Internet 协议安全 (I ec) 循序渐进指南(六)

测试自定义 I ec 策略 　　现在您已经建立了一个 I ec 策略，您应在将它应用到网络上之前进行测试。 　　测试自定义 I ec 策略 　　1. 在 MMC 控制台的左窗格中，选择本地计算机上的 I 安全策略。注意除三个内置策略之外，您刚刚配置的伙伴策略列在右窗格中。
　　2. 右击 artner，然后单击上下文菜单中的指派。策略已指派列中的状态应从否变为是。在继续之前在两台计算机上都执行此步骤。
　　3. 打开命令提示符窗口，然后键入 ing artners-ip-addre 。您应接收到四个协商 I 安全响应。重复该命令，您应接收到四个成功的 ing 答复。
　　4. 还原 I 安全监视器窗口（您以前曾将其最小化）。您应看到当前在两台计算机之间使用的安全关联的细节，以及其中传输的已验证的和保密的字节数的统计信息。再将此窗口最小化。
　　5. 在 MMC 控制台的左窗格中，选择计算机管理，浏览到系统工具，到事件查看器，然后再选择安全。在安全日志中，您应看到事件 541，它说明建立了 I ec 安全关联 (SA)。
　　6. 重复步骤 3 撤消伙伴策略，并将两台计算机返回到它们以前的状态。当右击策略时，单击撤消指派。 使用证书验证身份 　　Window 2000 I ec 实现提供了在 IKE 使用证书期间验证计算机身份的功能。所有证书验证都由加密的 API (CAPI) 执行。IKE 只是用来协商使用哪些证书，并为证书凭据的交换提供安全。I ec 策略指定使用哪些根证书颁发机构 (CA)，而不指定使用哪个特定的证书。在 I ec 策略配置中双方都必须有公用的根 CA。 　　下面是对用于 I ec 的证书的要求： 　　? 证书存储在计算机帐户（计算机存储）中
　　? 证书包含一个 RSA 公钥，该公钥具有可用来进行 RSA 签名的对应的私钥。
　　? 在证书有效期内使用
　　? 根证书颁发机构受信任
　　? 可以由 CAPI 模块建立有效的证书颁发机构链 　　这些要求是相当基本的。I ec 不要求计算机证书是 I ec 类型的证书，因为现有的证书颁发机构可能不颁发这些类型的证书。 　　获得测试用的 Microsoft 证书 　　必须首先从证书服务器获得有效的证书。即使您有要使用的另一台证书服务器，仍应首先获得测试用的 Microsoft 证书。可以使用任何有效的计算机证书。不使用基于用户的证书。我们已经测试多个证书系统之间的兼容性，包括 Microsoft、Entrust、VeriSig 和 etscape。 　　备注 不是所有的证书服务器都自动给您的计算机颁发证书。证书必须出现在个人证书下的本地计算机帐户中，并在“受信任的根证书颁发机构”存储中有根 CA 证书。有关如何从非 Microsoft 证书服务器上获得计算机证书的详细信息，请查阅 Certificate Authority tep-by-ste guides，它位于 Window 2000 tep-by-Ste Guide We 站点 获得证书 　　1. 打开 Internet Explorer 并转到证书颁发机构站点。如果您没有另一个从中接收证书的站点，请使用： http://sectestca1.rte.microsoft.com/ 本站点提供到四个证书颁发机构的访问途径。为了简明起见，本步骤使用独立根 CA (sectestca3) 颁发的证书。
　　2. 选择独立根 (RSA 2048)。
　　3. 选择申请证书，然后单击下一步。
　　4. 选择高级请求，然后单击下一步。
　　5. 选择使用表格提交一个证书申请。 　　在高级证书申请表格中，输入下列内容： 　　o 标识信息：按需要。
　　o 预期目的：客户身份验证或服务器身份验证。 　　此字段设置证书中的 extended key usage 字段。还有一个 I ec 证书字段支持仍在由标准化团体开发的规范。如果您想与其它要求互操作的 I ec 版本互操作，您可以使用此类型。但是，Window 2000 I ec 证书身份验证使用计算机帐户中的任何有效的证书，这就是说扩展密钥用法的任何设置都是可接受的。在 I ec 策略中限制只使用 I ec 证书是行不通的。如果在本地计算机上的个人证书文件夹中有多个计算机证书，则只选择一个。从规则的身份验证方法中的第一个根 CA 开始，所选择的证书将是有回到该根 CA 的信任路径的第一个证书。 　　o 加密服务提供程序：Microsoft ase Cryptographic rovider v1.0