h3c ssl vpn证书认证配置案例.pdfVIP

SSL VPN证书实验 目 录 1 组网图3 2 组网配置3 2.1 证书申请 3 2.2 SECPATH 1000F的操作：9 2.3 SSL VPN 的配置：9 2.4 总结 17 1 组网图 说明： Secpath 1000F上插一块SSL VPN卡，连接两个网 ，会充当内、外网。内网服务器使用 Secpath 100N模拟WEB Server、FTP Server、Telnet Server。 2 组网配置 本次实验的目的是用自己制作的证书替换掉SSL VPN卡自带的CA证书，并且实现SSL VPN客户端登录方式使用”用户名+密码” 的方式。登录成功后分别测试SSL VPN提供的三种 资源 2.1 证书申请 1. 安装证书服务器 此操作请参考其它文档，我在这就不抓图了。 2. 申请根证书： 根证书申请比较容易，在Windows 2003 Server上安装证书服务后，打开申 请页面，操作步骤如下： 步骤一 步骤二 步骤三 保存后，即得到一个CA根证书。 3. 申请本地证书，步骤如下： 步骤一 步骤二 步骤三 步骤四 步骤五 步骤六 导此出，即得到一个本地证书。 4. 申请用户证书： 步骤一 步骤二 步骤三 步骤四 到此，我们的证书申请完毕，得到三个证书：*.crt的根证书，*.pfx的用户证书， 看不见但存在IE中的用户证书。 2.2 Secpath 1000F 的操作： 1. 关闭开启的WEB和SVPN服务： undo web server enable undo svpn server enable 2. 删除系统默认的证书绑定： pki delete-certificate ca domain svpndefdom rsa local-key-pair destroy 3. 将申请的根证书和本地证书导进防火墙中： 4. 将证书和域绑定起来： pki import-certificate ca domain 域名 der filename *.crt pki import-certificate local domain 域名 p12 filename *.pfx 4.开启服务： web server enable svpn server enable 2.3 SSL VPN 的配置： 在IE浏览器里面输入网址50/admin后，进入SSL VPN设置画面： 创建账号：创建两个，一个与证书名相同，一个不同： 创建用户组，将增加的用户名添加进用户组： 创建WEB资源： 创建TCP资源： 创建IP资源： 将创建的资源绑定到资源组中： 将资源组绑定用户组上： 将认证类型改成证书+密码： 用与证书名相同的用户名测试： 登录成功： 使用不同的用户名测试： 登录错误： 2.4 总结 证书的对错决定着测试的成败。设备配置还是比较容易理解的。