【天逸出品】【第五十期】SSL如何用国密证书对接IP_SEC

目前正在做的一个项目，客户两个机房，中间有一条专线，机房分隔两地

根据密评要求，数据传输，一律要进行加密，而且必须是国密证书进行加密

需求就是这么个需求，客户采了4台SSL设备，做集群部署，实现隧道通讯的同时，还要使用SSL功能

拓扑大概是这样一个架构

因为两边都是自家产品，可以用sangfor vpn 来对接，但是sangfor vpn没法使用国密证书来进行加密

后续使用标准 ipsec 来完成了对接

两边设备都是集群部署，采用网关模式，wan1 用来打通互联网，做SSL 功能，wan2 专线互联建立机房间互通隧道

具体配置如下：

部署一下集群配置

两边设备集群部署完成后，网络要打通一下，可以让两端的wan口集群地址互通，然后放行该放行的协议和端口

UDP 500  UDP 4500  还有 协议号50 的ESP协议

然后是隧道对接过程：

首先要用证书对接的话，需要先创建证书

选择新增

用国密标准，创建两个证书请求，一个加密一个签名

然后把证书请求下载下来，去CA进行证书的申请

申请回来以后呢，进行证书的导入

对端设备同理

小技巧：可以用同一套证书，重复导入

证书导入之后，就可以开始创建ipsec隧道了

再把第二阶段的 出入站配置一下

两边都配置好以后，隧道就可以建立啦

感谢楼主分享，努力学习中！！！！！

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

感谢楼主分享，学习一下！！

感谢楼主分享，学习一下

感谢分享                                                      

果然是高手在民间，楼主帖子写的不错，很有参考价值，还想看更多精彩分享，期待楼主下一篇好帖！

感谢楼主分享，学习一下