2023年7月10日发(作者：)

PKI配置举例PKI配置举例

关键词：PKI，CA，RA，IKE，IPsec，SSL

摘 要：PKI是一个用公开密钥原理和技术来实现并提供安全服务的具有通用性的安全基础设施。本文主要介绍应用PKI实现的基于证书认证的IKE典型配置过程，及SSL典型配置应用。

缩略语：

缩略语 英文全名

认证机构

证书吊销列表

超文本传输协议

安全超文本传输协议

Internet信息服务

Internet密钥交互

IP安全

轻量级目录访问协议

公开密钥证书

公钥基础设施

中文解释

CA Certificate Authority

CRL

HTTP

HTTPS

IIS

IKE

IPsec

LDAP

Certificate Revocation List

Hypertext Transfer Protocol

Hypertext Transfer Protocol Secure

Internet Information Service

Internet Key Exchange

Internet Protocol Security

Light-weight Directory Access Protocol

PKC Public Key Certificate

PKI Public Key Infrastructure

RA Registration Authority

注册机构

S/MIME

SCEP

SSL

VPN

Secure/Multipurpose Internet Mail

安全/多用途Internet邮件扩充协议

Extensions

Simple Certification Enrollment Protocol

Secure Sockets Layer

Virtual Private Network

简单证书注册协议

安全套接层

虚拟专用网络

杭州华三通信技术有限公司

第1页，共33页

PKI配置举例目 录

1 特性简介................................................................................................................................3

2 应用场合................................................................................................................................3

3 注意事项................................................................................................................................3

4 基于数字证书的IKE典型配置举例..........................................................................................4

4.1 组网需求......................................................................................................................4

4.2 配置思路......................................................................................................................5

4.3 配置步骤......................................................................................................................5

4.3.1 CA服务器的配置................................................................................................6

4.3.2 RouterA的配置................................................................................................17

4.3.3 Router B的配置...............................................................................................26

4.3.4 验证结果..........................................................................................................31

5 基于数字证书的SSL典型配置举例.......................................................................................32

5.1 组网需求....................................................................................................................32

5.2 配置思路....................................................................................................................33

5.3 配置步骤....................................................................................................................33

6 相关资料..............................................................................................................................33

杭州华三通信技术有限公司

第2页，共33页

PKI配置举例1 特性简介

PKI是一组服务和策略，提供了一个将公钥和用户身份唯一绑定的机制，以及如何实施并维护这个绑定相关信息的框架；是一个通过使用公开密钥技术和数字证书来确保系统信息安全，并负责验证数字证书持有者身份的体系。

PKI的主要功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥；为用户获取证书、访问证书和吊销证书提供途径；利用数字证书及相关的各种服务（证书发布、黑名单发布等）实现通信过程中各实体的身份认证，保证了通信数据的完整性和不可否认性。

2 应用场合

PKI技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施，PKI的应用范围非常广泛，并且在不断发展之中，以下是PKI的典型应用场景。

(1) 虚拟专用网络

VPN是一种构建在公用通信基础设施上的专用数据通信网络，利用网络层安全协议（如IPsec）和建立在PKI上的加密与数字签名技术来获得机密性保护。

(2) 安全电子邮件

电子邮件的安全也要求机密、完整、认证和不可否认，而这些都可以利用PKI技术来实现。目前发展很快的安全电子邮件协议S/MIME，是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术，它采用了PKI数字签名技术并支持消息和附件的加密，无须收发双方共享相同密钥。

(3) Web安全

为了透明地解决Web的安全问题，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。利用PKI技术，SSL协议在协商时完成了对服务器和客户端基于证书的身份认证（其中，对客户端的认证是可选的），保证了通信安全。

3 注意事项

在配置过程中，请注意以下几点：

z

证书中包含有效时间，只有设备与CA服务器的时间同步，设备才能成功获取证书。

杭州华三通信技术有限公司

第3页，共33页

z

PKI配置举例若使用Windows 2003 server作为CA服务器，则服务器上需要安装并启用IIS用于控制和管理CA服务器。其它CA服务器上是否需要安装特殊的插件，请以实际情况为准。

z

为了避免与已有的Web服务冲突，建议修改CA服务器默认网站的TCP端口号。

4 基于数字证书的IKE典型配置举例

作为VPN主要协议的IPsec，为IP层的通信安全提供了有利的保障。在实施IPsec的过程中，可以使用IKE协议来建立SA。但IKE协议在复杂的网络环境中仍然可能因为身份认证机制简单而产生一定的安全隐患。如果将IKE与PKI技术相结合，由基于PKI数字证书的身份认证机制实现强认证，则可以提高VPN网关的安全性和可扩展性。

4.1 组网需求

两个子网通过各自的网关设备与外部网络互联，希望使用IPsec隧道构建数据流的安全通道，具体需求如下：

z

在Router A和Router B之间建立一个IPsec安全隧道对子网Group 1（10.1.1.0/24）与子网Group 2（11.1.1.0/24）之间的数据流进行安全保护。

z

在Router A和Router B之间使用IKE自动协商建立安全通道，IKE自动协商采用基于PKI证书的身份认证方式。

杭州华三通信技术有限公司

第4页，共33页

PKI配置举例

图1 基于证书认证的IKE典型配置组网图

4.2 配置思路

(1) 完成CA服务器的相关配置（本文以Windows 2003 server作为CA server）

(2) 分别在Router A和Router B上完成以下配置：

z

z

z

z

配置PKI，定义证书实体及设置PKI域的相关属性

配置IKE，使用数字签名进行身份认证

配置IPsec，保护两个子网之间的数据流

申请证书，并将证书下载到本地

4.3 配置步骤