我遇到了麻烦,需要一些指导,使用具有 Windows 7 防火墙 IP 安全规则的计算机证书,仅将证书用于用户身份验证。使用密码进行用户身份验证,我可以让一切正常工作。但是,我想使用证书。
我找不到任何有关为 IPSEC 用户身份验证制作证书的要求的文档。
我一直在使用makecert创建第三方 CA,然后使用以下 ekus 制作了一些证书:
Server Authentication EKU is 1.3.6.1.5.5.7.3.1
IP security IKE intermediate EKU is 1.3.6.1.5.5.8.2.2
Client Certificate EKU is 1.3.6.1.5.5.7.3.2
有谁知道包含此消息的 Windows 7 防火墙的良好资源或文档?或者之前有没有人创建过这类证书并且愿意帮助我?
在制作证书和要求服务器使用证书身份验证方面,请查看此资源:http: //support.microsoft.com/kb/814394
为了获得证书,以下是通过 HTTPS 进行的便捷方法,因此您无需重新配置防火墙规则集以允许: https ://blogs.technet.com/b/askds/archive/2010 /02/01/certificate-enrollment-web-services.aspx?Redirected=true
我刚刚建立了一个需要一些 ExtendedKeyUsage 的 IPSEC 站点到站点 VPN,我对它进行了一些研究。
用于 Internet 密钥交换的 ExtendedKeyUsage 已被RFC4945弃用
CA 不应在用于 IKE 的证书中包含 ExtendedKeyUsage (EKU) 扩展。请注意,
在 1999 年分配的 EKU 中有三个与 IPsec 相关的对象标识符。
这些值的语义从未明确定义。在 IKE/IPsec 中使用
这三个 EKU 值已过时
,本规范明确弃用。CA 不应该与他们一起颁发
用于 IKE 的证书。(仅供历史参考,这些
值为 id-kp-ipsecEndSystem、id-kp-ipsecTunnel 和 id-kp-ipsecUser
。)
如果此证书仅用于 IKE/IPSEC,建议将 KeyUsage 设置为 digitalSignature、nonRepudiation 或两者。
IKE 在身份验证过程中使用最终实体证书。最终实体证书可用于多个应用程序。因此,CA 可以对应该使用公钥的方式施加一些限制。KeyUsage (KU) 和 ExtendedKeyUsage (EKU) 扩展适用于这种情况。
由于我们正在讨论使用公钥来验证
签名,如果存在 KeyUsage 扩展,那么
必须至少设置 KeyUsage 扩展中的 digitalSignature 或 nonRepudiation 位之一(两者都可以设置)。如果
设置了其他 KeyUsage 位也可以。对等证书验证的逻辑流程摘要如下:
o 如果没有 KU 扩展,继续。
o 如果 KU 存在并且未提及 digitalSignature 或 nonRepudiation(除了其他 KU 之外,两者都可以),拒绝证书。
o 如果以上都不是,请继续。