1、H3C SSL VPN证书认证配置案例SSL VPN证书实验1 组网图说明:Secpath 1000F上插一块SSL VPN卡,连接两个网段,会充当内、外网。内网服务器使用Secpath 100N模拟WEB Server、FTP Server、Telnet Server。2 组网配置本次实验的目的是用自己制作的证书替换掉SSL VPN卡自带的CA证书,并且实现SSL VPN客户端登录方式使用”用户名+密码”的方式。登录成功后分别测试SSL VPN提供的三种资源2.1 证书申请1. 安装证书服务器 此操作请参考其它文档,我在这就不抓图了。2. 申请根证书: 根证书申请比较容易,在Windows
2、2003 Server上安装证书服务后,打开申请页面,操作步骤如下: 步骤一 步骤二步骤三保存后,即得到一个CA根证书。3. 申请本地证书,步骤如下: 步骤一步骤二步骤三步骤四步骤五步骤六导此出,即得到一个本地证书。4. 申请用户证书: 步骤一步骤二步骤三步骤四到此,我们的证书申请完毕,得到三个证书:*.crt的根证书,*.pfx的用户证书,看不见但存在IE中的用户证书。2.2 Secpath 1000F的操作:1. 关闭开启的WEB和SVPN服务: undo web server enable undo svpn server enable2. 删除系统默认的证书绑定: pki delete
3、-certificate ca domain svpndefdomrsa local-key-pair destroy 3. 将申请的根证书和本地证书导进防火墙中:4. 将证书和域绑定起来: pki import-certificate ca domain 域名 der filename *.crt pki import-certificate local domain 域名 p12 filename *.pfx 4.开启服务:web server enablesvpn server enable2.3 SSL VPN的配置:在IE浏览器里面输入网址https:/2.2.2.250/admin后,进入SSL VPN设置画面:创建账号:创建两个,一个与证书名相同,一个不同:创建用户组,将增加的用户名添加进用户组:创建WEB资源:创建TCP资源:创建IP资源:将创建的资源绑定到资源组中:将资源组绑定用户组上:将认证类型改成证书+密码:用与证书名相同的用户名测试:登录成功:使用不同的用户名测试:登录错误:2.4 总结证书的对错决定着测试的成败。设备配置还是比较容易理解的。