188
美国飞塔有限公司
配置加密策略 IPSec VPN
4 单击确定。
在本地证书列表中将显示签名的本地证书,其状态为 OK。
获得一个 CA 证书
VPN 双方为了让对方认证自己,必须从同一个证书授权获得 CA 证书。CA 认证为
VPN 双方提供了坚定他们从其他设备中收到的数字证书是否有效的方法。
FortiGate 设备为了验证它从远程 VPN 端点获得的数字证书而获取 CA 证书。远程
VPN 端点为了验证它从 FortiGate 设备收到的数字证书而获取 CA 证书。
领取一个 CA 证书
连接到 CA 网页服务器并将 CA 证书下载到管理员电脑。
按以下操作恢复 CA 证书:
1 连接到 CA 网页服务器。
2 跟随 CA 网页服务器的指示下载 CA 证书。
将显示文件下载对话框。
3 单击保存。
4 在管理员电脑的一个目录中保存 CA 证书。
导入一个 CA 证书
从管理员电脑将一个 CA 证书导入到 FortiGate 设备。
按以下步骤导入 CA 证书:
1 进入 VPN > CA 证书。
2 单击导入。
3 输入路径或浏览以在管理员电脑中定位 CA 证书。
4 单击确定。
现在 CA 证书将显示在 CA 证书列表中。
配置加密策略
VPN 将本地的内部网络连接到远程的外部网络。加密策略的主要角色是定义 (和限
制)这些网络上的哪些地址可以使用这个 VPN。
一个 VPN 只需要一个加密策略,它可以同时控制向内和向外的连接。根据您对加密
策略所做的配置,它可以控制您的内部网络中的用户是否可以建立到远程网络的通道
(向外连接),以及远程网络中的用户是否可以建立一个通道以连接到您的内部网络
(向内连接)。这种灵活性使得一个加密策略就可以完成两个常规的防火墙策略的工
作。
注意:CA 证书必须遵循 X.509 标准。