网关企业ssl证书
企业ssl证书 时间:2021-04-15 阅读:()
i目录1SSLVPN配置.
1-11.
1SSLVPN简介.
1-11.
2配置SSLVPN.
1-11.
2.
1配置准备1-21.
2.
2配置SSLVPN1-21.
3SSLVPN典型配置举例1-21-11SSLVPN配置1.
1SSLVPN简介SSLVPN是以HTTPS(SecureHTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间.
SSLVPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接.
SSLVPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证.
SSLVPN的典型组网架构如图1-1所示.
管理员在SSLVPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSLVPN网关建立HTTPS连接,选择需要访问的资源,由SSLVPN网关将资源访问请求转发给企业网内的服务器.
SSLVPN通过在远程接入用户和SSLVPN网关之间建立SSL连接、SSLVPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护.
图1-1SSLVPN典型组网架构SSLVPN的工作机制为:(1)管理员以HTTPS方式登录SSLVPN网关的Web管理界面,在SSLVPN网关上创建与服务器对应的资源.
(2)远程接入用户与SSLVPN网关建立HTTPS连接.
通过SSL提供的基于证书的身份验证功能,SSLVPN网关和远程接入用户可以验证彼此的身份.
(3)HTTPS连接建立成功后,用户登录到SSLVPN网关的Web页面,输入用户名、密码和认证方式(如RADIUS认证),SSLVPN网关验证用户的信息是否正确.
(4)用户成功登录后,在Web页面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSLVPN网关.
(5)SSLVPN网关解析请求,与服务器交互后将应答发送给用户.
1.
2配置SSLVPNSSLVPN网关配置包括如下内容:1-2z指定SSLVPN服务使用的SSL服务器端策略:管理员和用户对SSLVPN网关和内网资源进行管理和访问时,都需要首先通过HTTPS登录SSLVPN网关的Web页面.
因此,SSLVPN网关上需要指定使用的SSL服务器端策略,以便确定SSLVPN服务使用的SSL参数.
z指定SSLVPN服务使用的TCP端口号:SSLVPN网关作为HTTPS服务器为管理员和用户提供Web登录页面,可以根据需要指定HTTPS服务的TCP端口号.
z使能SSLVPN服务:只有使能SSLVPN服务后,管理员和用户才能通过Web页面访问SSLVPN网关.
1.
2.
1配置准备配置SSLVPN之前,需要先创建SSL服务器端策略.
SSL服务器端策略的配置方法,请参见"安全配置指导"中的"SSL".
1.
2.
2配置SSLVPN表1-1配置SSLVPN操作命令说明进入系统视图system-view-配置SSLVPN服务使用的SSL服务器端策略和端口号ssl-vpnserver-policyserver-policy-name[portport-number]必选缺省情况下,没有配置SSLVPN服务使用的SSL服务器端策略使能SSLVPN服务ssl-vpnenable必选缺省情况下,SSLVPN服务处于关闭状态1.
3SSLVPN典型配置举例1.
组网需求在SSLVPN中,为了使管理员和普通用户能够以HTTPS方式登录SSLVPN网关的Web页面,通过SSLVPN网关管理和访问企业内部资源,需要在SSLVPN网关上进行SSL相关配置,并使能SSLVPN服务.
在本配置举例中:zSSLVPN网关的地址为10.
1.
1.
1/24;z为SSLVPN网关和远程接入用户颁发证书的CA(CertificateAuthority,认证机构)地址为10.
2.
1.
1/24,CA名称为CAserver.
1-32.
组网图图1-2SSLVPN配置组网图3.
配置步骤z本配置举例中,采用WindowsServer作为CA.
在CA上需要安装SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)插件.
z进行下面的配置之前,需要确保SSLVPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书.
(1)为SSLVPN网关Device申请证书#配置PKI实体en,指定实体的通用名为http-server.
system-view[Device]pkientityen[Device-pki-entity-en]common-namehttp-server[Device-pki-entity-en]quit#配置PKI域sslvpn,指定信任的CA名称为caserver、注册服务器的URL为http://10.
2.
1.
1/certsrv/mscep/mscep.
dll、证书申请的注册受理机构为RA、实体名称为en.
[Device]pkidomainsslvpn[Device-pki-domain-sslvpn]caidentifiercaserver[Device-pki-domain-sslvpn]certificaterequesturlhttp://10.
2.
1.
1/certsrv/mscep/mscep.
dll[Device-pki-domain-sslvpn]certificaterequestfromra[Device-pki-domain-sslvpn]certificaterequestentityen[Device-pki-domain-sslvpn]quit#生成本地的RSA密钥对.
[Device]public-keylocalcreatersa#获取CA的证书.
[Device]pkiretrieval-certificatecadomainsslvpn#为Device申请证书.
[Device]pkirequest-certificatedomainsslvpn(2)配置SSLVPN服务使用的SSL服务器端策略1-4#创建SSL服务器端策略myssl,并指定该策略使用PKI域sslvpn.
[Device]sslserver-policymyssl[Device-ssl-server-policy-myssl]pki-domainsslvpn[Device-ssl-server-policy-myssl]quit(3)配置SSLVPN#指定SSLVPN服务使用的SSL服务器端策略为myssl,端口号为缺省端口号443.
[Device]ssl-vpnserver-policymyssl#使能SSLVPN服务.
[Device]ssl-vpnenable(4)验证配置结果远程接入用户在终端主机Host上打开IE浏览器,输入网址https://10.
1.
1.
1/svpn/cn/index.
htm,即可打开SSLVPN网关Device的Web登录页面.
zPKI配置命令的详细介绍请参见"安全命令参考"中的"PKI";zpublic-keylocalcreatersa命令的详细介绍请参见"安全命令参考"中的"公钥管理";zSSL配置命令的详细介绍请参见"安全命令参考"中的"SSL".
1-11.
1SSLVPN简介.
1-11.
2配置SSLVPN.
1-11.
2.
1配置准备1-21.
2.
2配置SSLVPN1-21.
3SSLVPN典型配置举例1-21-11SSLVPN配置1.
1SSLVPN简介SSLVPN是以HTTPS(SecureHTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间.
SSLVPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接.
SSLVPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证.
SSLVPN的典型组网架构如图1-1所示.
管理员在SSLVPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSLVPN网关建立HTTPS连接,选择需要访问的资源,由SSLVPN网关将资源访问请求转发给企业网内的服务器.
SSLVPN通过在远程接入用户和SSLVPN网关之间建立SSL连接、SSLVPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护.
图1-1SSLVPN典型组网架构SSLVPN的工作机制为:(1)管理员以HTTPS方式登录SSLVPN网关的Web管理界面,在SSLVPN网关上创建与服务器对应的资源.
(2)远程接入用户与SSLVPN网关建立HTTPS连接.
通过SSL提供的基于证书的身份验证功能,SSLVPN网关和远程接入用户可以验证彼此的身份.
(3)HTTPS连接建立成功后,用户登录到SSLVPN网关的Web页面,输入用户名、密码和认证方式(如RADIUS认证),SSLVPN网关验证用户的信息是否正确.
(4)用户成功登录后,在Web页面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSLVPN网关.
(5)SSLVPN网关解析请求,与服务器交互后将应答发送给用户.
1.
2配置SSLVPNSSLVPN网关配置包括如下内容:1-2z指定SSLVPN服务使用的SSL服务器端策略:管理员和用户对SSLVPN网关和内网资源进行管理和访问时,都需要首先通过HTTPS登录SSLVPN网关的Web页面.
因此,SSLVPN网关上需要指定使用的SSL服务器端策略,以便确定SSLVPN服务使用的SSL参数.
z指定SSLVPN服务使用的TCP端口号:SSLVPN网关作为HTTPS服务器为管理员和用户提供Web登录页面,可以根据需要指定HTTPS服务的TCP端口号.
z使能SSLVPN服务:只有使能SSLVPN服务后,管理员和用户才能通过Web页面访问SSLVPN网关.
1.
2.
1配置准备配置SSLVPN之前,需要先创建SSL服务器端策略.
SSL服务器端策略的配置方法,请参见"安全配置指导"中的"SSL".
1.
2.
2配置SSLVPN表1-1配置SSLVPN操作命令说明进入系统视图system-view-配置SSLVPN服务使用的SSL服务器端策略和端口号ssl-vpnserver-policyserver-policy-name[portport-number]必选缺省情况下,没有配置SSLVPN服务使用的SSL服务器端策略使能SSLVPN服务ssl-vpnenable必选缺省情况下,SSLVPN服务处于关闭状态1.
3SSLVPN典型配置举例1.
组网需求在SSLVPN中,为了使管理员和普通用户能够以HTTPS方式登录SSLVPN网关的Web页面,通过SSLVPN网关管理和访问企业内部资源,需要在SSLVPN网关上进行SSL相关配置,并使能SSLVPN服务.
在本配置举例中:zSSLVPN网关的地址为10.
1.
1.
1/24;z为SSLVPN网关和远程接入用户颁发证书的CA(CertificateAuthority,认证机构)地址为10.
2.
1.
1/24,CA名称为CAserver.
1-32.
组网图图1-2SSLVPN配置组网图3.
配置步骤z本配置举例中,采用WindowsServer作为CA.
在CA上需要安装SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)插件.
z进行下面的配置之前,需要确保SSLVPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书.
(1)为SSLVPN网关Device申请证书#配置PKI实体en,指定实体的通用名为http-server.
system-view[Device]pkientityen[Device-pki-entity-en]common-namehttp-server[Device-pki-entity-en]quit#配置PKI域sslvpn,指定信任的CA名称为caserver、注册服务器的URL为http://10.
2.
1.
1/certsrv/mscep/mscep.
dll、证书申请的注册受理机构为RA、实体名称为en.
[Device]pkidomainsslvpn[Device-pki-domain-sslvpn]caidentifiercaserver[Device-pki-domain-sslvpn]certificaterequesturlhttp://10.
2.
1.
1/certsrv/mscep/mscep.
dll[Device-pki-domain-sslvpn]certificaterequestfromra[Device-pki-domain-sslvpn]certificaterequestentityen[Device-pki-domain-sslvpn]quit#生成本地的RSA密钥对.
[Device]public-keylocalcreatersa#获取CA的证书.
[Device]pkiretrieval-certificatecadomainsslvpn#为Device申请证书.
[Device]pkirequest-certificatedomainsslvpn(2)配置SSLVPN服务使用的SSL服务器端策略1-4#创建SSL服务器端策略myssl,并指定该策略使用PKI域sslvpn.
[Device]sslserver-policymyssl[Device-ssl-server-policy-myssl]pki-domainsslvpn[Device-ssl-server-policy-myssl]quit(3)配置SSLVPN#指定SSLVPN服务使用的SSL服务器端策略为myssl,端口号为缺省端口号443.
[Device]ssl-vpnserver-policymyssl#使能SSLVPN服务.
[Device]ssl-vpnenable(4)验证配置结果远程接入用户在终端主机Host上打开IE浏览器,输入网址https://10.
1.
1.
1/svpn/cn/index.
htm,即可打开SSLVPN网关Device的Web登录页面.
zPKI配置命令的详细介绍请参见"安全命令参考"中的"PKI";zpublic-keylocalcreatersa命令的详细介绍请参见"安全命令参考"中的"公钥管理";zSSL配置命令的详细介绍请参见"安全命令参考"中的"SSL".
Dynadot多种后缀优惠域名优惠码 ,.COM域名注册$6.99
Dynadot 是一家非常靠谱的域名注册商家,老唐也从来不会掩饰对其的喜爱,目前我个人大部分域名都在 Dynadot,还有一小部分在 NameCheap 和腾讯云。本文分享一下 Dynadot 最新域名优惠码,包括 .COM,.NET 等主流后缀的优惠码,以及一些新顶级后缀的优惠。对于域名优惠,NameCheap 的新后缀促销比较多,而 Dynadot 则是对于主流后缀的促销比较多,所以可以各取所...
百驰云(19/月),高性能服务器,香港三网CN2 2核2G 10M 国内、香港、美国、日本、VPS、物理机、站群全站7.5折,无理由退换,IP免费换!
百驰云成立于2017年,是一家新国人IDC商家,且正规持证IDC/ISP/CDN,商家主要提供数据中心基础服务、互联网业务解决方案,及专属服务器租用、云服务器、云虚拟主机、专属服务器托管、带宽租用等产品和服务。百驰云提供源自大陆、香港、韩国和美国等地骨干级机房优质资源,包括BGP国际多线网络,CN2点对点直连带宽以及国际顶尖品牌硬件。专注为个人开发者用户,中小型,大型企业用户提供一站式核心网络云端...
HostDare($33.79/年)CKVM和QKVM套餐 可选CN2 GIA线路
关于HostDare服务商在之前的文章中有介绍过几次,算是比较老牌的服务商,但是商家背景财力不是特别雄厚,算是比较小众的个人服务商。目前主流提供CKVM和QKVM套餐。前者是电信CN2 GIA,不过库存储备也不是很足,这不九月份发布新的补货库存活动,有提供九折优惠CN2 GIA,以及六五折优惠QKVM普通线路方案。这次活动截止到9月30日,不清楚商家这次库存补货多少。比如 QKVM基础的五个方案都...
企业ssl证书为你推荐
-
支付宝蜻蜓发布想做支付宝蜻蜓刷脸支付的代理么?怎么做?filezillaserverFileZilla Server 搭建的FTP服务器asp.net网页制作如何用DREAMWEAVER ASP.NET 做网页支付宝注册网站在哪里注册支付宝账号台北市cuteftp资费标准电信4G套餐?泉州商标注册请问泉州商标注册要怎么办理?在哪办理?免费代理加盟免费加盟代销怎么回事,能具体介绍下么申请400电话400电话如何办理?美国独立美国是什么时候独立的?