发布日期:2024-12-15 11:59 点击次数:79
本例如是在F1000-AI-55的R8860版块上进行配置和考证的自拍 偷拍。
本例如中使用的iNode处分中心为iNode PC 7.3 C0607国密定制版块。
组网需求如下图所示,SSL VPN网关成立联结公网用户和企业稀疏相聚。用户通过SSL VPN网关、给与IP接入方式或者安全地访谒稀疏相聚内的Server。具体需求如下:
SSL VPN网关成立土产货对用户进行汉典认证和授权。
为了增强安全性,需要考证客户端文凭,客户端文凭由国密USB Key提供。
为了增强安全性,职业器端文凭不使用缺省文凭,需向国密CA机构请求国密文凭。
图-1 IP接入国密USB Key文凭认证配置组网图
提神事项
国密文凭分为成立文凭和SSL文凭:
成立文凭是客户端文凭,配置在USB Key上。主要用于识别客户端身份。SSL VPN用户使用USB Key认证时,请求的文凭类型应采选成立文凭。
SSL文凭是职业端文凭,绑定域名或者IP地址,配置在SSL VPN网关上。主要用于信息传输加密和身份认证。SSL VPN网关处分东说念主员为Device请求文凭时,请求的文凭类型应采选SSL文凭。
国密SSL契约使用双文凭体系,分又名为签名文凭和加密文凭。国密CA机构会签发一个签名文凭和一个加密文凭(以及一个加密文凭私钥文献)。处分员需要将上述文凭均导入到Device中。
某些品牌的USB Key可能需要装置驱动材干使用,请作念好准备。
USB Key客户端文凭中的指定字段(默许为CN字段)必须和该SSL VPN用户的用户名一致,如下图所示。
配置准备
在运转底下的配置之前,假定已完成如下配置:
USB Key中已装置客户端文凭。
SSL VPN网关处分东说念主员为Device请求的职业器端文凭与国密USB Key中的客户端文凭应为肃清CA机构颁发。若是不是肃清CA机构颁发,请参考“常见问题”章节中的线路进行操作。
配置设施 Device的配置配置接口IP地址和安全域
# 笔据组网图上钩议的信息,配置各接口的IP地址。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 1.1.1.2 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
# 创建SSL VPN AC接口,用于转发IP接入流量。
[Device] interface sslvpn-ac 1
[Device-SSLVPN-AC1] ip address 10.1.1.100 24
[Device-SSLVPN-AC1] quit
请参考以上设施配置其他接口的IP地址,具体配置设施略。
# 请笔据组网图上钩议的信息,将接口加入对应的安全域。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] import interface sslvpn-ac 1
[Device-security-zone-Untrust] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
配置路由
# 请笔据组网图上钩议的信息,配置静态路由,本例如假定到达Server的下一跳IP地址为2.2.2.3,到达Host的下一跳IP地址为1.1.1.3,骨子使用中请以具体组网情况为准。
[Device] ip route-static 20.2.2.2 24 2.2.2.3
[Device] ip route-static 40.1.1.1 24 1.1.1.3
配置安全战略
# 配置称号为sslvpnlocalout1的安全战略次第,使SSL VPN网关不错向用户发送报文。
[Device] security-policy ip
[Device-security-policy-ip] rule name sslvpnlocalout1
[Device-security-policy-ip-1-sslvpnlocalout1] source-zone local
[Device-security-policy-ip-1-sslvpnlocalout1] destination-zone untrust
[Device-security-policy-ip-1-sslvpnlocalout1] source-ip-host 1.1.1.2
[Device-security-policy-ip-1-sslvpnlocalout1] destination-ip-host 40.1.1.1
[Device-security-policy-ip-1-sslvpnlocalout1] action pass
[Device-security-policy-ip-1-sslvpnlocalout1] quit
# 配置称号为sslvpnlocalin1的安全战略次第,使用户不错向SSL VPN网关发送报文。
[Device-security-policy-ip] rule name sslvpnlocalin1
[Device-security-policy-ip-2-sslvpnlocalin1] source-zone untrust
[Device-security-policy-ip-2-sslvpnlocalin1] destination-zone local
[Device-security-policy-ip-2-sslvpnlocalin1] source-ip-host 40.1.1.1
[Device-security-policy-ip-2-sslvpnlocalin1] destination-ip-host 1.1.1.2
[Device-security-policy-ip-2-sslvpnlocalin1] action pass
[Device-security-policy-ip-2-sslvpnlocalin1] quit
# 配置称号为sslvpnlocalout2的安全战略次第,使SSL VPN网关不错向Server发送报文。
[Device-security-policy-ip] rule name sslvpnlocalout2
[Device-security-policy-ip-3-sslvpnlocalout2] source-zone local
[Device-security-policy-ip-3-sslvpnlocalout2] destination-zone trust
[Device-security-policy-ip-3-sslvpnlocalout2] source-ip-host 2.2.2.2
[Device-security-policy-ip-3-sslvpnlocalout2] destination-ip-host 20.2.2.2
[Device-security-policy-ip-3-sslvpnlocalout2] action pass
[Device-security-policy-ip-3-sslvpnlocalout2] quit
# 配置称号为sslvpnlocalin2的安全战略次第,使Server不错向SSL VPN网关发送报文。
[Device-security-policy-ip] rule name sslvpnlocalin2
[Device-security-policy-ip-4-sslvpnlocalin2] source-zone trust
[Device-security-policy-ip-4-sslvpnlocalin2] destination-zone local
[Device-security-policy-ip-4-sslvpnlocalin2] source-ip-host 20.2.2.2
[Device-security-policy-ip-4-sslvpnlocalin2] destination-ip-host 2.2.2.2
[Device-security-policy-ip-4-sslvpnlocalin2] action pass
[Device-security-policy-ip-4-sslvpnlocalin2] quit
# 配置称号为untrust-trust的安全战略次第,使用户不错通过SSL VPN AC接口访谒Server。
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-5-untrust-trust] source-zone untrust
[Device-security-policy-ip-5-untrust-trust] destination-zone trust
[Device-security-policy-ip-5-untrust-trust] source-ip-subnet 10.1.1.0 24
[Device-security-policy-ip-5-untrust-trust] destination-ip-host 20.2.2.2
[Device-security-policy-ip-5-untrust-trust] action pass
[Device-security-policy-ip-5-untrust-trust] quit
# 配置称号为trust-untrust的安全战略次第,使Server不错通过SSL VPN AC接口向用户发送报文。
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-6-trust-untrust] source-zone trust
[Device-security-policy-ip-6-trust-untrust] destination-zone untrust
[Device-security-policy-ip-6-trust-untrust] source-ip-host 20.2.2.2
[Device-security-policy-ip-6-trust-untrust] destination-ip-subnet 10.1.1.0 24
[Device-security-policy-ip-6-trust-untrust] action pass
[Device-security-policy-ip-6-trust-untrust] quit
# 激活安全战略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
国密文凭配置
为Device请求国密文凭
# 配置PKI实体,建立PKI实体的身份信息。
其中,通用名一般配置为SSL VPN网关接口的IP地址。若是是通过公网NAT映射私网来访谒SSL VPN网关,则需要填写为公网IP地址。若是暂时无法明确映射的公网地址,可填写为网关对应的私网地址。需要提神,参数中不要填写中语,刻薄使用拼音全拼,幸免输入的中语与国密CA机构的编码不适配。若是必须填写中语,不错交付国密CA机构在生成文凭的时刻协助填写。
[Device] pki entity sslvpncert
[Device-pki-entity-sslvpncert] common-name 1.1.1.2
[Device-pki-entity-sslvpncert] country CN
[Device-pki-entity-sslvpncert] quit
# 配置PKI域,商定PKI文凭请求的接洽信息。
[Device] pki domain sslvpndomain
[Device-pki-domain-sslvpndomain] certificate request entity sslvpncert
[Device-pki-domain-sslvpndomain] public-key sm2 signature name sslvpnsign encryption name sslvpnenc
[Device-pki-domain-sslvpndomain] undo crl check enable
[Device-pki-domain-sslvpndomain] quit
# 生成国密SM2算法的土产货密钥对
[Device] public-key local create sm2 name sslvpnsign
Generating Keys...
.
Created the key pair successfully.
[Device] public-key local create sm2 name sslvpnenc
Generating Keys...
.
Created the key pair successfully.
# 生成PKCS#10文凭请求。
[Device] pki request-certificate domain sslvpndomain pkcs10
.
*** Request for signature certificate ***
-----BEGIN CERTIFICATE REQUEST-----
MIH7MIGgAgEAMCAxCzAJBgNVBAYTAkNOMREwDwYDVQQDEwgxLjEuMS4yIDBZMBMG
ByqGSM49AgEGCCqBHM9VAYItA0IABHtVGiYn8gFSKJxyXCUe3lEB8JxN/FoBPF1j
SQrLHsMDd5jKnPERfgITtpTjJ+d7wemJqsIjziMDdAKy9NVA32WgHjAcBgkqhkiG
9w0BCQ4xDzANMAsGA1UdDwQEAwIGwDAMBggqgRzPVQGDdQUAA0gAMEUCIAGNysjM
+1yYo2ohhVYEfWHda+7YQ2XEP3YAswK/TAAjAiEA+KaDub0GcMzQVgZB24JcO/GT
+FVAe0Og+Mct0ki6h2E=
-----END CERTIFICATE REQUEST-----
.
*** Request for encryption certificate ***
-----BEGIN CERTIFICATE REQUEST-----
MIH6MIGgAgEAMCAxCzAJBgNVBAYTAkNOMREwDwYDVQQDEwgxLjEuMS4yIDBZMBMG
ByqGSM49AgEGCCqBHM9VAYItA0IABNvsCOeonfTFpZmgX5Ov/662FDsjm/iaJNzm
wwArsMiGbBzpQZ4wP8wvCWul2Q9SzlBuT0VwzSfsicIBBZmKdz6gHjAcBgkqhkiG
9w0BCQ4xDzANMAsGA1UdDwQEAwIEMDAMBggqgRzPVQGDdQUAA0cAMEQCIEHJk7eC
EJ4meu+XRiz2ZVsQ7f0fbzYrMWJaECxpa/H7AiBhwgCOco+r48hR13CW8WL3rKSS
FwgBrVQRwnMdrc52gw==
-----END CERTIFICATE REQUEST-----
# 将签名文凭请求信息复制到文本文档中,即从“*** Request for signature certificate ***“运转到“-----END CERTIFICATE REQUEST-----“收尾的信息。
# 提神删除请求信息的前后空行,完成剪辑后,将文档后缀保存为.p10的花式。
# 处分东说念主员通过带外方式将土产货文凭请求信息发送给CA,请求职业器端文凭。
# 处分东说念主员通过带外方式将文凭赢得到土产货自拍 偷拍。
导入国密CA文凭和签名文凭
国密CA机构签发的文凭包括:国密CA文凭、签名文凭、加密文凭以及加密文凭私钥文献。其中,CA文凭可能为文凭链文献、或者一个根CA文凭+中间文凭神色发布;加密文凭私钥文献可能以独处的key文献神色或者多种契约模范的数字信封神色发布。
Device中仅相沿导入国密CA文凭和签名文凭。加密文凭和加密文凭私钥文献暂不相沿径直导入到Device,需要处分员接洽时刻职业东说念主员过程接济后才可导入。
# 本例如中,以国密CA机构复返如下文凭为例。
BeiJing SM2 ROOT CA.cer(根CA文凭)
Beijing SM2 CA.cer(中间CA文凭)
UserCert.cer(签名文凭)
UserEncCert.cer(加密文凭)
UserEncCert-数字信封009模范.txt(加密文凭私钥)
# 率先,将国密CA文凭导入Device的PKI域。其中,若是CA文凭包含根CA文凭和中间CA文凭,则先导入根CA文凭再导入中间CA文凭。
需要提神,若是文凭文献称号中包含空格,则在导入或导出文凭时,文献名需要使用引号括起来,例如"Beijing SM2 ROOT CA.cer"。
[Device] pki import domain sslvpndomain pem ca filename "Beijing SM2 ROOT CA.cer"
The trusted CA's finger print is:
MD5 fingerprint:A826 916C 455A 3D44 F786 4A2D 02CD F0F5
SHA1 fingerprint:A4C7 512C 3A63 F92F 08BF 0D4E BFB6 FD84 85F3 11ED
Is the finger print correct?(Y/N):y
[Device] pki import domain sslvpndomain pem ca filename "Beijing SM2 CA.cer"
The PKI domain already has a CA certificate. If it is overwritten, local certificates, peer certificates and CRL of this domain will also be deleted.
Overwrite it? [Y/N]:y
# 其次,导入签名文凭。
[Device] pki import domain sslvpndomain pem local filename UserCert.cer
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 255 character
s. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name[default name: sslvpndomain]:sslvpndomain-1
需要提神,如上头灰色底纹地点示,刻薄为导入的签名文凭key起一个名字,因为签名文凭和加密文凭分别使用不同的key,刻薄分别取名便于别离。
# 关于加密文凭和加密文凭私钥文献,暂不相沿径直导入到Device。处分东说念主员需要将接洽的材料发送给时刻职业东说念主员,由时刻职业东说念主员进行接洽花式接济等操作后,再复返给网关处分东说念主员。详见设施C的线路。
导出签名文凭
[Device] pki export domain sslvpndomain pem local 3des-cbc 123456 filename SM.cer
其中,私钥的加密口令不错由处分东说念主员自行建立,并提供给时刻职业东说念主员,本例如中以123456为例进行线路。
# 号令行实际班师后,可通过号令稽察Flash目次下导出的文凭。
[Device] quit
<Device> dir | include SM.cer
108 -rw- 2148 May 28 2023 16:27:03 SM.cer-signature
# 网关处分东说念主员将导出的佩戴私钥信息的签名文凭,同期佩戴加密文凭和加密文凭私钥文献沿途发送给时刻职业东说念主员,由时刻职业东说念主员进行接洽花式接济等操作后,再复返给网关处分东说念主员。
导入加密文凭
# 网关处分东说念主员收到时刻职业东说念主员复返的加密文凭后,将其导入到Device的PKI域中。(本例如假定收到的加密文凭名为SM.cer-encryption)
其中,文凭口令需要接洽时刻职业东说念主员赢得。
[Device] pki import domain sslvpndomain pem local filename SM.cer-encryption
Please input the password: 123456
The device already has a key pair. If you choose to continue, the existing key pair will be overwritten if it is used for the same p
urpose. The local certificates, if any, will also be overwritten.
Continue? [Y/N]:y
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters
. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name[default name: sslvpndomain]:sslvpndomain-2
需要提神,如上头灰色底纹地点示,需要为导入的加密文凭key起一个名字。
配置SSL职业器端战略
# 配置SSL职业器端战略,援用PKI域,并开启考证客户端功能。
[Device] ssl server-policy ssl
[Device-ssl-server-policy-ssl] pki-domain sslvpndomain
[Device-ssl-server-policy-ssl] client-verify enable
[Device-ssl-server-policy-ssl] quit
其中,需要开启考证客户端功能,该功能刻薄仅在国密USB Key认证的场景下开启。
配置SSL VPN业务,为用户提供SSL VPN接入职业
# 配置SSL VPN网关,为用户提供登录SSL VPN网关的进口。
[Device] sslvpn gateway sslvpngw
[Device-sslvpn-gateway-sslvpngw] ip address 1.1.1.2 port 4430
[Device-sslvpn-gateway-sslvpngw] ssl server-policy ssl
[Device-sslvpn-gateway-sslvpngw] service enable
[Device-sslvpn-gateway-sslvpngw] quit
需要提神,后续若是修改了SSL职业器战略的配置,一样需要重新使能/去使能SSL VPN网关,使修改的配置告成。即在网关视图下实际service enable号令。
# 创建SSL VPN客户端地址池,用于为IP接入客户端分拨IP地址。
[Device] sslvpn ip address-pool sslvpnpool 10.1.1.1 10.1.1.10
# 创建ACL,用于对IP接入流量进行过滤。
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip source 10.1.1.0 0.0.0.255 destination 20.2.2.0 0.0.0.255
[Device-acl-ipv4-adv-3000] quit
# 配置SSL VPN访谒实例,使用文凭认证方式考证用户身份,并为用户提供SSL VPN IP接入职业。
[Device] sslvpn context ctxip
[Device-sslvpn-context-ctxip] gateway sslvpngw
[Device-sslvpn-context-ctxip] certificate-authentication enable
[Device-sslvpn-context-ctxip] ip-tunnel interface sslvpn-ac 1
[Device-sslvpn-context-ctxip] ip-route-list rtlist
[Device-sslvpn-context-ctxip-route-list-rtlist] include 20.2.2.0 24
[Device-sslvpn-context-ctxip-route-list-rtlist] quit
[Device-sslvpn-context-ctxip] ip-tunnel address-pool sslvpnpool mask 24
[Device-sslvpn-context-ctxip] policy-group resourcegrp
[Device-sslvpn-context-ctxip-policy-group-resourcegrp] ip-tunnel access-route ip-route-list rtlist
[Device-sslvpn-context-ctxip-policy-group-resourcegrp] filter ip-tunnel acl 3000
[Device-sslvpn-context-ctxip-policy-group-resourcegrp] quit
[Device-sslvpn-context-ctxip] service enable
[Device-sslvpn-context-ctxip] quit
创建SSL VPN用户
# 创建土产货SSL VPN用户sslvpnuser,密码为123456,用户扮装为network-operator,可用职业为SSL VPN,授权用户的SSL VPN战略组为resourcegrp。
[Device] local-user sslvpnuser class network
[Device-luser-network-sslvpnuser] password simple 123456
[Device-luser-network-sslvpnuser] service-type sslvpn
[Device-luser-network-sslvpnuser] authorization-attribute sslvpn-policy-group resourcegrp
[Device-luser-network-sslvpnuser] authorization-attribute user-role network-operator
[Device-luser-network-sslvpnuser] quit
需要提神,SSL VPN用户的用户名必须配置为USB Key客户端文凭中的CN字段。
图-2 USB Key客户端文凭中的CN字段
Server配置
Server上需要配置到达网段10.1.1.0/24的路由。
国密iNode客户端配置国密认证场景下,iNode客户端需要由SSL VPN网关处分东说念主员使用国密版块的iNode智能处分中心进行定制,生成定制版块的客户端软件后披发给总共SSL VPN用户。国密版块的iNode处分中心请接洽时刻职业东说念主员赢得。
定制iNode客户端
# 从时刻职业东说念主员处赢得并装置国密定制版块的iNode处分中心。
# 绽放iNode处分中心,采选“客户端定制”,在相聚接入组件中仅勾选SSL VPN。参数配置如下图所示。
图-3 客户端定制
# 单击<高等定制>按钮,投入高等定制页面。在“基本功能项”页签下,勾选“启用从文凭读取用户名,从文凭中抽取指定属性值算作用户名,XXXX”。参数配置如下图所示。
图-4 高等定制-基础功能项(1)
# 单击<阐发>按钮,采选CN算作用户名的文凭属性。
图-5 高等定制-基础功能项(2)
# 在“SSL VPN配置项”页签下,配置默许认证类型为Local,默许校验模式采选密码+文凭认证,并勾选“使用网关配置的默许认证类型”。参数配置如下图所示。
图-6 高等定制-SSL VPN配置项
# 在“文凭配置信息”页签下,SSL VPN的文凭类型配置为国密文凭Key,自界说国密厂商旅途填写Ukey动态联接库旅途。参数配置如下图所示。
图-7 高等定制-文凭配置信息
# 其中,若是使用渔翁Ukey,动态联接库文献称号为keyGDBapi.dll。装置过Ukey控件后的PC机上搜索文献称号即可找到对应旅途。刻薄将dll文献出动至通用的目次下,例如C盘的根目次。iNode客户端定制时需要采选对应dll文献旅途。后续使用Ukey登录iNode客户端的PC机均需要装置Ukey控件,并将dll文献出动至定制iNode客户端时采选的旅途下。
# 单击<笃定>按钮,完成配置。
# 单击<完成>按钮,投入完成客户端定制页面。
# 在完成客户端定制页面,客户端场景信息中勾选“默许场景“和”生成定制的客户端装置范例“。
图-8 完成客户端定制
# 单击<笃定>按钮,iNode处分中心将生成客户端软件。
图-9 客户端定制成果
# 单击<查找绸缪>按钮,将绽放客户端软件的文献夹旅途。
图-10 客户端软件存放旅途
披发iNode客户端软件
# 处分东说念主员需要将该软件发布给总共SSL VPN用户,并条目用户装置该软件。
考证配置在Host上装置国密USB Key控件并插入USB Key
SSL VPN用户在Host装置Ukey控件(请接洽时刻职业东说念主员赢得),并将dll文献出动至定制iNode客户端时采选的旅途下。
SSL VPN用户将已装置客户端文凭的国密USB Key插入到Host。
登录iNode客户端
# 从时刻职业东说念主员处赢得并装置iNode客户端后,启动iNode客户端,并笔据领导输入USB Key的PIN码(渔翁PIN码默许为11111111)。
图-11 输入USB Key的PIN码
# 单击<笃定>按钮。
# 单击<采选客户端文凭>按钮,投入属性建立页面。
图-12 iNode客户端登录页面
图-13 属性建立页面
# 从时刻职业东说念主员处赢得Device的PKI域中的CA文凭,并保存到土产货。
# 单击<采选客户端文凭>按钮,指定已保存的Device中PKI域下的CA文凭的存放旅途。其中,旅途不成包含中语。
图-14 采选根CA文凭存放旅途
# 单击<阐发>按钮,完成采选。
# 输入SSL VPN网关地址以及用户名密码等信息。
# 单击<联结>按钮,班师登录SSL VPN网关,如下图所示。
图-15 班师登录SSL VPN网关
# SSL VPN用户sslvpnuser登录班师后,SSL VPN用户不错在Host上Ping通职业器地址20.2.2.2。
C:\>ping 20.2.2.2
Pinging 20.2.2.2 with 32 bytes of data:
Reply from 20.2.2.2: bytes=32 time=31ms TTL=254
Reply from 20.2.2.2: bytes=32 time=18ms TTL=254
Reply from 20.2.2.2: bytes=32 time=15ms TTL=254
Reply from 20.2.2.2: bytes=32 time=16ms TTL=254
Ping statistics for 20.2.2.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 15ms, Maximum = 31ms, Average = 20ms
配置文献#
interface GigabitEthernet1/0/1
ip address 1.1.1.2 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 2.2.2.2 255.255.255.0
#
interface SSLVPN-AC1
ip address 10.1.1.100 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/2
#
security-zone name Untrust
import interface GigabitEthernet1/0/1
import interface SSLVPN-AC1
#
ip route-static 20.2.2.0 24 2.2.2.3
ip route-static 40.1.1.0 24 1.1.1.3
#
acl advanced 3000
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 20.2.2.0 0.0.0.255
#
local-user sslvpnuser class network
password simple 123456
service-type sslvpn
authorization-attribute user-role network-operator
authorization-attribute sslvpn-policy-group resourcegrp
#
pki domain sslvpndomain
certificate request entity sslvpncert
public-key sm2 signature name sslvpnsign encryption name sslvpnenc
undo crl check enable
#
pki entity sslvpncert
common-name 1.1.1.2
country CN
#
public-key local create sm2 name sslvpnsign
public-key local create sm2 name sslvpnenc
pki request-certificate domain sslvpndomain pkcs10
#
pki import domain sslvpndomain pem ca filename "Beijing SM2 ROOT CA.cer"
pki import domain sslvpndomain pem ca filename "Beijing SM2 CA.cer"
pki import domain sslvpndomain pem local filename UserCert.cer
#
pki export domain sslvpndomain pem local 3des-cbc 123456 filename SM.cer
#
pki import domain sslvpndomain pem local filename SM.cer-encryption
#
ssl server-policy ssl
pki-domain sslvpndomain
client-verify enable
#
sslvpn ip address-pool sslvpnpool 10.1.1.1 10.1.1.10
#
sslvpn gateway sslvpngw
ip address 1.1.1.2 port 4430
ssl server-policy ssl
service enable
sslvpn context ctxip
gateway sslvpngw
ip-tunnel interface SSLVPN-AC1
ip-tunnel address-pool sslvpnpool mask 255.255.255.0
ip-route-list rtlist
include 20.2.2.0 255.255.255.0
policy-group resourcegrp
filter ip-tunnel acl 3000
ip-tunnel access-route ip-route-list rtlist
certificate-authentication enable
service enable
#
security-policy ip
男同按摩
rule 1 name sslvpnlocalout1
action pass
source-zone local
destination-zone untrust
source-ip-host 1.1.1.2
destination-ip-host 40.1.1.1
rule 2 name sslvpnlocalin1
action pass
source-zone untrust
destination-zone local
source-ip-host 40.1.1.1
destination-ip-host 1.1.1.2
rule 3 name sslvpnlocalout2
action pass
source-zone local
destination-zone trust
source-ip-host 2.2.2.2
destination-ip-host 20.2.2.2
rule 4 name sslvpnlocalin2
action pass
source-zone trust
destination-zone local
source-ip-host 20.2.2.2
destination-ip-host 2.2.2.2
rule 5 name untrust-trust
action pass
source-zone untrust
destination-zone trust
source-ip-subnet 10.1.1.0 255.255.255.0
destination-ip-host 20.2.2.2
rule 6 name trust-untrust
action pass
source-zone trust
destination-zone untrust
source-ip-host 20.2.2.2
destination-ip-subnet 10.1.1.0 255.255.255.0
常见问题 当国密USB Key中客户端文凭与SSL VPN网关的职业器端文凭不是由一个CA机构签发时,应该若哪里理?SSL VPN网关处分东说念主员需要在Device上新建PKI域,并向该域中导入国密USB Key中客户端文凭的CA文凭链。
重新使能/去使能SSL VPN网关职业。
在SSL VPN网关成立上修改SSL文凭、客户端考证战略等配置后不成立即告成,应该若哪里理?修改SSL、SSL VPN网关、访谒实例等配置后自拍 偷拍,需要重启(即重新使能/去使能)SSL VPN网关和SSL VPN访谒实例材干告成。