第一步:证书准备
cd /etc/pki/CA
openssl req -newkey rsa:2048 -x509 -days 365 -out
// CN-HN-SY-SYZY-XXJS-CA_ROOT (剩下的都按回车)
cacert.pem -keyout cakey.pem
mv cakey.pem private/
cd ~/certs
openssl req -newkey rsa:2048 -new -out r1csr.csr -keyout r1key.pem
// CN-HN-SY-SYZY-XXJS-R1 (剩下的都按回车)
openssl req -newkey rsa:2048 -new -out r2csr.csr -keyout r2key.pem
// CN-HN-SY-SYZY-XXJS-R2 (剩下的都按回车)
使用CA为r1和r2颁发证书
touch /etc/pki/CA/index.txt
echo 01 > /etc/pki/CA/serial4
openssl ca -in r1csr.csr -out r1cert.pem
openssl ca -in r1csr.csr -out r1cert.pem
导出目录~/certs
导出目录cd /etc/pki/CA/下的cacert.pem
第二步
ENSP拓扑图准备
两台client的基础配置
# r1
sys
sys r1
int g0/0/1
ip ad 172.16.1.1 24
quit
# r2
sys
sys r1
int g0/0/2
ip ad 172.16.1.1 24
quit
# r1 & r2
ftp server enable
local-user ftpuser password cipher 123456
local-user ftpuser privilege level 15
local-user ftpuser ftp-directory flash:/
local-user ftpuser service-type ftp
打开client1和client2 进入客户端消息
登入成功后,client1传输文件r1key.pem,r1cert.pem,cacert.pem,client2传输文件r2key.pem,r2cert.pem,cacert.pem
注:如果连接不上或者密码没有错误但是报密码错误,那么再使用一次命令local-user ftpuser privilege level 15
第三步思路
acl
ipsec安全提议
ike安全提议【不要选共享密钥,选签名】
ike peer b
local-id-type dn【】
remote-id-type dn【证明对方是不是ok的】
certificate local-filename a_local.cer【你的证书在哪里】
remote-id
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 【自荐】一款简洁、开源的在线白板工具 Drawnix
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY
· Docker 太简单,K8s 太复杂?w7panel 让容器管理更轻松!