2. 然后,因为需要使用用户证书和ca证书,所以导入证书到防火墙,在菜单“vpn→证书→用户证书(私钥)”中,点击“添加”按钮,添加用户证书(私钥),得到以下结果;
点击“ca证书”链接,在“vpn→证书→ca证书”中添加ca证书,得到以下结果;
本例中,用户证书和ca证书的唯一标识名和发行者分别为:
ca证书为自签证书。
3. 在菜单“vpn→ipsec ike网关”中,点击“添加”按钮,添加一条连接两个防火墙的ipsec ike网关。认证类型涉及证书的选项有两个:‘证书(直接使用对方证书)’和‘证书(使用基于ca证书的信任链。
其区别如下:
两个防火墙都要配置ipsec ike网关,需要注意证书的对应关系,如果认证类型为‘证书(使用基于ca证书的信任链)’需要认真填写对方dn,如与对方用户证书的dn不符,隧道无法连通。关于本地/远程网络的配置见下表:
4. 然后,在菜单“vpn→ipsec自动”中,点击“添加”按钮,添加一条使用ipsec ike网关“auto-cert”的ipsec自动密钥隧道,注意,本地子网是subnet1,远程子网是subnet2,并选择是否接收nat穿越。
5. 最后,在菜单“防火墙→策略”中,点击“添加”按钮,添加一条使用ipsec自动密钥隧道“auto-cert”的策略,激活ipsec自动密钥隧道,并在防火墙上设置相应的策略以保证符合条件的流量通过。
