轉載請註明出處:http://blog.csdn.net/zhangyang0402/archive/2010/05/24/5620314.aspx
測試環境:
|
Machine |
Windows version |
IP |
|
CA server |
Windows server 2003 |
172.16.113.176 |
|
client1 |
Windows XP |
172.16.113.175 |
|
client2 |
Windows server 2003 |
172.16.113.177 |
一、CA Server配置
1.安裝DC
開始->運行->dcpromo
按照提示,一步步往下安裝,最後重啓機器
2.安裝IIS
添加/刪除Windows組件中->應用程序服務器->ASP.net+IIS
3.安裝CA
控制面板->添加刪除程序->添加/刪除windows組件->證書服務
CA類型:企業根
CA的公用名稱:caroot
證書數據庫設置:默認
4.爲DC機器申請證書
在瀏覽器打開http://localhost/certsrv
申請一個證書->高級證書申請->創建並向此CA提交一個申請->
證書模板:系統管理員
勾選上“將證書保存在本地計算機存儲中"
->提交->安裝此證書
在mmc->證書->本地計算機中->個人證書中,可看到安裝的證書
二、客戶端配置
client1和client2分別進行下面4步操作
在瀏覽器打開http://172.16.113.176/certsrv
輸入用戶名和密碼,
1. 下載CA證書
單擊“下載一個CA證書, 證書鏈或CRL”鏈接, 單擊“下載CA證書”, 將certnew.cer保存
2. 導入CA證書
開始>運行->mmc->File->Add/Remove snap-in->Add->Certificates->Computer account
右擊"受信任的根證書頒發機構”下的“證書“->所有任務->導入, 選擇上面的certnew.cer,導入根CA即可。
3. 申請個人證書
返回到http://172.16.113.176/certsrv/
申請一個證書->高級證書申請->創建並向此CA提交一個申請->
證書模板:用戶
勾選上“將證書保存在本地計算機存儲中"
->提交->安裝此證書
4.配置IPsec
在MMC上配置ipsec,名稱爲"secure icmp",爲ping添加安全通訊,身份驗證方法選證
書頒發機構,瀏覽選擇根CA的證書,導入
三、測試
在Clinet1上嘗試ping通client2
雙方未指派secure icmp策略前
>ping 172.16.113.177
Pinging 172.16.113.177 with 32 bytes of data:
Reply from 172.16.113.177: bytes=32 time<1ms TTL=128
Reply from 172.16.113.177: bytes=32 time<1ms TTL=128
Reply from 172.16.113.177: bytes=32 time<1ms TTL=128
Reply from 172.16.113.177: bytes=32 time<1ms TTL=128
Ping statistics for 172.16.113.177:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
雙方指派secure icmp策略後
>ping 172.16.113.177
Pinging 172.16.113.177 with 32 bytes of data:
Negotiating IP Security.
Reply from 172.16.113.177: bytes=32 time<1ms TTL=128
Reply from 172.16.113.177: bytes=32 time<1ms TTL=128
Reply from 172.16.113.177: bytes=32 time<1ms TTL=128
測試成功