H3C SSL VPN证书认证配置案例.docx

H3C SSL VPN证书认证配置案例.docx

《H3C SSL VPN证书认证配置案例.docx》由会员分享，可在线阅读，更多相关《H3C SSL VPN证书认证配置案例.docx（16页珍藏版）》请在冰点文库上搜索。

H3CSSLVPN证书认证配置案例

SSLVPN证书实验

1组网图

说明：

Secpath1000F上插一块SSLVPN卡，连接两个网段，会充当内、外网。

内网服务器使用Secpath100N模拟WEBServer、FTPServer、TelnetServer。

2组网配置

本次实验的目的是用自己制作的证书替换掉SSLVPN卡自带的CA证书，并且实现SSLVPN客户端登录方式使用”用户名+密码”的方式。

登录成功后分别测试SSLVPN提供的三种资源

2.1证书申请

1.安装证书服务器

此操作请参考其它文档，我在这就不抓图了。

2.申请根证书：

根证书申请比较容易，在Windows2003Server上安装证书服务后，打开申请页面，操作步骤如下：

步骤一

步骤二

步骤三

保存后，即得到一个CA根证书。

3.申请本地证书，步骤如下：

步骤一

步骤二

步骤三

步骤四

步骤五

步骤六

导此出，即得到一个本地证书。

4.申请用户证书：

步骤一

步骤二

步骤三

步骤四

到此，我们的证书申请完毕，得到三个证书：

*.crt的根证书，*.pfx的用户证书，看不见但存在IE中的用户证书。

2.2Secpath1000F的操作：

1.关闭开启的WEB和SVPN服务：

undowebserverenable

undosvpnserverenable

2.删除系统默认的证书绑定：

 pkidelete-certificatecadomainsvpndefdom 

 rsalocal-key-pairdestroy

3.将申请的根证书和本地证书导进防火墙中：

4.将证书和域绑定起来：

 pkiimport-certificatecadomain域名derfilename*.crt

 pkiimport-certificatelocaldomain域名p12filename*.pfx

4.开启服务：

webserverenable

svpnserverenable

2.3SSLVPN的配置：

在IE浏览器里面输入网址https:

//2.2.2.250/admin后，进入SSLVPN设置画面：

创建账号：

创建两个，一个与证书名相同，一个不同：

创建用户组，将增加的用户名添加进用户组：

创建WEB资源：

创建TCP资源：

创建IP资源：

将创建的资源绑定到资源组中：

将资源组绑定用户组上：

将认证类型改成证书+密码：

用与证书名相同的用户名测试：

登录成功：

使用不同的用户名测试：

登录错误：

2.4总结

证书的对错决定着测试的成败。

设备配置还是比较容易理解的。