在PIX和使用智能卡证书的CiscoVPN客户端之间.PDF

在PIX和使用智能卡证书的Cisco VPN客户端之间 的IPSec配置示例 目录 简介 先决条件 要求 使用的组件 规则 登记并且配置PIX 配置 登记Cisco VPN客户端证书 配置Cisco VPN Client为了使用证书对PIX的连接 安装Etoken智能卡驱动器 验证 故障排除 相关信息 简介 本文展示了如何配置PIX防火墙和Cisco VPN客户端4.0.x之间的IPSec VPN隧道。本文的配置示例 还突出强调了Cisco IOS®路由器和Cisco VPN客户端的证书机构(CA)登记程序，并且将 Smartcard用作证书存贮。 参考配置在使用委托认证的Cisco IOS路由器和Cisco VPN Client之间的IPSec为了得知更多配置在 使用委托认证的Cisco IOS路由器和Cisco VPN Client之间的IPSec。 参考配置Cisco IOS路由器的多重身份CA为了得知更多配置Cisco IOS路由器的多重身份CA。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档中的信息基于以下软件和硬件版本： 运行软件版本的Cisco PIX防火墙6.3(3) 运行Windows XP的PC的Cisco VPN Client 4.0.3 Microsoft Windows 2000 CA服务器用于本文作为CA服务器。 使用Aladdin eToken智能卡，在Cisco VPN Client的证书 存储。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 登记并且配置PIX 本部分提供有关如何配置本文档中所述功能的信息。 注意： 要查找有关本文档中所使用的命令的详细信息，请使用命令查找工具 （仅限注册用户 ）。 配置 本文档使用以下配置。 在PIX防火墙的证书登记 PIX 防火墙配置 在PIX防火墙的证书登记 ! Define a hostname and domain name for the router. ! The fully qualified domain name (FQDN) is used ! as the identity of the router during certificate enrollment. pix(config)#hostname sv2-11 sv2- 11(config)#domain-name ! Confirm that you have the correct time set on the PIX. show clock clock set hh:mm:ss {day month | month day} year !- -- This command clears the PIX RSA keys. ca zeroize rsa ! Generate RSA (encryption and authentication) keys. ca gen rsa key ! Select the modulus size (512 or 1024). ! Confirm the keys generated. show ca mypub rsa ! Define the CA identity. ca ident kobe :/certsrv/mscep/mscep.dll ca conf kobe ra 1 20 crlopt ca auth kobe ca enroll kobe [ipaddress] ! Confirm the certificate and validity. show ca cert PIX 防火墙配置 PIX Version 6.3(3) interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto shutdown interface ethernet3 auto shutdown interface ethernet4 auto shutdown interface ethernet5 auto shutdown nameif ethernet0 outside security0 nameif etherne