1、在【SSL VPN设置】-【认证设置】-【证书与USBKEY认证】-【内置CA】启用，选择国密SM2证书，此操作需要重启SSL VPN服务

2、启用后，点击查看，并下载，此证书为CA证书

3、在【SSL VPN设置】-【用户管理】新增用户，生成证书，设置证书密码，点击下载，有两个证书，一个签名证书，一个加密证书都需要下载

4、在【IPSEC VPN设置】-【证书管理】-【证书列表】点击导入，名称自定义，证书类型选择PKCS#12证书，CA根证书选择第2步的证书，本地证书选择第3步的证书，保护密码为第3步设置的证书密码，点击确定，保存需要重启VPN服务

5、加密证书也是一样的配置，两台设备导入一样的证书

6、在【IPSEC VPN设置】-【第三方对接】-【第一阶段】新增，认证方式选择国密证书，下面会显示加密证书和签名证书，对应选择即可（实验平台无国密设备，暂时无法提供截图）

7、两边选择一样的证书后即可对接成功，可以通过wireshark抓包，并将隧道中断重连即可看到证书协商数据包