Поиск 0
8 499 455-06-82
с 9:00 до 18:00 по будням
info@digitalangel.ru
Draytek

Как использовать цифровую подпись X.509 для аутентификации IPsec VPN между Vigor3900 / 2960 и Vigor Router

Vigor3900 может действовать как сервер CA, и мы можем использовать эту функцию для создания сертификата, который можно использовать для аутентификации туннеля IPsec между Vigor3900 и другим маршрутизатором Vigor для повышения безопасности. Ниже показан пример построения туннеля IPsec VPN с сертификатом X.509 между Vigor3900 и Vigor2920.

1. Убедитесь, что время на Vigor3900 и Vigor2920 одинаковое.

настройки времени

2. На Vigor3900 перейдите в  Certificate Management >> Trusted CA Certificate. Выберите Build RootCA, введите необходимую информацию, нажмите Применить.

построить rootCA

3. Загрузите файл RootCA.

скачать rootCA

4. На Vigor2920 откройте Управление сертификатами >> Надежный сертификат ЦС, нажмите IMPORT, чтобы загрузить RootCA.

импорт CA

5. Выберите сертификат, загруженный с Vigor3900, и нажмите Import.

загрузить CA

6. После завершения импорта убедитесь, что сертификат был успешно импортирован. Если да, это будет выглядеть следующим образом:

CA ОК

7. Откройте «Certificate Management >> Local Certificate» и нажмите «Generate», чтобы создать запрос на сертификат.

генный сертификат

8. Введите необходимую информацию и нажмите «Generate».

ген cert2

9. Скопируйте содержимое запроса локального сертификата X509 и сохраните его как файл .crt.

копия сертификата

10. Теперь вернитесь к Vigor3900. Откройте «Certificate Management >> Remote Certificate», в поле «Select File» выберите запрос сертификата, созданный Vigor2920, и нажмите «Upload».

импортный сертификат на 3900

11. Щелкните "Sign".

подписать сертификат

12. В диалоговом окне «Issue Certificate» введите ключ в поле «Password». Щелкните «Issue», чтобы утвердить запрос сертификата от Vigor2920.

выдавать сертификат

13. Загрузите утвержденный сертификат с Vigor3900, нажав кнопку «Загрузить».

скачать сертификат

14. Вернитесь к Vigor2920 и импортируйте выданный сертификат. Откройте Certificate Management >> Local Certificate, нажмите IMPORT.

импортный сертификат

15. Выберите файл, загруженный с Vigor3900, нажмите «import».

загрузить сертификат

16. По завершении сообщение, отображаемое в разделе «Состояние», изменится с «Requesting» на «ОК». Вы также можете нажать кнопку «View», чтобы просмотреть статус выданного сертификата.

сертификат ОК

17. Теперь Vigor3900 должен выдать сертификат для себя и использовать этот сертификат для создания VPN-туннеля с Vigor2920. Откройте Certificate Management >> Local Certificate и выберите Создать. Введите необходимую информацию и включите самоподпись. Введите тот же ключ, что и парольная фраза, установленная для выдачи сертификата корневого центра сертификации с помощью Vigor2920 (шаг 12).

местный сертификат

18. Теперь локальный сертификат CA для Vigor3900 настроен. Вы можете обнаружить, что статус будет отображаться как «ОК».

местный сертификат в порядке

19. Вернитесь к Vigor2920, откройте Remote Access >> IPsec Peer Identity, чтобы добавить новый профиль VPN для IPsec Peer Identity.

одноранговая идентичность

20. Установите профиль IPsec VPN для исходящего вызова. Откройте VPN and Remote Access >> LAN to LAN. Выберите Цифровая подпись (X.509) для метода аутентификации IKE. И выберите профиль однорангового идентификатора, созданный на предыдущем шаге.

vpn out

21. Вернитесь к Vigor3900, чтобы настроить политику VPN. Откройте VPN and Remote Access >> IPSec, чтобы добавить новый профиль VPN с телефонным подключением. Установите для параметра Тип аутентификации значение RSA и выберите сертификат, созданный на шаге 17.

vpn в

22. Наконец, мы можем проверить, успешно ли установилась VPN.

впн вверх


 

Поиск по каталогу
Например Termit iRZ модем Rl21 Atm21 Антенна 906 sma 47270
Поиск по базе знаний
Например ATM control iRZ collector iRZ bridge Termit Настройка ALFA
Мы используем cookie-файлы