h3csslvpn证书认证配置案例

SSL VPN证书实验
目录
1组网图................................................. 错误!未定义书签。

2组网配置............................................... 错误!未定义书签。

证书申请............................................ 错误!未定义书签。

S ECPATH 1000F的操作：................................. 错误!未定义书签。

SSL VPN的配置： ..................................... 错误!未定义书签。

总结................................................ 错误!未定义书签。

1组网图
说明：
Secpath 1000F上插一块SSL VPN卡，连接两个网段，会充当内、外网。

内网服务器使用Secpath 100N模拟WEB Server、FTP Server、Telnet Server。

2组网配置
本次实验的目的是用自己制作的证书替换掉SSL VPN卡自带的CA证书，并且实现SSL VPN 客户端登录方式使用”用户名+密码”的方式。

登录成功后分别测试SSL VPN提供的三种资源
2.1证书申请
1.安装证书服务器
此操作请参考其它文档，我在这就不抓图了。

2.申请根证书：
根证书申请比较容易，在Windows 2003 Server上安装证书服务后，打开申请页面，操作步骤如下：
步骤一
步骤二
步骤三
保存后，即得到一个CA根证书。

3.申请本地证书，步骤如下：
步骤一
步骤二
步骤三
步骤四
步骤五
步骤六
导此出，即得到一个本地证书。

4.申请用户证书：
步骤一
步骤二
步骤三
步骤四
到此，我们的证书申请完毕，得到三个证书：*.crt的根证书，*.pfx的用户证书，看不见但存在IE中的用户证书。

2.2Secpath 1000F的操作：
1.关闭开启的WEB和SVPN服务：
undo web server enable
undo svpn server enable
2.删除系统默认的证书绑定：
pki delete-certificate ca domain svpndefdom
rsa local-key-pair destroy
3.将申请的根证书和本地证书导进防火墙中：
4.将证书和域绑定起来：
pki import-certificate ca domain 域名 der filename *.crt
pki import-certificate local domain 域名 p12 filename *.pfx
4.开启服务：
web server enable
svpn server enable
2.3SSL VPN的配置：
在IE浏览器里面输入网址后，进入SSL VPN设置画面：
创建账号：创建两个，一个与证书名相同，一个不同：创建用户组，将增加的用户名添加进用户组：
创建WEB资源：
创建TCP资源：
创建IP资源：
将创建的资源绑定到资源组中：
将资源组绑定用户组上：
将认证类型改成证书+密码：
用与证书名相同的用户名测试：
登录成功：
使用不同的用户名测试：
登录错误：
2.4总结
证书的对错决定着测试的成败。

设备配置还是比较容易理解的。