ipsec證書

① 怎樣實現用IPSec證書進行身份驗證的L2TP/IPSec遠程訪問

需要安裝CA(證書伺服器),再去申請. 在L2TP連接中可以導入該證書

② PKI和IPsec的區別

我給你回答：
PKI，是基於公私鑰密鑰的一整套體系，主要圍繞數字證書的管理和應用。
IPsec是一種協議，范圍較小，也是PKI的一種應用，需要數字證書的支持。
PKI的應用相當廣泛，比如你使用網銀、支付寶等，使用https加密登錄，使用數字證書等，都屬於pki的范疇。
ipsec使用范圍較窄，主要應用於分支機構和總公司之間的加密通訊，一般不直接面對普通用戶。而且它的實現主要也依賴於數字證書提供的加解密。

③ IPSEC是什麼

IPSec 協議不是一個單獨的協議，它給出了應用於IP層上網路數據安全的一整套體系結構，包括網路認證協議 Authentication Header（AH）、封裝安全載荷協議Encapsulating Security Payload（ESP）、密鑰管理協議Internet Key Exchange （IKE）和用於網路認證及加密的一些演算法等。IPSec 規定了如何在對等層之間選擇安全協議、確定安全演算法和密鑰交換，向上提供了訪問控制、數據源認證、數據加密等網路安全服務。
一、安全特性
IPSec的安全特性主要有：
·不可否認性 "不可否認性"可以證實消息發送方是唯一可能的發送者，發送者不能否認發送過消息。"不可否認性"是採用公鑰技術的一個特徵，當使用公鑰技術時，發送方用私鑰產生一個數字簽名隨消息一起發送，接收方用發送者的公鑰來驗證數字簽名。由於在理論上只有發送者才唯一擁有私鑰，也只有發送者才可能產生該數字簽名，所以只要數字簽名通過驗證，發送者就不能否認曾發送過該消息。但"不可否認性"不是基於認證的共享密鑰技術的特徵，因為在基於認證的共享密鑰技術中，發送方和接收方掌握相同的密鑰。
·反重播性 "反重播"確保每個IP包的唯一性，保證信息萬一被截取復制後，不能再被重新利用、重新傳輸回目的地址。該特性可以防止攻擊者截取破譯信息後，再用相同的信息包冒取非法訪問權（即使這種冒取行為發生在數月之後）。
·數據完整性 防止傳輸過程中數據被篡改，確保發出數據和接收數據的一致性。IPSec利用Hash函數為每個數據包產生一個加密檢查和，接收方在打開包前先計算檢查和，若包遭篡改導致檢查和不相符，數據包即被丟棄。
·數據可靠性（加密） 在傳輸前，對數據進行加密，可以保證在傳輸過程中，即使數據包遭截取，信息也無法被讀。該特性在IPSec中為可選項，與IPSec策略的具體設置相關。
·認證 數據源發送信任狀，由接收方驗證信任狀的合法性，只有通過認證的系統才可以建立通信連接。
二、基於電子證書的公鑰認證
一個架構良好的公鑰體系，在信任狀的傳遞中不造成任何信息外泄，能解決很多安全問題。IPSec與特定的公鑰體系相結合，可以提供基於電子證書的認證。公鑰證書認證在Windows 2000中，適用於對非Windows 2000主機、獨立主機，非信任域成員的客戶機、或者不運行Kerberos v5認證協議的主機進行身份認證。
三、預置共享密鑰認證
IPSec也可以使用預置共享密鑰進行認證。預共享意味著通信雙方必須在IPSec策略設置中就共享的密鑰達成一致。之後在安全協商過程中，信息在傳輸前使用共享密鑰加密，接收端使用同樣的密鑰解密，如果接收方能夠解密，即被認為可以通過認證。但在Windows 2000 IPSec策略中，這種認證方式被認為不夠安全而一般不推薦使用。
四、公鑰加密
IPSec的公鑰加密用於身份認證和密鑰交換。公鑰加密，也被稱為"不對稱加密法"，即加解密過程需要兩把不同的密鑰，一把用來產生數字簽名和加密數據，另一把用來驗證數字簽名和對數據進行解密。
使用公鑰加密法，每個用戶擁有一個密鑰對，其中私鑰僅為其個人所知，公鑰則可分發給任意需要與之進行加密通信的人。例如：A想要發送加密信息給B，則A需要用B的公鑰加密信息，之後只有B才能用他的私鑰對該加密信息進行解密。雖然密鑰對中兩把鑰匙彼此相關，但要想從其中一把來推導出另一把，以目前計算機的運算能力來看，這種做法幾乎完全不現實。因此，在這種加密法中，公鑰可以廣為分發，而私鑰則需要仔細地妥善保管。
五、Hash函數和數據完整性
Hash信息驗證碼HMAC（Hash message authentication codes）驗證接收消息和發送消息的完全一致性（完整性）。這在數據交換中非常關鍵，尤其當傳輸媒介如公共網路中不提供安全保證時更顯其重要性。
HMAC結合hash演算法和共享密鑰提供完整性。Hash散列通常也被當成是數字簽名，但這種說法不夠准確，兩者的區別在於：Hash散列使用共享密鑰，而數字簽名基於公鑰技術。hash演算法也稱為消息摘要或單向轉換。稱它為單向轉換是因為：
1）雙方必須在通信的兩個端頭處各自執行Hash函數計算；
2）使用Hash函數很容易從消息計算出消息摘要，但其逆向反演過程以目前計算機的運算能力幾乎不可實現。
Hash散列本身就是所謂加密檢查和或消息完整性編碼MIC（Message Integrity Code），通信雙方必須各自執行函數計算來驗證消息。舉例來說，發送方首先使用HMAC演算法和共享密鑰計算消息檢查和，然後將計算結果A封裝進數據包中一起發送；接收方再對所接收的消息執行HMAC計算得出結果B，並將B與A進行比較。如果消息在傳輸中遭篡改致使B與A不一致，接收方丟棄該數據包。
有兩種最常用的hash函數：
·HMAC-MD5 MD5（消息摘要5）基於RFC1321。MD5對MD4做了改進，計算速度比MD4稍慢，但安全性能得到了進一步改善。MD5在計算中使用了64個32位常數，最終生成一個128位的完整性檢查和。
·HMAC-SHA 安全Hash演算法定義在NIST FIPS 180-1，其演算法以MD5為原型。 SHA在計算中使用了79個32位常數，最終產生一個160位完整性檢查和。SHA檢查和長度比MD5更長，因此安全性也更高。
六、加密和數據可靠性
IPSec使用的數據加密演算法是DES--Data Encryption Standard（數據加密標准）。DES密鑰長度為56位，在形式上是一個64位數。DES以64位（8位元組）為分組對數據加密，每64位明文，經過16輪置換生成64位密文，其中每位元組有1位用於奇偶校驗，所以實際有效密鑰長度是56位。 IPSec還支持3DES演算法，3DES可提供更高的安全性，但相應地，計算速度更慢。
七、密鑰管理
·動態密鑰更新
IPSec策略使用"動態密鑰更新"法來決定在一次通信中，新密鑰產生的頻率。動態密鑰指在通信過程中，數據流被劃分成一個個"數據塊"，每一個"數據塊"都使用不同的密鑰加密，這可以保證萬一攻擊者中途截取了部分通信數據流和相應的密鑰後，也不會危及到所有其餘的通信信息的安全。動態密鑰更新服務由Internet密鑰交換IKE（Internet Key Exchange）提供，詳見IKE介紹部分。
IPSec策略允許專家級用戶自定義密鑰生命周期。如果該值沒有設置，則按預設時間間隔自動生成新密鑰。
·密鑰長度
密鑰長度每增加一位，可能的密鑰數就會增加一倍，相應地，破解密鑰的難度也會隨之成指數級加大。IPSec策略提供多種加密演算法，可生成多種長度不等的密鑰，用戶可根據不同的安全需求加以選擇。
·Diffie-Hellman演算法
要啟動安全通訊，通信兩端必須首先得到相同的共享密鑰（主密鑰），但共享密鑰不能通過網路相互發送，因為這種做法極易泄密。
Diffie-Hellman演算法是用於密鑰交換的最早最安全的演算法之一。DH演算法的基本工作原理是：通信雙方公開或半公開交換一些准備用來生成密鑰的"材料數據"，在彼此交換過密鑰生成"材料"後，兩端可以各自生成出完全一樣的共享密鑰。在任何時候，雙方都絕不交換真正的密鑰。
通信雙方交換的密鑰生成"材料"，長度不等，"材料"長度越長，所生成的密鑰強度也就越高，密鑰破譯就越困難。 除進行密鑰交換外，IPSec還使用DH演算法生成所有其他加密密鑰。

④ win10 VPN錯誤原因 IPSec 的 L2TP 協議的連接要求安裝一個機器證書，它也叫做計算機證書

VPN一般指虛擬專用網路
虛擬專用網路的功能是：在公用網路上建立專用網路，進行加密通專訊。在屬企業網路中有廣泛應用。VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。VPN有多種分類方式，主要是按協議進行分類。VPN可通過伺服器、硬體、軟體等多種方式實現。

⑤ 定義 IPSec 身份驗證方法

定義 IPSec 身份驗證方法
1.
創建包含「IP 安全策略」的控制台。或打開一個已保存的包含「IP 安全策略」的控制台文件。

2.
雙擊要修改的策略。

3.
雙擊要修改的規則。

4.
在「身份驗證方法」選項卡上，單擊「添加」。或者，如果要重新配置現有的方法，可單擊身份驗證方法，然後單擊「編輯」。

5.
選擇希望添加或修改的身份驗證方法：

• 當該規則適用於被 Windows 2000 或 Windows Server 2003 Active Directory 域或受信任的 Active Directory 域驗證為有效的計算機時，要將 Kerberos V5 安全協議用於身份驗證服務，請單擊「Active Directory 默認（Kerberos V5 協議）」。

• 要將公鑰證書用於身份驗證服務，請單擊「使用由此證書頒發機構 (CA) 頒發的證書」，然後單擊「瀏覽」選擇根 CA。

• 要防止將 CA 的名稱與證書請求一同發送，請選中「從證書請求中排除 CA 名稱」復選框。

• 要啟用證書到帳戶的映射，請選中「啟用證書到帳戶的映射」復選框。

• 要指定使用自己的密鑰進行身份驗證，請單擊「使用此字元串（預共享密鑰）」。

6.
要刪除身份驗證方法或更改其首選順序，請執行下列操作之一：

• 要刪除所選方法，請單擊「刪除」。

• 要將所選方法上移一級，請單擊「上移」。重復操作直到該方法處在所需的首選等級。

• 要將所選方法下移一級，請單擊「下移」。重復操作直到該方法處在所需的首選等級。

要點

• 不推薦使用預共享密鑰身份驗證，因為它是一種相對較弱的身份驗證方法。預共享密鑰身份驗證會創建一個主密鑰，其安全性（由於可能會生成較差的加密格式）不如證書或 Kerberos V5 協議。此外，預共享密鑰以純文本方式存儲。預共享密鑰身份驗證方法是出於互操作性目的而提供並遵循 IPSec 標准。建議您僅將預共享密鑰用於測試，而在生產環境中使用證書或 Kerberos V5 來代替。

注意

• 要管理基於 Active Directory 的 IPSec 策略，您必須是 Active Directory 中 Domain Admins 組的成員，或者您必須被委派了適當的許可權。要本地或遠程管理計算機的 IPSec 策略，您必須是本地或遠程計算機中 Administrators 組的成員。如果計算機已加入某個域，則 Domain Admins 組的成員可能會執行該過程。詳細信息，請參閱默認本地組和默認組。

• 要創建包含「IP 安全策略」的控制台，請啟動「IP 安全策略」管理單元。要打開已保存的控制台文件，請打開「MMC」。詳細信息，請參閱「相關主題」。

• 運行 Windows XP Home Edition 的計算機不支持 Kerberos V5 協議身份驗證方法。

• 如果選擇使用證書進行身份驗證，必須選擇 CA（一般為已安裝的計算機證書的根 CA）。此欄位不能為空。

• 對於預共享密鑰身份驗證，每個 IPSec 對等方必須使用相同的預共享密鑰，否則身份驗證將失敗。

• 如果有多個規則中的篩選器適用於同一對 IP 地址之間的通訊，那麼兩個規則中的驗證方法列表應該相同。否則，由一個規則啟動的安全請求可能與其他規則的篩選器匹配，但有不同的身份驗證方法。這種情況下，協商將會失敗。當某個規則在兩個 IP 地址之間成功啟動主模式安全關聯之後，篩選不同通訊的其他規則將不會重新協商身份驗證和主密鑰（主模式安全關聯）。相反，這些其他規則將使用相同的主模式安全關聯來與其特別篩選器相匹配的通訊安全性（演算法和會話密鑰）進行協商。

⑥ 怎麼查看linux的ipsec認證

你進入自己的主頁，（不是用戶管理中心） 然後左上角就有，視頻認證 已認證， 然後你點那個已認證就可以看自己的視頻認證了

⑦ IPSec使用Openssl生成的CA

之前有用過openssl生成CA證書，不過表示沒有用過IPSec。。
你可以看看IPSec的指導書什麼的，找找看有沒有幫助。

⑧ IPSec VPN與SSL VPN具體有什麼區別

1、認證不同

IPSec VPN：採用Internet Key Exchange（IKE）方式，通過數字憑證或是一組密匙來做認證；

SSL VPN：僅能使用數字憑證。

2、用戶控制不同

IPSec VPN：能明確使用收控的設備接入的移動用戶；

SSL VPN：使用無法控制的設備接入的用戶。

3、系統被攻擊幾率不同

IPSec VPN：使用此連接，內網所連接的應用系統都有可能被黑客監測到，並找到攻擊機會；

SSL VPN：使用此連接，沒有網路層上的鏈接，黑客不容易監測到，攻擊的機會也很小。

4、防病毒程度不同

IPSec VPN：一旦客戶端遭到病毒感染，就可能會感染到內部網路所連接的每台電腦；

SSL VPN：病毒感染的僅限於這台主機，並且病毒必須是針對相同的應用系統的類型，否則這台主機都不會被感染。