网关企业ssl证书
企业ssl证书 时间:2021-04-15 阅读:()
i目录1SSLVPN配置.
1-11.
1SSLVPN简介.
1-11.
2配置SSLVPN.
1-11.
2.
1配置准备1-21.
2.
2配置SSLVPN1-21.
3SSLVPN典型配置举例1-21-11SSLVPN配置1.
1SSLVPN简介SSLVPN是以HTTPS(SecureHTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间.
SSLVPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接.
SSLVPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证.
SSLVPN的典型组网架构如图1-1所示.
管理员在SSLVPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSLVPN网关建立HTTPS连接,选择需要访问的资源,由SSLVPN网关将资源访问请求转发给企业网内的服务器.
SSLVPN通过在远程接入用户和SSLVPN网关之间建立SSL连接、SSLVPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护.
图1-1SSLVPN典型组网架构SSLVPN的工作机制为:(1)管理员以HTTPS方式登录SSLVPN网关的Web管理界面,在SSLVPN网关上创建与服务器对应的资源.
(2)远程接入用户与SSLVPN网关建立HTTPS连接.
通过SSL提供的基于证书的身份验证功能,SSLVPN网关和远程接入用户可以验证彼此的身份.
(3)HTTPS连接建立成功后,用户登录到SSLVPN网关的Web页面,输入用户名、密码和认证方式(如RADIUS认证),SSLVPN网关验证用户的信息是否正确.
(4)用户成功登录后,在Web页面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSLVPN网关.
(5)SSLVPN网关解析请求,与服务器交互后将应答发送给用户.
1.
2配置SSLVPNSSLVPN网关配置包括如下内容:1-2z指定SSLVPN服务使用的SSL服务器端策略:管理员和用户对SSLVPN网关和内网资源进行管理和访问时,都需要首先通过HTTPS登录SSLVPN网关的Web页面.
因此,SSLVPN网关上需要指定使用的SSL服务器端策略,以便确定SSLVPN服务使用的SSL参数.
z指定SSLVPN服务使用的TCP端口号:SSLVPN网关作为HTTPS服务器为管理员和用户提供Web登录页面,可以根据需要指定HTTPS服务的TCP端口号.
z使能SSLVPN服务:只有使能SSLVPN服务后,管理员和用户才能通过Web页面访问SSLVPN网关.
1.
2.
1配置准备配置SSLVPN之前,需要先创建SSL服务器端策略.
SSL服务器端策略的配置方法,请参见"安全配置指导"中的"SSL".
1.
2.
2配置SSLVPN表1-1配置SSLVPN操作命令说明进入系统视图system-view-配置SSLVPN服务使用的SSL服务器端策略和端口号ssl-vpnserver-policyserver-policy-name[portport-number]必选缺省情况下,没有配置SSLVPN服务使用的SSL服务器端策略使能SSLVPN服务ssl-vpnenable必选缺省情况下,SSLVPN服务处于关闭状态1.
3SSLVPN典型配置举例1.
组网需求在SSLVPN中,为了使管理员和普通用户能够以HTTPS方式登录SSLVPN网关的Web页面,通过SSLVPN网关管理和访问企业内部资源,需要在SSLVPN网关上进行SSL相关配置,并使能SSLVPN服务.
在本配置举例中:zSSLVPN网关的地址为10.
1.
1.
1/24;z为SSLVPN网关和远程接入用户颁发证书的CA(CertificateAuthority,认证机构)地址为10.
2.
1.
1/24,CA名称为CAserver.
1-32.
组网图图1-2SSLVPN配置组网图3.
配置步骤z本配置举例中,采用WindowsServer作为CA.
在CA上需要安装SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)插件.
z进行下面的配置之前,需要确保SSLVPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书.
(1)为SSLVPN网关Device申请证书#配置PKI实体en,指定实体的通用名为http-server.
system-view[Device]pkientityen[Device-pki-entity-en]common-namehttp-server[Device-pki-entity-en]quit#配置PKI域sslvpn,指定信任的CA名称为caserver、注册服务器的URL为http://10.
2.
1.
1/certsrv/mscep/mscep.
dll、证书申请的注册受理机构为RA、实体名称为en.
[Device]pkidomainsslvpn[Device-pki-domain-sslvpn]caidentifiercaserver[Device-pki-domain-sslvpn]certificaterequesturlhttp://10.
2.
1.
1/certsrv/mscep/mscep.
dll[Device-pki-domain-sslvpn]certificaterequestfromra[Device-pki-domain-sslvpn]certificaterequestentityen[Device-pki-domain-sslvpn]quit#生成本地的RSA密钥对.
[Device]public-keylocalcreatersa#获取CA的证书.
[Device]pkiretrieval-certificatecadomainsslvpn#为Device申请证书.
[Device]pkirequest-certificatedomainsslvpn(2)配置SSLVPN服务使用的SSL服务器端策略1-4#创建SSL服务器端策略myssl,并指定该策略使用PKI域sslvpn.
[Device]sslserver-policymyssl[Device-ssl-server-policy-myssl]pki-domainsslvpn[Device-ssl-server-policy-myssl]quit(3)配置SSLVPN#指定SSLVPN服务使用的SSL服务器端策略为myssl,端口号为缺省端口号443.
[Device]ssl-vpnserver-policymyssl#使能SSLVPN服务.
[Device]ssl-vpnenable(4)验证配置结果远程接入用户在终端主机Host上打开IE浏览器,输入网址https://10.
1.
1.
1/svpn/cn/index.
htm,即可打开SSLVPN网关Device的Web登录页面.
zPKI配置命令的详细介绍请参见"安全命令参考"中的"PKI";zpublic-keylocalcreatersa命令的详细介绍请参见"安全命令参考"中的"公钥管理";zSSL配置命令的详细介绍请参见"安全命令参考"中的"SSL".
1-11.
1SSLVPN简介.
1-11.
2配置SSLVPN.
1-11.
2.
1配置准备1-21.
2.
2配置SSLVPN1-21.
3SSLVPN典型配置举例1-21-11SSLVPN配置1.
1SSLVPN简介SSLVPN是以HTTPS(SecureHTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间.
SSLVPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接.
SSLVPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证.
SSLVPN的典型组网架构如图1-1所示.
管理员在SSLVPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSLVPN网关建立HTTPS连接,选择需要访问的资源,由SSLVPN网关将资源访问请求转发给企业网内的服务器.
SSLVPN通过在远程接入用户和SSLVPN网关之间建立SSL连接、SSLVPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护.
图1-1SSLVPN典型组网架构SSLVPN的工作机制为:(1)管理员以HTTPS方式登录SSLVPN网关的Web管理界面,在SSLVPN网关上创建与服务器对应的资源.
(2)远程接入用户与SSLVPN网关建立HTTPS连接.
通过SSL提供的基于证书的身份验证功能,SSLVPN网关和远程接入用户可以验证彼此的身份.
(3)HTTPS连接建立成功后,用户登录到SSLVPN网关的Web页面,输入用户名、密码和认证方式(如RADIUS认证),SSLVPN网关验证用户的信息是否正确.
(4)用户成功登录后,在Web页面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSLVPN网关.
(5)SSLVPN网关解析请求,与服务器交互后将应答发送给用户.
1.
2配置SSLVPNSSLVPN网关配置包括如下内容:1-2z指定SSLVPN服务使用的SSL服务器端策略:管理员和用户对SSLVPN网关和内网资源进行管理和访问时,都需要首先通过HTTPS登录SSLVPN网关的Web页面.
因此,SSLVPN网关上需要指定使用的SSL服务器端策略,以便确定SSLVPN服务使用的SSL参数.
z指定SSLVPN服务使用的TCP端口号:SSLVPN网关作为HTTPS服务器为管理员和用户提供Web登录页面,可以根据需要指定HTTPS服务的TCP端口号.
z使能SSLVPN服务:只有使能SSLVPN服务后,管理员和用户才能通过Web页面访问SSLVPN网关.
1.
2.
1配置准备配置SSLVPN之前,需要先创建SSL服务器端策略.
SSL服务器端策略的配置方法,请参见"安全配置指导"中的"SSL".
1.
2.
2配置SSLVPN表1-1配置SSLVPN操作命令说明进入系统视图system-view-配置SSLVPN服务使用的SSL服务器端策略和端口号ssl-vpnserver-policyserver-policy-name[portport-number]必选缺省情况下,没有配置SSLVPN服务使用的SSL服务器端策略使能SSLVPN服务ssl-vpnenable必选缺省情况下,SSLVPN服务处于关闭状态1.
3SSLVPN典型配置举例1.
组网需求在SSLVPN中,为了使管理员和普通用户能够以HTTPS方式登录SSLVPN网关的Web页面,通过SSLVPN网关管理和访问企业内部资源,需要在SSLVPN网关上进行SSL相关配置,并使能SSLVPN服务.
在本配置举例中:zSSLVPN网关的地址为10.
1.
1.
1/24;z为SSLVPN网关和远程接入用户颁发证书的CA(CertificateAuthority,认证机构)地址为10.
2.
1.
1/24,CA名称为CAserver.
1-32.
组网图图1-2SSLVPN配置组网图3.
配置步骤z本配置举例中,采用WindowsServer作为CA.
在CA上需要安装SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)插件.
z进行下面的配置之前,需要确保SSLVPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书.
(1)为SSLVPN网关Device申请证书#配置PKI实体en,指定实体的通用名为http-server.
system-view[Device]pkientityen[Device-pki-entity-en]common-namehttp-server[Device-pki-entity-en]quit#配置PKI域sslvpn,指定信任的CA名称为caserver、注册服务器的URL为http://10.
2.
1.
1/certsrv/mscep/mscep.
dll、证书申请的注册受理机构为RA、实体名称为en.
[Device]pkidomainsslvpn[Device-pki-domain-sslvpn]caidentifiercaserver[Device-pki-domain-sslvpn]certificaterequesturlhttp://10.
2.
1.
1/certsrv/mscep/mscep.
dll[Device-pki-domain-sslvpn]certificaterequestfromra[Device-pki-domain-sslvpn]certificaterequestentityen[Device-pki-domain-sslvpn]quit#生成本地的RSA密钥对.
[Device]public-keylocalcreatersa#获取CA的证书.
[Device]pkiretrieval-certificatecadomainsslvpn#为Device申请证书.
[Device]pkirequest-certificatedomainsslvpn(2)配置SSLVPN服务使用的SSL服务器端策略1-4#创建SSL服务器端策略myssl,并指定该策略使用PKI域sslvpn.
[Device]sslserver-policymyssl[Device-ssl-server-policy-myssl]pki-domainsslvpn[Device-ssl-server-policy-myssl]quit(3)配置SSLVPN#指定SSLVPN服务使用的SSL服务器端策略为myssl,端口号为缺省端口号443.
[Device]ssl-vpnserver-policymyssl#使能SSLVPN服务.
[Device]ssl-vpnenable(4)验证配置结果远程接入用户在终端主机Host上打开IE浏览器,输入网址https://10.
1.
1.
1/svpn/cn/index.
htm,即可打开SSLVPN网关Device的Web登录页面.
zPKI配置命令的详细介绍请参见"安全命令参考"中的"PKI";zpublic-keylocalcreatersa命令的详细介绍请参见"安全命令参考"中的"公钥管理";zSSL配置命令的详细介绍请参见"安全命令参考"中的"SSL".
BGPTO独服折优惠- 日本独服65折 新加坡独服75折
BGPTO是一家成立于2017年的国人主机商,从商家背景上是国内的K总和有其他投资者共同创办的商家,主营是独立服务器业务。数据中心包括美国洛杉矶Cera、新加坡、日本大阪和香港数据中心的服务器。商家对所销售服务器产品拥有自主硬件和IP资源,支持Linux和Windows。这个月,有看到商家BGPTO日本和新加坡机房独服正进行优惠促销,折扣最低65折。第一、商家机房优惠券码这次商家的活动机房是新加坡...
spinservers($89/月),圣何塞10Gbps带宽服务器,达拉斯10Gbps服务器
spinservers是Majestic Hosting Solutions LLC旗下站点,主要提供国外服务器租用和Hybrid Dedicated等产品的商家,数据中心包括美国达拉斯和圣何塞机房,机器一般10Gbps端口带宽,高配置硬件,支持使用PayPal、信用卡、支付宝或者微信等付款方式。目前,商家针对部分服务器提供优惠码,优惠后达拉斯机房服务器最低每月89美元起,圣何塞机房服务器最低每月...
DiyVM(50元起)老牌商家,香港沙田CN2直连vps/不限流量/五折终身优惠
diyvm怎么样?diyvm是一家国内成立时间比较久的主机商家了,大约在6年前站长曾经用过他家的美国机房的套餐,非常稳定,适合做站,目前商家正在针对香港沙田机房的VPS进行促销,给的是五折优惠,续费同价,香港沙田机房走的是CN2直连的线路,到大陆地区的速度非常好,DiyVM商家采用小带宽不限流量的形式,带宽2Mbps起步,做站完全够用,有需要的朋友可以入手。diyvm优惠码:五折优惠码:OFF50...
企业ssl证书为你推荐
-
诊断snsBeitragsvolumenphpinternalservererrorinternal server errorsqlserver数据库SQL Server 数据库 (+) 这个是什么意思internetexplorer无法打开Internet Explorer无法打开站点怎么解决申请支付宝账户如何申请支付宝账户ldapserver怎样打开DWA文件?请说详细点?重庆电信dns重庆的DNS服务器地址是多少?腾讯公司电话是多少腾讯公司电话是多少discuz论坛discuz论坛怎么做