• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

使用 Windows Server 2016操作系统自签名CA证书服务器(Microsoft Active Directory 证书服务 ) 实现SSL VPN证书双向认证

2020-12-14 发表
  • -1关注
  • 2收藏,35635浏览
胡伟 七段
粉丝:8人 关注:2人

组网及说明

关于CA证书服务器的安装,请参考如下知了链接:

https://zhiliao.h3c.com/Theme/details/136608


SSL VPN证书认证需要防火墙和客户端同属于一个CA证书服务器下。

1.1 SSL VPN简介

1.1 SSL VPN简介

该认证的过程如下:

(1) SSL VPN用户选择自己的SSL VPN用户证书(客户端证书),用户设备会将该证书发送给SSL VPN网关;

(2) SSL VPN网关用CA证书检查SSL VPN用户证书是否可信:如果可信,则继续进行下一步;如果不可信,则不能建立SSL连接;

(3) SSL VPN网关从SSL VPN用户证书中的CN字段提取用户名,并将该用户名提交给AAA模块进行授权和计费。

(4) 如果有证书和密码的组合验证,在步骤(3)下还需要 SSL VPN网关从SSL VPN用户证书中提取用户名与输入的用户名进行比较。

1.1 SSL VPN简介

     ¡  若一致,则网关将用户名和密码提交给AAA模块进行认证、授权和计费;

     ¡ ¡   若不一致,则认证不通过。

、1.1 SSL VPN简介

说明

· 证书认证本地设备中必须存在该用户。

· SSL VPN客户端证书中的CN字段必须和该SSL VPN用户的用户名一致。


配置步骤

配置步骤主要分为以下三个方面:

(一) ,向CA服务器申请服务器证书、客户端证书以及CA证书。

(二) ,安装客户端证书。

(三) ,防火墙PKI引入CA证书和服务器证书。

(四) ,SSL VPN网关引用关联对应PKI的SSL服务器策略。

(五) ,拨测验证。



1, 向CA服务器提交SSL VPN服务器证书、客户端证书申请。输入Microsoft Active Directory 证书服务链接,如:http://1.0.0.254/certsrv/,按照以下步骤进行。

2、这里申请SSL VPN服务器证书即防火墙本地(local)证书,姓名(Common-Name)设置为fw,证书类型为服务器身份验证证书,并标记密钥为可导出。

3, 同样的,重新打开证书服务链接 ,这里申请SSL VPN客户端证书即iNode引用证书,姓名(Common-Name)设置为inode(和本地密码认证local-user相同name,证书类型为客户端身份验证证书,并标记密钥为可导出。

4,登入CA服务器桌面,在证书颁发机构中将申请的证书进行颁发

5, 重新在IE浏览器中打开证书服务链,查看挂起的证书申请的状态安装之前申请的对应服务器证书和客户端证书。


6,下载CA证书并安装到受信任的根证书安装列表


7,由于之前从CA申请的SSL VPN服务器证书和客户端证书都安装到了IE浏览器证书列表中,所以需要从IE浏览器导出服务器证书。


导出的SSL VPN服务器证书即为防火墙PKI模块中的本地证书,和之前下载的CA证书一同形成证书对。


8,测试保证SSL VPN本地密码认证可以通过。


9,进入防火墙,新建PKI,分别导入CA证书和本地证书。

这里的证书口令为IE浏览器导出时设置的口令。



10,这里SSL服务器端策略引用对应的PKI域,选中高级加密套件(避免被扫描出算法漏洞),注意一定要开启【验证客户端】


11,SSL VPN配置中,网关引用创建的SSL服务器端策略,并在访问实例中开启证书和密码同时使用。

12,iNode设置认证模式为密码+证书认证,拨测可以成功,抓包可以看到SSL交互过程中iNode会发送客户端证书。



以上,使用SSL VPN证书双向认证已顺利完成!


配置关键点


0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作