网关企业ssl证书

i目录1SSLVPN配置.
1-11.
1SSLVPN简介.
1-11.
2配置SSLVPN.
1-11.
2.
1配置准备1-21.
2.
2配置SSLVPN1-21.
3SSLVPN典型配置举例1-21-11SSLVPN配置1.
1SSLVPN简介SSLVPN是以HTTPS(SecureHTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间.
SSLVPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接.
SSLVPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证.
SSLVPN的典型组网架构如图1-1所示.
管理员在SSLVPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSLVPN网关建立HTTPS连接,选择需要访问的资源,由SSLVPN网关将资源访问请求转发给企业网内的服务器.
SSLVPN通过在远程接入用户和SSLVPN网关之间建立SSL连接、SSLVPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护.
图1-1SSLVPN典型组网架构SSLVPN的工作机制为:(1)管理员以HTTPS方式登录SSLVPN网关的Web管理界面,在SSLVPN网关上创建与服务器对应的资源.
(2)远程接入用户与SSLVPN网关建立HTTPS连接.
通过SSL提供的基于证书的身份验证功能,SSLVPN网关和远程接入用户可以验证彼此的身份.
(3)HTTPS连接建立成功后,用户登录到SSLVPN网关的Web页面,输入用户名、密码和认证方式(如RADIUS认证),SSLVPN网关验证用户的信息是否正确.
(4)用户成功登录后,在Web页面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSLVPN网关.
(5)SSLVPN网关解析请求,与服务器交互后将应答发送给用户.
1.
2配置SSLVPNSSLVPN网关配置包括如下内容:1-2z指定SSLVPN服务使用的SSL服务器端策略:管理员和用户对SSLVPN网关和内网资源进行管理和访问时,都需要首先通过HTTPS登录SSLVPN网关的Web页面.
因此,SSLVPN网关上需要指定使用的SSL服务器端策略,以便确定SSLVPN服务使用的SSL参数.
z指定SSLVPN服务使用的TCP端口号:SSLVPN网关作为HTTPS服务器为管理员和用户提供Web登录页面,可以根据需要指定HTTPS服务的TCP端口号.
z使能SSLVPN服务:只有使能SSLVPN服务后,管理员和用户才能通过Web页面访问SSLVPN网关.
1.
2.
1配置准备配置SSLVPN之前,需要先创建SSL服务器端策略.
SSL服务器端策略的配置方法,请参见"安全配置指导"中的"SSL".
1.
2.
2配置SSLVPN表1-1配置SSLVPN操作命令说明进入系统视图system-view-配置SSLVPN服务使用的SSL服务器端策略和端口号ssl-vpnserver-policyserver-policy-name[portport-number]必选缺省情况下,没有配置SSLVPN服务使用的SSL服务器端策略使能SSLVPN服务ssl-vpnenable必选缺省情况下,SSLVPN服务处于关闭状态1.
3SSLVPN典型配置举例1.
组网需求在SSLVPN中,为了使管理员和普通用户能够以HTTPS方式登录SSLVPN网关的Web页面,通过SSLVPN网关管理和访问企业内部资源,需要在SSLVPN网关上进行SSL相关配置,并使能SSLVPN服务.
在本配置举例中:zSSLVPN网关的地址为10.
1.
1.
1/24;z为SSLVPN网关和远程接入用户颁发证书的CA(CertificateAuthority,认证机构)地址为10.
2.
1.
1/24,CA名称为CAserver.
1-32.
组网图图1-2SSLVPN配置组网图3.
配置步骤z本配置举例中,采用WindowsServer作为CA.
在CA上需要安装SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)插件.
z进行下面的配置之前,需要确保SSLVPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书.
(1)为SSLVPN网关Device申请证书#配置PKI实体en,指定实体的通用名为http-server.
system-view[Device]pkientityen[Device-pki-entity-en]common-namehttp-server[Device-pki-entity-en]quit#配置PKI域sslvpn,指定信任的CA名称为caserver、注册服务器的URL为http://10.
2.
1.
1/certsrv/mscep/mscep.
dll、证书申请的注册受理机构为RA、实体名称为en.
[Device]pkidomainsslvpn[Device-pki-domain-sslvpn]caidentifiercaserver[Device-pki-domain-sslvpn]certificaterequesturlhttp://10.
2.
1.
1/certsrv/mscep/mscep.
dll[Device-pki-domain-sslvpn]certificaterequestfromra[Device-pki-domain-sslvpn]certificaterequestentityen[Device-pki-domain-sslvpn]quit#生成本地的RSA密钥对.
[Device]public-keylocalcreatersa#获取CA的证书.
[Device]pkiretrieval-certificatecadomainsslvpn#为Device申请证书.
[Device]pkirequest-certificatedomainsslvpn(2)配置SSLVPN服务使用的SSL服务器端策略1-4#创建SSL服务器端策略myssl,并指定该策略使用PKI域sslvpn.
[Device]sslserver-policymyssl[Device-ssl-server-policy-myssl]pki-domainsslvpn[Device-ssl-server-policy-myssl]quit(3)配置SSLVPN#指定SSLVPN服务使用的SSL服务器端策略为myssl,端口号为缺省端口号443.
[Device]ssl-vpnserver-policymyssl#使能SSLVPN服务.
[Device]ssl-vpnenable(4)验证配置结果远程接入用户在终端主机Host上打开IE浏览器,输入网址https://10.
1.
1.
1/svpn/cn/index.
htm,即可打开SSLVPN网关Device的Web登录页面.
zPKI配置命令的详细介绍请参见"安全命令参考"中的"PKI";zpublic-keylocalcreatersa命令的详细介绍请参见"安全命令参考"中的"公钥管理";zSSL配置命令的详细介绍请参见"安全命令参考"中的"SSL".