证书(C) > 用于 Mobile VPN with IPSec 隧道认证的证书
用于 Mobile VPN with IPSec 隧道认证的证书
创建 Mobile VPN 隧道后,每个端点的身份必须要经过密钥认证。 此密钥可以是两个端点均已知的密码或预共享密码 (PSK),也可以是 Management Server 提供的证书。 XTM 设备必须成为托管客户端才能使用证书进行 Mobile VPN 身份验证。 您必须使用 WatchGuard System Manger 将 XTM 设备配置为托管设备。
有关详细信息,请参阅 WatchGuard System Manager 帮助。
要对新建的 Mobile VPN with IPSec 隧道使用证书:
- 选择 VPN > Mobile VPN with IPSec。
- 单击添加。
- 选择IPSec 隧道选项卡。
- 在 IPSec 隧道部分中,选择使用证书。
- 在 CA IP 地址文本框中,键入 Management Server 的 IP 地址。
- 在超时文本框中,键入或选择 Mobile VPN with IPSec 客户端停止进行连接尝试之前等待证书颁发机构响应的时间(以秒为单位)。 我们建议您保留默认值。
- 完成 Mobile VPN 组配置。
有关详细信息,请参阅为 Mobile VPN with IPSec 配置 XTM 设备。
要更改现有 Mobile VPN 隧道以使用证书进行认证:
- 选择 VPN > Mobile VPN with IPSec。
- 选择要更改的 Mobile VPN 组。 单击编辑。
- 选择 IPSec 隧道选项卡。
- 在 IPSec 隧道部分中,选择使用证书。
- 在 CA IP 地址文本框中,键入 Management Server 的 IP 地址。
- 在超时文本框中,键入或选择 Mobile VPN with IPSec 客户端停止进行连接尝试之前等待证书颁发机构响应的时间(以秒为单位)。 我们建议您保留默认值。
- 单击保存。
使用证书时,必须给每个 Mobile VPN 用户配置三个文件:
- 最终用户配置文件 (.wgx)
- 客户端证书 (.p12)
- CA 根证书 (.pem)
将这三个文件复制到同一目录下。 当 Mobile VPN 用户导入 .wgx 文件时,系统会自动加载包含在 cacert.pem 和 .p12 文件中的根证书和客户端证书。
有关 Mobile VPN with IPSec 的详细信息,请参阅关于 Mobile VPN with IPSec。
在 LDAP 服务器上认证 VPN 证书
如果您能够访问 LDAP 服务器,可以通过它来自动认证用于 VPN 身份验证的证书。 但您必须具有第三方 CA 服务提供的 LDAP 帐户信息才可使用此功能。
- 选择 VPN > 全局设置。
将显示全局 VPN 设置页面。
- 选中启用 LDAP 服务器以进行证书验证复选框。
- 在服务器文本框中键入 LDAP 服务器的名称或 IP 地址。
- (可选)键入或选择端口号码。
- 单击确定。
当请求隧道认证时,XTM 设备会检查在 LDAP 服务器上存储的 CRL。
请参阅
关于证书