H3CSSLVPN证书认证配置案例Word下载.docx
《H3CSSLVPN证书认证配置案例Word下载.docx》由会员分享,可在线阅读,更多相关《H3CSSLVPN证书认证配置案例Word下载.docx(15页珍藏版)》请在冰豆网上搜索。
网服务器使用Secpath100N模拟WEBServer、FTPServer、TelnetServer。
2组网配置
本次实验的目的是用自己制作的证书替换掉SSLVPN卡自带的CA证书,并且实现SSLVPN客户端登录方式使用”用户名+密码”的方式。
登录成功后分别测试SSLVPN提供的三种资源
2.1证书申请
1.安装证书服务器
此操作请参考其它文档,我在这就不抓图了。
2.申请根证书:
根证书申请比较容易,在Windows2003Server上安装证书服务后,打开申请页面,操作步骤如下:
步骤一
步骤二
步骤三
保存后,即得到一个CA根证书。
3.申请本地证书,步骤如下:
步骤四
步骤五
步骤六
导此出,即得到一个本地证书。
4.申请用户证书:
到此,我们的证书申请完毕,得到三个证书:
*.crt的根证书,*.pfx的用户证书,看不见但存在IE中的用户证书。
2.2Secpath1000F的操作:
1.关闭开启的WEB和SVPN服务:
undowebserverenable
undosvpnserverenable
2.删除系统默认的证书绑定:
pkidelete-certificatecadomainsvpndefdom
rsalocal-key-pairdestroy
3.将申请的根证书和本地证书导进防火墙中:
4.将证书和域绑定起来:
pkiimport-certificatecadomain域名derfilename*.crt
pkiimport-certificatelocaldomain域名p12filename*.pfx
4.开启服务:
webserverenable
svpnserverenable
2.3SSLVPN的配置:
在IE浏览器里面输入网址https:
//2.2.2.250/admin后,进入SSLVPN设置画面:
创建账号:
创建两个,一个与证书名相同,一个不同:
创建用户组,将增加的用户名添加进用户组:
创建WEB资源:
创建TCP资源:
创建IP资源:
将创建的资源绑定到资源组中:
将资源组绑定用户组上:
将认证类型改成证书+密码:
用与证书名相同的用户名测试:
登录成功:
使用不同的用户名测试:
登录错误:
2.4总结
证书的对错决定着测试的成败。
设备配置还是比较容易理解的。