Internet 协议安全 (I ec) 循序渐进指南(六)

Internet 协议安全 (I ec) 循序渐进指南(六) - 故障解答 - 电脑教程网

Internet 协议安全 (I ec) 循序渐进指南(六)

日期:2007-08-29   荐:
测试自定义 I ec 策略   现在您已经建立了一个 I ec 策略,您应在将它应用到网络上之前进行测试。   测试自定义 I ec 策略   1. 在 MMC 控制台的左窗格中,选择本地计算机上的 I 安全策略。注意除三个内置策略之外,您刚刚配置的伙伴策略列在右窗格中。
  2. 右击 artner,然后单击上下文菜单中的指派。策略已指派列中的状态应从否变为是。在继续之前在两台计算机上都执行此步骤。
  3. 打开命令提示符窗口,然后键入 ing artners-ip-addre 。您应接收到四个协商 I 安全响应。重复该命令,您应接收到四个成功的 ing 答复。
  4. 还原 I 安全监视器窗口(您以前曾将其最小化)。您应看到当前在两台计算机之间使用的安全关联的细节,以及其中传输的已验证的和保密的字节数的统计信息。再将此窗口最小化。
  5. 在 MMC 控制台的左窗格中,选择计算机管理,浏览到系统工具,到事件查看器,然后再选择安全。在安全日志中,您应看到事件 541,它说明建立了 I ec 安全关联 (SA)。
  6. 重复步骤 3 撤消伙伴策略,并将两台计算机返回到它们以前的状态。当右击策略时,单击撤消指派。 使用证书验证身份   Window 2000 I ec 实现提供了在 IKE 使用证书期间验证计算机身份的功能。所有证书验证都由加密的 API (CAPI) 执行。IKE 只是用来协商使用哪些证书,并为证书凭据的交换提供安全。I ec 策略指定使用哪些根证书颁发机构 (CA),而不指定使用哪个特定的证书。在 I ec 策略配置中双方都必须有公用的根 CA。   下面是对用于 I ec 的证书的要求:   ? 证书存储在计算机帐户(计算机存储)中
  ? 证书包含一个 RSA 公钥,该公钥具有可用来进行 RSA 签名的对应的私钥。
  ? 在证书有效期内使用
  ? 根证书颁发机构受信任
  ? 可以由 CAPI 模块建立有效的证书颁发机构链   这些要求是相当基本的。I ec 不要求计算机证书是 I ec 类型的证书,因为现有的证书颁发机构可能不颁发这些类型的证书。   获得测试用的 Microsoft 证书   必须首先从证书服务器获得有效的证书。即使您有要使用的另一台证书服务器,仍应首先获得测试用的 Microsoft 证书。可以使用任何有效的计算机证书。不使用基于用户的证书。我们已经测试多个证书系统之间的兼容性,包括 Microsoft、Entrust、VeriSig 和 etscape。   备注 不是所有的证书服务器都自动给您的计算机颁发证书。证书必须出现在个人证书下的本地计算机帐户中,并在“受信任的根证书颁发机构”存储中有根 CA 证书。有关如何从非 Microsoft 证书服务器上获得计算机证书的详细信息,请查阅 Certificate Authority tep-by-ste guides,它位于 Window 2000 tep-by-Ste Guide We 站点 获得证书   1. 打开 Internet Explorer 并转到证书颁发机构站点。如果您没有另一个从中接收证书的站点,请使用: http://sectestca1.rte.microsoft.com/ 本站点提供到四个证书颁发机构的访问途径。为了简明起见,本步骤使用独立根 CA (sectestca3) 颁发的证书。
  2. 选择独立根 (RSA 2048)。
  3. 选择申请证书,然后单击下一步。
  4. 选择高级请求,然后单击下一步。
  5. 选择使用表格提交一个证书申请。   在高级证书申请表格中,输入下列内容:   o 标识信息:按需要。
  o 预期目的:客户身份验证或服务器身份验证。   此字段设置证书中的 extended key usage 字段。还有一个 I ec 证书字段支持仍在由标准化团体开发的规范。如果您想与其它要求互操作的 I ec 版本互操作,您可以使用此类型。但是,Window 2000 I ec 证书身份验证使用计算机帐户中的任何有效的证书,这就是说扩展密钥用法的任何设置都是可接受的。在 I ec 策略中限制只使用 I ec 证书是行不通的。如果在本地计算机上的个人证书文件夹中有多个计算机证书,则只选择一个。从规则的身份验证方法中的第一个根 CA 开始,所选择的证书将是有回到该根 CA 的信任路径的第一个证书。   o 加密服务提供程序:Microsoft ase Cryptographic rovider v1.0
标签: