说明: 证书的配置,比较复杂,证书是密码学中最主要的一个成分,在配置证书挑战之前,对证书的原理以及https在通讯过程中的流程。都要有非常深入的了解。 其中最重要的是身份校验和口令认证的唯一性。身份校验就是对使用人 合法性的校验,口令用来对合法性的授权,在b/s架构中,加密无疑是http+ssl 就是https协议。
xca中申请证书(本举例的证书是通过xca生成)
生成一本设备证书,一本CA证书,设备证书安装在设备上,CA证书安装在secoClient所在的主机上(目的:PC校验设备的合法性);
本案例中,也是生成两本证书,一本用户证书,一本CA证书,用户证书安装在secoClient所在的主机上,CA证书安装在设备上。(目的:设备校验主机的合法性)
用户证书:安装在PC上,格式为*.p12;
CA证书:安装在FW上,格式为*.cer;
步骤1、创建数据库
步骤2、创建CA 在Certificates中,选择 source 选项(最后导出到防火墙)选择cer格式。
1) 生成CA中心,CA负责颁发,吊销。后面的数字证书都是基于CA进行申请和授权。如下图
2)创建用户证书 然后点击New Certificate(这个证书导入到电脑,相当于iis中的私钥证书)
3)导出用户证书,导出的时候要输入密码,可以不用输入,空密码即可!
4) 接着导出防火墙证书,证书选择cer格式
5) 在防火墙中配置SSLVPN信息
6) 配置主要sslvpn参数,策略自己添加,其他可以自己思考
7) 配置用户 这个用户和数字证书当中创建的名称一定要对应,否则会失败。
步骤3、客户端登录sslvpn
说明:sslvpn可以使用官方客户端登录,也可以使用浏览器登录。建议使用客户端
将生成的*.p12在客户端PC上按照提示安装即可(路径选择“个人”)
1) 用secoClientl,这个软件登陆官方地址下载,这个要许可才能下载,然后配置sslvpn参数
官网官网下载客户端地址https://support.huawei.com/enterprise/zh/software/22419682-SW1000252336
2) secoclient上,无需特殊配置,若是证书挑战认证,客户端会自动增加一个“证书”的选项框。通过下拉框选择在客户端安装的证书即可。
登陆成功后显示
4)如果用Windows7或者Windows10浏览器登录,请必须使用IE浏览器,版本最好是11
登录之后,就可以正常访问内网的资源了
注意:创建的数字证书中的账号和防火墙中创建的用户名相对应,否则不能登陆成功
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/2421.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~