2023年7月10日发(作者：)

1、配置初始的配置是：

超级用户登陆-------创建域用户-----

用域用户重新登陆-----创建不同的服务----

创建资源组---创建用户---创建用户组------

把用户和资源绑定-----保存配置----用不同用户登陆

2、配置的过程是

先在ip网络管理中配置要访问的ip

然后在资源管理中添加资源

然后是在用户管理中添加本地用户

然后是在拥护组管理中把用户和资源绑定一下！

然后再保存配置就可以

PKI证书制作及在SSL VPN中的使用

1 通过RSA服务器制作证书 3

1.1 制作本地（local）证书 3

1.2 制作CA证书 10

2 在SSL VPN中使用证书 11

2.1 设备端配置 11

3 总结 14

PKI证书制作及在SSL VPN中的使用

关键词：RSA、CA、SSL VPN

摘 要：本文主要介绍PKI证书的申请及保存，申请的证书可以直接外带并在SSL VPN网关中使用，免去异地开局需要重新搭建CA服务器，重新申请证书的麻烦。

1. 通过RSA服务器制作证书

1.1 制作本地（local）证书

制作前的准备：已经有一台搭建完成的RSA服务器，服务器地址：192.168.96.108，服务器和客户端之间网络可达。

1. 创建RSA证书申请：

登录到RSA的首页，点击页面所示的“Continue”按钮：

选择第一条，创建一个实体证书申请：

2. 填写申请信息，并提交：

出现以下信息，表明申请已经提交：

3. 签发已经申请的证书：

需要转到RSA服务器（或具有RSA服务器的管理权限）去签发该证书，Search状态是Active的证书：

找到证书后顺序执行，注意在签发时，选择“数字签名”，其它都是默认选项。

最后点击“Issue Certificate”即可。

4. 在客户端保存证书

客户端刷新RSA服务器的首页面，选择第二项：

找到刚才申请的证书sslvpn，保存到本地，此处是p7格式：

5. 证书的导入：

打开IE浏览器，选择“Internet选项”-->“内容”，点击“导入”，导入刚才保存的.p7格式证书：

顺序点击“下一步”，提示导入证书成功。

在浏览器里可以看见刚才导入的sslvpn这个证书：

6. 证书导出，保存在本地为p12格式：

点击“导出”，同时选择导出私钥：

第一个选项可选，第二个默认选项，最后一个不要选：

输入保护密码123456，在导入证书时会用到：

为导出的文件指定文件名，后缀是.pfx：

证书导出完成：

这就是将要在SSL VPN要使用的LOCAL证书：

1.2 制作CA证书

1. 登录到RSA首页，选择第一项：

2. 选择安装CA证书：

3. 保存文件，后缀为.crt：

这就是将要在SSL VPN要使用的CA证书：

2. 在SSL VPN中使用证书

上述CA和LOCAL证书都制作完毕后，下载到SSL VPN设备中，用什么方式下载都可以，查

看一下文件：

2.1 设备端配置

1. 配置pki实体，按实际需求配置即可：

[100F-Eup-pki-entity-sslvpn]di th

#

pki entity sslvpn

common-name 100FE

organization-unit haidian

organization beijing

country cn

#

return

2. 配置pki域：

[100F-Eup-pki-domain-sslvpn]di th

#

pki domain sslvpn

certificate request from ca

certificate request entity sslvpn

crl check disable

#

return

注意：因为证书没有配置crl，所以此处一定要配置不检查，否则导入证书时会给出失败提示。

3. 配置ssl server和web server策略： [100F-Eup-ssl-server-policy-ssl_123]di th

#

ssl server-policy ssl_123

pki-domain sslvpn

use ssl-card 1/0

#

return

[100F-Eup-web-server-policy-ssl_123]di th

#

web-server-policy ssl_123

ssl-server-policy ssl_123

#

return

4. 导入CA证书：

[100F-Eup]pki import-certificate ca domain sslvpn der filename sslvpn_

Importing certificates. Please wait

The trusted CA's finger print is:

MD5 fingerprint:FB52 90D5 822C 2BAC DB50 2499 7B88 4B59

SHA1 fingerprint:6FFB E756 DC46 0739 A2F5 48CB 0D8A B186 0258 2888

Is the finger print correct?(Y/N):y

.

%Sep 7 14:37:14:454 2007 100F-Eup PKI/4/Verify_CA_Root_Cert:CA root certificate

of the domain sslvpn

Import CA certificate successfully.

[100F-Eup]

%Sep 7 14:37:18:246 2007 100F-Eup PKI/4/Update_CA_Cert:Update CA certificates o

f the Domain sslvpn successfully.

%Sep 7 14:37:18:246 2007 100F-Eup PKI/4/Import_CA_Cert:Import CA certificates o

f the domain sslvpn successfully.

5. 导入本地证书：

[100F-Eup]pki import-certificate local domain sslvpn p12 filename sslvpn_

Please input challenge password: 此处输入密码123456

Importing certificates. Please wait

The trusted CA's finger print is:

MD5 fingerprint:FB52 90D5 822C 2BAC DB50 2499 7B88 4B59

SHA1 fingerprint:6FFB E756 DC46 0739 A2F5 48CB 0D8A B186 0258 2888

Is the finger print correct?(Y/N):y

.

%Sep 7 14:38:34:966 2007 100F-Eup PKI/4/Verify_CA_Root_Cert:CA root certificate

of the domain sslvpn

Import CA certificate successfully.

%Sep 7 14:38:40:151 2007 100F-Eup PKI/4/Update_CA_Cert:Update CA certificates o

f the Domain sslvpn successfully.

%Sep 7 14:38:40:151 2007 100F-Eup PKI/4/Import_CA_Cert:Import CA certificates o

f the domain sslvpn successfully.

%Sep 7 14:38:40:151 2007 100F-Eup PKI/4/Verify_Cert:Verify certificate CN=sslvp

n,OU=secpath,O=h3c,C=cn,emailAddress=h3c@ of the domain sslvpn successful

ly..

Import local certificate successfully..

%Sep 7 14:38:42:083 2007 100F-Eup PKI/4/Import_Local_Cert:Import local certific

ate of the domain

Import key pair successfully.

[100F-Eup]

%Sep 7 14:38:51:360 2007 100F-Eup PKI/4/Import_Local_Key:Import local private k

ey of the domain sslvpn successfully.

注意：如果设备上原来已经创建了rsa密钥对，再使用新证书时，需要先把原来的密钥对销毁，如下命令：

[100F-Eup]rsa local-key-pair destroy

6. 重新启动web server服务，就可以访问SSL VPN网关了。

3 总结

本文介绍了pki证书的申请和保存，以及在SSL VPN网关的具体配置。在SSL VPN设备上的配置相对简单，只要导入证书格式和导入的文件名正确即可，设备上PKI实体和域可以根据实际情况配置，不受证书影响。也可以利用CA服务器来制作证书，如果配置人员手边有合适的CA服务器，可以动手尝试一下，自己制作的证书方便外带，并在SSL VPN中直接使用。