网关企业ssl证书
企业ssl证书 时间:2021-04-15 阅读:()
i目录1SSLVPN配置.
1-11.
1SSLVPN简介.
1-11.
2配置SSLVPN.
1-11.
2.
1配置准备1-21.
2.
2配置SSLVPN1-21.
3SSLVPN典型配置举例1-21-11SSLVPN配置1.
1SSLVPN简介SSLVPN是以HTTPS(SecureHTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间.
SSLVPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接.
SSLVPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证.
SSLVPN的典型组网架构如图1-1所示.
管理员在SSLVPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSLVPN网关建立HTTPS连接,选择需要访问的资源,由SSLVPN网关将资源访问请求转发给企业网内的服务器.
SSLVPN通过在远程接入用户和SSLVPN网关之间建立SSL连接、SSLVPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护.
图1-1SSLVPN典型组网架构SSLVPN的工作机制为:(1)管理员以HTTPS方式登录SSLVPN网关的Web管理界面,在SSLVPN网关上创建与服务器对应的资源.
(2)远程接入用户与SSLVPN网关建立HTTPS连接.
通过SSL提供的基于证书的身份验证功能,SSLVPN网关和远程接入用户可以验证彼此的身份.
(3)HTTPS连接建立成功后,用户登录到SSLVPN网关的Web页面,输入用户名、密码和认证方式(如RADIUS认证),SSLVPN网关验证用户的信息是否正确.
(4)用户成功登录后,在Web页面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSLVPN网关.
(5)SSLVPN网关解析请求,与服务器交互后将应答发送给用户.
1.
2配置SSLVPNSSLVPN网关配置包括如下内容:1-2z指定SSLVPN服务使用的SSL服务器端策略:管理员和用户对SSLVPN网关和内网资源进行管理和访问时,都需要首先通过HTTPS登录SSLVPN网关的Web页面.
因此,SSLVPN网关上需要指定使用的SSL服务器端策略,以便确定SSLVPN服务使用的SSL参数.
z指定SSLVPN服务使用的TCP端口号:SSLVPN网关作为HTTPS服务器为管理员和用户提供Web登录页面,可以根据需要指定HTTPS服务的TCP端口号.
z使能SSLVPN服务:只有使能SSLVPN服务后,管理员和用户才能通过Web页面访问SSLVPN网关.
1.
2.
1配置准备配置SSLVPN之前,需要先创建SSL服务器端策略.
SSL服务器端策略的配置方法,请参见"安全配置指导"中的"SSL".
1.
2.
2配置SSLVPN表1-1配置SSLVPN操作命令说明进入系统视图system-view-配置SSLVPN服务使用的SSL服务器端策略和端口号ssl-vpnserver-policyserver-policy-name[portport-number]必选缺省情况下,没有配置SSLVPN服务使用的SSL服务器端策略使能SSLVPN服务ssl-vpnenable必选缺省情况下,SSLVPN服务处于关闭状态1.
3SSLVPN典型配置举例1.
组网需求在SSLVPN中,为了使管理员和普通用户能够以HTTPS方式登录SSLVPN网关的Web页面,通过SSLVPN网关管理和访问企业内部资源,需要在SSLVPN网关上进行SSL相关配置,并使能SSLVPN服务.
在本配置举例中:zSSLVPN网关的地址为10.
1.
1.
1/24;z为SSLVPN网关和远程接入用户颁发证书的CA(CertificateAuthority,认证机构)地址为10.
2.
1.
1/24,CA名称为CAserver.
1-32.
组网图图1-2SSLVPN配置组网图3.
配置步骤z本配置举例中,采用WindowsServer作为CA.
在CA上需要安装SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)插件.
z进行下面的配置之前,需要确保SSLVPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书.
(1)为SSLVPN网关Device申请证书#配置PKI实体en,指定实体的通用名为http-server.
system-view[Device]pkientityen[Device-pki-entity-en]common-namehttp-server[Device-pki-entity-en]quit#配置PKI域sslvpn,指定信任的CA名称为caserver、注册服务器的URL为http://10.
2.
1.
1/certsrv/mscep/mscep.
dll、证书申请的注册受理机构为RA、实体名称为en.
[Device]pkidomainsslvpn[Device-pki-domain-sslvpn]caidentifiercaserver[Device-pki-domain-sslvpn]certificaterequesturlhttp://10.
2.
1.
1/certsrv/mscep/mscep.
dll[Device-pki-domain-sslvpn]certificaterequestfromra[Device-pki-domain-sslvpn]certificaterequestentityen[Device-pki-domain-sslvpn]quit#生成本地的RSA密钥对.
[Device]public-keylocalcreatersa#获取CA的证书.
[Device]pkiretrieval-certificatecadomainsslvpn#为Device申请证书.
[Device]pkirequest-certificatedomainsslvpn(2)配置SSLVPN服务使用的SSL服务器端策略1-4#创建SSL服务器端策略myssl,并指定该策略使用PKI域sslvpn.
[Device]sslserver-policymyssl[Device-ssl-server-policy-myssl]pki-domainsslvpn[Device-ssl-server-policy-myssl]quit(3)配置SSLVPN#指定SSLVPN服务使用的SSL服务器端策略为myssl,端口号为缺省端口号443.
[Device]ssl-vpnserver-policymyssl#使能SSLVPN服务.
[Device]ssl-vpnenable(4)验证配置结果远程接入用户在终端主机Host上打开IE浏览器,输入网址https://10.
1.
1.
1/svpn/cn/index.
htm,即可打开SSLVPN网关Device的Web登录页面.
zPKI配置命令的详细介绍请参见"安全命令参考"中的"PKI";zpublic-keylocalcreatersa命令的详细介绍请参见"安全命令参考"中的"公钥管理";zSSL配置命令的详细介绍请参见"安全命令参考"中的"SSL".
1-11.
1SSLVPN简介.
1-11.
2配置SSLVPN.
1-11.
2.
1配置准备1-21.
2.
2配置SSLVPN1-21.
3SSLVPN典型配置举例1-21-11SSLVPN配置1.
1SSLVPN简介SSLVPN是以HTTPS(SecureHTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间.
SSLVPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接.
SSLVPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证.
SSLVPN的典型组网架构如图1-1所示.
管理员在SSLVPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSLVPN网关建立HTTPS连接,选择需要访问的资源,由SSLVPN网关将资源访问请求转发给企业网内的服务器.
SSLVPN通过在远程接入用户和SSLVPN网关之间建立SSL连接、SSLVPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护.
图1-1SSLVPN典型组网架构SSLVPN的工作机制为:(1)管理员以HTTPS方式登录SSLVPN网关的Web管理界面,在SSLVPN网关上创建与服务器对应的资源.
(2)远程接入用户与SSLVPN网关建立HTTPS连接.
通过SSL提供的基于证书的身份验证功能,SSLVPN网关和远程接入用户可以验证彼此的身份.
(3)HTTPS连接建立成功后,用户登录到SSLVPN网关的Web页面,输入用户名、密码和认证方式(如RADIUS认证),SSLVPN网关验证用户的信息是否正确.
(4)用户成功登录后,在Web页面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSLVPN网关.
(5)SSLVPN网关解析请求,与服务器交互后将应答发送给用户.
1.
2配置SSLVPNSSLVPN网关配置包括如下内容:1-2z指定SSLVPN服务使用的SSL服务器端策略:管理员和用户对SSLVPN网关和内网资源进行管理和访问时,都需要首先通过HTTPS登录SSLVPN网关的Web页面.
因此,SSLVPN网关上需要指定使用的SSL服务器端策略,以便确定SSLVPN服务使用的SSL参数.
z指定SSLVPN服务使用的TCP端口号:SSLVPN网关作为HTTPS服务器为管理员和用户提供Web登录页面,可以根据需要指定HTTPS服务的TCP端口号.
z使能SSLVPN服务:只有使能SSLVPN服务后,管理员和用户才能通过Web页面访问SSLVPN网关.
1.
2.
1配置准备配置SSLVPN之前,需要先创建SSL服务器端策略.
SSL服务器端策略的配置方法,请参见"安全配置指导"中的"SSL".
1.
2.
2配置SSLVPN表1-1配置SSLVPN操作命令说明进入系统视图system-view-配置SSLVPN服务使用的SSL服务器端策略和端口号ssl-vpnserver-policyserver-policy-name[portport-number]必选缺省情况下,没有配置SSLVPN服务使用的SSL服务器端策略使能SSLVPN服务ssl-vpnenable必选缺省情况下,SSLVPN服务处于关闭状态1.
3SSLVPN典型配置举例1.
组网需求在SSLVPN中,为了使管理员和普通用户能够以HTTPS方式登录SSLVPN网关的Web页面,通过SSLVPN网关管理和访问企业内部资源,需要在SSLVPN网关上进行SSL相关配置,并使能SSLVPN服务.
在本配置举例中:zSSLVPN网关的地址为10.
1.
1.
1/24;z为SSLVPN网关和远程接入用户颁发证书的CA(CertificateAuthority,认证机构)地址为10.
2.
1.
1/24,CA名称为CAserver.
1-32.
组网图图1-2SSLVPN配置组网图3.
配置步骤z本配置举例中,采用WindowsServer作为CA.
在CA上需要安装SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)插件.
z进行下面的配置之前,需要确保SSLVPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书.
(1)为SSLVPN网关Device申请证书#配置PKI实体en,指定实体的通用名为http-server.
system-view[Device]pkientityen[Device-pki-entity-en]common-namehttp-server[Device-pki-entity-en]quit#配置PKI域sslvpn,指定信任的CA名称为caserver、注册服务器的URL为http://10.
2.
1.
1/certsrv/mscep/mscep.
dll、证书申请的注册受理机构为RA、实体名称为en.
[Device]pkidomainsslvpn[Device-pki-domain-sslvpn]caidentifiercaserver[Device-pki-domain-sslvpn]certificaterequesturlhttp://10.
2.
1.
1/certsrv/mscep/mscep.
dll[Device-pki-domain-sslvpn]certificaterequestfromra[Device-pki-domain-sslvpn]certificaterequestentityen[Device-pki-domain-sslvpn]quit#生成本地的RSA密钥对.
[Device]public-keylocalcreatersa#获取CA的证书.
[Device]pkiretrieval-certificatecadomainsslvpn#为Device申请证书.
[Device]pkirequest-certificatedomainsslvpn(2)配置SSLVPN服务使用的SSL服务器端策略1-4#创建SSL服务器端策略myssl,并指定该策略使用PKI域sslvpn.
[Device]sslserver-policymyssl[Device-ssl-server-policy-myssl]pki-domainsslvpn[Device-ssl-server-policy-myssl]quit(3)配置SSLVPN#指定SSLVPN服务使用的SSL服务器端策略为myssl,端口号为缺省端口号443.
[Device]ssl-vpnserver-policymyssl#使能SSLVPN服务.
[Device]ssl-vpnenable(4)验证配置结果远程接入用户在终端主机Host上打开IE浏览器,输入网址https://10.
1.
1.
1/svpn/cn/index.
htm,即可打开SSLVPN网关Device的Web登录页面.
zPKI配置命令的详细介绍请参见"安全命令参考"中的"PKI";zpublic-keylocalcreatersa命令的详细介绍请参见"安全命令参考"中的"公钥管理";zSSL配置命令的详细介绍请参见"安全命令参考"中的"SSL".
HostYun 新上美国CN2 GIA VPS 月15元
HostYun 商家以前是玩具主机商,这两年好像发展还挺迅速的,有点在要做点事情的味道。在前面也有多次介绍到HostYun商家新增的多款机房方案,价格相对还是比较便宜的。到目前为止,我们可以看到商家提供的VPS主机包括KVM和XEN架构,数据中心可选日本、韩国、香港和美国的多个地区机房,电信双程CN2 GIA线路,香港和日本机房,均为国内直连线路。近期,HostYun上线低价版美国CN2 GIA ...
€4.99/月Contabo云服务器,美国高性价比VPS/4核8G内存200G SSD存储
Contabo是一家运营了20多年的欧洲老牌主机商,之前主要是运营德国数据中心,Contabo在今年4月份增设新加坡数据中心,近期同时新增了美国纽约和西雅图数据中心。全球布局基本完成,目前可选的数据中心包括:德国本土、美国东部(纽约)、美国西部(西雅图)、美国中部(圣路易斯)和亚洲的新加坡数据中心。Contabo的之前国外主机测评网站有多次介绍,他们家的特点就是性价比高,而且这个高不是一般的高,是...
Spinservers:美国独立服务器(圣何塞),$111/月
spinservers是Majestic Hosting Solutions,LLC旗下站点,主营美国独立服务器租用和Hybrid Dedicated等,spinservers这次提供的大硬盘、大内存服务器很多人很喜欢。TheServerStore自1994年以来,它是一家成熟的企业 IT 设备供应商,专门从事二手服务器和工作站业务,在德克萨斯州拥有40,000 平方英尺的仓库,库存中始终有数千台...
企业ssl证书为你推荐
-
快捷键wordpressservererror电脑连接路由登录提示server error:401 N/A,如何处理?googlepr值怎样提高谷歌PR值outlookexpress家里电脑老是弹出“outlook express”这个东西,怎么除去啊?flashfxp下载求最新无需注册的FlashFXP下载地址重庆网站制作重庆网站制作,哪家专业,价格最优?重庆电信dnsPSP上网急救!重庆电信的DNS是多少啊?北京大学cuteftp文档下载请问手机版wps如何把云文档下载到手机上的本地文档?三友网网测是什么意思?