五 Linux简明系统维护手册( 五 ) _云知道

3．2 在服务器端生成windows可以认的p12格式的密钥。
openssl pkcs12 -export -in win.rd.xxx.com.pem -inkey win.rd.xxx.com.key -certfile demoCA/cacert.pem -out win.rd.xxx.com.p12
3．3 用命令察看环境：最好把结果输出到文件记住，以后用得到。
openssl x509 -in demoCA/cacert.pem -noout -subject
3．4 把上面生成的p12文件传送到总经理的机器上，放在一个正规的地方（这个文件很重要）。
3．5 在总经理的机器上从http://vpn.ebootis.de站点下载：ipsec.exe
3．6 在总经理的机器上从： http://agent.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpolo.asp站点下载windwos2000的ipsec资源工具。
3．7 安装上述两个软件，并且把他们放在同一个目录中。
3．8 建立一个ipsec的MMC：（希望你知道MMC是什么）
依次进入Start/Run/MMC，
File (or Console) - Add/Remove Snap-in单击 "Add"选 "Certificates", 然后选 "Add"选 "Computer Account", 然后点 "Next".选 "Local computer", 然后点 "Finish".选 "IP Security Policy Management", 然后点 "Add".选 "Local Computer", 然后点 "Finish"选 "Close" 然后点 "OK"
3．9 增加一个证书
展开左侧窗口中 "Certificates (Local Computer)"
右键 "Personal", 选 "All Tasks" 然后点 "Import"
点 Next
输入哪个.p12 文件的路径 (就是刚才你从服务器网关复制过来的,浏览选择也可), 然后点"Next" 输入export password（密码）, 然后点Next 选"Automatically select the certificate store based on the type of certificate", 然后点Next 点Finish, 如果有任何提示窗口弹出都选yes 退出MMC, 保存当前配置到管理工具中，这样就不用每次都重新来过了。以上所做就增加了一个证书到总经理的机器上。
3.10设置ipsec工具：
编辑总经理机器上的ipsec.conf文件，把rightca的=后面写成刚才openssl x509 -in demoCA/cacert.pem -noout –subject命令生成的结果。类似下面这样：
conn roadwarrior left=%any right=(ip_of_remote_system) rightca="C=US,S=State,L=City,O=21vianet,CN=CA,Email=ca@xxx.com" network=auto auto=start pfs=yesconn roadwarrior-net left=%any right=(ip_of_remote_system) rightsubnet=192.168.1.0/24 rightca="C=US,S=State,L=City,O=21vianet,CN=CA,Email=ca@xxx.com" network=auto auto=start pfs=yes
黑体部分要注意配置正确。
3.12运行ipsec.exe有下面输出：
C:ipsec>ipsecIPSec Version 2.1.4 (c) 2001,2002 Marcus MuellerGetting running Config ...Microsoft"s Windows XP identifiedHost name is: (local_hostname)No RAS connections found.LAN IP address: (local_ip_address)Setting up IPSec ...Deactivating old policy...Removing old policy...Connection roadwarrior:MyTunnel: (local_ip_address)MyNet: (local_ip_address)/255.255.255.255PartnerTunnel: (ip_of_remote_system)PartnerNet: (ip_of_remote_system)/255.255.255.255CA (ID): C=US,S=State,L=City,O=ExampleCo,...PFS: yAuto : startAuth.Mode: MD5Rekeying: 3600S/50000KActivating policy...Connection roadwarrior-net:MyTunnel: (local_ip_address)MyNet: (local_ip_address)/255.255.255.255PartnerTunnel: (ip_of_remote_system)PartnerNet: (remote_subnet)/(remote_netmask)CA (ID): C=US,S=State,L=City,O=ExampleCo,...PFS: yAuto : startAuth.Mode: MD5Rekeying: 3600S/50000KActivating policy...C:ipsec>
这时候你从客户端ping服务器后面的内网得到几个"Negotiating IP Security"之后就可以ping通了。这样总经理带着这台笔记本到有互联网络的地方就可以象在办公室一样连接到公司里了。
值的注意的是，出于安全性的问题，我们建议你关闭VPN网关上面的所有其他服务，并仔细配置防火墙。通常的，如果你希望把所有的流量都发送给主站网关，在从站就不需要增加iptables策略。否则，需要增加这样一条策略：
iptables –t nat –A POSTROUTING –o eth0 –j MASQUERADE
在主站由于路由的原因，需要增加下面的策略：

五 Linux简明系统维护手册( 五 )

推荐阅读

鸡组织滴虫病病原是什么

vincent歌词 vincent歌曲简介

荣耀战魂实用作战技巧一览荣耀战魂战斗技巧分享

如何设置锁屏密码怎么设置锁屏密码

苹果11.3系统怎么关降频

mate40保时捷版和典藏版有什么区别

佛山禅城有什么公园好玩?

春菜怎么炒

为什么大家热衷于游戏里的换装

司徒未是什么电视剧司徒末哪部电视剧的女主

诺基亚金属外壳手机有哪些,疑诺基亚全新金属手机曝光

联想玩游戏台式机，联想刃7000k台式主机玩游戏好嘛

泉城是哪个城市泉城是哪个城市的别称

双语班306能上什么大学,总分306能上不

北京大学筑梦计划都考什么,筑梦计划是高校专项吗

茱萸怎么读，这两个茱萸