们将一一介绍。
1 从TS服务器上导出证书:
第一步:通过任务栏的“开始->运行”,输入mmc来启动MMC管理单元。
第二步:打开MMC管理单元后我们需要加载证书服务,方法是通过控制台菜单中的“文件->添加/删除管理单元”。
第三步:从“可用的独立管理单元”中找到证书管理单元,然后点“添加”按钮加载该管理单元。
第四步:在证书管理单元中选择“计算机帐户”后点“下一步”。
第五步:在选择计算机窗口中找到“本地计算机”后完成 *** 作。
第六步:回到控制台界面后我们选择“控制台根节点->证书(本地计算机)->个人->证书”,在右边窗口中会看到服务器当前安装的所有证书。我们找到用于SSL加密连接的证书。
第七步:在该证书上点鼠标右键后选择“打开”,在证书信息界面中选择“详细信息”,然后点下方的“复制到文件”按钮,将证书进行复制。
第八步:打开证书导出向导后直接点“下一步”。
第九步:导出私钥处选择“不,不要导出私钥”。
第十步:导出文件格式处选择“DER 编码二进制X509(CER)”
第十一步:选择导出文件的保存路径,一般直接选桌面即可。
第十二步:完成证书导出向导配置工作,证书文件成功保存
第十三步:文件保存到桌面后我们就可以把这个证书文件复制到其他计算机上了,所有准备通过远程桌面连接服务器的客户机都需要安装该证书。
第十四步:直接双击该证书文件就可以安装了,在“常规”标签中有一个“安装证书”按钮。
第十五步:点“安装证书”按钮后进入证书导入向导,我们选择“根据证书类型,自动选择证书存储”后点“下一步”
第十六步:完成证书的全部导入工作。
我们还有另外一种方法在客户机上安装证书。
第一步:在客户机上打开浏览器,在地址栏处输入>如何使用Strongswan和Freeradius建立IKEv2 。
目 前支持IKEv2的客户端貌似只有Openswan/Strongswan,Windows的话只有Windows 7和Windows Server 2008 R2完全支持(Vista只支持IKEv1),因而这篇文章主要介绍如何建立Win7客户端能够使用的IKEv2 。
之所 以使用IKEv2而非IKEv1是因为IKEv1目前没有开源的能与Radius连接的插件/客户端,最接近的方案应该是XAuth- PAM+pam_radius。不过pam对于DoS攻击的抵抗很弱,因而不是特别好的一个solution。加上Openswan默认编译是不包含 xauthpam的,在使用二进制包管理的服务器上布置的复杂度会更高。
IKEv2要求服务器必须以证书证明身份,即使客户端采用MSCHAPv2认证(用户名+密码)。所以第一步是产生服务器使用的证书:
ipsec pki --gen --outform pem > caKeypem
ipsec pki --self --in caKeypem --dn "C=CH, O=strongSwan, CN=strongSwan CA" --ca --outform pem > caCertpem
这一步产生CA证书,也是稍后会安装到客户端里面的证书,其中CN(Common Name)的值很重要,必须是服务器的域名/IP地址并且跟给客户的值一样。比如说让客户连接1234,那么CN=1234。不能是一边是域名而另外一边是IP地址。
ipsec pki --gen --outform pem > serverKeypem
ipsec pki --pub --in serverKeypem | ipsec pki --issue --cacert caCertpem --cakey caKeypem \
--dn "C=CH, O=strongSwan, CN=strongswanorg" --flag serverAuth --outform pem > serverCertpem
这一步里面产生的服务器证书的CN值必须和上一步里面的一样,至于--flag serverAuth是Windows客户端必需的,作用是表示出这个证书的用途(认证)。
把生成的证书拷到ipsecd/里面:
cp caCertpem /etc/ipsecd/cacerts/
cp serverCertpem /etc/ipsecd/certs
cp serverKeypem /etc/ipsecd/private/
最后在/etc/ipsecsecrets里面添加:
: RSA serverKeypem
这样服务器端的证书准备工作就完成了。
在charon段里面加上:
dns1 = 8888
dns2 = 20867222222
然后在plugin段(charon段内部)里面加上:
eap-radius {
servers {
server {
secret = yourfreeradiussecret
address = radiusserveraddress
}
}
}
这样让Strongswan了解Radius服务器地址和暗码。
接下来修改/etc/ipsecconf:
conn IPSec-IKEv2
keyexchange=ikev2
auto=add
left=serveripaddress
leftsubnet=0000/0
leftauth=pubkey
leftcert=serverCertpem
right=%any
rightsourceip=ipaddressrange
rightauth=eap-radius
rightsendcert=never
eap_identity=%any
解 释下上面几项的含义:leftsubnet是决定要通过tunnel的ip的范围,0000/0是代表所有的IP通讯都通过。 rightsourceip是分配的虚拟地址的范围,也就是客户端登录后得到的IP范围,例如19216810/24意味着 19216801-1921681255为客户端可能的地址范围。rightauth=eap-radius是把客户端的EAP认证请 求转发至radius来处理,%any意味着接受任何类型的eap请求。
配置完成了吗看这样启动后Windows的客户端会提示812错 误,因为Windows默认使用的是EAP-MSCHAPv2,而Freeradius的默认配置是EAP-md5,这可能是Windows的一个 bug,目前我的解决方法是直接把Freeradius的eapconf里面的default_eap_type修改为mschapv2,如有更好的方 法望不吝告知。
这样就建立了一个IKEv2 IPSec隧道。默认情况下加密方法使用3DES,如有需要的话可以在IPSec的配置段里面加上ike=和esp=来修改加密算法。
在使用任何基于RSA服务之前 ,一个实体需要真实可靠的获取其他实体的公钥。需要有以下保障。
公钥基础设施PKI(Public Key Infrastructure),是通过使用公钥技术和数字证书来提供系统信息安全服务,并负责验证数字证书持有者身份的一种体系。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI保证了通信数据的私密性、完整性、不可否认性和 源认证性 。
IPSec身份认证(预共享密钥方式):
IPSec身份认证(PIK中的证书认证方式):
数字证书:
数字证书简称证书,它是一个经证书授权中心CA数字签名的文件,包含拥有者的公钥及相关身份信息。数字证书技术解决了数字签名技术中无法确定公钥是指定拥有者的问题。
证书结构:
最简单的证书包含一个 公钥、名称以及证书授权中心的数字签名 。一般情况下证书中还包括密钥的有效期,颁发者(证书授权中心)的名称,该证书的序列号等信息,证书的结构遵循X509 v3版本的规范。如下图:
证书的各字段解释:
证书类型
证书格式
CA介绍
证书认证机构CA(Certificate Authority)。CA是PKI的信任基础,是一个用于颁发并管理数字证书的可信实体。它是一种权威性、可信任性和公正性的第三方机构,通常由服务器充当,例如Windows Server 2008。
CA通常采用多层次的分级结构,根据证书颁发机构的层次,可以划分为根CA和从属CA。
CA的核心功能就是发放和管理数字证书,包括:证书的颁发、证书的更新、证书的撤销、证书的查询、证书的归档、证书废除列表CRL(Certificate Revocation List)的发布等。
有关CA的特性:
CA颁发证书流程
数字证书验证的过程
图1
图2
图3
证书申请过程
证书申请方式
证书主要有以下申请方式:
证书吊销方式
证书具有一个指定的寿命,但 CA 可通过称为证书吊销的过程来缩短这一寿命。CA 发布一个证书吊销列表 (CRL),列出被认为不能再使用的证书的序列号。CRL 指定的寿命通常比证书指定的寿命短得多。CA 也可以在 CRL 中加入证书被吊销的理由。它还可以加入被认为这种状态改变所适用的起始日期。
可将下列情况指定为吊销证书的理由:
1 实验拓扑
2 实验需求
3 IP地址规划
4 实验步骤
步骤1:IP地址及路由配置
步骤2:配置CA服务器的时钟,Site_1,Site_2向CA同步时钟。并保证Site_1,Site_2时钟已同步。
步骤3:部署证书服务器
步骤4:Site_1向证书服务器申请证书
步骤5:Site_2获取证书
步骤5:部署基础的站点到站点IPsec ***配置
步骤6:测试***的连通性
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)