配置 VPN 3000 集中器，使之通过证书与 VPN 客户端通信

简介

本文档包含有关如何使用证书配置带VPN客户端的Cisco VPN 3000系列集中器的分步说明。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco VPN 3000集中器软件版本4.0.4A。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档约定的更多信息，请参考 Cisco 技术提示约定。

VPN 3000 集中器对 VPN 客户端的证书

要为VPN客户端配置VPN 3000集中器证书，请完成以下步骤。

1. IKE策略必须配置为使用VPN 3000集中器系列管理器上的证书。要配置IKE策略，请选择Configuration > System > Tunneling Protocols > IPsec > IKE Proposals，并将CiscoVPNClient-3DES-MD5-RSA移至Active Proposals。

   

2. 还必须配置IPsec策略以使用证书。选择Configuration > Policy Management > Traffic Management > Security Associations，突出显示ESP-3DES-MD5，然后单击Modify配置IPsec策略以配置IPsec策略。

   

3. 在Modify窗口的Digital Certificates下，确保选择已安装的身份证书。在IKE Proposal下，选择CiscoVPNClient-3DES-MD5-RSA，然后单击Apply。

   

4. 要配置IPsec组，请选择Configuration > User Management > Groups > Add，添加名为IPSECCERT的组(IPSECCERT组名称与身份证书中的组织单位(OU)匹配)，然后选择密码。

   如果您使用证书，则任何位置都不会使用此密码。在本示例中，“cisco123”是密码。

   

5. 在同一页上，单击General选项卡，并确保选择IPsec作为隧道协议。

   

6. 单击IPsec选项卡，并确保在IPsec SA下选择了已配置的IPsec安全关联(SA)，然后单击Apply。

   

   

7. 要在VPN 3000集中器上配置IPsec组，请选择Configuration > User Management > Users > Add，指定User Name、Password和Group name，然后点击Add。

   在示例中，使用以下字段：

   • 用户名= cert_user

   • 口令 = cisco123

   • 验证= cisco123

   • 组= IPSECCERT

   

8. 要在VPN 3000集中器上启用调试，请选择Configuration > System > Events > Classes，然后添加以下类：

   • CERT 1-13

   • IKE 1-6

   • IKEDBG 1-10

   • IPSEC 1-6

   • IPSECDBG 1-10

   

9. 选择Monitoring > Filterable Event Log以查看调试。

   

   注：如果您决定更改IP地址，您可以注册新的IP地址，并在以后使用这些新地址安装已颁发的证书。

验证

当前没有可用于此配置的验证过程。

故障排除

有关故障排除的详细信息，请参阅排除VPN 3000集中器上的连接问题。

相关信息

• Cisco VPN 3000 系列集中器
• Cisco VPN 3002 硬件客户端
• IPsec 协商/IKE 协议
• 技术支持和文档 - Cisco Systems