简介

本文档包括有关如何使用证书配置带VPN客户端的Cisco VPN 3000系列集中器的分步说明。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco VPN 3000集中器软件版本4.0.4A。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档约定的更多信息，请参考 Cisco 技术提示约定。

VPN 3000 集中器对 VPN 客户端的证书

要为VPN客户端配置VPN 3000集中器证书，请完成以下步骤。

1. 必须将IKE策略配置为在VPN 3000集中器系列管理器上使用证书。要配置IKE策略，请选择Configuration > System > Tunneling Protocols > IPsec > IKE Proposals ，并将CiscoVPNClient-3DES-MD5-RSA移到Active Proposals。

   

2. 您还必须配置IPsec策略以使用证书。选择Configuration > Policy Management > Traffic Management > Security Associations，突出显示ESP-3DES-MD5，然后点击Modify以配置IPsec策略以配置IPsec策略。

   

3. 在Modify窗口的Digital Certificates下，确保选择已安装的身份证书。在IKE Proposal下，选择CiscoVPNClient-3DES-MD5-RSA，然后单击Apply。

   

4. 要配置IPsec组，请选择Configuration > User Management > Groups > Add ，添加名为IPSECCERT (IPSECCERT组名称与身份证书中的组织单位(OU)匹配)的组，然后选择密码。

   如果您使用证书，则此密码不在任何位置使用。在本例中，口令为“cisco123”。

   

5. 在同一页中，单击General选项卡，并确保选择IPsec作为Tunneling Protocol。

   

6. 单击IPsec选项卡，确保在IPsec SA下选中已配置的IPsec安全关联(SA)，然后单击应用。

   

   

7. 要在VPN 3000集中器上配置IPsec组，请选择Configuration > User Management > Users > Add ，指定用户名、密码和组名，然后单击Add。

   在示例中，使用以下字段：

   • 用户名= cert_user

   • 口令 = cisco123

   • 验证= cisco123

   • 组= IPSECCERT

   

8. 要在VPN 3000集中器上启用调试，请选择Configuration > System > Events > Classes，然后添加以下类：

   • CERT 1-13

   • IKE 1-6

   • IKEDBG 1-10

   • IPSEC 1-6

   • IPSECDBG 1-10

   

9. 选择Monitoring > Filterable Event Log 以查看调试。

   

   注意：如果您决定更改IP地址，则可以注册新IP地址，然后使用这些新地址安装已颁发的证书。

验证

当前没有可用于此配置的验证过程。

故障排除

有关详细故障排除信息，请参阅VPN 3000集中器上的连接问题故障排除。

相关信息

• Cisco VPN 3000 系列集中器
• Cisco VPN 3002 硬件客户端
• IPsec 协商/IKE 协议
• 技术支持和文档 - Cisco Systems