#实施带有多个根ca的ipsec。
带有多个根ca，你不必登记新的带有ca处理认证对等体的路由器，而是配置一个带有多个信任的ca的路由器。这样，一个路由器可以使用配置好了的ca来辨认由不涉及相同ca设定的对等体提供的验证。
配置多个ca允许两个或者更多路由器登记在不同的域(不同的ca)在使用ike建立ipsec隧道的时候辨认彼此之间的标识。
通过简单认证登记协议(simple certifacate enrollmentprotocol,scep),每个路由器都配了ca(登记ca)。ca处理到路由器用ca的私钥标识的认证。要辨别相同域中的认证对等体，路由器也和登记ca配置认证。
要认证不同域的对等体，登记ca的根验证在对等体中必须配置安全性在路由器上。
在ike阶段1标识辨认过程中，初始者将发送给回应者一个它的ca认证列表。回应者应该由一个列表中的ca发送认证处理。如果认证被识别(成功)，路由器保存包含在公钥令牌的认证。
有多个根ca，vpn用户可以在一个域和容易地安全地在分布到其他域中建立信任。这样，它所需的私有通讯通道及在不同域发生认证的资格就产生了。

#ipsec设备如何使用ca认证。
当两个ipsec路由器想要交换ipsec保护的流量穿过自身的时候，他们必须首先认证彼此，否则ipsec保护是不会发生的。认证是通过ike完成的。没有ca，一个路由器认证他自己到远端路由器，使用rsa加密的或者preshare的key。两种方式都需要key必须已经在两个路由器上都配了。
有了ca，路由器认证他自己到远端路由器，是发送一个认证到远端路由器，然后进行一些公钥密码学运算。每个路由器必须发送自己私有的唯一的认证，这个认证是由ca产生并确认的。这个处理工作因为是每个路由器封装公钥之间的认证，每个人正由ca认证，且所有参与的路由器识别ca作为认证者。这个设计叫做带有rsa签名的ike。
你的路由器可以继续发送它自己的认证给多个ipsec会话，且给多个ipsec对等体直到认证过期。当他的认证过期，路由器管理员必须从ca获得一个新的。
ca也能从不再参与ipsec的设备中撤销认证。撤销认证是不再被其他的ipsec设备所识别。撤销认证是一个列在crl(certificate revocation list)的列表,每个对等体可以在从其他对等体检查之后再允许。

#关于ra(registration authorities)
一些ca也有ra作为他们实施的一部分。一个ra的本质上就是一个ca的代理，实现ca功能可以在下线后延续。

转载地址：http://www.net130.com/CMS/Pub/Tech/tech_zh/2005_10_23_69356_3.htm