插入key激活密码卡
激活密码默认:12345678
部署网络配置根据现场情况选择配置模式(当前以网关模式为例)
本次测试我方为分支,天融信为总部。没有第三方根服务器,根服务器由天融信设备代替。
天融信设备提供根证书,我方需要导入到设备内,在证书列表里导入选择根证书。
注意:天融信导出证书格式为der或者pem,我方支持导入格式为cer或者crt,需要通过证书转换工具或者浏览器访问证书转换平台进行在线转换。
本次对接是国密1.1对端天融信签发证书国密1.1是双证书,一个用做标识,一个用做加密。
所以我方新建请求证书两个,密码标准选用(中国国家商密密码SM2)
新建证书完成后,下载证书发送给总部天融信,证书需要对端进行签发,签发后把签发的证书再发回给我们。
收到签发回来的证书后进行证书导入 本次导入选择本地导入
效验密钥:就是上一步创建的证书请求
CA根证书:就是从天融信获得的根证书
本地证书:就是天融信提供的签发证书(我方请求证书两个,对端签发也是两个,两个证书都需要导入)
注意:天融信导出证书格式为der或者pem,我方支持导入格式为cer或者crt,需要通过证书转换工具或者浏览器访问证书转换平台进行在线转换。
一个根证书 两个签发证书
证书导入后就可以配置IPsec对接配置了
第一阶段配置示例
本端认证方式选择商密证书V1.1,加密证书和签名证书即是天融信下发的签发证书。选择证书后在高级里本端身份类型和对端身份类型会自动识别,无需修改。其他配置和天融信配置同步即可。
配置一致即可
注意:天融信的第二阶段入站策略只能写一个IP段,我方可写多个IP段,这样会造成IPsec隧道不稳定。
解决方法
1.网段合并,双方网段一致。
2.双方在建一条ipsec隧道走其他网段业务。
总结经过测试我方深信服VPN对接天融信VPN国密证书IPsec建立成功。最终效果截图如下