小技巧破解IKEv2實(shí)現(xiàn)加密通信

本文屬入門級，閱讀對象是已經(jīng)學(xué)習(xí)了IKEv2 ×××理論知識，希望掌握實(shí)際操作技術(shù)的人員。

 IKEv2無疑是PPTP、L2TP、SSTP等幾個×××應(yīng)用中安全級別最高的，它的CA認(rèn)證，雙向計(jì)算機(jī)證書的驗(yàn)證，對保護(hù)信息通信十分有效，尤其是可以允許底層網(wǎng)絡(luò)短時(shí)間斷開，自動鏈接的特點(diǎn)，是許多人希望學(xué)習(xí)掌握的。但是微軟官網(wǎng)上說“您無法通過用戶界面配置IKEv2。僅能使用Windows PowerShell接口進(jìn)行配置?！保@讓想嘗試IKEv2的初學(xué)者非常遺憾。我經(jīng)過多次嘗試，發(fā)現(xiàn)通過窗口操作，也能實(shí)現(xiàn)服務(wù)器到客戶端計(jì)算機(jī)的IKEv2連接，實(shí)現(xiàn)加密通信，全程不用寫代碼，不用第三方插件。所謂破解，其實(shí)是用小技巧解決了不能通過“用戶界面”來配置IKEv2的問題，適合初學(xué)者掌握操作。下面介紹的就是操作過程。

先來看看配置IKEv2網(wǎng)絡(luò)的先決條件：

1.已經(jīng)具有用于計(jì)算機(jī)身份驗(yàn)證的公鑰基礎(chǔ)結(jié)構(gòu) ，可以用服務(wù)器上內(nèi)置證書頒發(fā)機(jī)構(gòu)。

2.計(jì)算機(jī)是否支持IKEv2，Windows Server8以上服務(wù)器均支持，客戶端Win7以上均支持。

3.一個支持IKEv2的路由器，Windows server8以上服務(wù)器內(nèi)置

實(shí)現(xiàn)IKEv2要完成以下任務(wù)：任務(wù)1、服務(wù)器安裝證書頒發(fā)機(jī)構(gòu)，獲得CA根證書。這個證書是合法、長期有效的。只不過在聯(lián)網(wǎng)前要把CA根證書（就是公鑰）安裝到所有參與的計(jì)算機(jī)中，如果是域結(jié)構(gòu)可以設(shè)置成自動頒發(fā)，如果非域結(jié)構(gòu)就要手動安裝了，好在網(wǎng)絡(luò)是封閉結(jié)構(gòu)，計(jì)算機(jī)數(shù)量不會太多，工作量不會太大，而且只是部署時(shí)忙一次。我看到某官網(wǎng)介紹配置IKEv2視頻，不提域結(jié)構(gòu)，不提如何自動頒發(fā)CA根證書，學(xué)員如果只按照它提示的操作，根本實(shí)現(xiàn)不了IKEv2，這種做法是有意為之，就是不想讓你學(xué)到真本事，不想讓普通人掌握IKEv2技術(shù)。

任務(wù)2、把CA根證書安裝到客戶端。如果你打算把證書頒發(fā)機(jī)構(gòu)和×××服務(wù)器放在一臺計(jì)算機(jī)上，就不用在服務(wù)器上重復(fù)安裝CA根證書，否則要在×××服務(wù)器上安裝CA根證書。

任務(wù)3、申請并安裝×××服務(wù)器證書

任務(wù)4、安裝提供IKEv2服務(wù)的服務(wù)器

任務(wù)5、配置訪問IKEv2網(wǎng)絡(luò)的用戶

任務(wù)6、申請客戶端證書并安裝

任務(wù)7、客戶端設(shè)置IKEv2連接

為了完成這7個任務(wù)，要搭建一個最簡單網(wǎng)絡(luò)，并且能夠聯(lián)通。

下面是操作過程的全部屏幕截圖，共180張，包括服務(wù)器和客戶端。

正文的前57張圖，已經(jīng)在本論壇《Server2016內(nèi)置CA證書搭建IKEv2詳細(xì)步驟180張截圖1-57》一文中發(fā)表，其余待續(xù)。                                  一名退休教師