网关企业ssl证书
企业ssl证书 时间:2021-04-15 阅读:()
i目录1SSLVPN配置.
1-11.
1SSLVPN简介.
1-11.
2配置SSLVPN.
1-11.
2.
1配置准备1-21.
2.
2配置SSLVPN1-21.
3SSLVPN典型配置举例1-21-11SSLVPN配置1.
1SSLVPN简介SSLVPN是以HTTPS(SecureHTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间.
SSLVPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接.
SSLVPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证.
SSLVPN的典型组网架构如图1-1所示.
管理员在SSLVPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSLVPN网关建立HTTPS连接,选择需要访问的资源,由SSLVPN网关将资源访问请求转发给企业网内的服务器.
SSLVPN通过在远程接入用户和SSLVPN网关之间建立SSL连接、SSLVPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护.
图1-1SSLVPN典型组网架构SSLVPN的工作机制为:(1)管理员以HTTPS方式登录SSLVPN网关的Web管理界面,在SSLVPN网关上创建与服务器对应的资源.
(2)远程接入用户与SSLVPN网关建立HTTPS连接.
通过SSL提供的基于证书的身份验证功能,SSLVPN网关和远程接入用户可以验证彼此的身份.
(3)HTTPS连接建立成功后,用户登录到SSLVPN网关的Web页面,输入用户名、密码和认证方式(如RADIUS认证),SSLVPN网关验证用户的信息是否正确.
(4)用户成功登录后,在Web页面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSLVPN网关.
(5)SSLVPN网关解析请求,与服务器交互后将应答发送给用户.
1.
2配置SSLVPNSSLVPN网关配置包括如下内容:1-2z指定SSLVPN服务使用的SSL服务器端策略:管理员和用户对SSLVPN网关和内网资源进行管理和访问时,都需要首先通过HTTPS登录SSLVPN网关的Web页面.
因此,SSLVPN网关上需要指定使用的SSL服务器端策略,以便确定SSLVPN服务使用的SSL参数.
z指定SSLVPN服务使用的TCP端口号:SSLVPN网关作为HTTPS服务器为管理员和用户提供Web登录页面,可以根据需要指定HTTPS服务的TCP端口号.
z使能SSLVPN服务:只有使能SSLVPN服务后,管理员和用户才能通过Web页面访问SSLVPN网关.
1.
2.
1配置准备配置SSLVPN之前,需要先创建SSL服务器端策略.
SSL服务器端策略的配置方法,请参见"安全配置指导"中的"SSL".
1.
2.
2配置SSLVPN表1-1配置SSLVPN操作命令说明进入系统视图system-view-配置SSLVPN服务使用的SSL服务器端策略和端口号ssl-vpnserver-policyserver-policy-name[portport-number]必选缺省情况下,没有配置SSLVPN服务使用的SSL服务器端策略使能SSLVPN服务ssl-vpnenable必选缺省情况下,SSLVPN服务处于关闭状态1.
3SSLVPN典型配置举例1.
组网需求在SSLVPN中,为了使管理员和普通用户能够以HTTPS方式登录SSLVPN网关的Web页面,通过SSLVPN网关管理和访问企业内部资源,需要在SSLVPN网关上进行SSL相关配置,并使能SSLVPN服务.
在本配置举例中:zSSLVPN网关的地址为10.
1.
1.
1/24;z为SSLVPN网关和远程接入用户颁发证书的CA(CertificateAuthority,认证机构)地址为10.
2.
1.
1/24,CA名称为CAserver.
1-32.
组网图图1-2SSLVPN配置组网图3.
配置步骤z本配置举例中,采用WindowsServer作为CA.
在CA上需要安装SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)插件.
z进行下面的配置之前,需要确保SSLVPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书.
(1)为SSLVPN网关Device申请证书#配置PKI实体en,指定实体的通用名为http-server.
system-view[Device]pkientityen[Device-pki-entity-en]common-namehttp-server[Device-pki-entity-en]quit#配置PKI域sslvpn,指定信任的CA名称为caserver、注册服务器的URL为http://10.
2.
1.
1/certsrv/mscep/mscep.
dll、证书申请的注册受理机构为RA、实体名称为en.
[Device]pkidomainsslvpn[Device-pki-domain-sslvpn]caidentifiercaserver[Device-pki-domain-sslvpn]certificaterequesturlhttp://10.
2.
1.
1/certsrv/mscep/mscep.
dll[Device-pki-domain-sslvpn]certificaterequestfromra[Device-pki-domain-sslvpn]certificaterequestentityen[Device-pki-domain-sslvpn]quit#生成本地的RSA密钥对.
[Device]public-keylocalcreatersa#获取CA的证书.
[Device]pkiretrieval-certificatecadomainsslvpn#为Device申请证书.
[Device]pkirequest-certificatedomainsslvpn(2)配置SSLVPN服务使用的SSL服务器端策略1-4#创建SSL服务器端策略myssl,并指定该策略使用PKI域sslvpn.
[Device]sslserver-policymyssl[Device-ssl-server-policy-myssl]pki-domainsslvpn[Device-ssl-server-policy-myssl]quit(3)配置SSLVPN#指定SSLVPN服务使用的SSL服务器端策略为myssl,端口号为缺省端口号443.
[Device]ssl-vpnserver-policymyssl#使能SSLVPN服务.
[Device]ssl-vpnenable(4)验证配置结果远程接入用户在终端主机Host上打开IE浏览器,输入网址https://10.
1.
1.
1/svpn/cn/index.
htm,即可打开SSLVPN网关Device的Web登录页面.
zPKI配置命令的详细介绍请参见"安全命令参考"中的"PKI";zpublic-keylocalcreatersa命令的详细介绍请参见"安全命令参考"中的"公钥管理";zSSL配置命令的详细介绍请参见"安全命令参考"中的"SSL".
1-11.
1SSLVPN简介.
1-11.
2配置SSLVPN.
1-11.
2.
1配置准备1-21.
2.
2配置SSLVPN1-21.
3SSLVPN典型配置举例1-21-11SSLVPN配置1.
1SSLVPN简介SSLVPN是以HTTPS(SecureHTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间.
SSLVPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接.
SSLVPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证.
SSLVPN的典型组网架构如图1-1所示.
管理员在SSLVPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSLVPN网关建立HTTPS连接,选择需要访问的资源,由SSLVPN网关将资源访问请求转发给企业网内的服务器.
SSLVPN通过在远程接入用户和SSLVPN网关之间建立SSL连接、SSLVPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护.
图1-1SSLVPN典型组网架构SSLVPN的工作机制为:(1)管理员以HTTPS方式登录SSLVPN网关的Web管理界面,在SSLVPN网关上创建与服务器对应的资源.
(2)远程接入用户与SSLVPN网关建立HTTPS连接.
通过SSL提供的基于证书的身份验证功能,SSLVPN网关和远程接入用户可以验证彼此的身份.
(3)HTTPS连接建立成功后,用户登录到SSLVPN网关的Web页面,输入用户名、密码和认证方式(如RADIUS认证),SSLVPN网关验证用户的信息是否正确.
(4)用户成功登录后,在Web页面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSLVPN网关.
(5)SSLVPN网关解析请求,与服务器交互后将应答发送给用户.
1.
2配置SSLVPNSSLVPN网关配置包括如下内容:1-2z指定SSLVPN服务使用的SSL服务器端策略:管理员和用户对SSLVPN网关和内网资源进行管理和访问时,都需要首先通过HTTPS登录SSLVPN网关的Web页面.
因此,SSLVPN网关上需要指定使用的SSL服务器端策略,以便确定SSLVPN服务使用的SSL参数.
z指定SSLVPN服务使用的TCP端口号:SSLVPN网关作为HTTPS服务器为管理员和用户提供Web登录页面,可以根据需要指定HTTPS服务的TCP端口号.
z使能SSLVPN服务:只有使能SSLVPN服务后,管理员和用户才能通过Web页面访问SSLVPN网关.
1.
2.
1配置准备配置SSLVPN之前,需要先创建SSL服务器端策略.
SSL服务器端策略的配置方法,请参见"安全配置指导"中的"SSL".
1.
2.
2配置SSLVPN表1-1配置SSLVPN操作命令说明进入系统视图system-view-配置SSLVPN服务使用的SSL服务器端策略和端口号ssl-vpnserver-policyserver-policy-name[portport-number]必选缺省情况下,没有配置SSLVPN服务使用的SSL服务器端策略使能SSLVPN服务ssl-vpnenable必选缺省情况下,SSLVPN服务处于关闭状态1.
3SSLVPN典型配置举例1.
组网需求在SSLVPN中,为了使管理员和普通用户能够以HTTPS方式登录SSLVPN网关的Web页面,通过SSLVPN网关管理和访问企业内部资源,需要在SSLVPN网关上进行SSL相关配置,并使能SSLVPN服务.
在本配置举例中:zSSLVPN网关的地址为10.
1.
1.
1/24;z为SSLVPN网关和远程接入用户颁发证书的CA(CertificateAuthority,认证机构)地址为10.
2.
1.
1/24,CA名称为CAserver.
1-32.
组网图图1-2SSLVPN配置组网图3.
配置步骤z本配置举例中,采用WindowsServer作为CA.
在CA上需要安装SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)插件.
z进行下面的配置之前,需要确保SSLVPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书.
(1)为SSLVPN网关Device申请证书#配置PKI实体en,指定实体的通用名为http-server.
system-view[Device]pkientityen[Device-pki-entity-en]common-namehttp-server[Device-pki-entity-en]quit#配置PKI域sslvpn,指定信任的CA名称为caserver、注册服务器的URL为http://10.
2.
1.
1/certsrv/mscep/mscep.
dll、证书申请的注册受理机构为RA、实体名称为en.
[Device]pkidomainsslvpn[Device-pki-domain-sslvpn]caidentifiercaserver[Device-pki-domain-sslvpn]certificaterequesturlhttp://10.
2.
1.
1/certsrv/mscep/mscep.
dll[Device-pki-domain-sslvpn]certificaterequestfromra[Device-pki-domain-sslvpn]certificaterequestentityen[Device-pki-domain-sslvpn]quit#生成本地的RSA密钥对.
[Device]public-keylocalcreatersa#获取CA的证书.
[Device]pkiretrieval-certificatecadomainsslvpn#为Device申请证书.
[Device]pkirequest-certificatedomainsslvpn(2)配置SSLVPN服务使用的SSL服务器端策略1-4#创建SSL服务器端策略myssl,并指定该策略使用PKI域sslvpn.
[Device]sslserver-policymyssl[Device-ssl-server-policy-myssl]pki-domainsslvpn[Device-ssl-server-policy-myssl]quit(3)配置SSLVPN#指定SSLVPN服务使用的SSL服务器端策略为myssl,端口号为缺省端口号443.
[Device]ssl-vpnserver-policymyssl#使能SSLVPN服务.
[Device]ssl-vpnenable(4)验证配置结果远程接入用户在终端主机Host上打开IE浏览器,输入网址https://10.
1.
1.
1/svpn/cn/index.
htm,即可打开SSLVPN网关Device的Web登录页面.
zPKI配置命令的详细介绍请参见"安全命令参考"中的"PKI";zpublic-keylocalcreatersa命令的详细介绍请参见"安全命令参考"中的"公钥管理";zSSL配置命令的详细介绍请参见"安全命令参考"中的"SSL".
昔日数据:香港云服务器(2G防御)、湖北云服务器(100G防御),首月5折,低至12元/月
昔日数据,国内商家,成立于2020年,主要销售湖北十堰和香港HKBN的云服务器,采用KVM虚拟化技术构架,不限制流量。当前夏季促销活动,全部首月5折促销,活动截止于8月11日。官方网站:https://www.xrapi.cn/5折优惠码:XR2021湖北十堰云服务器托管于湖北十堰市IDC数据中心,母鸡采用e5 2651v2,SSD MLC企业硬盘、 rdid5阵列为数据护航,100G高防,超出防...
friendhosting:(优惠55%)大促销,全场VPS降价55%,9个机房,不限流量
每年的7月的最后一个周五是全球性质的“系统管理员日”,据说是为了感谢系统管理员的辛苦工作....friendhosting决定从现在开始一直到9月8日对其全球9个数据中心的VPS进行4.5折(优惠55%)大促销。所有VPS基于KVM虚拟,给100M带宽,不限制流量,允许自定义上传ISO...官方网站:https://friendhosting.net比特币、信用卡、PayPal、支付宝、微信、we...
鲸云10美元,香港BGPRM 1核 1G 10Mbps峰值带宽 1TB流量,江西CN2-NAT 1核 512MB内存 100M带宽 ,
WHloud Official Notice(鲸云官方通知)(鲸落 梦之终章)]WHloud RouMu Cloud Hosting若木产品线云主机-香港节点上新预售本次线路均为电信CN2 GIA+移动联通BGP,此机型为正常常规机,建站推荐。本次预售定为国庆后开通,据销售状况决定,照以往经验或有咕咕的可能性,但是大多等待时间不长。均赠送2个快照 2个备份,1个默认ipv4官方网站:https:/...
企业ssl证书为你推荐
-
操作http操作httpmagento既然magento那么强大,为什么还有那么多用zencart的?zencart还有发展的空间吗?phpadmin下载免费MP3下载aspweb服务器asp网站挂上服务器,详细步骤企业ssl证书国内哪些公司是专门做ssl证书的呢?企业信息查询系统查企业信息哪个的软件好?sqlserver2000挂起SQL server2000 安装为什么老是提示挂起?支付宝注册网站在哪里注册支付宝账号360防火墙在哪里电脑或电脑360有联网防火墙吗,在哪里设置