SSG由微软证书局签发证书

架设ipsec ***现在对安全性要免费云主机域名求越来越高，共享秘钥法似乎安全性有些低了。进而使用安全证书进行安全信息交换是个比较好的方法。
SSG从netscreen而来，很早以前的版本（起码5.0）就可以支持从web管理界面操作了。操作很简单Objects > Certificates>new填写相关的信息，国家，地域，名称啥的，自己决定，IP地址也是一项，看需要，不过我个人觉得还是不填的好，免得以后换IP了还要麻烦。Key Pair Information:选RSA，微软的证书签发机构，RSA是支持的，DSA不支持，ECDSA没试验过。加密的位数，当然是越高越好啦，2048位，微软的windows2008R2的证书签发机构是没问题的。然后等一会，出现一个画面save to file就是把那个框里面的一堆乱码下载成一个txt文件而已，不用也罢。generate selfsigned cert不要点击，那个是自签名的操作，而不是由其它第三方局进行签发了。这时候，直接打开微软的证书申请web画面，要用具有管理员权限的账户去申请。选择使用PKCS#10的那个选项申请，证书的种类选web server，把上面那一堆乱码的文字全部拷贝到Base 64 那个栏目里，申请就可以，然后看证书服务的设定，是立刻签发还是手动签发，一般都是立刻签发。然后就可以看到下载证书了，下载下来，注意下载两个，还有一个证书局的根证书也要，回到ssg的证书管理画面。选择引导上传本地证书cert，把根证书传后在show-》CA选项里就会看见根证书show-》local就会看到Serial#为全0的那个待签发证书已经完成了签发。根证书是必须的，在ipsec***两点，要使用同一个证书局，就是同一张根证书，它保证两端可以证明对端的证书是合法的。
另外要强调一点，本人吃了大亏，在建立微软证书局的时候，使用了sha512，太高了，ssg，包括srx目前只支持到sha256，所以在微软证书局签发的证书，一上传到ssg就报错，但是fortigate反而可以支持sha512，查了很多地方，才发现不支持。其实到ipsec的配置第一阶段，看有没有选sha512就知道是不是支持了。

相关推荐: 破解故事——我是如何破解1亿2200万SHA1和Md5哈希密码

破解故事——我是如何破解1亿2200万SHA1和Md5哈希密码原文：http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwo…