No2_Array SPX虚拟站点_基本配置.docVIP

Array SPX工程安装配置手册 虚拟站点配置部分 SSL VPN门户（Virtual Site）的建立 1 增加Virtual Site 1 配置virtual site 的SSL协议及数字证书 3 Global Mode 与 Virtual Site Mode 3 SSL 协议部分配置概述 4 生成CSR 4 导入virtual site 数字证书 5 客户端数字证书验证配置 8 LocalDB用户认证配置 10 SSL VPN门户（Virtual Site）的建立 增加Virtual Site 建立一个virtual site ，假设IP地址为，Array 的SSL VPN 门户的地址不能使用设备端口地址。 Virtual Sites-Virtual Sites-Virtual Sites 上图是图形界面方式，此时需要在左上角Global Mode 为 config 状态下加入新的SSL门VPN户，即virtual site。 其中： Site Name ：为站点的英文表示，取较易记忆的名字，如：SP-Demo Site FQDN：full qualified domain name，在IE等浏览器中输入的域名。如果使用域名登陆，此项输入域名，如：；如果使用IP地址登陆，此项需输入IP地址，如：，如果使用NAT，则此项输入NAT之后的公网地址。 IP Address：指virtual site 的IP地址。 Port：virtual site 的https 访问的端口地址，缺省为443。 Virtual Site Type：缺省为Exclusive，指没有子站点，也可以配成share方式，使用别名。 命令行为： AN(config)# virtual site host virtual_site_id domain_name vip [port][(shared|exclusive)] Virtual site id:即site name Domain_name: 即FQDN。 Vip: 即virtual site ip address host virtual SSL_host virtual_site_id ssl_host：采用何FQDN相同的名字。 virtual_site_id：site name 如： AN(config)#virtual site host “SP-Demo” “” 443 exclusive AN(config)#ssl host virtual “2” “SP-Demo” 或者： AN(config)#virtual site host “SP-Demo” “” 2 443 exclusive AN(config)#ssl host virtual “” “SP-Demo” 我们可以用命令查看virtual site 的建立情况： AN(config)#show virtual site host 配置virtual site 的SSL协议及数字证书 Global Mode 与 Virtual site Mode 对于SPX设备而言，存在两种配置方式： Global Mode：配置SPX的全局设置，如上一章所述的基本配置，加站点配置等。 Virtual Site Mode：配置各个站点，每个站点可以进入自己的配置模式而不互相干扰，可以为每个virtual site 分配管理员，global 管理员 array可以进入每个站点配置。 从global mode 进入 virtual site mode命令为： AN# switch virtual_site_id[ mode] 如：AN# switch SP-Demo 配置virtual site 的SSL 部分需要进入virtual site 的 config 模式。 SSL 协议部分配置概述 建议您在作此配置之前阅读一些关于PKI、数字证书、CA、SSL协议的相关材料，这样您就非常容易理解这些配置了。 首先需要为virtual site 配置一个数字证书，供客户端进行检验，让客户端检查访问的是否信任的SSL VPN网关。需要在SPX上生成一个CSR ( certificate sign request)，即数字证书签名申请供CA(认证中心)生成数字证书。 如果您有CA，您可以将CSR提交给他，并由他生成Virtual Site 的数字证书，然后将数字证书import到SPX内。 如果您没有CA，SPX会为您自动签名一个证书。 对于客户端的数字证书验证是可选的，在一些对客户端有较高安全验证的情况下会使用，这时您需要一个CA来进行客户端数字证书的颁发管理。同时，需要将CA的信任证书