添加其他信息：
但是，VPN CLient（工作站）如何加载相同的证书，或者我们是否也必须为客户购买证书。

-每个客户将注册自己的个人身份证明，该证书可以在谈判期间在入职过程中使用。 客户将要求证书链（根/中间证书）正确导入其信托商店，以便信任外部客户的身份证明。 这将有助于更好地了解使用证书，以及事物如何工作的总体想法。 看看这个：如何在 ISE 中实现数字证书 - 思科社区

你好

1. 首先， 巴卡里@Mohammed 所说的是绝对正确的。对于 VPN 隧道要求，拥有自己的"内部"PKI 证书基础设施更有意义

a） 用商业购买的 Certs 管理多个客户将是 "麻烦" 和相当 "昂贵" 的

b） 每个 vpn-客户端（工作站）都需要安装在该工作站的机器证书商店中的单独证书（机器证书而不是用户证书）

注意：Windows 和 MacOS 都有单独的证书商店，一个用于本地机器存储器（用于 IPsec-VPN），另一个用于通用用户证书商店（由浏览器/slvpn 客户端等使用）。因此，您只需要在机器商店中安装 ipsec 的证书

2. 您计划连接到 RV340 上的 C2S-IKEv2-VPN-服务器的 ikev2 ipsec 客户端数？

- 这将决定您上述点 1b， 是从商业证书网站购买还是有自己的内部 CA 服务器

3. 您将使用哪种类型的 IKEv2-VPN 客户端（工作站） - 所有 Windows-IKEv2-本地客户端（在 Windows-笔记本电脑/PC 上），或者是否也会有 MacOS/iOS 客户端、绿弓-IKEv2-VPN 客户 ???端？

- iam 询问客户端类型，因为窗口/macos/ios 客户端中内置了一些特定的实现怪癖，这些小区需要您将用于 vpn 服务器网关（RV340）的证书中的某些设置

4. 请注意，如果您的组织域名是"example.com"，请说明：

a） 如果您的 RV340 的公共 dns 名称/FQDN 完全合格域名是"rv340gw.example.com"， 然后，无论您决定在哪里获得 RV340/vpn 服务器（商业或内部 CA）的设备证书，请确保在 CSR 中，您应该设置通用名称/CN+rv340gw.示例.com 并且您还应将主题 Alt 名称设置为 rv340gw.example.com

b） 因为在使用 Certs/EAP 的 Windows-ikev2 客户端配置中，

- 您应该确保安装签署 VPN 服务器证书的 RootCA 证书和

- 您应该将服务器地址称为"rv340gw.example.com"（将由 windows-客户端使用的 dns 服务器解决，以解决 RV340 的 wan1/wan2 接口的公共 ipad 地址）

- 点-4a 变得重要，因为在 IKE 谈判期间，当 vpn-服务器将其证书发送到窗口客户端时，客户端将尝试在服务器证书的 CN/共名字段或服务器证书的主题 alt 名称字段中匹配服务器地址（dns 名称/fqdn）。其中之一应该匹配， 否则 ike 谈判被客户阻止

- 使用 Certs/EAP 的 MacOS/ioS ikev2 客户也发生了类似的过程

注意：这是一个怪癖/行为的客户不在RV340（或任何其他IKEv2-vpn服务器），这些客户端是这样实现的

你好

>>>我们是一个小组织，我们最多只需要大约10个人需要VPN，这仍然不实用，我们仍然>>>需要做一个内部CA服务器

1. 那要看情况而定。如果您在为 VPN 服务器和 10 vpn 客户购买单独的证书时没有成本/预算/费用问题，则您可以继续从商业 CA 购买证书，并在 RV340 和 10 个客户中安装这些证书

2. 但无论哪种方式（从商业 CA 采购，还是通过在内部机器上安装自己的内部 CA 创建自己的证书），您都必须记住以下一件事：

- 对于 VPN 服务器 （RV34X） 上的证书，确保

a） "共同名称/CN"fieild 值设置为 vpn 服务器的 FQDN/DNS 名称，如您注册的 dns 域名（如假设其"example.com"），如 vpnservergw.example.com 或 rv34x.example.com 或者如果您使用 dyns-dns 服务器，则可以 rv34x.dyndns.org 或 vpnservergw.dyndns.org

b） 证书中 CN/通用名称中的相同 FQDN 也应设置为"主题 Alt 名称"：

DNS：rv34x.示例.com

或

DNS：弗彭服务器.示例.com

或

DNS：rv34x.丁登斯.org

- 对于 10 个客户证书，请确保每个客户证书在客户端证书中以电子邮件 ID 形式（如下所示）中的主题 alt 字段具有个人/单独值（假设您正在使用注册的域名"example.com"

对于客户端 1 证书，应设置主题 alt 名称作为示例 ：client1@example.com

对于客户端 2 证书，应设置主题 alt 名称作为示例 ：client2@example.com

对于客户端 3 证书，应设置主题 alt 名称为示例 ：client3@example.com

....等等

>>>>你回答让我意识到我们可能没有做出正确的决定。 在我们的例子中， Psk 会像证书一样安全吗？ 在我的>>>介于证书的巨大优势是，我们可以过期/无效的认证通过CA，但如果只有10个我们，只有1个网站，我>>>可以很容易地取消或更改PSK。 你觉得怎么样。

确定您应该了解的信息，参考IKEv2-VPN服务器为IKEv2-VPN-客户是：

可能有不同的方法可以配置/设置，但根据标准的基本配置，有 3 种方法来配置/使用 IKEv2-vpn 服务器为 vpn 客户端

1. 使用 PSK 进行身份验证的 IKEv2 vpn 服务器

- 这里的 psk 认证是相互验证 vpn 服务器和 vpn 客户端作为 ipsec 对等，因此此隧道设置中没有涉及用户名/密码

- 只有绿弓和 MacOS/iOS IKEv2 客户支持此方法

- 本地 Windows-IKev2 客户端不支持基于 PSK 的 ikev2-auth（它仅支持仅限证书和 EAP-mschapv2，带有用户名/密码，以及 EAP-TLS）

2. IKEv2 VPN 服务器使用证书进行 ike 认证

a） 这里也只使用 certficate 在 vpn 服务器和客户端上进行 IPsec 对等（服务器和客户端）的相互认证

- 并且没有使用用户名/密码进行扩展身份验证

- 原生 Windows-IKEv2 客户端支持此（您必须选择客户端配置部分中的"机器证书"无线电按钮）

- 绿弓和 MacOS/iOS 客户也支持这一点

- 在这种情况下，服务器和客户端都需要有自己的单独证书，用于对同行进行相互 IKEv2 认证

b） 那么，如何使用证书完成每个客户端类型的ikev2认证呢？

在 Windows 上原生 IKEv2 客户端

----------------------------

- 至于本地 Windows-ikev2-客户端，没有配置来设置/选择客户端证书中的标的 - alt 名称值。

- 因此，Windows 第一服务器将发送其服务器证书，该证书将使用较早导入到客户端的服务器证书的 Root-CA 证书在窗口客户端上进行验证/验证。接下来，Windows 客户端本身只需将客户端证书的主题字段（称为 DN 字段或简称为 ASN1DN）发送到 vpn-服务器，该服务器将使用已签署客户端证书的 rootCA 证书在 vpn-服务器上进行验证和验证

在绿弓客户端

-------------------

- 对于此客户端，最好在其客户证书中将 U-FQDN 值用作本地 ID

- 因此，首先它将使用签署服务器证书的 Root-CA 证书对服务器证书进行身份验证

- 接下来，GB 客户端将将其证书发送到服务器，根据配置，vpn-服务器将使用客户端证书的主题字段，或者检查客户端证书中的 U-FQDN 值（clientX@example.com）的主题，并匹配在 vpn-服务器上配置的远程标识符值

关于 MacOS 客户端

---------------

- 在这里，我们将在此 macOS 上安装的客户证书的主题 alt 名称字段中配置 UFQDN 值

- 此值将在 macOS 客户端中配置为本地 ID

- vpn-server 证书使用 RootCA 证书在 mac 客户端上进行身份验证的过程，以及根据服务器上设置的远程 ID 字段的价值对客户端进行身份验证的过程。所需/相关 ID 在客户证书的主题 alt 名称字段中检查

3. 使用 EAP 方法的 IKEv2 VPN 服务器（如带用户名/密码的 EAP-mschapv2）

- 在这种情况下，vpn-服务器将使用发送给客户端的服务器证书进行身份验证（使用您在客户端本身导入的 RootCA 证书在客户端上验证）

- 在客户端上，没有安装任何证书。

- 客户将使用 EAP 进行身份验证（在这种情况下，它将是 EAP-Mschapv2，使用客户端配置的用户名通行证）

你好

>>>我相信对于服务器，我们需要一个基本的OV TLS/SSL证书，

还行。但尽量确保签名证书中的下文设置

a） 确保 CN/普通名称设置为 vpn 服务器（如 rv34x.cisconet.local）的 fqdn/dns 名称，并且主题名称设置为相同的 fqdn/dnsname

b） 请求（或选择自己，如果其可用）以下额外的设置/参数（扩展键使用 - EKU）在服务器证书

参数OID 1.3.6.1.5.5.7.3.5 用于IPSec端系统

和/或

IP 安全 IKE 中级"EKU 与OID 1.3.6.1.5.5.8.2.2

>>>>但对于客户，我们得到什么客户，我们得到相同的基本OV证书？

- 与服务器一样， 但这里也：

a） 确保将通用名称/CN 设置为客户名

和

- 确保以 U-FQDN 格式（如client1@example.com）分别为每个客户端设置主题 AltName

- 也确保要求在客户端子中设置上述显示的 OID （在 EKU 中），