证书(C) > 用于 Mobile VPN with IPSec 隧道认证的证书

用于 Mobile VPN with IPSec 隧道认证的证书

创建 Mobile VPN 隧道后,每个端点的身份必须要经过密钥认证。 此密钥可以是两个端点均已知的密码或预共享密码 (PSK),也可以是 Management Server 提供的证书。 XTM 设备必须成为托管客户端才能使用证书进行 Mobile VPN 身份验证。 您必须使用 WatchGuard System Manger 将 XTM 设备配置为托管设备。

有关详细信息,请参阅 WatchGuard System Manager 帮助

要对新建的 Mobile VPN with IPSec 隧道使用证书:

  1. 选择 VPN > Mobile VPN with IPSec
  2. 单击添加
  3. 选择IPSec 隧道选项卡。
  4. IPSec 隧道部分中,选择使用证书
  5. CA IP 地址文本框中,键入 Management Server 的 IP 地址。
  6. 超时文本框中,键入或选择 Mobile VPN with IPSec 客户端停止进行连接尝试之前等待证书颁发机构响应的时间(以秒为单位)。 我们建议您保留默认值。
  7. 完成 Mobile VPN 组配置。

有关详细信息,请参阅为 Mobile VPN with IPSec 配置 XTM 设备

要更改现有 Mobile VPN 隧道以使用证书进行认证:

  1. 选择 VPN > Mobile VPN with IPSec
  2. 选择要更改的 Mobile VPN 组。 单击编辑
  3. 选择 IPSec 隧道选项卡。
  4. IPSec 隧道部分中,选择使用证书
  5. CA IP 地址文本框中,键入 Management Server 的 IP 地址。
  6. 超时文本框中,键入或选择 Mobile VPN with IPSec 客户端停止进行连接尝试之前等待证书颁发机构响应的时间(以秒为单位)。 我们建议您保留默认值。
  7. 单击保存

使用证书时,必须给每个 Mobile VPN 用户配置三个文件:

将这三个文件复制到同一目录下。 当 Mobile VPN 用户导入 .wgx 文件时,系统会自动加载包含在 cacert.pem 和 .p12 文件中的根证书和客户端证书。

有关 Mobile VPN with IPSec 的详细信息,请参阅关于 Mobile VPN with IPSec

在 LDAP 服务器上认证 VPN 证书 

如果您能够访问 LDAP 服务器,可以通过它来自动认证用于 VPN 身份验证的证书。 但您必须具有第三方 CA 服务提供的 LDAP 帐户信息才可使用此功能。

  1. 选择 VPN > 全局设置

    将显示全局 VPN 设置页面。
  1. 选中启用 LDAP 服务器以进行证书验证复选框。
  2. 服务器文本框中键入 LDAP 服务器的名称或 IP 地址。
  3. (可选)键入或选择端口号码。
  4. 单击确定
    当请求隧道认证时,XTM 设备会检查在 LDAP 服务器上存储的 CRL。

请参阅

关于证书

提供反馈  •   获得支持  •   全部产品文件  •   知识库