本文屬入門級,閱讀對象是已經學習了IKEv2 ×××理論知識,希望掌握實際操作技術的人員。
IKEv2無疑是PPTP、L2TP、SSTP等幾個×××應用中安全級別最高的,它的CA認證,雙向計算機證書的驗證,對保護信息通信十分有效,尤其是可以允許底層網絡短時間斷開,自動鏈接的特點,是許多人希望學習掌握的。但是微軟官網上說“您無法通過用戶界面配置IKEv2。僅能使用Windows PowerShell接口進行配置。”,這讓想嘗試IKEv2的初學者非常遺憾。我經過多次嘗試,發現通過窗口操作,也能實現服務器到客戶端計算機的IKEv2連接,實現加密通信,全程不用寫代碼,不用第三方插件。所謂破解,其實是用小技巧解決了不能通過“用戶界面”來配置IKEv2的問題,適合初學者掌握操作。下面介紹的就是操作過程。
先來看看配置IKEv2網絡的先決條件:
1.已經具有用於計算機身份驗證的公鑰基礎結構 ,可以用服務器上內置證書頒發機構。
2.計算機是否支持IKEv2,Windows Server8以上服務器均支持,客戶端Win7以上均支持。
3.一個支持IKEv2的路由器,Windows server8以上服務器內置
實現IKEv2要完成以下任務:任務1、服務器安裝證書頒發機構,獲得CA根證書。這個證書是合法、長期有效的。只不過在聯網前要把CA根證書(就是公鑰)安裝到所有參與的計算機中,如果是域結構可以設置成自動頒發,如果非域結構就要手動安裝了,好在網絡是封閉結構,計算機數量不會太多,工作量不會太大,而且只是部署時忙一次。我看到某官網介紹配置IKEv2視頻,不提域結構,不提如何自動頒發CA根證書,學員如果只按照它提示的操作,根本實現不了IKEv2,這種做法是有意爲之,就是不想讓你學到真本事,不想讓普通人掌握IKEv2技術。
任務2、把CA根證書安裝到客戶端。如果你打算把證書頒發機構和×××服務器放在一臺計算機上,就不用在服務器上重複安裝CA根證書,否則要在×××服務器上安裝CA根證書。
任務3、申請並安裝×××服務器證書
任務4、安裝提供IKEv2服務的服務器
任務5、配置訪問IKEv2網絡的用戶
任務6、申請客戶端證書並安裝
任務7、客戶端設置IKEv2連接
爲了完成這7個任務,要搭建一個最簡單網絡,並且能夠聯通。
下面是操作過程的全部屏幕截圖,共180張,包括服務器和客戶端。
正文的前57張圖,已經在本論壇《Server2016內置CA證書搭建IKEv2詳細步驟180張截圖1-57》一文中發表,其餘待續。 一名退休教師