09
2022
07
15:30:59

华为防火墙配置SSL+自签CA证书挑战登录

HW USG部署SSL+CA证书登录

前言

了解证书

自签证书

服务器配置

客户端配置

客户端登录

前言

关于证书,涉及作者的知识盲区,本人仅根据自己的理解编写,仅供参考!


了解证书

公钥CA:理解为母体,公开信息,唯一

公钥RSA:理解为母体的密码

私钥CA:理解为包含公钥信息+个人用户名的子证书

私钥RSA:理解为私钥的密码,可以与公钥共用一个密码

证书导出密码:文件的解压密码(文件=私钥CA+私钥RSA)


在华为USG的作用:

公钥CA:服务器证书,验证客户端证书是否通过公钥签发

私钥CA:客户端证书,用于识别用户名

证书导出密码:客户端导入时解压密码


自签证书

下载XCA证书生成工具,由于本人测试时花费了不少时间,所以直接上传了,解压密码:huawei


https://download.csdn.net/download/qq948718360/19469672


1、安装软件后打开,先创建公钥CA,在创建私钥CA

2、打开>新建数据库>输入数据库密码


e0ff0594ce389aed4f0d44c40c53b45e_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

3、证书>创建证书


6b69354f80f0617af95c40ba64b91dfc_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


4、来源>使用模板CA>应用模板信息创建


aa00611f70d684dcab1e6222f60b606e_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


5、主题内部名称和commonName输入同样的内容,示例:usg-ca1,其它可根据需求填写。完成后点下发生成新秘钥


964dfca2bc727a7de274f6b0137910da_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


6、默认配置即可,点创建

612e4b56050d7bb14a8c4501fe6b636c_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


7、完成后弹出窗口,点 OK


01420435887345c1cae97e759963f646_20210608131911329.png

8、勾选 包含已使用的密钥,选择刚才创建的私钥,点OK


89b46034887397dee09c36e956846281_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

9、提示证书创建成功


bc723f648bb74f172c86c3b2f878842a_20210608132054321.png


10、证书列表已经生成,时间可调节,各位自行研究设置

3d1a8b16e3372e0901b5dae27c82746b_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


11、创建客户端私钥:先单击证书,然后选择创建证书


b636dc63cd1b4412be058e689777d754_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


12、签名处选择CA证书,模板使用 TLS_client,应用模板所有信息

60a656555a3cecda106cdf269f47d4df_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


13、主体输入用户信息,勾选私钥,点OK

e39eb461b111169d248244656f19e2a2_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


14、生成证书,点OK

25fdfd37fb590f581bb32dd7dd11cd5a_20210608132942326.png

15、此时已经生成了用户证书。

5ad705c120416c1c27c63674040a5331_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png



16、导出CA证书为cer格式:单选证书,导出,选择*.cer

0f0903a9f423759231f48909dd14b391_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

17、完成后桌面确认


76106b4aa057a82715a3e9653e731d63_20210608133437761.png


18、导出用户证书:单选用户证书>导出>选择导出格式 PKCS #12(*.pfx),注意要把格式改为P12


c50b08a8853f14c9213788151be07529_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


19、修改后缀名,OK


ae5e3b29dba262fb04a2874f6d998680_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

20、输入导出密码,此密码导入证书时候用,牢记


2abc42ae67923877700f880a7f98d4a2_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

21、完成后桌面确认


c760544a851bc70ca5090cb3cbc53b60_20210608134102145.png


服务器配置

找一下测试机器,搭建服务器进行外网测试

USG6507 V500R005C20SPC500


1、上传公钥CA到设备

66f8aef03c3e950ecf5af4191437c384_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

2、本地上传,选择usg-ca1.cer,公钥无密码,点确定

a905facbc76b290bddc0e920d5958c79_20210608135646944.png


3、完成后列表多出一个证书


4c3959a363424913e8e64642d5f42745_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


4、开始创建SSL网关。客户端CA证书选择刚才的证书,认证方式选择证书挑战,用户过滤字段选择:主体-CN。其它默认即可,本人示例端口10000


5f9e5c20c1e6f3fea7baacc2c6e42fc7_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

5、SSL配置,默认

c708dba4cb1120ddc59651963f593ebd_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

6、根据需要选择功能

5512e3bc1d7ff3b3b698b004ccfc611f_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


7、可分配IP地址范围是客户端,示例:192.168.180.11-192.168.180.30/24,此IP要写策略,否则无法接入内网。

注意:路由模式此版本用户权限处可以单独控制,所以此次默认即可。旧版本只能在此选择用户扩展。优先级:组权限大于系统默认权限


7f7a7f269314dcec2b53b72015a53fd1_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

8、主机检查:可选择检查进程,防火墙,端口等,后面有机会单独介绍

d8273d14b28da9bdc19677c9b73ba781_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


9、角色授权/用户,先授予默认角色权限,或者单独创建也可以。

4c099c560c6a9e5b46f3208159a3a1df_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


10、授予网络拓展权限


d34d4f049e8aba27074269911ac4c6db_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

11、完后可以看到角色已经拥有权限了,用户/用户组列表创建用户组合用户。先新建用户组,授权网络扩展权限,用户关联进组即可。每个组权限都可以不同


2c5c8f9948632d616967bd7af9156028_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

注意:不同版本功能不一样,有的版本没有这个功能,需要在网络扩展处填写需要访问的内网


0ae276ab5842c0602821e6d147fdf07e_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


12、创建用户信息,注意:用户名需要与证书名一致。用户所属组注意关联,否则只有默认权限


0f98a1d8fbf7728fb7692a32595cbe22_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

13、完成后确定

00ed52c9aeacc3cdfbc3845946ae8fd7_20210608141347611.png



14、完成,结束创建。


94c30ea60b29f2d53ffd22b461140a03_20210608141423640.png


客户端配置

目前个人证书为空


f6654755b174964459c730788b6a6555_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

1、找到证书,双击即可安装

77c3d0e98e5351bec2e1495f9af47f07_20210608143457598.png

2、默认路径,切勿改动


d17cd17f9f9ac5214dcaf4855a0a2f5e_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


3、文件路径,默认


1363f50a5df886fa36c0e976792343ab_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


4、输入证书导出时设置的密码,其它默认


0ea8a7d7f4c911b8cb838a6cefcc5e3c_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

5、存储路径,默认,切勿改动


b6f3bd5fbd19ebb07783d2ceff607f12_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

6、完后,弹出成功

235e0d3ef86c6c826965122a45f92607_20210608143718943.png

7、刷新个人证书列表


d566e90220d14e625f13420d09513780_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


客户端登录

网络扩展有两种方式:IE插件和浏览器,由于IE设置比较麻烦,本人以客户端为例


1、手机开个热点,切换网络,Edge浏览器输入SSL端口 https://公网IP:10000,如果浏览器显示不安全,高级,继续即可

image.png


2、输入用户名和密码登录,弹出的证书选择个人证书。

ff7589128e6838eae84c2827b3eaa685_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

3、如果是IE浏览器,此处会弹出网络扩展按钮

f7a741d21f98f9a6907bd5b9758309b1_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

4、点击右上角 用户选项

947d7bd8dd5aed7cef0c1ef0d7c76ad4_20210608145932332.png

5、可以选择修改密码或者安装客户端


c0c7a3b943068476b9305cb9e2056f99_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

6、此处我们下载64位客户端

73a618e3ced7ebe55f3ff975f66d9f29_2021060815003113.png


7、安装过程不在介绍,一路默认即可


1b7b56e176edd245c9d5c04a7dadc357_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

8、完成后双击打开


998834bd1b17fad2360e404c58683f26_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


9、点下拉符号,新建连接

48a52f3940ca4cfa8790bec3b3969214_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

10、输入网关地址和端口,其它默认

93775150c0f60f89f4e85806b72afb03_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png


11、完成后点连接

4c45181c39b99070fa03e833572c755f_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

12、输入密码,这个是账号的密码

b73bc67e4796650d9f283021ca430efd_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

13、静待连接成功

e375eeacd8066b9009e029aed80e90d5_20210608150551486.png


14、查看用户登录情况

9407834fdfedb9ff1fdfb0dba0a9535d_20210608151441724.png


15、验证路由表是否生效

9edc868c964958fab7fc54742f55abb8_watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxOTQ4NzE4MzYw,size_16,color_FFFFFF,t_70.png

16、对于客户端登录和访问内网,安全策略需要放行,由于属于基本内容,本文不在详细介绍。

①需要允许所有IP访问10000端口,简单操作:any到目的端口10000,允许

②需要允许客户端地址访问内网地址段,简单操作,分配地址到any允许




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/2448.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: