如何在CYLAN VPN上使用证书

CYLAN VPN的功能非常强大，在这里主要介绍一下如何在IPSEC里通过x.509证书验证身份。

CYLAN VPN的配置光盘里有一个OPENSSL可执行文件，这个文件可以作证书，或者用专门的CA机构颁发的证书也可以，下面介绍一下如何用CYLAN 的OPENSSL作x.509证书。

首先，进入命令行模式下，输入以下命令：

1、 生成一个CA目录

mkdir rootCA

2、 生成一个证书序列号

echo 01 >rootCA/serial

3、 生成一个CA数据库文件

type nul >rootCA/index.txt

4、 生成一个自定义的CA证书

openssl req –config openssl.cnf –new –x509 –keyout rootCA/ca.key –out rootCA/ca.pem –days DAYS_VALID –nodes

以上是CA的生成，下面是要颁发证书给VPN，步骤如下：

1、 生成一个证书请求

openssl req –config openssl.cnf –new –keyout cert1.key –out cert1.req

2、 通过CA生成一个带私钥的证书

openssl ca –config openssl.cnf –out cert1.pem –notext –infiles cert1.req

重复以上操作，再生成一个证书，好了，这样我们就有两个证书了，下面通过两台VPN介绍如何在IPSEC里使用证书。

首先进入一台VPN的配置界面，点击IPSEC，再点证书名单，如下图：

在这里添加CA证书，本地证书和本地私钥。如下图：

下面在另一台VPN上添加证书：

下面是两台VPN的具体配置图：

VPN1配置如下：

VPN2配置如下：

至此，两台VPN的IPSEC隧道已经建立了，而且是通过证书验证身份的。如下图：

(c001)